إدارة مفاتيح الوصول إلى حساب التخزين

  • مقالة
  • قراءة خلال 10 دقائق

عند إنشاء حساب تخزين، يقوم Azure بإنشاء مفتاحين للوصول إلى حساب تخزين 512 بت لذلك الحساب. يمكن استخدام هذه المفاتيح للسماح بالوصول إلى البيانات في حساب التخزين خاصتك من خلال تفويض المفتاح المشترك.

توصي Microsoft باستخدام Azure Key Vault لإدارة مفاتيح الوصول خاصتك، كما توصي بتدوير المفاتيح وتجديدها بانتظام. يجعل استخدام Azure Key Vault من السهل تدوير مفاتيحك دون انقطاع لتطبيقاتك. يمكنك أيضًا تدوير المفاتيح يدويًا.

حماية مفاتيح الوصول خاصتك

تشبه مفاتيح الوصول إلى حساب التخزين كلمة المرور الأساسية لحساب التخزين خاصتك. كن حذرًا دائمًا لحماية مفاتيح الوصول خاصتك. استخدم Azure Key Vault لإدارة المفاتيح وتدويرها بأمان. تجنب توزيع مفاتيح الوصول إلى مستخدمين آخرين، أو ترميزها ترميزًا ثابتًا، أو حفظها في أي مكان في نص عادي يمكن للآخرين الوصول إليه. قم بتدوير المفاتيح الخاصة بك إذا كنت تعتقد أنها قد تعرضت للخطر.

ملاحظة

توصي Microsoft باستخدام Azure Active Directory (Azure AD) للسماح بالطلبات مقابل بيانات الكائن الثنائي كبير الحجم وقائمة الانتظار إن أمكن، بدلًا من استخدام مفاتيح الحساب (تخويل المفتاح المشترك). يوفر التخويل مع Azure AD أمانًا فائقًا وسهولة الاستخدام على تخويل المفتاح المشترك.

لحماية حساب تخزين Azure باستخدام نهج الوصول المشروط إلى Azure AD، يجب عدم السماح بتخويل المفتاح المشترك لحساب التخزين. لمزيد من المعلومات حول كيفية عدم السماح بتفويض المفتاح المشترك، راجع منع تفويض المفتاح المشترك لحساب تخزين Azure .

عرض مفاتيح الوصول إلى الحساب

يمكنك عرض مفاتيح الوصول إلى حسابك ونسخها باستخدام مدخل Microsoft Azure أو PowerShell أو واجهة سطر الأوامر Azure. توفر مدخل Microsoft Azure أيضًا سلسلة اتصال لحساب التخزين خاصتك والذي يمكنك نسخه.

لعرض ونسخ مفاتيح الوصول إلى حساب التخزين أو سلسلة الاتصال من مدخل Microsoft Azure:

  1. في مدخل Azure انتقل إلى حساب التخزين خاصتك.

  2. ضمن الأمان + التواصل{2 }، حدد مفاتيح الوصول . تظهر مفاتيح الوصول إلى حسابك، بالإضافة إلى سلسلة الاتصال الكاملة لكل مفتاح.

  3. حدد إظهار المفاتيح لإظهار مفاتيح الوصول وسلسلة الاتصال وتمكين الأزرار من نَسخ القيم.

  4. ضمن المفتاح 1 ، اعثر على قيمة المفتاح. حدد زر نَسخ لنسخ مفتاح الحساب.

  5. بدلًا من ذلك، يمكنك نسخ سلسلة الاتصال بأكملها. ضمن المفتاح 1 ، اعثر على قيمة سلسلة الاتصال. حدد زر نسخ لنسخ سلسلة الاتصال.

    Screenshot showing how to view access keys in the Azure portal

يمكنك استخدام أي من المفتاحين للوصول إلى Azure Storage، ولكن بشكل عام من الجيد استخدام المفتاح الأول، وحجز استخدام المفتاح الثاني عند تدوير المفاتيح.

لعرض مفاتيح الوصول إلى الحساب أو قراءتها، يجب أن يكون المستخدم إما مسؤول خدمة، أو يجب تعيين دور Azure يتضمن Microsoft.Storage/storageAccounts/listkeys/action. بعض أدوار Azure المدمجة التي تشمل هذا الإجراء هي المالك و المساهم و دور خدمة المشغل الرئيسي لحساب التخزين . لمزيد من المعلومات حول دور مسؤول الخدمة، راجع أدوار مسؤول الاشتراك التقليدي وأدوار Azure وأدوار Azure AD. للحصول على معلومات مفصلة حول الأدوار المضمنة لتخزين Azure، راجع قسم التخزين في الأدوار المضمنة لـAzure RBAC.

