Требование безопасной передачи данных для обеспечения защиты соединений

Вы можете настроить учетную запись хранения на прием запросов только от безопасных соединений. Для этого нужно задать для этой учетной записи свойство Требуется безопасное перемещение. Если требовать безопасной передачи данных, то будут отклоняться все запросы, исходящие от небезопасного соединения. Корпорация Майкрософт рекомендует установить постоянное требование безопасной передачи данных для всех учетных записей хранения.

Если затребована безопасная передача данных, то вызов операции REST API службы хранилища Azure должен выполняться через HTTPS. Любые запросы, выполненные по протоколу HTTP, будут отклонены. При создании учетной записи хранения по умолчанию свойство Требуется безопасное перемещение включено.

Политика Azure предоставляет встроенную политику,гарантирующую, что для учетных записей хранения требуется безопасная передача. Дополнительные сведения см. в разделе Хранилище статьи Встроенные определения политик в Политике Azure.

Подключение к общей папке Azure по протоколу SMB без шифрования завершится ошибкой, если для учетной записи хранения затребована безопасная передача данных. Примеры небезопасных соединений: подключения с помощью протоколов SMB 2.1 и SMB 3 без шифрования.

Примечание.

Так как служба хранилища Azure не поддерживает протокол HTTPS для имен личных доменов, при использовании данных имен этот параметр не применяется.

Этот параметр безопасной передач данных не применяется к протоколу TCP. Подключения по протоколу NFS 3.0 поддерживаются в Хранилище BLOB-объектов за счет использование небезопасного протокола TCP.

Включение требования безопасной передачи на портале Azure

Свойство Требуется безопасное перемещение можно включить при создании учетной записи хранения на портале Azure. Его также можно включить для имеющихся учетных записей хранения.

Включение требования безопасной передачи для новой учетной записи хранения

1. Откройте область Создание учетной записи хранения на портале Azure.

2. На странице Дополнительно установите флажок Включить безопасную передачу.

   

Включение требования безопасной передачи для существующей учетной записи хранения

1. Выберите учетную запись хранения на портале Azure.

2. В области меню учетной записи хранения в разделе Параметры щелкните Конфигурация.

3. В разделе Требуется безопасное перемещение щелкните Включено.

   

Включение требования безопасной передачи с помощью кода

Чтобы затребовать безопасную передачу данных программными средствами, в учетной записи хранения установите для свойства enableHttpsTrafficOnly значение True. Это свойство можно задать с помощью REST API поставщика ресурсов хранилища, клиентских библиотек или следующих инструментов:

• REST API
• PowerShell
• CLI
• NodeJS
• Пакет SDK для .NET
• Пакет SDK для Python
• Пакет SDK для Ruby

Включение требования безопасной передачи с помощью PowerShell

Примечание.

Мы рекомендуем использовать модуль Azure Az PowerShell для взаимодействия с Azure. Чтобы начать работу, см. статью Установка Azure PowerShell. Дополнительные сведения см. в статье Перенос Azure PowerShell с AzureRM на Az.

Для работы с этим примером требуется модуль Azure PowerShell Az 0.7 или более поздней версии. Чтобы узнать версию, выполните команду Get-Module -ListAvailable Az. Если вам необходимо выполнить установку или обновление, см. статью об установке модуля Azure PowerShell.

Выполните команду Connect-AzAccount, чтобы создать подключение к Azure.

Для проверки параметра можно использовать командную строку ниже:

Get-AzStorageAccount -Name "{StorageAccountName}" -ResourceGroupName "{ResourceGroupName}"
StorageAccountName     : {StorageAccountName}
Kind                   : Storage
EnableHttpsTrafficOnly : False
...

Для включения параметра можно использовать командную строку ниже:

Set-AzStorageAccount -Name "{StorageAccountName}" -ResourceGroupName "{ResourceGroupName}" -EnableHttpsTrafficOnly $True
StorageAccountName     : {StorageAccountName}
Kind                   : Storage
EnableHttpsTrafficOnly : True
...

Включение требования безопасной передачи с помощью Azure CLI

Чтобы выполнить этот пример, установите последнюю версию Azure CLI. Перед началом выполните команду az login, чтобы создать подключение к Azure.

Примеры для Azure CLI написаны для оболочки bash. Чтобы запустить этот пример в Windows PowerShell или командной строке, может потребоваться изменить элементы скрипта.

Если у вас еще нет подписки Azure, создайте бесплатную учетную запись Azure, прежде чем начинать работу.

Для проверки параметра используйте указанную ниже команду.

az storage account show -g {ResourceGroupName} -n {StorageAccountName}
{
  "name": "{StorageAccountName}",
  "enableHttpsTrafficOnly": false,
  "type": "Microsoft.Storage/storageAccounts"
  ...
}

Для включения параметра используйте указанную ниже команду.

az storage account update -g {ResourceGroupName} -n {StorageAccountName} --https-only true
{
  "name": "{StorageAccountName}",
  "enableHttpsTrafficOnly": true,
  "type": "Microsoft.Storage/storageAccounts"
  ...
}

Следующие шаги

Рекомендации по обеспечению безопасности для хранилища BLOB-объектов