Verwalten von Speicherkonto-ZugriffsschlüsselnManage storage account access keys

Wenn Sie ein Speicherkonto erstellen, generiert Azure zwei 512-Bit-Speicherkonto-Zugriffsschlüssel.When you create a storage account, Azure generates two 512-bit storage account access keys. Mit diesen Schlüsseln können Sie den Zugriff auf Daten in Ihrem Speicherkonto per gemeinsam verwendetem Schlüssel autorisieren.These keys can be used to authorize access to data in your storage account via Shared Key authorization.

Microsoft empfiehlt die Verwendung von Azure Key Vault zum Verwalten Ihrer Zugriffsschlüssel sowie ein regelmäßiges Rotieren und Neugenerieren Ihrer Schlüssel.Microsoft recommends that you use Azure Key Vault to manage your access keys, and that you regularly rotate and regenerate your keys. Mit Azure Key Vault können Sie die Schlüssel auf einfache Weise rotieren, ohne dass Ihre Anwendungen unterbrochen werden.Using Azure Key Vault makes it easy to rotate your keys without interruption to your applications. Sie können Ihre Schlüssel auch manuell rotieren.You can also manually rotate your keys.

Schützen Ihrer ZugriffsschlüsselProtect your access keys

Ihre Speicherkonto-Zugriffsschlüssel ähneln einem Stammkennwort für das Speicherkonto.Your storage account access keys are similar to a root password for your storage account. Achten Sie darauf, die Zugriffsschlüssel immer gut zu schützen.Always be careful to protect your access keys. Verwenden Sie Azure Key Vault zum sicheren Verwalten und Rotieren Ihrer Schlüssel.Use Azure Key Vault to manage and rotate your keys securely. Geben Sie Zugriffsschlüssel nicht an andere Benutzer weiter, vermeiden Sie das Hartcodieren, und speichern Sie die Schlüssel nicht als Klartext, auf den andere Benutzer Zugriff haben.Avoid distributing access keys to other users, hard-coding them, or saving them anywhere in plain text that is accessible to others. Rotieren Sie die Schlüssel, wenn Sie glauben, dass sie möglicherweise gefährdet sind.Rotate your keys if you believe they may have been compromised.

Hinweis

Microsoft empfiehlt nach Möglichkeit die Verwendung von Azure Active Directory (Azure AD) zum Autorisieren von Anforderungen an Blob- und Warteschlangendaten anstelle eines gemeinsam verwendeten Schlüssels.Microsoft recommends using Azure Active Directory (Azure AD) to authorize requests against blob and queue data if possible, instead of Shared Key. Azure AD bietet überlegene Sicherheit und Benutzerfreundlichkeit gegenüber dem gemeinsam verwendeten Schüssel.Azure AD provides superior security and ease of use over Shared Key. Weitere Informationen zur Autorisierung des Datenzugriffs mit Azure AD finden Sie unter Autorisieren des Zugriffs auf Azure-Blobs und -Warteschlangen mit Azure Active Directory.For more information about authorizing access to data with Azure AD, see Authorize access to Azure blobs and queues using Azure Active Directory.

Anzeigen von KontozugriffsschlüsselnView account access keys

Sie können Ihre Kontozugriffsschlüssel mit dem Azure-Portal, PowerShell oder der Azure CLI anzeigen und kopieren.You can view and copy your account access keys with the Azure portal, PowerShell, or Azure CLI. Das Azure-Portal stellt auch eine Verbindungszeichenfolge für Ihr Speicherkonto bereit, die Sie kopieren können.The Azure portal also provides a connection string for your storage account that you can copy.

Führen Sie folgende Schritte durch, um die Zugriffsschlüssel oder Verbindungszeichenfolge Ihres Speicherkontos aus dem Azure-Portal anzuzeigen oder zu kopieren:To view and copy your storage account access keys or connection string from the Azure portal:

  1. Navigieren Sie zum Speicherkonto im Azure-Portal.Navigate to your storage account in the Azure portal.

  2. Wählen Sie unter Einstellungen die Option Zugriffsschlüssel aus.Under Settings, select Access keys. Daraufhin werden Ihre Zugriffsschlüssel zusammen mit der jeweiligen vollständigen Verbindungszeichenfolge angezeigt.Your account access keys appear, as well as the complete connection string for each key.

