Принудительная минимальная требуемая версия протокола TLS для запросов к учетной записи храненияEnforce a minimum required version of Transport Layer Security (TLS) for requests to a storage account

Связь между клиентским приложением и учетной записью хранения Azure шифруется с помощью протокола TLS.Communication between a client application and an Azure Storage account is encrypted using Transport Layer Security (TLS). TLS — это стандартный протокол шифрования, обеспечивающий конфиденциальность и целостность данных между клиентами и службами через Интернет.TLS is a standard cryptographic protocol that ensures privacy and data integrity between clients and services over the Internet. Дополнительные сведения о протоколе TLS см. в статье безопасность транспортного уровня.For more information about TLS, see Transport Layer Security.

Сейчас служба хранилища Azure поддерживает три версии протокола TLS: 1,0, 1,1 и 1,2.Azure Storage currently supports three versions of the TLS protocol: 1.0, 1.1, and 1.2. Служба хранилища Azure использует TLS 1,2 на общедоступных конечных точках HTTPS, но TLS 1,0 и TLS 1,1 по-прежнему поддерживаются для обеспечения обратной совместимости.Azure Storage uses TLS 1.2 on public HTTPS endpoints, but TLS 1.0 and TLS 1.1 are still supported for backward compatibility.

По умолчанию учетные записи хранения Azure позволяют клиентам отправлять и получать данные с использованием самой старой версии TLS, TLS 1,0 и более поздних версий.By default, Azure Storage accounts permit clients to send and receive data with the oldest version of TLS, TLS 1.0, and above. Чтобы обеспечить более строгие меры безопасности, можно настроить учетную запись хранения так, чтобы клиенты отправляли и получали данные с помощью более новой версии TLS.To enforce stricter security measures, you can configure your storage account to require that clients send and receive data with a newer version of TLS. Если для учетной записи хранения требуется минимальная версия TLS, все запросы, созданные с использованием более старой версии, завершатся ошибкой.If a storage account requires a minimum version of TLS, then any requests made with an older version will fail.

В этой статье описывается, как использовать платформу ПЕРЕТАСКИВАНИя (обнаружение-исправление — аудит-управление) для непрерывного управления защищенным протоколом TLS для учетных записей хранения.This article describes how to use a DRAG (Detection-Remediation-Audit-Governance) framework to continuously manage secure TLS for your storage accounts.

Сведения о том, как указать определенную версию TLS при отправке запроса из клиентского приложения, см. в разделе Настройка безопасности транспортного уровня (TLS) для клиентского приложения.For information about how to specify a particular version of TLS when sending a request from a client application, see Configure Transport Layer Security (TLS) for a client application.

Определение версии TLS, используемой клиентскими приложениямиDetect the TLS version used by client applications

При применении минимальной версии TLS для учетной записи хранения вы рискуете отклонять запросы от клиентов, отправляющих данные с помощью более старой версии TLS.When you enforce a minimum TLS version for your storage account, you risk rejecting requests from clients that are sending data with an older version of TLS. Чтобы понять, как Настройка минимальной версии TLS может повлиять на клиентские приложения, корпорация Майкрософт рекомендует включить ведение журнала для учетной записи хранения Azure и проанализировать журналы через интервал времени, чтобы определить, какие версии клиентских приложений TLS используются.To understand how configuring the minimum TLS version may affect client applications, Microsoft recommends that you enable logging for your Azure Storage account and analyze the logs after an interval of time to detect what versions of TLS client applications are using.

Чтобы зарегистрировать запросы к учетной записи хранения Azure и определить версию TLS, используемую клиентом, можно использовать ведение журнала службы хранилища Azure в Azure Monitor (Предварительная версия).To log requests to your Azure Storage account and determine the TLS version used by the client, you can use Azure Storage logging in Azure Monitor (preview). Дополнительные сведения см. в статье мониторинг службы хранилища Azure.For more information, see Monitor Azure Storage.

