Exigir transferência segura para garantir conexões seguras
Você pode configurar sua conta de armazenamento para aceitar solicitações de conexões seguras somente definindo a propriedade Transferência segura obrigatória para a conta de armazenamento. Quando você precisar de uma transferência segura, todas as solicitações provenientes de uma conexão não segura serão rejeitadas. A Microsoft recomenda que você sempre exija transferência segura para todas as suas contas de armazenamento, a menos que você esteja usando compartilhamentos de arquivos do Azure NFS. A propriedade Transferência segura necessária precisa estar desabilitada para que os compartilhamentos de arquivos do Azure do NFS funcionem.
Quando a transferência segura é necessária, uma chamada a uma operação da API REST do Armazenamento do Azure precisa ser feita por HTTPS. Qualquer solicitação feita por HTTP é rejeitada. Por padrão, a propriedade Transferência segura obrigatória está habilitada quando você cria uma conta de armazenamento.
O Azure Policy fornece uma política interna para garantir que a transferência segura seja necessária para suas contas de armazenamento. Para obter mais informações, consulte a seção Armazenamento nas Definições de política interna do Azure Policy.
A conexão com um compartilhamento de arquivo do Azure por SMB sem criptografia falha quando a transferência segura é necessária para a conta de armazenamento. Exemplos de conexões não seguras incluem aquelas feitas por SMB 2.1 ou SMB 3.x sem criptografia.
Observação
Como o armazenamento do Azure não dá suporte a HTTPS para nomes de domínio personalizados, essa opção não será aplicada ao usar um nome de domínio personalizado.
Essa configuração de transferência segura não se aplica ao TCP. As conexões por meio do suporte ao protocolo NFS 3.0 no Armazenamento de Blobs do Azure usando o TCP, que não está protegido, terão êxito.
Exigir transferência segura no portal do Azure
Você pode ativar a propriedade Transferência segura obrigatória quando cria uma conta de armazenamento no portal do Azure. Você também pode habilitá-la para uma conta de armazenamento existente.
Requer transferência segura de uma conta de armazenamento nova
Abra o painel Criar conta de armazenamento no portal do Azure.
Na página Avançado, marque a caixa de seleção Habilitar transferência segura.
Requer transferência segura de uma conta de armazenamento existente
Selecionar uma conta de armazenamento existente no portal do Azure.
No painel do menu de conta de armazenamento, em Definições, selecione Configuração.
Em Transferência segura obrigatória, selecione habilitado.
Exigir transferência segura do código
Para exigir a transferência segura de maneira programática, defina a propriedade enableHttpsTrafficOnly como True na conta de armazenamento. Você pode definir essa propriedade usando a API REST do Provedor de Recursos de Armazenamento, bibliotecas de cliente ou ferramentas:
Exigir transferência segura com o PowerShell
Observação
Recomendamos que você use o módulo Az PowerShell do Azure para interagir com o Azure. Para começar, consulte Instalar o Azure PowerShell. Para saber como migrar para o módulo Az PowerShell, confira Migrar o Azure PowerShell do AzureRM para o Az.
O exemplo requer o módulo Az do Azure PowerShell, versão 0.7 ou posterior. Execute Get-Module -ListAvailable Az
para encontrar a versão. Se você precisar instalá-lo ou atualizá-lo, confira Instalar o módulo do Azure PowerShell.
Execute Connect-AzAccount
para criar uma conexão com o Azure.
Use a linha de comando a seguir para verificar a configuração:
Get-AzStorageAccount -Name "{StorageAccountName}" -ResourceGroupName "{ResourceGroupName}"
StorageAccountName : {StorageAccountName}
Kind : Storage
EnableHttpsTrafficOnly : False
...
Use a linha de comando a seguir para habilitar a configuração:
Set-AzStorageAccount -Name "{StorageAccountName}" -ResourceGroupName "{ResourceGroupName}" -EnableHttpsTrafficOnly $True
StorageAccountName : {StorageAccountName}
Kind : Storage
EnableHttpsTrafficOnly : True
...
Exigir transferência segura com a CLI do Azure
Para executar esta amostra, instale a última versão da CLI do Azure. Para iniciar, execute az login
para criar uma conexão com o Azure.
As amostras da CLI do Azure são escritas para o shell bash
. Para executar esta amostra no prompt de comando ou no Windows PowerShell, talvez você precise alterar os elementos do script.
Caso você não tenha uma assinatura do Azure, crie uma conta gratuita do Azure antes de começar.
Usar o seguinte comando para verificar a configuração:
az storage account show -g {ResourceGroupName} -n {StorageAccountName}
{
"name": "{StorageAccountName}",
"enableHttpsTrafficOnly": false,
"type": "Microsoft.Storage/storageAccounts"
...
}
Usar o seguinte comando para habilitar a configuração:
az storage account update -g {ResourceGroupName} -n {StorageAccountName} --https-only true
{
"name": "{StorageAccountName}",
"enableHttpsTrafficOnly": true,
"type": "Microsoft.Storage/storageAccounts"
...
}