我想将 Azure 存储帐户添加到 VNet/网络安全组,但一直收到授权失败消息。
错误是:'代码:AuthorizationFailure 内容:_CYCLIC_OBJECT_ 消息:此请求无权执行此操作。
我已使用 Microsoft.Storage 服务端点将 VNet 添加到存储帐户,并且子网已与 NSG 关联。
我使用 NSG 上的存储服务标签为 IP 地址创建了入站规则和出站规则。
我什至尝试过使用所有互联网入站规则,但没有任何乐趣。
如果我将存储帐户的防火墙和虚拟网络设置中的 IP 地址列入白名单,那么它可以正常工作。
有什么我想念的吗?
在您的评论中,您希望通过将其与 VNet 和 NSG 关联来管理存储帐户的防火墙规则。这不是正确的方向。
不能对 Azure 存储服务使用网络安全规则,因为存储帐户不能位于 VNet 内或 VNet 的一部分,并且 NSG 在 IP 地址、端口、协议级别工作。有关更多信息,您可以参考此答案。
此外,如果您在Firewall and Virtual Network存储帐户的设置中添加了选定的 VNet,它会授予从虚拟网络访问存储帐户的权限。因此,只有选定的 VNet 才能访问您的存储帐户。如果您不在防火墙中添加其外部 IP 地址,它将显示来自您的公司网络的访问拒绝。
您可能希望为您的存储帐户创建专用终结点,它将您的 VNet 中的专用 IP 地址分配给存储帐户,并通过专用链接保护您的 VNet 和存储帐户之间的所有流量。有了这个,您还可以在使用私有端点时使用防火墙阻止通过公共端点的所有访问。请注意,目前您无法为私有端点配置 NSG 规则和用户定义的路由。