Ведение журнала службы хранилища Azure в Azure Monitor поддерживает использование запросов журналов для анализа данных журнала.Azure Storage logging in Azure Monitor supports using log queries to analyze log data. Для запроса журналов можно использовать рабочую область Azure Log Analytics.To query logs, you can use an Azure Log Analytics workspace. Дополнительные сведения о запросах журналов см. в разделе учебник. Начало работы с log Analytics запросами.To learn more about log queries, see Tutorial: Get started with Log Analytics queries.

Чтобы записывать данные службы хранилища Azure с Azure Monitor и анализировать их с помощью Log Analytics Azure, необходимо сначала создать параметр диагностики, который указывает, какие типы запросов и какие услуги хранилища будут записывать данные.To log Azure Storage data with Azure Monitor and analyze it with Azure Log Analytics, you must first create a diagnostic setting that indicates what types of requests and for which storage services you want to log data. Журналы службы хранилища Azure в Azure Monitor предоставляются в общедоступной предварительной версии. Они также доступны для предварительного тестирования во всех регионах общедоступного облака.Azure Storage logs in Azure Monitor is in public preview and is available for preview testing in all public cloud regions. Эта предварительная версия включает журналы для больших двоичных объектов (включая Azure Data Lake Storage 2-го поколения), файлов, очередей и таблиц.This preview enables logs for blobs (including Azure Data Lake Storage Gen2), files, queues, and tables. Чтобы создать параметр диагностики в портал Azure, выполните следующие действия.To create a diagnostic setting in the Azure portal, follow these steps:

  1. Создайте новую рабочую область Log Analytics в подписке, которая содержит вашу учетную запись хранения Azure.Create a new Log Analytics workspace in the subscription that contains your Azure Storage account. После настройки ведения журнала для учетной записи хранения журналы будут доступны в рабочей области Log Analytics.After you configure logging for your storage account, the logs will be available in the Log Analytics workspace. Дополнительные сведения см. в статье Create a Log Analytics workspace in the Azure portal (Создание рабочей области Log Analytics на портале Azure).For more information, see Create a Log Analytics workspace in the Azure portal.

  2. Войдите в свою учетную запись хранения на портале Azure.Navigate to your storage account in the Azure portal.

  3. В разделе Мониторинг выберите параметры диагностики (Предварительная версия).In the Monitoring section, select Diagnostic settings (preview).

  4. Выберите службу хранилища Azure, для которой требуется регистрировать запросы.Select the Azure Storage service for which you want to log requests. Например, выберите BLOB-объект для записи запросов в хранилище BLOB-объектов.For example, choose Blob to log requests to Blob storage.

  5. Выберите Добавить параметр диагностики.Select Add diagnostic setting.

  6. Укажите имя для параметра диагностики.Provide a name for the diagnostic setting.

  7. В разделе сведения о категории раздела Журнал выберите типы запросов для записи.Under Category details, in the log section, choose which types of requests to log. Запросы на чтение, запись и удаление можно записывать в журнал.You can log read, write, and delete requests. Например, при выборе сторажереад и сторажеврите будут регистрироваться запросы на чтение и запись к выбранной службе.For example, choosing StorageRead and StorageWrite will log read and write requests to the selected service.

  8. В разделе сведения о назначении выберите Отправить log Analytics.Under Destination details, select Send to Log Analytics. Выберите подписку и созданную ранее рабочую область Log Analytics, как показано на следующем рисунке.Select your subscription and the Log Analytics workspace you created earlier, as shown in the following image.

    Снимок экрана, показывающий, как создать параметр диагностики для запросов ведения журнала

После создания параметра диагностики запросы к учетной записи хранения затем регистрируются в соответствии с этим параметром.After you create the diagnostic setting, requests to the storage account are subsequently logged according to that setting. Дополнительные сведения см. в статье Создание параметров диагностики для сбора журналов ресурсов и метрик в Azure.For more information, see Create diagnostic setting to collect resource logs and metrics in Azure.

