Vyžadovat zabezpečený přenos, aby se zajistila zabezpečená připojení

Účet úložiště můžete nakonfigurovat tak, aby přijímal požadavky ze zabezpečených připojení pouze nastavením požadované vlastnosti zabezpečeného přenosu pro účet úložiště. Pokud požadujete zabezpečený přenos, všechny požadavky pocházející z nezabezpečeného připojení budou odmítnuty. Microsoft doporučuje vždy vyžadovat zabezpečený přenos pro všechny účty úložiště.

Pokud je vyžadován zabezpečený přenos, musí být volání operace rozhraní REST API služby Azure Storage provedena přes protokol HTTPS. Jakýkoli požadavek provedený přes PROTOKOL HTTP se odmítne. Ve výchozím nastavení je při vytváření účtu úložiště povolená požadovaná vlastnost Zabezpečený přenos.

Azure Policy poskytuje předdefinované zásady, které zajišťují, že se pro účty úložiště vyžaduje zabezpečený přenos. Další informace najdete v části Úložiště v předdefinovaných definicích zásad azure Policy.

Připojení pro sdílenou složku Azure přes protokol SMB bez šifrování selže, pokud je pro účet úložiště vyžadován zabezpečený přenos. Příklady nezabezpečených připojení zahrnují ty, které jsou vytvořené přes protokol SMB 2.1 nebo SMB 3.x bez šifrování.

Poznámka:

Protože Azure Storage nepodporuje HTTPS pro vlastní názvy domén, tato možnost se nepoužije, pokud používáte vlastní název domény.

Toto nastavení zabezpečeného přenosu se nevztahuje na protokol TCP. Připojení iony prostřednictvím podpory protokolu NFS 3.0 ve službě Azure Blob Storage pomocí protokolu TCP, který není zabezpečený, bude úspěšný.

Vyžadovat zabezpečený přenos na webu Azure Portal

Při vytváření účtu úložiště na webu Azure Portal můžete zapnout požadovanou vlastnost zabezpečeného přenosu. Můžete ho také povolit pro existující účty úložiště.

Vyžadovat zabezpečený přenos pro nový účet úložiště

1. Na webu Azure Portal otevřete podokno Vytvořit účet úložiště.

2. Na stránce Upřesnit zaškrtněte políčko Povolit zabezpečený přenos .

   

Vyžadovat zabezpečený přenos pro existující účet úložiště

1. Na webu Azure Portal vyberte existující účet úložiště.

2. V podokně nabídek účtu úložiště v části Nastavení vyberte Konfigurace.

3. V části Vyžadovat zabezpečený přenos vyberte Povoleno.

   

Vyžadovat zabezpečený přenos z kódu

Pokud chcete vyžadovat zabezpečený přenos prostřednictvím kódu programu, nastavte u účtu úložiště vlastnost enableHttpsTrafficOnly na hodnotu True . Tuto vlastnost můžete nastavit pomocí rozhraní REST API poskytovatele prostředků úložiště, klientských knihoven nebo nástrojů:

• REST API
• PowerShell
• Rozhraní příkazového řádku
• NodeJS
• .NET SDK
• Python SDK
• Ruby SDK

Vyžadování zabezpečeného přenosu pomocí PowerShellu

Poznámka:

Při práci s Azure doporučujeme používat modul Azure Az PowerShellu. Začněte tím, že si projdete téma Instalace Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.

Tato ukázka vyžaduje modul Azure PowerShell Az verze 0.7 nebo novější. Verzi zjistíte spuštěním příkazu Get-Module -ListAvailable Az. Pokud potřebujete instalaci nebo upgrade, přečtěte si téma Instalace modulu Azure PowerShell.

Spuštěním příkazu Connect-AzAccount vytvořte připojení k Azure.

Pomocí následujícího příkazového řádku zkontrolujte nastavení:

Get-AzStorageAccount -Name "{StorageAccountName}" -ResourceGroupName "{ResourceGroupName}"
StorageAccountName     : {StorageAccountName}
Kind                   : Storage
EnableHttpsTrafficOnly : False
...

K povolení nastavení použijte následující příkazový řádek:

Set-AzStorageAccount -Name "{StorageAccountName}" -ResourceGroupName "{ResourceGroupName}" -EnableHttpsTrafficOnly $True
StorageAccountName     : {StorageAccountName}
Kind                   : Storage
EnableHttpsTrafficOnly : True
...

Vyžadování zabezpečeného přenosu pomocí Azure CLI

Pokud chcete tuto ukázku spustit, nainstalujte nejnovější verzi Azure CLI. Spuštěním příkazu az login vytvořte připojení k Azure.

Ukázky pro Azure CLI jsou napsané pro bash prostředí. Pokud chcete tuto ukázku spustit ve Windows PowerShellu nebo příkazovém řádku, budete možná muset změnit prvky skriptu.

Pokud ještě nemáte předplatné Azure, vytvořte si bezplatný účet Azure před tím, než začnete.

Pomocí následujícího příkazu zkontrolujte nastavení:

az storage account show -g {ResourceGroupName} -n {StorageAccountName}
{
  "name": "{StorageAccountName}",
  "enableHttpsTrafficOnly": false,
  "type": "Microsoft.Storage/storageAccounts"
  ...
}

K povolení nastavení použijte následující příkaz:

az storage account update -g {ResourceGroupName} -n {StorageAccountName} --https-only true
{
  "name": "{StorageAccountName}",
  "enableHttpsTrafficOnly": true,
  "type": "Microsoft.Storage/storageAccounts"
  ...
}

Další kroky

Doporučení zabezpečení pro úložiště objektů blob