在Azure存储帐户上隔离数据和管理平面

Question

Azure存储帐户的访问可能受到IP地址或Azure虚拟网络(带有Microsoft.Storage服务端点)的限制。这样做后，存储资源将只接受那些指定来源的连接。这包括数据操作(读、写等)。和控制操作(创建新容器等)；我将它们分别称为“数据”和“管理”飞机。

是否有可能在网络级别(例如，使用防火墙)隔离这些功能，或者只能在角色级别进行隔离？例如，我是否可以在同一个网络上拥有一个VM，它只能执行控制操作，而不管主体的角色如何？

Answer 1

Azure存储的操作就像您所说的，数据和管理是分开的。数据块是通过存储API的，因为管理通过Azure，而Azure资源管理器API是用于所有服务的管理API。

存储帐户有防火墙的概念，可以限制IP可以访问什么存储帐户，这就涵盖了数据方面的事情。如果您阻止了使用此防火墙的人，那么他们仍然能够提出管理请求来武装(假设他们有权限)。

阻止管理端对ARM的访问要困难得多，您可以更好地考虑使用权限。