Ссылки на поля, доступные в журналах службы хранилища Azure в Azure Monitor, см. в разделе журналы ресурсов (Предварительная версия).For a reference of fields available in Azure Storage logs in Azure Monitor, see Resource logs (preview).

Запросы, регистрируемые в журнале по версии TLSQuery logged requests by TLS version

Журналы службы хранилища Azure в Azure Monitor включают версию TLS, используемую для отправки запроса в учетную запись хранения.Azure Storage logs in Azure Monitor include the TLS version used to send a request to a storage account. Используйте свойство тлсверсион , чтобы проверить версию TLS зарегистрированного запроса.Use the TlsVersion property to check the TLS version of a logged request.

Чтобы определить, сколько запросов было выполнено в хранилище BLOB-объектов с разными версиями TLS за последние семь дней, откройте рабочую область Log Analytics.To determine how many requests were made against Blob storage with different versions of TLS over the past seven days, open your Log Analytics workspace. Затем вставьте следующий запрос в новый запрос к журналу и запустите его.Next, paste the following query into a new log query and run it. Не забудьте заменить значения заполнителей в квадратных скобках собственными значениями:Remember to replace the placeholder values in brackets with your own values:

StorageBlobLogs
| where TimeGenerated > ago(7d) and AccountName == "<account-name>"
| summarize count() by TlsVersion

В результатах отображается количество запросов, выполненных с каждой версией TLS:The results show the count of the number of requests made with each version of TLS:

Снимок экрана, показывающий результаты запроса log Analytics для возврата версии TLS

Запрос зарегистрированных запросов по IP-адресу звонящего и заголовку агента пользователяQuery logged requests by caller IP address and user agent header

Журналы службы хранилища Azure в Azure Monitor также включают IP-адрес вызывающей стороны и заголовок агента пользователя, которые помогут оценить, какие клиентские приложения обращаются к учетной записи хранения.Azure Storage logs in Azure Monitor also include the caller IP address and user agent header to help you to evaluate which client applications accessed the storage account. Вы можете проанализировать эти значения, чтобы решить, следует ли обновить клиентские приложения для использования более новой версии протокола TLS или можно ли не выполнять запрос клиента, если он не отправляется с минимальной версией TLS.You can analyze these values to decide whether client applications must be updated to use a newer version of TLS, or whether it's acceptable to fail a client's request if it is not sent with the minimum TLS version.

Чтобы определить, какие клиенты внесли запросы с версией TLS старше, чем TLS 1,2 за последние семь дней, вставьте следующий запрос в новый запрос к журналу и запустите его.To determine which clients made requests with a version of TLS older than TLS 1.2 over the past seven days, paste the following query into a new log query and run it. Не забудьте заменить значения заполнителей в квадратных скобках собственными значениями:Remember to replace the placeholder values in brackets with your own values:

StorageBlobLogs
| where TimeGenerated > ago(7d) and AccountName == "<account-name>" and TlsVersion != "TLS 1.2"
| project TlsVersion, CallerIpAddress, UserAgentHeader

Устранение угроз безопасности с помощью минимальной версии TLSRemediate security risks with a minimum version of TLS

Если вы уверены, что трафик от клиентов, использующих более старые версии TLS, является минимальным, или что можно не допустить запросов, созданных с помощью более старой версии протокола TLS, вы можете приступить к принудительному применению минимальной версии TLS в учетной записи хранения.When you are confident that traffic from clients using older versions of TLS is minimal, or that it's acceptable to fail requests made with an older version of TLS, then you can begin enforcement of a minimum TLS version on your storage account. Требовать, чтобы клиенты использовали минимальную версию протокола TLS для выполнения запросов к учетной записи хранения, является частью стратегии для снижения угроз безопасности для данных.Requiring that clients use a minimum version of TLS to make requests against a storage account is part of a strategy to minimize security risks to your data.

