Kräv säker överföring för att säkerställa säkra anslutningar

Du kan konfigurera ditt lagringskonto så att det endast accepterar begäranden från säkra anslutningar genom att ange egenskapen Säker överföring krävs för lagringskontot. När du behöver säker överföring avvisas alla begäranden som kommer från en osäker anslutning. Microsoft rekommenderar att du alltid kräver säker överföring för alla dina lagringskonton.

När säker överföring krävs måste ett anrop till en Azure Storage REST API-åtgärd göras via HTTPS. Alla begäranden som görs via HTTP avvisas. Som standard aktiveras egenskapen Säker överföring krävs när du skapar ett lagringskonto.

Azure Policy en inbyggd princip för att säkerställa att säker överföring krävs för dina lagringskonton. Mer information finns i avsnittet Storage i Azure Policy inbyggda principdefinitioner.

Det går inte att ansluta till en Azure-filresurs via SMB utan kryptering när säker överföring krävs för lagringskontot. Exempel på osäkra anslutningar är sådana som görs via SMB 2.1 eller SMB 3.x utan kryptering.

Kräv säker överföring i Azure Portal

Du kan aktivera egenskapen Säker överföring krävs när du skapar ett lagringskonto i Azure Portal. Du kan också aktivera det för befintliga lagringskonton.

Kräv säker överföring för ett nytt lagringskonto

1. Öppna fönstret Skapa lagringskonto i Azure Portal.

2. På sidan Avancerat markerar du kryssrutan Aktivera säker överföring.

   

Kräv säker överföring för ett befintligt lagringskonto

1. Välj ett befintligt lagringskonto i Azure Portal.

2. I menyfönstret för lagringskontot går du Inställningar och väljer Konfiguration.

3. Under Säker överföring krävs väljer du Aktiverad.

   

Kräv säker överföring från kod

Om du vill kräva säker överföring programmatiskt anger du egenskapen enableHttpsTrafficOnly till Sant för lagringskontot. Du kan ange den här egenskapen med hjälp Storage resursprovidern REST API, klientbibliotek eller verktyg:

• REST-API
• PowerShell
• CLI
• Nodejs
• .NET SDK
• Python SDK
• Ruby SDK

Kräv säker överföring med PowerShell

Det här exemplet kräver Azure PowerShell az version 0.7 eller senare. Kör Get-Module -ListAvailable Az för att hitta versionen. Om du behöver installera eller uppgradera kan du läsa Install Azure PowerShell module (Installera Azure PowerShell-modul).

Kör Connect-AzAccount för att skapa en anslutning med Azure.

Använd följande kommandorad för att kontrollera inställningen:

Get-AzStorageAccount -Name "{StorageAccountName}" -ResourceGroupName "{ResourceGroupName}"
StorageAccountName     : {StorageAccountName}
Kind                   : Storage
EnableHttpsTrafficOnly : False
...

Använd följande kommandorad för att aktivera inställningen:

Set-AzStorageAccount -Name "{StorageAccountName}" -ResourceGroupName "{ResourceGroupName}" -EnableHttpsTrafficOnly $True
StorageAccountName     : {StorageAccountName}
Kind                   : Storage
EnableHttpsTrafficOnly : True
...

Kräv säker överföring med Azure CLI

Om du vill köra det här exemplet installerar du den senaste versionen av Azure CLI. Börja genom att köra az login för att upprätta en anslutning med Azure.

Exempel för Azure CLI skrivs för bash gränssnittet. Om du vill köra det här exemplet i Windows PowerShell eller kommando tolken kan du behöva ändra element i skriptet.

Om du inte har en Azure-prenumerationkan du skapa ett kostnads fritt konto innan du börjar.

Använd följande kommando för att kontrollera inställningen:

az storage account show -g {ResourceGroupName} -n {StorageAccountName}
{
  "name": "{StorageAccountName}",
  "enableHttpsTrafficOnly": false,
  "type": "Microsoft.Storage/storageAccounts"
  ...
}

Använd följande kommando för att aktivera inställningen:

az storage account update -g {ResourceGroupName} -n {StorageAccountName} --https-only true
{
  "name": "{StorageAccountName}",
  "enableHttpsTrafficOnly": true,
  "type": "Microsoft.Storage/storageAccounts"
  ...
}

Nästa steg

Säkerhetsrekommendationer för Blob Storage