Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Se è necessario abilitare il traffico da un servizio di Azure all'esterno del limite di rete, è possibile aggiungere un'eccezione di sicurezza network. Ciò è utile quando un servizio Azure opera da una rete che non è possibile includere nella rete virtuale o nelle regole di rete IP. Ad esempio, alcuni servizi potrebbero dover leggere i log delle risorse e le metriche nell'account. È possibile consentire l'accesso in lettura per i file di log, le tabelle delle metriche o entrambi creando un'eccezione di regola di rete. Questi servizi si connettono all'account di archiviazione usando l'autenticazione avanzata.
Per informazioni su come aggiungere un'eccezione di sicurezza di rete, vedere Gestire le eccezioni di sicurezza di rete.
Accesso attendibile per le risorse registrate nel tenant di Microsoft Entra
Le risorse di alcuni servizi possono accedere all'account di archiviazione per le operazioni selezionate, ad esempio la scrittura di log o l'esecuzione di backup. Questi servizi devono essere registrati in un abbonamento che si trova nello stesso tenant di Microsoft Entra dell'account di archiviazione. La tabella seguente descrive ogni servizio e le relative operazioni consentite.
| Servizio | Nome provider di risorse | Operazioni consentite |
|---|---|---|
| Backup di Azure | Microsoft.RecoveryServices |
Eseguire backup e ripristini di dischi non gestiti in macchine virtuali IaaS (Infrastructure as a Service) (non necessario per i dischi gestiti). Scopri di più. |
| Azure Data Box | Microsoft.DataBox |
Importare dati in Azure. Scopri di più. |
| Esplora dati di Azure | Microsoft.Kusto |
Leggere i dati per l'inserimento e le tabelle esterne, e scrivere dati in tabelle esterne. Scopri di più. |
| Azure DevTest Labs | Microsoft.DevTestLab |
Creare immagini personalizzate e installare artefatti. Scopri di più. |
| Griglia di eventi di Azure | Microsoft.EventGrid |
Abilitare la pubblicazione di eventi in Archiviazione BLOB di Azure e consentire la pubblicazione nelle code di archiviazione. |
| Hub eventi di Azure | Microsoft.EventHub |
Archiviare dati usando Acquisizione di Hub eventi. Scopri di più. |
| Sincronizzazione file di Azure | Microsoft.StorageSync |
Trasformare il file server locale in una cache per i file condivisi di Azure. Questa funzionalità consente la sincronizzazione a più siti, il ripristino di emergenza rapido e il backup sul lato cloud. Scopri di più. |
| Azure HDInsight | Microsoft.HDInsight |
Consente di effettuare il provisioning del contenuto iniziale del file system predefinito per un nuovo cluster HDInsight. Scopri di più. |
| Importazione/Esportazione di Azure | Microsoft.ImportExport |
Importare dati in Archiviazione di Azure o esportare dati da Archiviazione di Azure. Scopri di più. |
| Monitoraggio di Azure | Microsoft.Insights |
Scrivere dati di monitoraggio in un account di archiviazione protetto, includendo i log delle risorse, i dati di Microsoft Defender per endpoint, i log di accesso e di controllo di Microsoft Entra e i log di Microsoft Intune. Scopri di più. |
| Azure servizi di rete | Microsoft.Network |
Archiviare e analizzare i log del traffico di rete, inclusi i servizi di Azure Network Watcher e Gestione traffico di Azure. Scopri di più. |
| Azure Site Recovery | Microsoft.SiteRecovery |
Abilitare la replica per il recupero di emergenza delle macchine virtuali IaaS di Azure quando si usano account di archiviazione, origine o destinazione attivati per il firewall. Scopri di più. |
Accesso attendibile basato su un'identità gestita
Nella tabella seguente sono elencati i servizi che possono accedere ai dati dell'account di archiviazione se le istanze delle risorse di tali servizi dispongono delle autorizzazioni appropriate.