استخدم Azure Key Vault لإدارة مفاتيح الوصول خاصتك

توصي Microsoft باستخدام Azure Key Vault لإدارة مفاتيح الوصول وتدويرها. يمكن للتطبيق خاصتك الوصول بأمان إلى المفاتيح خاصتك في Key Vault، بحيث يمكنك تجنب تخزينها مع رمز التطبيق خاصتك. لمزيد من المعلومات حول استخدام Key Vault لإدارة المفاتيح، راجع المقالات التالية:

تدوير مفاتيح الوصول يدويًا

توصي Microsoft بتدوير مفاتيح الوصول بشكل دوري للمساعدة في الحفاظ على أمان حساب التخزين خاصتك. إذا أمكن، استخدم Azure Key Vault لإدارة مفاتيح الوصول خاصتك. إذا كنت لا تستخدم Key Vault، فستحتاج إلى تدوير المفاتيح يدويًا.

يتم تعيين مفتاحين للوصول بحيث يمكنك تدوير المفاتيح خاصتك. يضمن وجود مفتاحين أن التطبيق خاصتك يحافظ على الوصول إلى Azure Storage طوال العملية.

تحذير

يمكن أن تؤثر إعادة إنشاء مفاتيح الوصول خاصتك على أي تطبيقات أو خدمات Azure تعتمد على مفتاح حساب التخزين. يجب تحديث أي عملاء يستخدمون مفتاح الحساب للوصول إلى حساب التخزين لاستخدام المفتاح الجديد، بما في ذلك خدمات الوسائط وتطبيقات السحابة وسطح المكتب والجوال وتطبيقات واجهة المستخدم الرسومية لتخزين Azure، مثل Azure Storage Explorer.

إذا كنت تخطط لتدوير مفاتيح الوصول يدويًا، توصي Microsoft بتعيين سياسة انتهاء صلاحية المفتاح. لمزيد من المعلومات، راجع إنشاء سياسة انتهاء صلاحية رئيسية.

بعد إنشاء سياسة انتهاء صلاحية المفتاح، يمكنك استخدام سياسة Azure لمراقبة ما إذا كانت مفاتيح حساب التخزين قد تم تدويرها خلال الفترة الموصى بها. لمزيد من التفاصيل، راجع التحقق من انتهاكات سياسة انتهاء الصلاحية الرئيسية.

لتدوير مفاتيح الوصول إلى حساب التخزين في مدخل Microsoft Azure:

  1. قم بتحديث سلاسل الاتصال في رمز التطبيق خاصتك للإشارة إلى مفتاح الوصول الثانوي لحساب التخزين.
  2. انتقل إلى حساب التخزين خاصتك في مدخل Microsoft Azure.
  3. ضمن الأمان + التواصل{2 }، حدد مفاتيح الوصول .
  4. لإعادة إنشاء مفتاح الوصول الأساسي لحساب التخزين خاصتك، حدد زر تجديد بجوار مفتاح الوصول الأساسي.
  5. قم بتحديث سلاسل الاتصال في الكود خاصتك للإشارة إلى مفتاح الوصول الأساسي الجديد.
  6. أعد إنشاء مفتاح الوصول الثانوي بنفس الطريقة.

تنبيه

توصي Microsoft باستخدام مفتاح واحد فقط في جميع تطبيقاتك في نفس الوقت. إذا كنت تستخدم المفتاح 1 في بعض الأماكن والمفتاح 2 في أماكن أخرى، فلن تتمكن من تدوير المفاتيح دون أن تفقد بعض التطبيقات الوصول إليها.

لتدوير مفاتيح الوصول إلى الحساب، يجب أن يكون المستخدم إما مسؤول خدمة، أو يجب تعيين دور Azure يتضمن Microsoft.Storage/storageAccounts/regeneratekey/action. بعض أدوار Azure المدمجة التي تشمل هذا الإجراء هي المالك و المساهم و دور خدمة المشغل الرئيسي لحساب التخزين . لمزيد من المعلومات حول دور مسؤول الخدمة، راجع أدوار مسؤول الاشتراك التقليدي وأدوار Azure وأدوار Azure AD. للحصول على معلومات مفصلة حول أدوار Azure المدمجة لتخزين Azure، راجع قسم التخزين في أدوار Azure المدمجة لـ Azure RBAC.

