Vyžadování bezpečného přenosu pro zajištění zabezpečených připojení

  • Článek
  • 2 min ke čtení

Svůj účet úložiště můžete nakonfigurovat tak, aby přijímal požadavky ze zabezpečených připojení jenom nastavením vlastnosti Požadováno zabezpečený přenos pro účet úložiště. Pokud požadujete zabezpečený přenos, všechny požadavky pocházející z nezabezpečeného připojení se zamítnou. Microsoft doporučuje vždy vyžadovat zabezpečený přenos pro všechny účty úložiště.

Pokud se vyžaduje zabezpečený přenos, musí se volání Azure Storage REST API operace přes protokol HTTPS. Všechny požadavky provedené prostřednictvím protokolu HTTP se zamítají. Ve výchozím nastavení je při vytváření účtu úložiště povolená vlastnost Požadováno zabezpečený přenos.

Azure Policy poskytuje předdefinované zásady, které zajišťují, že se pro vaše účty úložiště vyžaduje zabezpečený přenos. Další informace najdete v části Storage v Azure Policy definicích předdefin uvedených zásad.

Pokud účet úložiště vyžaduje zabezpečený přenos, připojení ke sdílené složce Azure přes protokol SMB bez šifrování selže. Mezi nezabezpečená připojení patří například připojení přes protokol SMB 2.1 nebo SMB 3.x bez šifrování.

Poznámka

Protože Azure Storage nepodporuje HTTPS pro vlastní názvy domén, tato možnost se při použití vlastního názvu domény neuažuje.

Toto nastavení zabezpečeného přenosu se nevztahuje na protokol TCP. Připojení přes protokol NFS 3.0 ve službě Azure Blob Storage pomocí protokolu TCP, který není zabezpečený, budou úspěšná.

Vyžadovat zabezpečený přenos v Azure Portal

Vlastnost Požadováno zabezpečeným přenosem můžete zapnout při vytváření účtu úložiště v Azure Portal . Můžete ho také povolit pro existující účty úložiště.

Vyžadování bezpečného přenosu pro nový účet úložiště

  1. Otevřete podokno Vytvořit účet úložiště v Azure Portal.

  2. Na stránce Upřesnit zaškrtněte políčko Povolit zabezpečený přenos.

    Okno Vytvořit účet úložiště

Vyžadování bezpečného přenosu pro existující účet úložiště

  1. Vyberte existující účet úložiště v Azure Portal.

  2. V podokně nabídek účtu úložiště v části Nastavení vyberte Konfigurace.

  3. V části Požadováno zabezpečený přenos vyberte Povoleno.

    Storage nabídky účtu

Vyžadování bezpečného přenosu z kódu

Pokud chcete vyžadovat zabezpečený přenos prostřednictvím kódu programu, nastavte u účtu úložiště vlastnost enableHttpsTrafficOnly na hodnotu True. Tuto vlastnost můžete nastavit pomocí nástroje Storage Resource Provider REST API, klientských knihoven nebo nástrojů:

Vyžadování bezpečného přenosu pomocí PowerShellu

Poznámka

Tento článek používá modul Azure Az PowerShell, což je doporučený modul PowerShellu pro interakci s Azure. Pokud chcete začít s modulem Az PowerShell, projděte si téma věnované instalaci Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.

Tato ukázka vyžaduje Azure PowerShell Az verze 0.7 nebo novější. Verzi zjistíte spuštěním příkazu Get-Module -ListAvailable Az. Pokud potřebujete instalaci nebo upgrade, přečtěte si téma Instalace modulu Azure PowerShell.

Spuštěním příkazu Connect-AzAccount vytvořte připojení k Azure.

Ke kontrole nastavení použijte následující příkazový řádek:

Get-AzStorageAccount -Name "{StorageAccountName}" -ResourceGroupName "{ResourceGroupName}"
StorageAccountName     : {StorageAccountName}
Kind                   : Storage
EnableHttpsTrafficOnly : False
...

Nastavení povolíte pomocí následujícího příkazového řádku:

Set-AzStorageAccount -Name "{StorageAccountName}" -ResourceGroupName "{ResourceGroupName}" -EnableHttpsTrafficOnly $True
StorageAccountName     : {StorageAccountName}
Kind                   : Storage
EnableHttpsTrafficOnly : True
...

Vyžadování bezpečného přenosu pomocí Azure CLI

Pokud chcete tuto ukázku spustit, nainstalujte nejnovější verzi rozhraní příkazového řádku Azure CLI. Spuštěním příkazu az login vytvořte připojení k Azure.

Ukázky pro rozhraní příkazového řádku Azure jsou zapsané pro bash prostředí. Pokud chcete tuto ukázku spustit ve Windows PowerShellu nebo na příkazovém řádku, možná budete muset změnit prvky skriptu.

Pokud ještě nemáte předplatné Azure,vytvořte si bezplatný účet před tím, než začnete.

Pomocí následujícího příkazu zkontrolujte nastavení:

az storage account show -g {ResourceGroupName} -n {StorageAccountName}
{
  "name": "{StorageAccountName}",
  "enableHttpsTrafficOnly": false,
  "type": "Microsoft.Storage/storageAccounts"
  ...
}

Pomocí následujícího příkazu toto nastavení povolte:

az storage account update -g {ResourceGroupName} -n {StorageAccountName} --https-only true
{
  "name": "{StorageAccountName}",
  "enableHttpsTrafficOnly": true,
  "type": "Microsoft.Storage/storageAccounts"
  ...
}

Další kroky

Doporučení zabezpečení pro úložiště objektů blob