要求安全傳輸以確保安全連線
您可以設定儲存體帳戶,只透過設定儲存體帳戶的需要安全傳輸屬性,從安全連線接受要求。 當您要求安全傳輸時,源自不安全連線的任何要求都會被拒絕。 除非您使用 NFS Azure 檔案共用,否則 Microsoft 建議您一律要求所有儲存體帳戶使用安全傳輸。 必須停用 [需要安全傳輸] 屬性,NFS Azure 檔案共用才能運作。
需要安全傳輸時,Azure 儲存體 REST API 作業的呼叫必須透過 HTTPS。 透過 HTTP 提出的任何要求都會遭到拒絕。 根據預設,當您建立儲存體帳戶時,需要安全傳輸屬性是啟用的。
Azure 原則提供內建原則,以確保您的儲存體帳戶要求安全傳輸。 如需詳細資訊,請參閱 Azure 原則內建原則定義中的儲存體一節。
當儲存體帳戶需要安全傳輸時,透過 SMB 對 Azure 檔案共用進行的不加密連線會失敗。 不安全的連線範例包括在不加密的情況下,透過 SMB 2.1 或 SMB 3.x 所建立的連線。
注意
因為 Azure 儲存體針對自訂網域名稱並不支援 HTTPS,當您使用自訂網域名稱時,將不會套用此選項。
此安全傳輸設定不適用 TCP。 使用未受保護的 TCP 在 Azure Blob 儲存體中透過 NFS 3.0 通訊協定支援所進行的連線將會成功。
在 Azure 入口網站中要求安全傳輸
當您在 Azure 入口網站中建立儲存體帳戶時,就可以開啟需要安全傳輸屬性。 您也可以為現有的儲存體帳戶啟用它。
儲存體帳戶需要安全傳輸
在 Azure 入口網站中開啟 [建立儲存體帳戶] 窗格。
在 [進階] 頁面中,選取 [啟用安全傳輸] 核取方塊。
針對現有儲存體帳戶要求使用安全傳輸
在 Azure 入口網站中選取現有儲存體帳戶。
在 [儲存體帳戶] 功能表窗格中,選取 [設定] 底下的 [組態]。
在 [需要安全傳輸] 下,選取 [已啟用]。
要求從程式碼進行安全傳輸
若要以程式設計方式要求安全傳輸,請在儲存體帳戶上將 EnableHttpsTrafficOnly 屬性設定為 True。 您可以使用儲存體資源提供者 REST API、用戶端程式庫或工具來設定此屬性:
使用 PowerShell 要求安全傳輸
注意
建議您使用 Azure Az PowerShell 模組來與 Azure 互動。 若要開始使用,請參閱安裝 Azure PowerShell。 若要了解如何移轉至 Az PowerShell 模組,請參閱將 Azure PowerShell 從 AzureRM 移轉至 Az。
此範例需要 Azure PowerShell 模組 Az 0.7 版或更新版本。 執行 Get-Module -ListAvailable Az
以尋找版本。 如果您需要安裝或升級,請參閱安裝 Azure PowerShell 模組。
執行 Connect-AzAccount
來建立與 Azure 的連線。
使用下列命令列檢查設定:
Get-AzStorageAccount -Name "{StorageAccountName}" -ResourceGroupName "{ResourceGroupName}"
StorageAccountName : {StorageAccountName}
Kind : Storage
EnableHttpsTrafficOnly : False
...
使用下列命令列啟用設定:
Set-AzStorageAccount -Name "{StorageAccountName}" -ResourceGroupName "{ResourceGroupName}" -EnableHttpsTrafficOnly $True
StorageAccountName : {StorageAccountName}
Kind : Storage
EnableHttpsTrafficOnly : True
...
使用 Azure CLI 要求安全傳輸
若要執行此範例,請安裝最新版的 Azure CLI。 若要啟動,請執行 az login
來建立與 Azure 的連線。
Azure CLI 的範例專為 bash
殼層撰寫。 若要在 Windows PowerShell 或命令提示字元中執行此範例,您可能需要變更指令碼的元素。
如果您沒有 Azure 訂用帳戶,請在開始之前先建立 Azure 免費帳戶。
使用下列命令來檢查設定:
az storage account show -g {ResourceGroupName} -n {StorageAccountName}
{
"name": "{StorageAccountName}",
"enableHttpsTrafficOnly": false,
"type": "Microsoft.Storage/storageAccounts"
...
}
使用下列命令來啟用設定:
az storage account update -g {ResourceGroupName} -n {StorageAccountName} --https-only true
{
"name": "{StorageAccountName}",
"enableHttpsTrafficOnly": true,
"type": "Microsoft.Storage/storageAccounts"
...
}