Требование безопасной передачи данных для обеспечения защиты соединений

Вы можете настроить учетную запись хранения на прием запросов только от безопасных соединений. Для этого нужно задать для этой учетной записи свойство Требуется безопасное перемещение. Если требовать безопасной передачи данных, то будут отклоняться все запросы, исходящие от небезопасного соединения. Корпорация Майкрософт рекомендует всегда требовать безопасную передачу для всех учетных записей хранения, если только вы не используете общие папки NFS Azure. Необходимо отключить необходимое свойство безопасной передачи, чтобы для работы общих папок Azure NFS.

Если затребована безопасная передача данных, то вызов операции REST API службы хранилища Azure должен выполняться через HTTPS. Любые запросы, выполненные по протоколу HTTP, будут отклонены. При создании учетной записи хранения по умолчанию свойство Требуется безопасное перемещение включено.

Политика Azure предоставляет встроенную политику,гарантирующую, что для учетных записей хранения требуется безопасная передача. Дополнительные сведения см. в разделе Хранилище статьи Встроенные определения политик в Политике Azure.

Подключение к общей папке Azure по протоколу SMB без шифрования завершится ошибкой, если для учетной записи хранения затребована безопасная передача данных. Примеры небезопасных соединений: подключения с помощью протоколов SMB 2.1 и SMB 3 без шифрования.

Примечание.

Так как служба хранилища Azure не поддерживает HTTPS для имен пользовательских доменов, этот параметр не применяется при использовании имени личного домена.

Этот параметр безопасной передачи не применяется к TCP. Подключения через протокол NFS 3.0 в Хранилище BLOB-объектов Azure с помощью TCP, который не защищен, завершится успешно.

Включение требования безопасной передачи на портале Azure

Свойство Требуется безопасное перемещение можно включить при создании учетной записи хранения на портале Azure. Его также можно включить для имеющихся учетных записей хранения.

Включение требования безопасной передачи для новой учетной записи хранения

  1. Откройте область Создание учетной записи хранения на портале Azure.

  2. На странице Дополнительно установите флажок Включить безопасную передачу.

    Колонка

Включение требования безопасной передачи для существующей учетной записи хранения

  1. Выберите учетную запись хранения на портале Azure.

  2. В области меню учетной записи хранения в разделе Параметры щелкните Конфигурация.

  3. В разделе Требуется безопасное перемещение щелкните Включено.

    Область меню учетной записи хранения

Включение требования безопасной передачи с помощью кода

Чтобы затребовать безопасную передачу данных программными средствами, в учетной записи хранения установите для свойства enableHttpsTrafficOnly значение True. Это свойство можно задать с помощью REST API поставщика ресурсов хранилища, клиентских библиотек или следующих инструментов:

Включение требования безопасной передачи с помощью PowerShell

Примечание.

Мы рекомендуем использовать модуль Azure Az PowerShell для взаимодействия с Azure. Сведения о начале работы см. в статье "Установка Azure PowerShell". Дополнительные сведения см. в статье Перенос Azure PowerShell с AzureRM на Az.

Для работы с этим примером требуется модуль Azure PowerShell Az 0.7 или более поздней версии. Чтобы узнать версию, выполните команду Get-Module -ListAvailable Az. Если вам необходимо выполнить установку или обновление, см. статью об установке модуля Azure PowerShell.

Выполните команду Connect-AzAccount, чтобы создать подключение к Azure.

Для проверки параметра можно использовать командную строку ниже:

Get-AzStorageAccount -Name "{StorageAccountName}" -ResourceGroupName "{ResourceGroupName}"
StorageAccountName     : {StorageAccountName}
Kind                   : Storage
EnableHttpsTrafficOnly : False
...

Для включения параметра можно использовать командную строку ниже:

Set-AzStorageAccount -Name "{StorageAccountName}" -ResourceGroupName "{ResourceGroupName}" -EnableHttpsTrafficOnly $True
StorageAccountName     : {StorageAccountName}
Kind                   : Storage
EnableHttpsTrafficOnly : True
...

Включение требования безопасной передачи с помощью Azure CLI

Чтобы выполнить этот пример, установите последнюю версию Azure CLI. Перед началом выполните команду az login, чтобы создать подключение к Azure.

Примеры для Azure CLI написаны для оболочки bash. Чтобы запустить этот пример в Windows PowerShell или командной строке, может потребоваться изменить элементы скрипта.

Если у вас еще нет подписки Azure, создайте бесплатную учетную запись Azure, прежде чем начинать работу.

Для проверки параметра используйте указанную ниже команду.

az storage account show -g {ResourceGroupName} -n {StorageAccountName}
{
  "name": "{StorageAccountName}",
  "enableHttpsTrafficOnly": false,
  "type": "Microsoft.Storage/storageAccounts"
  ...
}

Для включения параметра используйте указанную ниже команду.

az storage account update -g {ResourceGroupName} -n {StorageAccountName} --https-only true
{
  "name": "{StorageAccountName}",
  "enableHttpsTrafficOnly": true,
  "type": "Microsoft.Storage/storageAccounts"
  ...
}

Следующие шаги

Рекомендации по обеспечению безопасности для хранилища BLOB-объектов