我想将Azure存储帐户添加到VNet /网络安全组,但继续收到授权失败消息。
错误是:'代码:AuthorizationFailure内容:_CYCLIC_OBJECT_消息:该请求无权执行此操作。
我已将VNet添加到具有Microsoft.Storage服务端点的存储帐户,并且子网已与NSG关联。
我已经使用NSG上的存储服务标签为IP地址创建了入站规则,并创建了出站规则。
我什至尝试了所有入站规则,但都没有乐趣。
如果我在存储帐户的防火墙和虚拟网络设置中将IP地址列入白名单,则可以正常工作。
我缺少什么吗?
在您的评论中,您想通过将存储帐户的防火墙规则与VNet和NSG关联来进行管理。这不是正确的方向。
您不能将network security rules用于Azure存储服务,因为存储帐户不能位于VNet或VNet的一部分内,并且NSG可以在IP地址,端口,协议级别运行。有关更多信息,您可以参考this answer。
此外,如果已在存储帐户的Firewall and Virtual Network设置中添加了选定的VNet,则它是来自虚拟网络的grants access storage account。因此,只有选定的VNet可以访问您的存储帐户。如果您没有在防火墙中添加其外部IP地址,它将显示来自公司网络的拒绝访问。
您可能要创建Private Endpoints for your storage account,该C0将VNet的私有IP地址分配给存储帐户,并通过私有链接保护VNet和存储帐户之间的所有流量。这样,您还可以在使用专用端点时使用防火墙阻止通过公用端点的所有访问。请注意,当前,您无法为专用端点配置NSG规则和用户定义的路由。