Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Вы можете настроить учетную запись хранения на прием запросов только от безопасных соединений. Для этого нужно задать для этой учетной записи свойство Требуется безопасное перемещение. Если требовать безопасной передачи данных, то будут отклоняться все запросы, исходящие от небезопасного соединения. Рекомендуется требовать безопасную передачу данных для всех учетных записей хранения.
Если требуется безопасная передача, необходимо выполнить вызов операции REST API Azure Storage по протоколу HTTPS. Любые запросы, выполненные по протоколу HTTP, будут отклонены. При создании учетной записи хранения по умолчанию свойство Требуется безопасное перемещение включено.
Azure Policy предоставляет встроенную политику, чтобы требовать безопасную передачу данных для учетных записей хранения. Дополнительные сведения см. в разделе Storage в встроенных определениях политик Azure Policy.
Для Azure Files теперь можно управлять требованиями к шифрованию SMB и NFS независимо с помощью соответствующих параметров безопасности по протоколу. Если требуется шифрование при передаче включено, свойство Secure transfer required применяется только к трафику REST/HTTPS для файловых хранилищ Azure. Для новых учетных записей хранения, созданных с помощью портала Azure, шифрование Require в транзитном режиме по умолчанию включается как для SMB, так и для NFS. Учетные записи хранения, созданные с помощью Azure PowerShell, Azure CLI или API FileREST, изначально задают эти значения как Not selected для обеспечения обратной совместимости.
Подключение к общей папке Azure через SMB без шифрования завершается ошибкой, если для учетной записи хранения требуется безопасная передача. Примеры небезопасных соединений: подключения с помощью протоколов SMB 2.1 и SMB 3 без шифрования.
Требовать безопасную передачу на портале Azure
При создании учетной записи хранения в портале Azure можно включить свойство Обязательный безопасный перенос. Его также можно включить для имеющихся учетных записей хранения.
Включение требования безопасной передачи для новой учетной записи хранения
Войдите на портал Azure и перейдите к учетным записям Storage. Нажмите кнопку +Создать.
На вкладке "Дополнительно" в разделе "Безопасность" установите флажок "Требовать безопасную передачу для операций REST API ".
Включение требования безопасной передачи для существующей учетной записи хранения
- Выберите существующую учетную запись хранения на портале Azure.
- В меню службы в разделе "Параметры" выберите "Конфигурация".
- В разделе Требуется безопасное перемещение щелкните Включено.
- Нажмите Сохранить.
Включение требования безопасной передачи с помощью кода
Чтобы затребовать безопасную передачу данных программными средствами, в учетной записи хранения установите для свойства enableHttpsTrafficOnly значение True. Это свойство можно задать с помощью REST API поставщика ресурсов хранилища, клиентских библиотек или следующих инструментов:
- REST API
- PowerShell
- CLI
- NodeJS
- SDK .NET
- пакет SDK Python
- Пакет SDK для Ruby
Включение требования безопасной передачи с помощью PowerShell
Примечание.
Мы рекомендуем использовать модуль Az PowerShell Azure для взаимодействия с Azure. Сведения о начале работы см. в разделе Install Azure PowerShell. Сведения о миграции в модуль Az PowerShell см. в статье Migrate Azure PowerShell из AzureRM в Az.
Для этого примера требуется модуль Azure PowerShell Az версии 0.7 или более поздней. Чтобы узнать версию, выполните команду Get-Module -ListAvailable Az. Если необходимо установить или обновить модуль Azure PowerShell, смотрите Install Azure PowerShell module.
Запустите Connect-AzAccount, чтобы создать соединение с Azure.
Для проверки параметра можно использовать командную строку ниже:
Get-AzStorageAccount -Name "{StorageAccountName}" -ResourceGroupName "{ResourceGroupName}"
StorageAccountName : {StorageAccountName}
Kind : Storage
EnableHttpsTrafficOnly : False
...
Для включения параметра можно использовать командную строку ниже:
Set-AzStorageAccount -Name "{StorageAccountName}" -ResourceGroupName "{ResourceGroupName}" -EnableHttpsTrafficOnly $True
StorageAccountName : {StorageAccountName}
Kind : Storage
EnableHttpsTrafficOnly : True
...
Требовать безопасную передачу с помощью Azure CLI
Чтобы запустить этот пример, установите последнюю версию Azure CLI. Чтобы создать соединение с Azure, выполните az login.
Примеры для Azure CLI написаны для оболочки bash. Чтобы запустить этот пример в Windows PowerShell или командной строке, может потребоваться изменить элементы скрипта.
Если у вас нет учетной записи Azure, создайте учетную запись free перед началом работы.
Для проверки параметра используйте указанную ниже команду.
az storage account show -g {ResourceGroupName} -n {StorageAccountName}
{
"name": "{StorageAccountName}",
"enableHttpsTrafficOnly": false,
"type": "Microsoft.Storage/storageAccounts"
...
}
Для включения параметра используйте указанную ниже команду.
az storage account update -g {ResourceGroupName} -n {StorageAccountName} --https-only true
{
"name": "{StorageAccountName}",
"enableHttpsTrafficOnly": true,
"type": "Microsoft.Storage/storageAccounts"
...
}
Следующие шаги
Рекомендации по обеспечению безопасности для хранилища BLOB-объектов