Важно!

Если вы используете службу, которая подключается к службе хранилища Azure, убедитесь, что эта служба использует соответствующую версию протокола TLS для отправки запросов в службу хранилища Azure до того, как будет задана требуемая минимальная версия для учетной записи хранения.If you are using a service that connects to Azure Storage, make sure that that service is using the appropriate version of TLS to send requests to Azure Storage before you set the required minimum version for a storage account.

Настройка минимальной версии TLS для учетной записи храненияConfigure the minimum TLS version for a storage account

Чтобы настроить минимальную версию TLS для учетной записи хранения, задайте версию минимумтлсверсион для учетной записи.To configure the minimum TLS version for a storage account, set the MinimumTlsVersion version for the account. Это свойство доступно для всех учетных записей хранения, созданных с помощью модели развертывания Azure Resource Manager.This property is available for all storage accounts that are created with the Azure Resource Manager deployment model. Дополнительные сведения о модели развертывания Azure Resource Manager см. в разделе Общие сведения об учетной записи хранения.For more information about the Azure Resource Manager deployment model, see Storage account overview.

Свойство минимумтлсверсион не задано по умолчанию и не возвращает значение, пока оно не будет явно задано.The MinimumTlsVersion property is not set by default and does not return a value until you explicitly set it. Если значение свойства равно null, учетная запись хранения разрешит запросы, отправленные с помощью TLS версии 1,0 или более поздней.If the property value is null, then the storage account will permit requests sent with TLS version 1.0 or greater.

При создании учетной записи хранения с портал Azure по умолчанию для минимальной версии TLS устанавливается значение 1,2.When you create a storage account with the Azure portal, the minimum TLS version is set to 1.2 by default.

Чтобы настроить минимальную версию TLS для существующей учетной записи хранения с портал Azure, выполните следующие действия.To configure the minimum TLS version for an existing storage account with the Azure portal, follow these steps:

  1. Войдите в свою учетную запись хранения на портале Azure.Navigate to your storage account in the Azure portal.

  2. Выберите параметр конфигурации .Select the Configuration setting.

  3. В разделе Минимальная версия TLS используйте раскрывающийся список, чтобы выбрать минимальную версию TLS, необходимую для доступа к данным в этой учетной записи хранения, как показано на следующем рисунке.Under Minimum TLS version, use the drop-down to select the minimum version of TLS required to access data in this storage account, as shown in the following image.

    Снимок экрана, показывающий, как настроить минимальную версию TLS в портал Azure

Примечание

После обновления минимальной версии TLS для учетной записи хранения может потребоваться до 30 секунд, прежде чем изменение будет полностью распространено.After you update the minimum TLS version for the storage account, it may take up to 30 seconds before the change is fully propagated.

Для настройки минимальной версии TLS требуется поставщик ресурсов службы хранилища Azure версии 2019-04-01 или более поздней.Configuring the minimum TLS version requires version 2019-04-01 or later of the Azure Storage resource provider. Дополнительные сведения см. в статье REST API поставщика ресурсов службы хранилища Azure.For more information, see Azure Storage Resource Provider REST API.

Проверка минимальной требуемой версии TLS для нескольких учетных записейCheck the minimum required TLS version for multiple accounts

Чтобы проверить минимальную необходимую версию протокола TLS в наборе учетных записей хранения с оптимальной производительностью, можно использовать обозреватель графа ресурсов Azure в портал Azure.To check the minimum required TLS version across a set of storage accounts with optimal performance, you can use the Azure Resource Graph Explorer in the Azure portal. Дополнительные сведения об использовании обозревателя графа ресурсов см. в статье Краткое руководство. выполнение первого запроса Graph в Azure с помощью обозревателя Graph.To learn more about using the Resource Graph Explorer, see Quickstart: Run your first Resource Graph query using Azure Resource Graph Explorer.

