Exigir transferência segura para garantir conexões seguras

Você pode configurar sua conta de armazenamento para aceitar solicitações de conexões seguras somente definindo a propriedade Transferência segura necessária para a conta de armazenamento. Quando você precisa de transferência segura, todas as solicitações originadas de uma conexão insegura são rejeitadas. A Microsoft recomenda que você sempre exija transferência segura para todas as suas contas de armazenamento, a menos que esteja usando compartilhamentos de arquivos do Azure NFS. A propriedade Secure transfer required deve ser desabilitada para que os compartilhamentos de arquivos do Azure NFS funcionem.

Quando a transferência segura é necessária, uma chamada para uma operação da API REST do Armazenamento do Azure deve ser feita por HTTPS. Qualquer solicitação feita por HTTP é rejeitada. Por padrão, a propriedade Secure transfer required é habilitada quando você cria uma conta de armazenamento.

A Política do Azure fornece uma política interna para garantir que a transferência segura seja necessária para suas contas de armazenamento. Para obter mais informações, consulte a seção Armazenamento em Definições de política interna da Política do Azure.

A ligação a uma partilha de ficheiros do Azure através de SMB sem encriptação falha quando é necessária uma transferência segura para a conta de armazenamento. Exemplos de conexões inseguras incluem aquelas feitas através de SMB 2.1 ou SMB 3.x sem criptografia.

Nota

Como o Armazenamento do Azure não oferece suporte a HTTPS para nomes de domínio personalizados, essa opção não é aplicada quando você usa um nome de domínio personalizado.

Esta definição de transferência segura não se aplica ao TCP. As conexões via suporte ao protocolo NFS 3.0 no Armazenamento de Blobs do Azure usando TCP, que não é seguro, terão êxito.

Exigir transferência segura no portal do Azure

Você pode ativar a propriedade Transferência segura necessária ao criar uma conta de armazenamento no portal do Azure. Você também pode habilitá-lo para contas de armazenamento existentes.

Exigir transferência segura para uma nova conta de armazenamento

  1. Abra o painel Criar conta de armazenamento no portal do Azure.

  2. Na página Avançado, marque a caixa de seleção Habilitar transferência segura.

    Criar folha de conta de armazenamento

Exigir transferência segura para uma conta de armazenamento existente

  1. Selecione uma conta de armazenamento existente no portal do Azure.

  2. No painel de menu da conta de armazenamento, em Configurações, selecione Configuração.

  3. Em Transferência segura necessária, selecione Habilitado.

    Painel de menu da conta de armazenamento

Exigir transferência segura do código

Para exigir transferência segura programaticamente, defina a propriedade enableHttpsTrafficOnly como True na conta de armazenamento. Você pode definir essa propriedade usando a API REST do provedor de recursos de armazenamento, bibliotecas de cliente ou ferramentas:

Exigir transferência segura com o PowerShell

Nota

Recomendamos que utilize o módulo Azure Az do PowerShell para interagir com o Azure. Para começar, consulte Instalar o Azure PowerShell. Para saber como migrar para o módulo do Az PowerShell, veja Migrar o Azure PowerShell do AzureRM para o Az.

Este exemplo requer o módulo Az do Azure PowerShell versão 0.7 ou posterior. Executar Get-Module -ListAvailable Az para localizar a versão. Se precisar de instalar ou atualizar, veja Install Azure PowerShell module(Instalar o módulo do Azure PowerShell).

Execute Connect-AzAccount para criar uma ligação com o Azure.

Use a seguinte linha de comando para verificar a configuração:

Get-AzStorageAccount -Name "{StorageAccountName}" -ResourceGroupName "{ResourceGroupName}"
StorageAccountName     : {StorageAccountName}
Kind                   : Storage
EnableHttpsTrafficOnly : False
...

Use a seguinte linha de comando para habilitar a configuração:

Set-AzStorageAccount -Name "{StorageAccountName}" -ResourceGroupName "{ResourceGroupName}" -EnableHttpsTrafficOnly $True
StorageAccountName     : {StorageAccountName}
Kind                   : Storage
EnableHttpsTrafficOnly : True
...

Exigir transferência segura com a CLI do Azure

Para executar este exemplo, instale a versão mais recente da CLI do Azure. Para começar, execute az login para criar uma ligação ao Azure.

Exemplos para a CLI do Azure são escritos para o bash shell. Para executar este exemplo no Windows PowerShell ou no Prompt de Comando, talvez seja necessário alterar elementos do script.

Se não tiver uma subscrição do Azure, crie uma conta gratuita do Azure antes de começar.

Use o seguinte comando para verificar a configuração:

az storage account show -g {ResourceGroupName} -n {StorageAccountName}
{
  "name": "{StorageAccountName}",
  "enableHttpsTrafficOnly": false,
  "type": "Microsoft.Storage/storageAccounts"
  ...
}

Use o seguinte comando para habilitar a configuração:

az storage account update -g {ResourceGroupName} -n {StorageAccountName} --https-only true
{
  "name": "{StorageAccountName}",
  "enableHttpsTrafficOnly": true,
  "type": "Microsoft.Storage/storageAccounts"
  ...
}

Próximos passos

Recomendações de segurança para armazenamento de Blob