Azure 存储网络安全组

Question

我想要将 Azure 存储帐户添加到 VNet/网络安全组，但不断收到授权失败消息。

The error was: 'code: AuthorizationFailure content: _CYCLIC_OBJECT_ message: This request is not authorized to perform this operation.

我已使用 Microsoft.Storage 服务终结点将 VNet 添加到存储帐户，并且子网已与 NSG 关联。

我已使用 NSG 上的存储服务标记为 IP 地址创建了入站规则和出站规则。

我什至尝试过使用全互联网入站规则，但没有任何乐趣。

如果我将存储帐户上的防火墙和虚拟网络设置中的 IP 地址列入白名单，则它可以正常工作。

我有什么遗漏的吗？

Answer 1

在您的评论中，您希望通过将存储帐户与 VNet 和 NSG 关联来管理其防火墙规则。这不是正确的方向。

您不能使用network security rules对于 Azure 存储服务，因为存储帐户不能位于 VNet 内部或 VNet 的一部分，并且 NSG 在 IP 地址、端口、协议(protocol)级别工作。更多信息，您可以引用this answer .

此外，如果您已在存储帐户的防火墙和虚拟网络 设置中添加了选定的 VNet，则 grants access storage account来自虚拟网络。因此，只有选定的 VNet 才能访问您的存储帐户。如果您不在防火墙中添加其外部 IP 地址，则会显示您公司网络的访问被拒绝。

您可能想要创建Private Endpoints for your storage account ，它将 VNet 中的专用 IP 地址分配给存储帐户，并通过专用链接保护 VNet 与存储帐户之间的所有流量。这样，您还可以在使用专用端点时使用防火墙阻止通过公共(public)端点的所有访问。请注意，目前您无法为专用终结点配置 NSG 规则和用户定义的路由。