Выполнение следующего запроса в обозревателе графа ресурсов возвращает список учетных записей хранения и отображает минимальную версию TLS для каждой учетной записи:Running the following query in the Resource Graph Explorer returns a list of storage accounts and displays the minimum TLS version for each account:

resources
| where type =~ 'Microsoft.Storage/storageAccounts'
| extend minimumTlsVersion = parse_json(properties).minimumTlsVersion
| project subscriptionId, resourceGroup, name, minimumTlsVersion

Проверка минимальной версии TLS от клиентаTest the minimum TLS version from a client

Чтобы проверить, что минимальная необходимая версия TLS для учетной записи хранения запрещает вызовы, созданные с использованием более старой версии, можно настроить клиент на использование более старой версии протокола TLS.To test that the minimum required TLS version for a storage account forbids calls made with an older version, you can configure a client to use an older version of TLS. Дополнительные сведения о настройке клиента для использования определенной версии протокола TLS см. в статье Настройка безопасности транспортного уровня (TLS) для клиентского приложения.For more information about configuring a client to use a specific version of TLS, see Configure Transport Layer Security (TLS) for a client application.

Когда клиент обращается к учетной записи хранения с использованием версии TLS, которая не соответствует минимальной версии TLS, настроенной для учетной записи, служба хранилища Azure возвращает код ошибки 400 (неверный запрос) и сообщение, указывающее, что используемая версия TLS не разрешена для выполнения запросов к этой учетной записи хранения.When a client accesses a storage account using a TLS version that does not meet the minimum TLS version configured for the account, Azure Storage returns error code 400 error (Bad Request) and a message indicating that the TLS version that was used is not permitted for making requests against this storage account.

Использование политики Azure для аудита соответствияUse Azure Policy to audit for compliance

При наличии большого количества учетных записей хранения может потребоваться выполнить аудит, чтобы убедиться, что для всех учетных записей настроена минимальная версия TLS, необходимая вашей организации.If you have a large number of storage accounts, you may want to perform an audit to make sure that all accounts are configured for the minimum version of TLS that your organization requires. Чтобы выполнить аудит набора учетных записей хранения для их соответствия, используйте политику Azure.To audit a set of storage accounts for their compliance, use Azure Policy. Политика Azure — это служба, которую можно использовать для создания, назначения и управления политиками, которые применяют правила к ресурсам Azure.Azure Policy is a service that you can use to create, assign, and manage policies that apply rules to Azure resources. Политика Azure помогает защитить эти ресурсы в соответствии с корпоративными стандартами и соглашениями об уровне обслуживания.Azure Policy helps you to keep those resources compliant with your corporate standards and service level agreements. Дополнительные сведения см. в статье Что такое служба "Политика Azure"?.For more information, see Overview of Azure Policy.

Создание политики с помощью действия аудитаCreate a policy with an Audit effect

Политика Azure поддерживает эффекты, которые определяют, что происходит при оценке правила политики для ресурса.Azure Policy supports effects that determine what happens when a policy rule is evaluated against a resource. В результате аудита создается предупреждение, если ресурс не соответствует требованиям, но не останавливает запрос.The Audit effect creates a warning when a resource is not in compliance, but does not stop the request. Дополнительные сведения о влиянии см. в статье об эффектах политики Azure.For more information about effects, see Understand Azure Policy effects.

Чтобы создать политику с результатом аудита для минимальной версии TLS с портал Azure, выполните следующие действия.To create a policy with an Audit effect for the minimum TLS version with the Azure portal, follow these steps:

  1. В портал Azure перейдите к службе "политика Azure".In the Azure portal, navigate to the Azure Policy service.

  2. В разделе " Разработка " выберите определения.Under the Authoring section, select Definitions.

  3. Выберите Добавить определение политики , чтобы создать новое определение политики.Select Add policy definition to create a new policy definition.