  3. Suchen Sie unter key1 nach dem Wert für Schlüssel, und klicken Sie dann auf die Schaltfläche zum Kopieren, um den Kontoschlüssel zu kopieren.Locate the Key value under key1, and click the Copy button to copy the account key.

  4. Alternativ können Sie die gesamte Verbindungszeichenfolge kopieren.Alternately, you can copy the entire connection string. Suchen Sie unter key1 nach dem Wert für die Verbindungszeichenfolge, und klicken Sie dann auf die Schaltfläche Kopieren, um die Verbindungszeichenfolge zu kopieren.Find the Connection string value under key1, and click the Copy button to copy the connection string.

    Screenshot, der zeigt, wie Sie Zugriffsschlüssel im Azure-Portal anzeigen

Sie können jeden der beiden Schlüssel verwenden, um auf Azure Storage zuzugreifen. Im Allgemeinen empfiehlt es sich jedoch, den ersten Schlüssel zu verwenden und den zweiten Schlüssel zur Verwendung bei der Rotation von Schlüsseln zu reservieren.You can use either of the two keys to access Azure Storage, but in general it's a good practice to use the first key, and reserve the use of the second key for when you are rotating keys.

Zum Anzeigen oder Lesen der Zugriffsschlüssel eines Kontos muss der Benutzer entweder ein Dienstadministrator sein oder ihm muss eine Azure-Rolle zugewiesen sein, die Microsoft.Storage/storageAccounts/listkeys/action enthält.To view or read an account's access keys, the user must either be a Service Administrator, or must be assigned an Azure role that includes the Microsoft.Storage/storageAccounts/listkeys/action. Einige integrierte Azure-Rollen, die diese Aktion beinhalten, sind Besitzer, Mitwirkender und die Dienstrolle Speicherkonto-Schlüsseloperator.Some Azure built-in roles that include this action are the Owner, Contributor, and Storage Account Key Operator Service Role roles. Weitere Informationen zur Dienstadministratorrolle finden Sie unter Administratorrollen für klassische Abonnements, Azure-Rollen und Azure AD-Rollen.For more information about the Service Administrator role, see Classic subscription administrator roles, Azure roles, and Azure AD roles. Ausführliche Informationen zu integrierten Rollen für Azure Storage finden Sie im Artikel In Azure integrierte Rollen für Azure RBAC im Abschnitt Storage.For detailed information about built-in roles for Azure Storage, see the Storage section in Azure built-in roles for Azure RBAC.

Verwenden von Azure Key Vault zum Verwalten Ihrer ZugriffsschlüsselUse Azure Key Vault to manage your access keys

Microsoft empfiehlt die Verwendung von Azure Key Vault zum Verwalten und Rotieren Ihrer Zugriffsschlüssel.Microsoft recommends using Azure Key Vault to manage and rotate your access keys. Ihre Anwendung kann auf sichere Weise auf die Schlüssel in Key Vault zugreifen, sodass Sie diese nicht mit dem Anwendungscode speichern müssen.Your application can securely access your keys in Key Vault, so that you can avoid storing them with your application code. Weitere Informationen zur Verwendung von Key Vault für die Schlüsselverwaltung finden Sie in den folgenden Artikeln:For more information about using Key Vault for key management, see the following articles:

Manuelles Rotieren von ZugriffsschlüsselnManually rotate access keys

Microsoft empfiehlt, Ihre Zugriffsschlüssel regelmäßig zu rotieren, um die Sicherheit Ihres Speicherkontos zu gewährleisten.Microsoft recommends that you rotate your access keys periodically to help keep your storage account secure. Verwenden Sie nach Möglichkeit Azure Key Vault zum Verwalten Ihrer Zugriffsschlüssel.If possible, use Azure Key Vault to manage your access keys. Wenn Sie Key Vault nicht verwenden, müssen Sie die Schlüssel manuell rotieren.If you are not using Key Vault, you will need to rotate your keys manually.

