默认情况下,存储帐户接受来自任何网络上客户端的连接。 可以限制对所选网络的访问,或阻止来自所有网络的流量,并仅允许通过 专用终结点进行访问。
设置默认公用网络访问规则
转到要保护的存储帐户。
在服务菜单中的“安全性 + 网络”下,选择“网络”。
选择通过存储帐户的公用终结点所启用的网络连接:
选择保存以应用更改。
安装 Azure PowerShell 并登录。
选择要允许的公共网络访问类型:
要允许来自所有网络的流量,可使用 Update-AzStorageAccountNetworkRuleSet 命令,并将 -DefaultAction 参数设置为 Allow:
Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Allow
要仅允许来自特定虚拟网络的流量,可使用 Update-AzStorageAccountNetworkRuleSet 命令,并将 -DefaultAction 参数设置为 Deny:
Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Deny
重要
除非将 -DefaultAction 参数 Deny设置为 .,否则网络规则不起作用。 但是,更改此设置可能会影响应用程序的连接到 Azure 存储的功能。 在更改此设置之前,请确保向任何允许的网络授予访问权限,或设置通过专用终结点进行的访问。
若要阻止来自所有网络的流量,请使用 Set-AzStorageAccount 命令,并将 -PublicNetworkAccess 参数设置为 Disabled。 流量将仅允许通过专用终结点。 您需要创建这个专用终结点。
Set-AzStorageAccount -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -PublicNetworkAccess Disabled
安装 Azure CLI 并 登录。
选择要允许的公共网络访问类型:
要允许来自所有网络的流量,可使用 az storage account update 命令,并将 --default-action 参数设置为 Allow:
az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Allow
要仅允许来自特定虚拟网络的流量,可使用 az storage account update 命令,并将 --default-action 参数设置为 Deny:
az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Deny
重要
除非将 --default-action 参数 Deny设置为 .,否则网络规则不起作用。 但是,更改此设置可能会影响应用程序的连接到 Azure 存储的功能。 在更改此设置之前,请确保向任何允许的网络授予访问权限,或设置通过专用终结点进行的访问。
若要阻止来自所有网络的流量,请使用 az storage account update 命令,并将 --public-network-access 参数设置为 Disabled。 流量将仅允许通过专用终结点。 需要创建该专用终结点。
az storage account update --name MyStorageAccount --resource-group MyResourceGroup --public-network-access Disabled
注释
限制存储服务访问的防火墙设置,在保存允许访问的设置后,最长可能仍会生效一分钟。
后续步骤