  4. В поле Расположение определения нажмите кнопку Дополнительно , чтобы указать, где находится ресурс политики аудита.For the Definition location field, select the More button to specify where the audit policy resource is located.

  5. Укажите имя политики.Specify a name for the policy. При необходимости можно указать описание и категорию.You can optionally specify a description and category.

  6. В разделе правило политики добавьте следующее определение политики в раздел класс policyrule .Under Policy rule, add the following policy definition to the policyRule section.

    {
      "policyRule": {
        "if": {
          "allOf": [
            {
              "field": "type",
              "equals": "Microsoft.Storage/storageAccounts"
            },
            {
              "not": {
                "field": "Microsoft.Storage/storageAccounts/minimumTlsVersion",
                "equals": "TLS1_2"
              }
            }
          ]
        },
        "then": {
          "effect": "audit"
        }
      }
    }
    
  7. Сохраните политику.Save the policy.

Назначение политикиAssign the policy

Затем назначьте политику для ресурса.Next, assign the policy to a resource. Область политики соответствует этому ресурсу и всем его ресурсам под ним.The scope of the policy corresponds to that resource and any resources beneath it. Дополнительные сведения о назначении политики см. в разделе Структура назначения политики Azure.For more information on policy assignment, see Azure Policy assignment structure.

Чтобы назначить политику с портал Azure, выполните следующие действия.To assign the policy with the Azure portal, follow these steps:

  1. В портал Azure перейдите к службе "политика Azure".In the Azure portal, navigate to the Azure Policy service.
  2. В разделе " Разработка " выберите назначения.Under the Authoring section, select Assignments.
  3. Выберите назначить политику , чтобы создать новое назначение политики.Select Assign policy to create a new policy assignment.
  4. В поле область выберите область назначения политики.For the Scope field, select the scope of the policy assignment.
  5. В поле Определение политики нажмите кнопку Дополнительно , а затем выберите политику, определенную в предыдущем разделе, из списка.For the Policy definition field, select the More button, then select the policy you defined in the previous section from the list.
  6. Укажите имя для назначения политики.Provide a name for the policy assignment. Описание является необязательным.The description is optional.
  7. Оставьте включенным принудительное применение политики .Leave Policy enforcement set to Enabled. Этот параметр не влияет на политику аудита.This setting has no effect on the audit policy.
  8. Выберите проверить и создать , чтобы создать назначение.Select Review + create to create the assignment.

Просмотр отчета о соответствииView compliance report

После назначения политики можно просмотреть отчет о соответствии.After you've assigned the policy, you can view the compliance report. Отчет о соответствии для политики аудита содержит сведения о том, какие учетные записи хранения не соответствуют политике.The compliance report for an audit policy provides information on which storage accounts are not in compliance with the policy. Дополнительные сведения см. в статье Получение данных о соответствии политики.For more information, see Get policy compliance data.

После создания назначения политики может потребоваться несколько минут, чтобы отчет о соответствии стал доступным.It may take several minutes for the compliance report to become available after the policy assignment is created.

Чтобы просмотреть отчет о соответствии в портал Azure, выполните следующие действия.To view the compliance report in the Azure portal, follow these steps:

  1. В портал Azure перейдите к службе "политика Azure".In the Azure portal, navigate to the Azure Policy service.

  2. Выберите соответствие.Select Compliance.

  3. Отфильтруйте результаты для имени назначения политики, созданного на предыдущем шаге.Filter the results for the name of the policy assignment that you created in the previous step. Отчет показывает, сколько ресурсов не соответствует политике.The report shows how many resources are not in compliance with the policy.

  4. Вы можете детализировать отчет для получения дополнительных сведений, включая список учетных записей хранения, которые не соответствуют требованиям.You can drill down into the report for additional details, including a list of storage accounts that are not in compliance.