Es werden zwei Zugriffsschlüssel zugewiesen, sodass Sie Ihre Schlüssel rotieren können.Two access keys are assigned so that you can rotate your keys. Durch das Vorhandensein von zwei Schlüsseln ist sichergestellt, dass der Zugriff Ihrer Anwendung auf Azure Storage während des Prozesses erhalten bleibt.Having two keys ensures that your application maintains access to Azure Storage throughout the process.

Warnung

Das erneute Generieren Ihrer Zugriffsschlüssel kann sich auf Anwendungen oder Azure-Dienste auswirken, die von dem Speicherkontoschlüssel abhängig sind.Regenerating your access keys can affect any applications or Azure services that are dependent on the storage account key. Alle Clients, die den Kontoschlüssel verwenden, um auf das Speicherkonto zuzugreifen, müssen aktualisiert werden, damit der neue Schlüssel verwendet wird, einschließlich Media Services, Cloud-, Desktop- und mobiler Anwendungen sowie grafischer Benutzeroberflächenanwendungen für Azure Storage wie Azure Storage-Explorer.Any clients that use the account key to access the storage account must be updated to use the new key, including media services, cloud, desktop and mobile applications, and graphical user interface applications for Azure Storage, such as Azure Storage Explorer.

Gehen Sie wie folgt vor, um Ihre Speicherkonto-Zugriffsschlüssel im Azure-Portal zu rotieren:To rotate your storage account access keys in the Azure portal:

  1. Aktualisieren Sie die Verbindungszeichenfolgen im Anwendungscode, sodass sie auf den sekundären Zugriffsschlüssel des Speicherkontos verweisen.Update the connection strings in your application code to reference the secondary access key for the storage account.
  2. Navigieren Sie zum Speicherkonto im Azure-Portal.Navigate to your storage account in the Azure portal.
  3. Wählen Sie unter Einstellungen die Option Zugriffsschlüssel aus.Under Settings, select Access keys.
  4. Klicken Sie auf die Schaltfläche Neu generieren neben dem primären Zugriffsschlüssel, um den primären Zugriffsschlüssel für Ihr Speicherkonto neu zu generieren.To regenerate the primary access key for your storage account, select the Regenerate button next to the primary access key.
  5. Aktualisieren Sie die Verbindungszeichenfolgen in Ihrem Code, um auf den neuen primären Zugriffsschlüssel zu verweisen.Update the connection strings in your code to reference the new primary access key.
  6. Generieren Sie den sekundären Zugriffsschlüssel auf die gleiche Weise neu.Regenerate the secondary access key in the same manner.

Hinweis

Es wird empfohlen, in allen Ihren Anwendungen jeweils nur einen Schlüssel gleichzeitig zu verwenden.Microsoft recommends using only one of the keys in all of your applications at the same time. Wenn Sie „Key 1“ an einigen Stellen und „Key 2“ an anderen verwenden, können Sie die Verwendung der Schlüssel nicht wechseln, ohne dass einige Anwendungen den Zugriff verlieren.If you use Key 1 in some places and Key 2 in others, you will not be able to rotate your keys without some application losing access.

Zum Rotieren der Zugriffsschlüssel eines Kontos muss der Benutzer entweder ein Dienstadministrator sein oder ihm muss eine Azure-Rolle zugewiesen sein, die Microsoft.Storage/storageAccounts/regeneratekey/action enthält.To rotate an account's access keys, the user must either be a Service Administrator, or must be assigned an Azure role that includes the Microsoft.Storage/storageAccounts/regeneratekey/action. Einige integrierte Azure-Rollen, die diese Aktion beinhalten, sind Besitzer, Mitwirkender und die Dienstrolle Speicherkonto-Schlüsseloperator.Some Azure built-in roles that include this action are the Owner, Contributor, and Storage Account Key Operator Service Role roles. Weitere Informationen zur Dienstadministratorrolle finden Sie unter Administratorrollen für klassische Abonnements, Azure-Rollen und Azure AD-Rollen.For more information about the Service Administrator role, see Classic subscription administrator roles, Azure roles, and Azure AD roles. Ausführliche Informationen zu integrierten Azure-Rollen für Azure Storage finden Sie im Artikel In Azure integrierte Rollen für Azure RBAC im Abschnitt Storage.For detailed information about Azure built-in roles for Azure Storage, see the Storage section in Azure built-in roles for Azure RBAC.

Nächste SchritteNext steps