Azure 存储帐户的访问权限可能受 IP 地址或 Azure 虚拟网络(带有Microsoft.Storage服务终结点)的限制。完成后,存储资源将仅接受来自那些指定来源的连接。这涵盖了数据操作(读、写等)和控制操作(创建新容器等);我分别称它们为“数据”和“管理”平面。
是否可以在网络级别(例如,使用防火墙)隔离这些,还是只能在角色级别完成?例如,我是否可以在同一网络上拥有一个只能执行控制操作的 VM,而不管主体的角色如何?
AskOverflow.Dev
如您所说,Azure 存储的操作是分开的,即数据和管理。数据块通过存储 API,而管理通过 Azure 资源管理器 API,这是用于所有服务的管理 API。
存储帐户具有防火墙的概念,您可以在其中限制哪些 IP 可以访问存储帐户,这涵盖了事物的数据方面。如果您使用此防火墙阻止了某人,那么他们仍然可以向 ARM 发出管理请求(假设他们拥有权限)。
阻止管理端对 ARM 的访问要困难得多,您最好考虑为此使用权限。