    Снимок экрана с отчетом о соответствии для политики аудита для минимальной версии TLS

Использование политики Azure для применения минимальной версии TLSUse Azure Policy to enforce the minimum TLS version

Политика Azure поддерживает управление облаком, гарантируя, что ресурсы Azure соответствуют требованиям и стандартам.Azure Policy supports cloud governance by ensuring that Azure resources adhere to requirements and standards. Чтобы применить минимальные требования к версии TLS для учетных записей хранения в Организации, можно создать политику, запрещающую создание новой учетной записи хранения, которая устанавливает минимальные требования к TLS для более старой версии TLS, чем определено политикой.To enforce a minimum TLS version requirement for the storage accounts in your organization, you can create a policy that prevents the creation of a new storage account that sets the minimum TLS requirement to an older version of TLS than that which is dictated by the policy. Эта политика также предотвратит все изменения конфигурации существующей учетной записи, если параметр минимальной версии TLS для этой учетной записи не соответствует политике.This policy will also prevent all configuration changes to an existing account if the minimum TLS version setting for that account is not compliant with the policy.

Политика принудительного применения использует отклонение, чтобы предотвратить запрос, создающий или изменяющий учетную запись хранения, чтобы минимальная версия TLS больше не соответствовала стандартам вашей организации.The enforcement policy uses the Deny effect to prevent a request that would create or modify a storage account so that the minimum TLS version no longer adheres to your organization's standards. Дополнительные сведения о влиянии см. в статье об эффектах политики Azure.For more information about effects, see Understand Azure Policy effects.

Чтобы создать политику с результатом запрета для минимальной версии TLS, которая меньше, чем TLS 1,2, выполните те же действия, которые описаны в разделе Использование политики Azure для аудита соответствия, но предоставьте следующий код JSON в раздел класс policyrule определения политики:To create a policy with a Deny effect for a minimum TLS version that is less than TLS 1.2, follow the same steps described in Use Azure Policy to audit for compliance, but provide the following JSON in the policyRule section of the policy definition:

{
  "policyRule": {
    "if": {
      "allOf": [
        {
          "field": "type",
          "equals": "Microsoft.Storage/storageAccounts"
        },
        {
          "not": {
            "field": "Microsoft.Storage/storageAccounts/minimumTlsVersion",
            "equals": "TLS1_2"
          }
        }
      ]
    },
    "then": {
      "effect": "deny"
    }
  }
}

После создания политики с действием Deny и назначения ее области пользователь не сможет создать учетную запись хранения с минимальной версией TLS, которая старше 1,2.After you create the policy with the Deny effect and assign it to a scope, a user cannot create a storage account with a minimum TLS version that is older than 1.2. Кроме того, пользователь не может вносить какие-либо изменения в конфигурацию существующей учетной записи хранения, которая в настоящее время требует минимальной версии TLS, которая старше 1,2.Nor can a user make any configuration changes to an existing storage account that currently requires a minimum TLS version that is older than 1.2. Попытка сделать это приведет к ошибке.Attempting to do so results in an error. Для продолжения создания или настройки учетной записи необходимо задать для минимальной версии TLS для учетной записи хранения значение 1,2.The required minimum TLS version for the storage account must be set to 1.2 to proceed with account creation or configuration.

На следующем рисунке показана ошибка, возникающая при попытке создать учетную запись хранения с минимальной версией TLS, установленной на TLS 1,0 (значение по умолчанию для новой учетной записи), если для политики с применением Deny требуется, чтобы минимальная версия TLS была настроена на TLS 1,2.The following image shows the error that occurs if you try to create a storage account with the minimum TLS version set to TLS 1.0 (the default for a new account) when a policy with a Deny effect requires that the minimum TLS version be set to TLS 1.2.