| Servizio | Nome provider di risorse | Scopo |
|---|---|---|
| Azure FarmBeats | Microsoft.AgFoodPlatform/farmBeats |
Consente l'accesso agli account di archiviazione. |
| Gestione API di Azure | Microsoft.ApiManagement/service |
Consente l'accesso agli account di archiviazione protetti da firewall tramite criteri. Scopri di più. |
| Sistemi autonomi Microsoft | Microsoft.AutonomousSystems/workspaces |
Consente l'accesso agli account di archiviazione. |
| Azure Redis gestito | Microsoft.Cache/Redis |
Consente l'accesso agli account di archiviazione. Scopri di più. |
| Azure AI Search | Microsoft.Search/searchServices |
Consente l'accesso agli account di archiviazione per l'indicizzazione, l'elaborazione e l'esecuzione di query. |
| Strumenti di fonderia | Microsoft.CognitiveService/accounts |
Consente l'accesso agli account di archiviazione. Scopri di più. |
| Gestione dei costi Microsoft | Microsoft.CostManagementExports |
Abilita l'esportazione in account di archiviazione dietro un firewall. Scopri di più. |
| Registro dei container di Azure | Microsoft.ContainerRegistry/registries |
Consente l'accesso agli account di archiviazione. |
| Azure Databricks | Microsoft.Databricks/accessConnectors |
Consente l'accesso agli account di archiviazione. I data warehouse SQL serverless richiedono una configurazione aggiuntiva. Scopri di più. |
| Azure Data Factory | Microsoft.DataFactory/factories |
Consente l'accesso agli account di archiviazione tramite il runtime di Data Factory. |
| Esplora dati di Azure | Microsoft.Kusto/Clusters |
Leggere i dati per l'inserimento e le tabelle esterne, e scrivere dati in tabelle esterne. Scopri di più. |
| Vault di Backup di Azure | Microsoft.DataProtection/BackupVaults |
Consente l'accesso agli account di archiviazione. |
| Condivisione dati di Azure | Microsoft.DataShare/accounts |
Consente l'accesso agli account di archiviazione. |
| Database di Azure per PostgreSQL | Microsoft.DBForPostgreSQL |
Consente l'accesso agli account di archiviazione. |
| Registro dei dispositivi Azure | Microsoft.DeviceRegistry/schemaRegistries |
Consente l'accesso agli account di archiviazione. |
| hub IoT di Azure | Microsoft.Devices/IotHubs |
Consente la scrittura dei dati da un hub IoT in gestione rete virtuale di Azure. Scopri di più. |
| Azure DevTest Labs | Microsoft.DevTestLab/labs |
Consente l'accesso agli account di archiviazione. |
| Griglia di eventi di Azure | Microsoft.EventGrid/domains |
Consente l'accesso agli account di archiviazione. |
| Griglia di eventi di Azure | Microsoft.EventGrid/partnerTopics |
Consente l'accesso agli account di archiviazione. |
| Griglia di eventi di Azure | Microsoft.EventGrid/systemTopics |
Consente l'accesso agli account di archiviazione. |
| Griglia di eventi di Azure | Microsoft.EventGrid/topics |
Consente l'accesso agli account di archiviazione. |
| Microsoft Fabric | Microsoft.Fabric |
Consente l'accesso agli account di archiviazione. |
| API Azure per il settore sanitario | Microsoft.HealthcareApis/services |
Consente l'accesso agli account di archiviazione. |
| API Azure per il settore sanitario | Microsoft.HealthcareApis/workspaces |
Consente l'accesso agli account di archiviazione. |
| Azure IoT Central | Microsoft.IoTCentral/IoTApps |
Consente l'accesso agli account di archiviazione. |
| Modulo di protezione hardware gestito di Azure Key Vault | Microsoft.keyvault/managedHSMs |
Consente l'accesso agli account di archiviazione. |
| App per la logica di Azure | Microsoft.Logic/integrationAccounts |
Consente alle app per la logica di accedere agli account di archiviazione. Scopri di più. |
| App per la logica di Azure | Microsoft.Logic/workflows |
Consente alle app per la logica di accedere agli account di archiviazione. Scopri di più. |
| studio di Azure Machine Learning | Microsoft.MachineLearning/registries |
Consente alle aree di lavoro Azure Machine Learning autorizzate di scrivere output, modelli e log dell'esperimento per gestione rete virtuale di Azure e leggere i dati. Scopri di più. |
