Veilige overdracht vereisen om beveiligde verbindingen te garanderen
U kunt uw opslagaccount zodanig configureren dat aanvragen van beveiligde verbindingen alleen worden geaccepteerd door de eigenschap Veilige overdracht vereist in te stellen voor het opslagaccount. Wanneer u veilige overdracht nodig hebt, worden alle aanvragen die afkomstig zijn van een onveilige verbinding geweigerd. Microsoft raadt u aan altijd veilige overdracht te vereisen voor al uw opslagaccounts.
Als veilige overdracht is vereist, moet een aanroep naar een Azure Storage REST API via HTTPS worden uitgevoerd. Elke aanvraag die via HTTP wordt gedaan, wordt geweigerd. Standaard wordt de eigenschap Veilige overdracht vereist ingeschakeld wanneer u een opslagaccount maakt.
Azure Policy biedt een ingebouwd beleid om ervoor te zorgen dat beveiligde overdracht vereist is voor uw opslagaccounts. Zie de sectie Storage in Azure Policy ingebouwde beleidsdefinities voor meer informatie.
Het maken van verbinding met een Azure-bestands share via SMB zonder versleuteling mislukt wanneer veilige overdracht is vereist voor het opslagaccount. Voorbeelden van onveilige verbindingen zijn verbindingen die zijn gemaakt via SMB 2.1 of SMB 3.x zonder versleuteling.
Notitie
Omdat Azure Storage https niet ondersteunt voor aangepaste domeinnamen, wordt deze optie niet toegepast wanneer u een aangepaste domeinnaam gebruikt.
Deze instelling voor beveiligde overdracht is niet van toepassing op TCP. Verbindingen via NFS 3.0-protocolondersteuning in Azure Blob Storage met behulp van TCP, dat niet is beveiligd, slaagt.
Veilige overdracht in de Azure Portal
U kunt de eigenschap Veilige overdracht vereist in de Azure Portal. U kunt dit ook inschakelen voor bestaande opslagaccounts.
Veilige overdracht vereisen voor een nieuw opslagaccount
Open het deelvenster Opslagaccount maken in het Azure Portal.
Schakel op de pagina Geavanceerd het selectievakje Veilige overdracht inschakelen in.
Veilige overdracht vereisen voor een bestaand opslagaccount
Selecteer een bestaand opslagaccount in het Azure Portal.
Selecteer in het menudeelvenster van het opslagaccount onder Instellingen de optie Configuratie.
Selecteer onder Veilige overdracht vereist de optie Ingeschakeld.
Veilige overdracht van code vereisen
Als u veilige overdracht programmatisch wilt vereisen, stelt u de eigenschap enableHttpsTrafficOnly in op True voor het opslagaccount. U kunt deze eigenschap instellen met behulp van Storage resourceprovider REST API, clientbibliotheken of hulpprogramma's:
Veilige overdracht vereisen met PowerShell
Notitie
In dit artikel wordt de Azure Az PowerShell-module gebruikt. Dit is de aanbevolen PowerShell-module voor interactie met Azure. Raadpleeg Azure PowerShell installeren om aan de slag te gaan met de Az PowerShell-module. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.
Voor dit voorbeeld is de Azure PowerShell az-module versie 0.7 of hoger vereist. Voer Get-Module -ListAvailable Az uit om de versie te bekijken. Als u PowerShell wilt installeren of upgraden, raadpleegt u De Azure PowerShell-module installeren.
Voer Connect-AzAccount uit om een verbinding op te zetten met Azure.
Gebruik de volgende opdrachtregel om de instelling te controleren:
Get-AzStorageAccount -Name "{StorageAccountName}" -ResourceGroupName "{ResourceGroupName}"
StorageAccountName : {StorageAccountName}
Kind : Storage
EnableHttpsTrafficOnly : False
...
Gebruik de volgende opdrachtregel om de instelling in te stellen:
Set-AzStorageAccount -Name "{StorageAccountName}" -ResourceGroupName "{ResourceGroupName}" -EnableHttpsTrafficOnly $True
StorageAccountName : {StorageAccountName}
Kind : Storage
EnableHttpsTrafficOnly : True
...
Veilige overdracht vereisen met Azure CLI
Als u dit voorbeeld wilt uitvoeren, installeert u de nieuwste versie van de Azure CLI. Voer eerst az login uit om een verbinding op te zetten met Azure.
Voorbeelden voor de Azure CLI zijn geschreven voor de bash-shell. Als u dit voorbeeld wilt uitvoeren in Windows PowerShell of opdrachtprompt, moet u mogelijk elementen van het script wijzigen.
Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.
Gebruik de volgende opdracht om de instelling te controleren:
az storage account show -g {ResourceGroupName} -n {StorageAccountName}
{
"name": "{StorageAccountName}",
"enableHttpsTrafficOnly": false,
"type": "Microsoft.Storage/storageAccounts"
...
}
Gebruik de volgende opdracht om de instelling in te stellen:
az storage account update -g {ResourceGroupName} -n {StorageAccountName} --https-only true
{
"name": "{StorageAccountName}",
"enableHttpsTrafficOnly": true,
"type": "Microsoft.Storage/storageAccounts"
...
}