Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Se precisares de ativar o tráfego de um serviço de Azure fora do limite da tua rede, podes adicionar uma exceção de segurança rede. Isto é útil quando um serviço Azure opera a partir de uma rede que não pode incluir nas suas regras de rede virtual ou de rede IP. Por exemplo, alguns serviços podem precisar ler logs de recursos e métricas em sua conta. Você pode permitir o acesso de leitura para arquivos de log, tabelas de métricas ou ambos criando uma exceção de regra de rede. Esses serviços se conectam à sua conta de armazenamento usando autenticação forte.
Para saber como adicionar uma exceção de segurança de rede, consulte Gerenciar exceções de segurança de rede.
Acesso de confiança para recursos registados no seu tenant Microsoft Entra
Os recursos de alguns serviços podem acessar sua conta de armazenamento para operações selecionadas, como gravar logs ou executar backups. Estes serviços devem estar registados numa subscrição localizada no mesmo tenant Microsoft Entra que a sua conta de armazenamento. A tabela a seguir descreve cada serviço e suas operações permitidas.
| Serviço | Nome do provedor de recursos | Operações permitidas |
|---|---|---|
| Azure Backup | Microsoft.RecoveryServices |
Execute backups e restaurações de discos não gerenciados em máquinas virtuais IaaS (infraestrutura como serviço) (não necessárias para discos gerenciados). Saiba mais. |
| Azure Data Box | Microsoft.DataBox |
Importar dados para o Azure. Saiba mais. |
| Azure Data Explorer | Microsoft.Kusto |
Leia dados para ingestão e tabelas externas e escreva dados em tabelas externas. Saiba mais. |
| Azure DevTest Labs | Microsoft.DevTestLab |
Crie imagens personalizadas e instale artefatos. Saiba mais. |
| Azure Event Grid | Microsoft.EventGrid |
Ative a publicação de eventos no Armazenamento de Blobs do Azure e permita a publicação em filas de armazenamento. |
| Hubs de Eventos do Azure | Microsoft.EventHub |
Arquive dados utilizando o Event Hubs Capture. Saiba mais. |
| Azure File Sync | Microsoft.StorageSync |
Transforme o seu servidor de ficheiros local numa cache para partilhas de ficheiros do Azure. Esse recurso permite sincronização em vários locais, recuperação rápida de desastres e backup na nuvem. Saiba mais. |
| Azure HDInsight | Microsoft.HDInsight |
Provisione o conteúdo inicial do sistema de arquivos padrão para um novo cluster HDInsight. Saiba mais. |
| Importação/Exportação do Azure | Microsoft.ImportExport |
Importar dados para o Armazenamento do Azure ou exportar dados do Armazenamento do Azure. Saiba mais. |
| Azure Monitor | Microsoft.Insights |
Escreva dados de monitorização numa conta de armazenamento segura, incluindo registos de recursos, dados do Microsoft Defender para Endpoint, registos de início de sessão e auditoria do Microsoft Entra, e registos do Microsoft Intune. Saiba mais. |
| Serviços de rede do Azure | Microsoft.Network |
Armazene e analise registos de tráfego de rede, incluindo através dos serviços Observador de Rede do Azure e Gestor de Tráfego do Azure. Saiba mais. |
| Azure Site Recovery | Microsoft.SiteRecovery |
Permitir a replicação para a recuperação de desastres de máquinas virtuais Azure IaaS quando estiver a usar contas de armazenamento com cache, origem ou alvo habilitadas para firewall. Saiba mais. |
Acesso confiável com base em uma identidade gerenciada
A tabela a seguir lista os serviços que podem acessar os dados da conta de armazenamento se as instâncias de recursos desses serviços tiverem as permissões apropriadas.