| Azure Machine Learning | Microsoft.MachineLearningServices |
Consente alle aree di lavoro Azure Machine Learning autorizzate di scrivere output, modelli e log dell'esperimento per gestione rete virtuale di Azure e leggere i dati. Scopri di più. |
| Azure Machine Learning | Microsoft.MachineLearningServices/workspaces |
Consente alle aree di lavoro Azure Machine Learning autorizzate di scrivere output, modelli e log dell'esperimento per gestione rete virtuale di Azure e leggere i dati. Scopri di più. |
| Servizi multimediali di Azure | Microsoft.Media/mediaservices |
Consente l'accesso agli account di archiviazione. |
| Azure Migrate | Microsoft.Migrate/migrateprojects |
Consente l'accesso agli account di archiviazione. |
| Azure ExpressRoute | Microsoft.Network/expressRoutePorts |
Consente l'accesso agli account di archiviazione. |
| Microsoft Power Platform | Microsoft.PowerPlatform/enterprisePolicies |
Consente l'accesso agli account di archiviazione. |
| Microsoft Project Arcadia | Microsoft.ProjectArcadia/workspaces |
Consente l'accesso agli account di archiviazione. |
| Azure Data Catalog | Microsoft.ProjectBabylon/accounts |
Consente l'accesso agli account di archiviazione. |
| Microsoft Purview | Microsoft.Purview/accounts |
Consente l'accesso agli account di archiviazione. |
| Azure Site Recovery | Microsoft.RecoveryServices/vaults |
Consente l'accesso agli account di archiviazione. |
| Centro sicurezza | Microsoft.Security/dataScanners |
Consente l'accesso agli account di archiviazione. |
| Singolarità | Microsoft.Singularity/accounts |
Consente l'accesso agli account di archiviazione. |
| le operazioni di Archiviazione di Azure | Microsoft.Storageactions/Storagetasks |
Consente l'accesso agli account di archiviazione. |
| database SQL di Azure | Microsoft.Sql |
Consente di scrivere dati di controllo in account di archiviazione protetti da un firewall. |
| Server SQL di Azure | Microsoft.Sql/servers |
Consente di scrivere dati di controllo in account di archiviazione protetti da un firewall. |
| Azure Synapse Analytics | Microsoft.Sql |
Consente l'importazione e l'esportazione di dati da database SQL specifici tramite l'istruzione COPY o PolyBase (in un pool dedicato) o la funzione openrowset e le tabelle esterne in un pool serverless.
Scopri di più. |
| Analisi di flusso di Azure | Microsoft.StreamAnalytics |
Consente la scrittura di dati da un processo di streaming in gestione rete virtuale di Azure. Scopri di più. |
| Analisi di flusso di Azure | Microsoft.StreamAnalytics/streamingjobs |
Consente la scrittura di dati da un processo di streaming in gestione rete virtuale di Azure. Scopri di più. |
| Azure Synapse Analytics | Microsoft.Synapse/workspaces |
Consente l'accesso ai dati in Archiviazione di Azure. |
| Azure Video Indexer | Microsoft.VideoIndexer/Accounts |
Consente l'accesso agli account di archiviazione. |
Se l'account non dispone della funzionalità dello spazio dei nomi gerarchico abilitata, è possibile concedere l'autorizzazione assegnando in modo esplicito un ruolo di Azure all'identità identity gestita per ogni istanza di risorsa. In questo caso, l'ambito di accesso per l'istanza corrisponde al ruolo Azure assegnato all'identità gestita.
È possibile usare la stessa tecnica per un account con la funzionalità dello spazio dei nomi gerarchico abilitata. Tuttavia, non è necessario assegnare un ruolo Azure se si aggiunge l'identità gestita all'elenco di controllo di accesso (ACL) di qualsiasi directory o BLOB che l'account di archiviazione contiene. In tal caso, l'ambito di accesso per l'istanza corrisponde alla directory o al file a cui l'identità gestita ha accesso.
È anche possibile combinare Azure ruoli e ACL per concedere l'accesso. Per altre informazioni, vedere Modello di controllo accessi in Azure Data Lake Storage.
È consigliabile usare le regole dell'istanza di risorse per concedere l'accesso a risorse specifiche.