إنشاء نهج انتهاء صلاحية مفتاح

تتيح لك سياسة انتهاء صلاحية المفتاح تعيين تذكير لتدوير مفاتيح الوصول إلى الحساب. يتم عرض التذكير إذا انقضت الفترة الزمنية المحددة ولم يتم تدوير المفاتيح بعد. بعد إنشاء سياسة انتهاء صلاحية المفتاح، يمكنك مراقبة حسابات التخزين خاصتك للتأكد من الامتثال لضمان تدوير مفاتيح الوصول إلى الحساب بانتظام.

ملاحظة

قبل أن تتمكن من إنشاء سياسة انتهاء صلاحية المفتاح، قد تحتاج إلى تدوير كل مفتاح من مفاتيح الوصول إلى حسابك مرة واحدة على الأقل.

لإنشاء سياسة انتهاء صلاحية رئيسية في مدخل Microsoft Azure:

  1. في مدخل Azure انتقل إلى حساب التخزين خاصتك.
  2. ضمن الأمان + التواصل{2 }، حدد مفاتيح الوصول . تظهر مفاتيح الوصول إلى حسابك، بالإضافة إلى سلسلة الاتصال الكاملة لكل مفتاح.
  3. حدد الزر تعيين تذكير التدوير. إذا كان زر تعيين تذكير التدوير رماديًا، فستحتاج إلى تدوير كل مفتاح من مفاتيحك. اتبع الخطوات الموضحة في تدوير مفاتيح الوصول يدويًا لتدوير المفاتيح.
  4. في تعيين تذكير لتدوير مفاتيح الوصول ، حدد مربع الاختيار تمكين ذاكرات تدوير المفاتيح وتعيين تكرار للتذكير.
  5. حدد حفظ.

Screenshot showing how to create a key expiration policy in the Azure portal

التحقق من انتهاكات سياسة انتهاء الصلاحية الرئيسية

يمكنك مراقبة حسابات التخزين خاصتك باستخدام سياسة Azure للتأكد من أن مفاتيح الوصول إلى الحساب قد تم تدويرها خلال الفترة الموصى بها. يوفر Azure Storage سياسة مدمجة لضمان عدم انتهاء صلاحية مفاتيح الوصول إلى حساب التخزين. لمزيد من المعلومات حول السياسة المضمنة، راجع يجب عدم انتهاء صلاحية مفاتيح حساب التخزين في قائمة تعريفات السياسة المضمنة .

تعيين السياسة المضمنة لنطاق الموارد

اتبع هذه الخطوات لتعيين النهج المضمن للنطاق المناسب في مدخل Azure:

  1. في مدخل Azure، ابحث عن النهج لعرض لوحة معلومات نهج Azure.

  2. في قسم التأليف، حدد المهام.

  3. اختر تعيين النهج.

  4. في علامة التبويب الأساسيات في صفحة تعيين النهج، في قسم النطاق، حدد نطاق تعيين النهج. حدد زر المزيد لاختيار الاشتراك ومجموعة الموارد الاختيارية.

  5. بالنسبة لحقل تعريف النهج، حدد زر المزيد، وأدخل مفاتيح حساب التخزين في حقل البحث. حدد تعريف النهج المسمى يجب ألا تنتهي صلاحية مفاتيح حساب التخزين.

    Screenshot showing how to select the built-in policy to monitor key rotation intervals for your storage accounts

  6. حدد مراجعة + إنشاء لتعيين تعريف النهج للنطاق المحدد.

    Screenshot showing how to create the policy assignment

مراقبة التوافق مع نهج انتهاء صلاحية المفاتيح

لمراقبة حسابات التخزين للتأكد من توافقها مع نهج انتهاء صلاحية المفاتيح، اتبع الخطوات التالية:

  1. في لوحة معلومات سياسة Azure، حدد تعريف السياسة المضمن للنطاق الذي حددته في تعيين السياسة. يمكنك البحث عن مفاتيح حساب التخزين لا ينبغي أن تنتهي صلاحيتها في مربع البحث للتصفية للسياسة المضمنة.

  2. حدد اسم النهج مع النطاق المطلوب.

  3. في صفحة تعيين النهج للنهج المضمن، حدد عرض التوافق. تظهر أي حسابات تخزين في مجموعة الاشتراك والموارد المحددة لا تفي بمتطلبات السياسة في تقرير الامتثال.

    Screenshot showing how to view the compliance report for the key expiration built-in policy

لجعل حساب التخزين متوافقًا، قم بتدوير مفاتيح الوصول إلى الحساب.

الخطوات التالية