Perlu transfer aman untuk memastikan koneksi yang aman

  • Artikel

Anda dapat mengonfigurasi akun penyimpanan untuk menerima permintaan dari koneksi yang aman saja dengan mengatur properti yang diperlukan transfer aman untuk akun penyimpanan. Ketika Anda memerlukan transfer aman, permintaan apa pun yang berasal dari koneksi yang tidak aman ditolak. Microsoft menyarankan agar Anda selalu memerlukan transfer aman untuk semua akun penyimpanan Anda.

Ketika transfer aman diperlukan, panggilan ke operasi API Rest Microsoft Azure Storage harus dilakukan melalui HTTPS. Setiap permintaan yang dibuat melalui HTTP ditolak. Secara default, properti yang diperlukan transfer aman diaktifkan saat Anda membuat akun penyimpanan.

Azure Policy menyediakan kebijakan bawaan untuk memastikan bahwa transfer aman diperlukan untuk akun penyimpanan Anda. Untuk informasi selengkapnya, lihat bagian Penyimpanan di definisi kebijakan bawaan Azure Policy.

Menyambungkan ke berbagi file Azure melalui SMB tanpa enkripsi gagal saat transfer aman diperlukan untuk akun penyimpanan. Contoh koneksi tidak aman termasuk yang dibuat melalui SMB 2.1, SMB 3.x tanpa enkripsi.

Catatan

Karena Microsoft Azure Storage tidak mendukung HTTPS untuk nama domain kustom, opsi ini tidak diterapkan saat Anda menggunakan nama domain kustom.

Pengaturan transfer aman ini tidak berlaku untuk TCP. Koneksi melalui dukungan protokol NFS 3.0 di Azure Blob Storage menggunakan TCP, yang tidak diamankan, akan berhasil.

Perlu transfer aman di portal Micrososft Azure

Anda dapat mengaktifkan properti aman transfer yang diperlukan saat membuat akun penyimpanan di portal Microsoft Azure. Anda juga dapat mengaktifkannya untuk akun penyimpanan yang sudah ada.

Memerlukan transfer aman untuk akun penyimpanan baru

  1. Buka panel Buat akun penyimpanan di portal Microsoft Azure.

  2. Di halaman Tingkat Lanjut, pilih kotak centang Aktifkan transfer aman.

    Create storage account blade

Memerlukan transfer aman untuk akun penyimpanan baru

  1. Pilih akun penyimpanan yang sudah ada di portal Microsoft Azure.

  2. Di panel menu akun penyimpanan, di bawah Pengaturan,pilih Konfigurasi.

  3. Di bawah Transfer aman diperlukan,pilih Diaktifkan.

    Storage account menu pane

Memerlukan transfer aman dari kode

Untuk memerlukan transfer aman secara terprogram, atur properti enableHttpsTrafficOnlyke True di akun penyimpanan. Anda dapat mengatur properti ini dengan menggunakan Penyedia Sumber PENYIMPANAN REST API, library klien, atau alat:

Memerlukan transfer aman dengan PowerShell

Catatan

Sebaiknya Anda menggunakan modul Azure Az PowerShell untuk berinteraksi dengan Azure. Lihat Menginstal Azure PowerShell untuk memulai. Untuk mempelajari cara bermigrasi ke modul Az PowerShell, lihat Memigrasikan Azure PowerShell dari AzureRM ke Az.

Mulai cepat ini memerlukan modul Microaoft Azure PowerShell Az versi 0.7 atau yang lebih baru. Jalankan Get-Module -ListAvailable Az untuk menemukan versinya. Jika Anda perlu menginstal atau meningkatkan, lihat Menginstal modul Azure PowerShell.

Jalankan Connect-AzAccount untuk membuat koneksi dengan Azure.

Gunakan baris perintah berikut untuk memeriksa pengaturan:

Get-AzStorageAccount -Name "{StorageAccountName}" -ResourceGroupName "{ResourceGroupName}"
StorageAccountName     : {StorageAccountName}
Kind                   : Storage
EnableHttpsTrafficOnly : False
...

Gunakan baris perintah berikut untuk mengaktifkan pengaturan:

Set-AzStorageAccount -Name "{StorageAccountName}" -ResourceGroupName "{ResourceGroupName}" -EnableHttpsTrafficOnly $True
StorageAccountName     : {StorageAccountName}
Kind                   : Storage
EnableHttpsTrafficOnly : True
...

Memerlukan transfer aman dengan PowerShell

Untuk menjalankan sampel ini, instal versi terbaru Azure CLI. Untuk memulai, jalankan az login guna membuat koneksi dengan Azure.

Sampel untuk Azure CLI ditulis untuk bash shell. Untuk menjalankan sampel ini di Windows PowerShell atau Perintah, Anda perlu mengubah elemen skrip.

Jika Anda tidak memiliki Langganan Azure, buat Akun gratis Azure sebelum memulai.

Gunakan baris perintah berikut untuk memeriksa pengaturan:

az storage account show -g {ResourceGroupName} -n {StorageAccountName}
{
  "name": "{StorageAccountName}",
  "enableHttpsTrafficOnly": false,
  "type": "Microsoft.Storage/storageAccounts"
  ...
}

Gunakan baris perintah berikut untuk mengaktifkan pengaturan:

az storage account update -g {ResourceGroupName} -n {StorageAccountName} --https-only true
{
  "name": "{StorageAccountName}",
  "enableHttpsTrafficOnly": true,
  "type": "Microsoft.Storage/storageAccounts"
  ...
}

Langkah berikutnya

Rekomendasi keamanan untuk penyimpanan Blob