Güvenli bağlantıları sağlamak için güvenli aktarım gerektir

  • Makale

Depolama hesabınızı, yalnızca depolama hesabı için Güvenli aktarım gerekli özelliğini ayarlayarak güvenli bağlantılardan gelen istekleri kabul etmek üzere yapılandırabilirsiniz. Güvenli aktarıma ihtiyacınız olduğunda, güvenli olmayan bir bağlantıdan kaynaklanan tüm istekler reddedilir. Microsoft, NFS Azure dosya paylaşımlarını kullanmadığınız sürece tüm depolama hesaplarınız için her zaman güvenli aktarım yapmanızı önerir. NFS Azure dosya paylaşımlarının çalışması için Güvenli aktarım gerekli özelliği devre dışı bırakılmalıdır.

Güvenli aktarım gerektiğinde, HTTPS üzerinden Azure Depolama REST API işlemi çağrısı yapılmalıdır. HTTP üzerinden yapılan tüm istekler reddedilir. Varsayılan olarak, depolama hesabı oluşturduğunuzda Güvenli aktarım gerekli özelliği etkinleştirilir.

Azure İlkesi, depolama hesaplarınız için güvenli aktarım gerektiğinden emin olmak için yerleşik bir ilke sağlar. Daha fazla bilgi için Azure İlkesi yerleşik ilke tanımlarının Depolama bölümüne bakın.

Depolama hesabı için güvenli aktarım gerektiğinde şifreleme olmadan SMB üzerinden bir Azure dosya paylaşımına bağlanma işlemi başarısız olur. Güvenli olmayan bağlantılara örnek olarak, şifreleme olmadan SMB 2.1 veya SMB 3.x üzerinden yapılan bağlantılar verilebilir.

Not

Azure Depolama özel etki alanı adları için HTTPS'yi desteklemediğinden, özel etki alanı adı kullanırken bu seçenek uygulanmaz.

Bu güvenli aktarım ayarı TCP için geçerli değildir. Güvenli olmayan TCP kullanan Azure Blob Depolama NFS 3.0 protokolü üzerinden yapılan bağlantılar başarılı olur.

Azure portalında güvenli aktarım gerektir

Azure portalında bir depolama hesabı oluşturduğunuzda Güvenli aktarım gerekli özelliğini açabilirsiniz. Mevcut depolama hesapları için de etkinleştirebilirsiniz.

Yeni bir depolama hesabı için güvenli aktarım gerektir

  1. Azure portalında Depolama hesabı oluştur bölmesini açın.

  2. Gelişmiş sayfasında Güvenli aktarımı etkinleştir onay kutusunu seçin.

    Depolama hesabı oluşturma dikey penceresi

Mevcut depolama hesabı için güvenli aktarım gerektir

  1. Azure portalında mevcut bir depolama hesabını seçin.

  2. Depolama hesabı menü bölmesinde, Ayarlar'ın altında Yapılandırma'yı seçin.

  3. Güvenli aktarım gerekli'nin altında Etkin'i seçin.

    Depolama hesabı menü bölmesi

Koddan güvenli aktarım gerektir

Program aracılığıyla güvenli aktarım gerektirmek için, depolama hesabında enableHttpsTrafficOnly özelliğini True olarak ayarlayın. Depolama Kaynak Sağlayıcısı REST API'sini, istemci kitaplıklarını veya araçları kullanarak bu özelliği ayarlayabilirsiniz:

PowerShell ile güvenli aktarım gerektir

Not

Azure ile etkileşim kurmak için Azure Az PowerShell modülünü kullanmanızı öneririz. Başlamak için bkz . Azure PowerShell'i yükleme. Az PowerShell modülüne nasıl geçeceğinizi öğrenmek için bkz. Azure PowerShell’i AzureRM’den Az’ye geçirme.

Bu örnek, Azure PowerShell modülü Az sürüm 0.7 veya üzerini gerektirir. Sürümü bulmak için Get-Module -ListAvailable Az komutunu çalıştırın. Yüklemeniz veya yükseltmeniz gerekirse, bkz. Azure PowerShell Modülü yükleme.

Azure ile bağlantı oluşturmak için Connect-AzAccount komutunu çalıştırın.

Ayarı denetlemek için aşağıdaki komut satırını kullanın:

Get-AzStorageAccount -Name "{StorageAccountName}" -ResourceGroupName "{ResourceGroupName}"
StorageAccountName     : {StorageAccountName}
Kind                   : Storage
EnableHttpsTrafficOnly : False
...

Ayarı etkinleştirmek için aşağıdaki komut satırını kullanın:

Set-AzStorageAccount -Name "{StorageAccountName}" -ResourceGroupName "{ResourceGroupName}" -EnableHttpsTrafficOnly $True
StorageAccountName     : {StorageAccountName}
Kind                   : Storage
EnableHttpsTrafficOnly : True
...

Azure CLI ile güvenli aktarım gerektirme

Bu örneği çalıştırmak için Azure CLI'nın en son sürümünü yükleyin. Başlangıç olarak, Azure ile bağlantı oluşturmak için az login komutunu çalıştırın.

Azure CLI örnekleri kabuk için bash yazılır. Bu örneği Windows PowerShell veya Komut İstemi'nde çalıştırmak için betiğin öğelerini değiştirmeniz gerekebilir.

Azure aboneliğiniz yoksa başlamadan önce birücretsiz Azure hesabı oluşturun.

Ayarı denetlemek için aşağıdaki komutu kullanın:

az storage account show -g {ResourceGroupName} -n {StorageAccountName}
{
  "name": "{StorageAccountName}",
  "enableHttpsTrafficOnly": false,
  "type": "Microsoft.Storage/storageAccounts"
  ...
}

Ayarı etkinleştirmek için aşağıdaki komutu kullanın:

az storage account update -g {ResourceGroupName} -n {StorageAccountName} --https-only true
{
  "name": "{StorageAccountName}",
  "enableHttpsTrafficOnly": true,
  "type": "Microsoft.Storage/storageAccounts"
  ...
}

Sonraki adımlar

Blob depolama için güvenlik önerileri