要求安全傳輸以確保安全連線

您可以設定儲存體帳戶，只透過設定儲存體帳戶的需要安全傳輸屬性，從安全連線接受要求。 當您要求安全傳輸時，源自不安全連線的任何要求都會被拒絕。 Microsoft 建議您一律要求所有儲存體帳戶使用安全傳輸。

需要安全傳輸時，Azure 儲存體 REST API 作業的呼叫必須透過 HTTPS。 透過 HTTP 提出的任何要求都會遭到拒絕。 根據預設，當您建立儲存體帳戶時，需要安全傳輸屬性是啟用的。

Azure 原則提供內建原則，以確保您的儲存體帳戶要求安全傳輸。 如需詳細資訊，請參閱 Azure 原則內建原則定義中的儲存體一節。

當儲存體帳戶需要安全傳輸時，透過 SMB 對 Azure 檔案共用進行的不加密連線會失敗。 不安全的連線範例包括在不加密的情況下，透過 SMB 2.1 或 SMB 3.x 所建立的連線。

注意

因為 Azure 儲存體針對自訂網域名稱並不支援 HTTPS，當您使用自訂網域名稱時，將不會套用此選項。

此安全傳輸設定不適用於 TCP。 使用未受保護的 TCP 在 Azure Blob 儲存體中透過 NFS 3.0 通訊協定支援所進行的連線將會成功。

在 Azure 入口網站中要求安全傳輸

當您在 Azure 入口網站中建立儲存體帳戶時，就可以開啟需要安全傳輸屬性。 您也可以為現有的儲存體帳戶啟用它。

儲存體帳戶需要安全傳輸

1. 在 Azure 入口網站中開啟 [建立儲存體帳戶] 窗格。

2. 在 [進階] 頁面中，選取 [啟用安全傳輸] 核取方塊。

   

針對現有儲存體帳戶要求使用安全傳輸

1. 在 Azure 入口網站中選取現有儲存體帳戶。

2. 在 [儲存體帳戶] 功能表窗格中，選取 [設定] 底下的 [組態]。

3. 在 [需要安全傳輸] 下，選取 [已啟用]。

   

要求從程式碼進行安全傳輸

若要以程式設計方式要求安全傳輸，請在儲存體帳戶上將 EnableHttpsTrafficOnly 屬性設定為 True。 您可以使用儲存體資源提供者 REST API、用戶端程式庫或工具來設定此屬性：

• REST API
• PowerShell
• CLI
• NodeJS
• .NET SDK
• Python SDK
• Ruby SDK

使用 PowerShell 要求安全傳輸

注意

建議您使用 Azure Az PowerShell 模組來與 Azure 互動。 請參閱安裝 Azure PowerShell 以開始使用。 若要了解如何移轉至 Az PowerShell 模組，請參閱將 Azure PowerShell 從 AzureRM 移轉至 Az。

此範例需要 Azure PowerShell 模組 Az 0.7 版或更新版本。 執行 Get-Module -ListAvailable Az 以尋找版本。 如果您需要安裝或升級，請參閱安裝 Azure PowerShell 模組。

執行 Connect-AzAccount 來建立與 Azure 的連線。

使用下列命令列檢查設定：

Get-AzStorageAccount -Name "{StorageAccountName}" -ResourceGroupName "{ResourceGroupName}"
StorageAccountName     : {StorageAccountName}
Kind                   : Storage
EnableHttpsTrafficOnly : False
...

使用下列命令列啟用設定：

Set-AzStorageAccount -Name "{StorageAccountName}" -ResourceGroupName "{ResourceGroupName}" -EnableHttpsTrafficOnly $True
StorageAccountName     : {StorageAccountName}
Kind                   : Storage
EnableHttpsTrafficOnly : True
...

使用 Azure CLI 要求安全傳輸

若要執行此範例，請安裝最新版的 Azure CLI。 若要啟動，請執行 az login 來建立與 Azure 的連線。

Azure CLI 的範例專為 bash 殼層撰寫。 若要在 Windows PowerShell 或命令提示字元中執行此範例，您可能需要變更指令碼的元素。

如果您沒有 Azure 訂用帳戶，請在開始之前先建立 Azure 免費帳戶。

使用下列命令來檢查設定：

az storage account show -g {ResourceGroupName} -n {StorageAccountName}
{
  "name": "{StorageAccountName}",
  "enableHttpsTrafficOnly": false,
  "type": "Microsoft.Storage/storageAccounts"
  ...
}

使用下列命令來啟用設定：

az storage account update -g {ResourceGroupName} -n {StorageAccountName} --https-only true
{
  "name": "{StorageAccountName}",
  "enableHttpsTrafficOnly": true,
  "type": "Microsoft.Storage/storageAccounts"
  ...
}

下一步

適用於 Blob 儲存體的安全性建議