Firewall
隔離 Azure 儲存帳戶上的數據和管理平面
Azure 儲存帳戶的訪問權限可能受 IP 地址或 Azure 虛擬網路(帶有
Microsoft.Storage
服務終結點)的限制。完成後,儲存資源將僅接受來自那些指定來源的連接。這涵蓋了數據操作(讀、寫等)和控制操作(創建新容器等);我分別稱它們為“數據”和“管理”平面。是否可以在網路級別(例如,使用防火牆)隔離這些,還是只能在角色級別完成?例如,我是否可以在同一網路上擁有一個只能執行控制操作的 VM,而不管主體的角色如何?
如您所說,Azure 儲存的操作是分開的,即數據和管理。數據塊通過儲存 API,而管理通過 Azure 資源管理器 API,這是用於所有服務的管理 API。
儲存帳戶具有防火牆的概念,您可以在其中限制哪些 IP 可以訪問儲存帳戶,這涵蓋了事物的數據方面。如果您使用此防火牆阻止了某人,那麼他們仍然可以向 ARM 發出管理請求(假設他們擁有權限)。
阻止管理端對 ARM 的訪問要困難得多,您最好考慮為此使用權限。