Udostępnij za pośrednictwem


Wymagaj bezpiecznego transferu, aby zapewnić bezpieczne połączenia

Konto magazynu można skonfigurować tak, aby akceptowały żądania z bezpiecznych połączeń tylko przez ustawienie właściwości Wymagany bezpieczny transfer dla konta magazynu. W przypadku wymagania bezpiecznego transferu wszystkie żądania pochodzące z niezabezpieczonego połączenia zostaną odrzucone. Firma Microsoft zaleca, aby zawsze wymagać bezpiecznego transferu dla wszystkich kont magazynu, chyba że używasz udziałów plików platformy Azure NFS. Wymagana właściwość Bezpiecznego transferu musi być wyłączona, aby udziały plików platformy Azure NFS działały.

Jeśli wymagany jest bezpieczny transfer, należy wykonać wywołanie operacji interfejsu API REST usługi Azure Storage za pośrednictwem protokołu HTTPS. Wszystkie żądania przesyłane za pośrednictwem protokołu HTTP są odrzucane. Domyślnie właściwość Wymagany bezpieczny transfer jest włączona podczas tworzenia konta magazynu.

Usługa Azure Policy udostępnia wbudowane zasady zapewniające, że bezpieczny transfer jest wymagany dla kont magazynu. Aby uzyskać więcej informacji, zobacz sekcję Storage w wbudowanych definicjach zasad usługi Azure Policy.

Nawiązywanie połączenia z udziałem plików platformy Azure za pośrednictwem protokołu SMB bez szyfrowania kończy się niepowodzeniem, gdy wymagany jest bezpieczny transfer dla konta magazynu. Przykłady niezabezpieczonych połączeń obejmują połączenia wykonane za pośrednictwem protokołu SMB 2.1 lub SMB 3.x bez szyfrowania.

Uwaga

Ponieważ usługa Azure Storage nie obsługuje protokołu HTTPS dla niestandardowych nazw domen, ta opcja nie jest stosowana w przypadku używania niestandardowej nazwy domeny.

To ustawienie bezpiecznego transferu nie ma zastosowania do protokołu TCP. Połączenia za pośrednictwem protokołu NFS 3.0 w usłudze Azure Blob Storage przy użyciu protokołu TCP, który nie jest zabezpieczony, powiedzie się.

Wymaganie bezpiecznego transferu w witrynie Azure Portal

Właściwość Wymagany bezpieczny transfer można włączyć podczas tworzenia konta magazynu w witrynie Azure Portal. Można ją również włączyć dla istniejących kont magazynu.

Wymaganie bezpiecznego transferu dla nowego konta magazynu

  1. Otwórz okienko Tworzenie konta magazynu w witrynie Azure Portal.

  2. Na stronie Zaawansowane zaznacz pole wyboru Włącz bezpieczny transfer.

    Blok Tworzenie konta magazynu

Wymaganie bezpiecznego transferu dla istniejącego konta magazynu

  1. Wybierz istniejące konto magazynu w witrynie Azure Portal.

  2. W okienku menu konta magazynu w obszarze Ustawienia wybierz pozycję Konfiguracja.

  3. W obszarze Wymagany bezpieczny transfer wybierz pozycję Włączone.

    Okienko menu Konta magazynu

Wymaganie bezpiecznego transferu z kodu

Aby programowo wymagać bezpiecznego transferu, ustaw właściwość enableHttpsTrafficOnly na wartość True na koncie magazynu. Tę właściwość można ustawić przy użyciu interfejsu API REST dostawcy zasobów magazynu, bibliotek klienckich lub narzędzi:

Wymagaj bezpiecznego transferu za pomocą programu PowerShell

Uwaga

Do interakcji z platformą Azure zalecamy używanie modułu Azure Az w programie PowerShell. Aby rozpocząć, zobacz Instalowanie programu Azure PowerShell. Aby dowiedzieć się, jak przeprowadzić migrację do modułu Az PowerShell, zobacz Migracja programu Azure PowerShell z modułu AzureRM do modułu Az.

Ten przykład wymaga modułu Azure PowerShell Az w wersji 0.7 lub nowszej. Uruchom polecenie Get-Module -ListAvailable Az, aby dowiedzieć się, jaka wersja jest używana. Jeśli konieczna będzie instalacja lub uaktualnienie, zobacz Instalowanie modułu Azure PowerShell.

Uruchom polecenie Connect-AzAccount, aby utworzyć połączenia z platformą Azure.

Użyj następującego wiersza polecenia, aby sprawdzić ustawienie:

Get-AzStorageAccount -Name "{StorageAccountName}" -ResourceGroupName "{ResourceGroupName}"
StorageAccountName     : {StorageAccountName}
Kind                   : Storage
EnableHttpsTrafficOnly : False
...

Użyj następującego wiersza polecenia, aby włączyć ustawienie:

Set-AzStorageAccount -Name "{StorageAccountName}" -ResourceGroupName "{ResourceGroupName}" -EnableHttpsTrafficOnly $True
StorageAccountName     : {StorageAccountName}
Kind                   : Storage
EnableHttpsTrafficOnly : True
...

Wymaganie bezpiecznego transferu przy użyciu interfejsu wiersza polecenia platformy Azure

Aby uruchomić ten przykład, zainstaluj najnowszą wersję interfejsu wiersza polecenia platformy Azure. Aby rozpocząć, uruchom polecenie az login w celu nawiązania połączenia z platformą Azure.

Przykłady dla interfejsu wiersza polecenia platformy Azure są napisane dla powłoki bash . Aby uruchomić ten przykład w programie Windows PowerShell lub wierszu polecenia, może być konieczne zmianę elementów skryptu.

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto platformy Azure.

Użyj następującego polecenia, aby sprawdzić ustawienie:

az storage account show -g {ResourceGroupName} -n {StorageAccountName}
{
  "name": "{StorageAccountName}",
  "enableHttpsTrafficOnly": false,
  "type": "Microsoft.Storage/storageAccounts"
  ...
}

Użyj następującego polecenia, aby włączyć ustawienie:

az storage account update -g {ResourceGroupName} -n {StorageAccountName} --https-only true
{
  "name": "{StorageAccountName}",
  "enableHttpsTrafficOnly": true,
  "type": "Microsoft.Storage/storageAccounts"
  ...
}

Następne kroki

Zalecenia dotyczące zabezpieczeń usługi Blob Storage