Azure 存储帐户的访问权限可以通过 IP 地址或 Azure 虚拟网络(带有Microsoft.Storage服务端点)进行限制。完成此操作后,存储资源将仅接受来自指定来源的连接。这包括数据操作(读取、写入等)和控制操作(创建新容器等);我分别将它们称为“数据”和“管理”平面。
是否可以在网络级别隔离这些(例如,使用防火墙),还是只能在角色级别进行隔离?例如,我是否可以在同一网络上拥有一台只能执行控制操作的虚拟机,而不管主体的角色是什么?
答案1
正如您所说,Azure 存储的操作分为数据和管理两部分。数据部分通过存储 API 进行,而管理部分通过 Azure 资源管理器 API 进行,这些 API 是用于所有服务的管理 API。
存储帐户具有防火墙的概念,您可以在其中限制哪些 IP 可以访问存储帐户,这涵盖了数据方面。如果您使用此防火墙阻止某人,那么他们仍然可以向 ARM 发出管理请求(假设他们有权限)。
阻止管理方访问 ARM 要困难得多,最好考虑使用权限来实现这一点。