| Serviço | Nome do provedor de recursos | Propósito |
|---|---|---|
| Azure FarmBeats | Microsoft.AgFoodPlatform/farmBeats |
Permite o acesso a contas de armazenamento. |
| Gestão de API do Azure | Microsoft.ApiManagement/service |
Permite o acesso a contas de armazenamento por trás de firewalls por meio de políticas. Saiba mais. |
| Sistemas Autónomos Microsoft | Microsoft.AutonomousSystems/workspaces |
Permite o acesso a contas de armazenamento. |
| Redis Gerido pelo Azure | Microsoft.Cache/Redis |
Permite o acesso a contas de armazenamento. Saiba mais. |
| Pesquisa de IA do Azure | Microsoft.Search/searchServices |
Permite o acesso a contas de armazenamento para indexação, processamento e consulta. |
| Ferramentas de Fundição | Microsoft.CognitiveService/accounts |
Permite o acesso a contas de armazenamento. Saiba mais. |
| Microsoft Cost Management | Microsoft.CostManagementExports |
Permite exportar para contas de armazenamento atrás de um firewall. Saiba mais. |
| Azure Container Registry | Microsoft.ContainerRegistry/registries |
Permite o acesso a contas de armazenamento. |
| Azure Databricks | Microsoft.Databricks/accessConnectors |
Permite o acesso a contas de armazenamento. Os armazéns SQL sem servidor exigem configuração extra. Saiba mais. |
| Azure Data Factory | Microsoft.DataFactory/factories |
Permite o acesso a contas de armazenamento por meio do tempo de execução do Data Factory. |
| Azure Data Explorer | Microsoft.Kusto/Clusters |
Leia dados para ingestão e tabelas externas e escreva dados em tabelas externas. Saiba mais. |
| Azure Backup Vault | Microsoft.DataProtection/BackupVaults |
Permite o acesso a contas de armazenamento. |
| Azure Data Share | Microsoft.DataShare/accounts |
Permite o acesso a contas de armazenamento. |
| Base de Dados do Azure para PostgreSQL | Microsoft.DBForPostgreSQL |
Permite o acesso a contas de armazenamento. |
| Registro de dispositivos do Azure | Microsoft.DeviceRegistry/schemaRegistries |
Permite o acesso a contas de armazenamento. |
| Hub IoT do Azure | Microsoft.Devices/IotHubs |
Permite que dados de um hub IoT sejam escritos para o Armazenamento de Blobs. Saiba mais. |
| Azure DevTest Labs | Microsoft.DevTestLab/labs |
Permite o acesso a contas de armazenamento. |
| Azure Event Grid | Microsoft.EventGrid/domains |
Permite o acesso a contas de armazenamento. |
| Azure Event Grid | Microsoft.EventGrid/partnerTopics |
Permite o acesso a contas de armazenamento. |
| Azure Event Grid | Microsoft.EventGrid/systemTopics |
Permite o acesso a contas de armazenamento. |
| Azure Event Grid | Microsoft.EventGrid/topics |
Permite o acesso a contas de armazenamento. |
| Microsoft Fabric | Microsoft.Fabric |
Permite o acesso a contas de armazenamento. |
| APIs de Cuidados de Saúde do Azure | Microsoft.HealthcareApis/services |
Permite o acesso a contas de armazenamento. |
| APIs de Cuidados de Saúde do Azure | Microsoft.HealthcareApis/workspaces |
Permite o acesso a contas de armazenamento. |
| Azure IoT Central | Microsoft.IoTCentral/IoTApps |
Permite o acesso a contas de armazenamento. |
| HSM Gerido pelo Azure Key Vault | Microsoft.keyvault/managedHSMs |
Permite o acesso a contas de armazenamento. |
| Azure Logic Apps | Microsoft.Logic/integrationAccounts |
Permite que aplicativos lógicos acessem contas de armazenamento. Saiba mais. |
| Azure Logic Apps | Microsoft.Logic/workflows |
Permite que aplicativos lógicos acessem contas de armazenamento. Saiba mais. |
| estúdio do Azure Machine Learning | Microsoft.MachineLearning/registries |
Permite que espaços de trabalho autorizados do Azure Machine Learning escrevam resultados de experiências, modelos e logs no Armazenamento de Blobs e leiam os dados. Saiba mais. |