Снимок экрана, показывающий ошибку, возникающую при создании учетной записи хранения с нарушением политики

Разрешения, необходимые для требования минимальной версии TLSPermissions necessary to require a minimum version of TLS

Чтобы задать свойство минимумтлсверсион для учетной записи хранения, пользователь должен иметь разрешения на создание учетных записей хранения и управление ими.To set the MinimumTlsVersion property for the storage account, a user must have permissions to create and manage storage accounts. Роли управления доступом на основе ролей Azure (Azure RBAC), предоставляющие эти разрешения, включают в себя Microsoft. Storage, storageAccounts/Write или Microsoft. Storage/ * storageAccounts/ Action.Azure role-based access control (Azure RBAC) roles that provide these permissions include the Microsoft.Storage/storageAccounts/write or Microsoft.Storage/storageAccounts/* action. Это действие включает следующие встроенные роли:Built-in roles with this action include:

Эти роли не обеспечивают доступ к данным в учетной записи хранения с помощью Azure Active Directory (Azure AD).These roles do not provide access to data in a storage account via Azure Active Directory (Azure AD). Однако они включают в себя Microsoft. Storage/storageAccounts/listkeys/Action, которые предоставляют доступ к ключам доступа к учетной записи.However, they include the Microsoft.Storage/storageAccounts/listkeys/action, which grants access to the account access keys. С помощью этого разрешения пользователь может использовать ключи доступа к учетной записи для доступа ко всем данным в учетной записи хранения.With this permission, a user can use the account access keys to access all data in a storage account.

Назначение ролей должно быть ограничено уровнем учетной записи хранения или выше, чтобы разрешить пользователю требовать минимальную версию TLS для учетной записи хранения.Role assignments must be scoped to the level of the storage account or higher to permit a user to require a minimum version of TLS for the storage account. Дополнительные сведения об области действия роли см. в статье сведения о области действия для Azure RBAC.For more information about role scope, see Understand scope for Azure RBAC.

Не забудьте ограничить назначение этих ролей только теми, кому требуется возможность создания учетной записи хранения или обновления ее свойств.Be careful to restrict assignment of these roles only to those who require the ability to create a storage account or update its properties. Используйте принцип минимальных привилегий, чтобы убедиться, что пользователи имеют минимальные разрешения, необходимые для выполнения своих задач.Use the principle of least privilege to ensure that users have the fewest permissions that they need to accomplish their tasks. Дополнительные сведения об управлении доступом с помощью Azure RBAC см. в статье рекомендации по использованию Azure RBAC.For more information about managing access with Azure RBAC, see Best practices for Azure RBAC.

Примечание

Администратор службы роли администратора классической подписки и Co-Administrator включает в себя эквивалент роли владельца Azure Resource Manager.The classic subscription administrator roles Service Administrator and Co-Administrator include the equivalent of the Azure Resource Manager Owner role. Роль владелец включает все действия, поэтому пользователь с одной из этих административных ролей может также создавать учетные записи хранения и управлять ими.The Owner role includes all actions, so a user with one of these administrative roles can also create and manage storage accounts. Дополнительные сведения см. в статье Роли классического администратора подписки, роли Azure и роли администратора Azure AD.For more information, see Classic subscription administrator roles, Azure roles, and Azure AD administrator roles.

Рекомендации по сетиNetwork considerations

Когда клиент отправляет запрос в учетную запись хранения, он сначала устанавливает соединение с общедоступной конечной точкой учетной записи хранения перед обработкой любых запросов.When a client sends a request to storage account, the client establishes a connection with the public endpoint of the storage account first, before processing any requests. Параметр минимальной версии TLS проверяется после установки соединения.The minimum TLS version setting is checked after the connection is established. Если в запросе используется более ранняя версия TLS, чем задано параметром, соединение будет продолжаться успешно, но запрос в конечном итоге завершится ошибкой.If the request uses an earlier version of TLS than that specified by the setting, the connection will continue to succeed, but the request will eventually fail. Дополнительные сведения о общедоступных конечных точках для службы хранилища Azure см. в разделе синтаксис URI ресурсов.For more information about public endpoints for Azure Storage, see Resource URI syntax.

Дальнейшие действияNext steps