| Azure Machine Learning | Microsoft.MachineLearningServices |
Permite que espaços de trabalho autorizados do Azure Machine Learning escrevam resultados de experiências, modelos e logs no Armazenamento de Blobs e leiam os dados. Saiba mais. |
| Azure Machine Learning | Microsoft.MachineLearningServices/workspaces |
Permite que espaços de trabalho autorizados do Azure Machine Learning escrevam resultados de experiências, modelos e logs no Armazenamento de Blobs e leiam os dados. Saiba mais. |
| Serviços de Multimédia do Azure | Microsoft.Media/mediaservices |
Permite o acesso a contas de armazenamento. |
| Azure Migrate | Microsoft.Migrate/migrateprojects |
Permite o acesso a contas de armazenamento. |
| Azure ExpressRoute | Microsoft.Network/expressRoutePorts |
Permite o acesso a contas de armazenamento. |
| Microsoft Power Platform | Microsoft.PowerPlatform/enterprisePolicies |
Permite o acesso a contas de armazenamento. |
| Microsoft Project Arcádia | Microsoft.ProjectArcadia/workspaces |
Permite o acesso a contas de armazenamento. |
| Catálogo de Dados do Azure | Microsoft.ProjectBabylon/accounts |
Permite o acesso a contas de armazenamento. |
| Microsoft Purview | Microsoft.Purview/accounts |
Permite o acesso a contas de armazenamento. |
| Azure Site Recovery | Microsoft.RecoveryServices/vaults |
Permite o acesso a contas de armazenamento. |
| Centro de Segurança | Microsoft.Security/dataScanners |
Permite o acesso a contas de armazenamento. |
| Singularidade | Microsoft.Singularity/accounts |
Permite o acesso a contas de armazenamento. |
| Ações de armazenamento do Azure | Microsoft.Storageactions/Storagetasks |
Permite o acesso a contas de armazenamento. |
| Base de Dados SQL do Azure | Microsoft.Sql |
Permite gravar dados de auditoria em contas de armazenamento por trás de um firewall. |
| SQL do Azure Servers | Microsoft.Sql/servers |
Permite gravar dados de auditoria em contas de armazenamento por trás de um firewall. |
| Azure Synapse Analytics | Microsoft.Sql |
Permite importar e exportar dados de bancos de dados SQL específicos por meio da COPY instrução ou PolyBase (em um pool dedicado), ou da openrowset função e tabelas externas em um pool sem servidor.
Saiba mais. |
| Azure Stream Analytics | Microsoft.StreamAnalytics |
Permite que dados de um trabalho de streaming sejam escritos no Armazenamento de Blobs. Saiba mais. |
| Azure Stream Analytics | Microsoft.StreamAnalytics/streamingjobs |
Permite que dados de um trabalho de streaming sejam escritos no Armazenamento de Blobs. Saiba mais. |
| Azure Synapse Analytics | Microsoft.Synapse/workspaces |
Permite o acesso a dados no Armazenamento do Azure. |
| Azure Video Indexer | Microsoft.VideoIndexer/Accounts |
Permite o acesso a contas de armazenamento. |
Se a sua conta não tiver o namespace hierárquico ativado, pode conceder permissão atribuindo explicitamente uma função do Azure à identidade gerida em cada instância de recurso. Neste caso, o âmbito de acesso da instância corresponde ao papel Azure atribuído à identidade gerida.
Você pode usar a mesma técnica para uma conta que tenha o recurso de namespace hierárquico habilitado. No entanto, não é necessário atribuir um papel no Azure se adicionar a identidade gerida à lista de controlo de acesso (ACL) de qualquer diretório ou blob que a conta de armazenamento contenha. Nesse caso, o escopo de acesso para a instância corresponde ao diretório ou arquivo ao qual a identidade gerenciada tem acesso.
Também pode combinar funções e ACLs do Azure para conceder acesso. Para saber mais, consulte o modelo de controlo de acesso em Azure Data Lake Storage.
Recomendamos que você use regras de instância de recurso para conceder acesso a recursos específicos.