Información sobre las claves de cuenta de almacenamiento
Muchos de los datos de Contoso son generados o usados por aplicaciones personalizadas. Las aplicaciones están escritas en distintos lenguajes.
Las cuentas de Azure Storage pueden crear aplicaciones autorizadas en Active Directory para controlar el acceso a los datos de blobs y colas. Este método de autenticación es la mejor solución para las aplicaciones que usan Blob Storage o Queue Storage.
Para otros modelos de almacenamiento, los clientes pueden usar una clave compartida o un secreto compartido. Esta opción de autenticación es una de las más fáciles de usar y, además, admite blobs, archivos, colas y tablas. El cliente inserta la clave compartida en el encabezado Authorization HTTP de cada solicitud y la cuenta de almacenamiento la valida.
Por ejemplo, una aplicación puede emitir una solicitud GET en un recurso de blob:
GET http://myaccount.blob.core.windows.net/?restype=service&comp=stats
Los encabezados HTTP controlan la versión de la API de REST, la fecha y la clave compartida codificada:
x-ms-version: 2018-03-28
Date: Wed, 23 Oct 2018 21:00:44 GMT
Authorization: SharedKey myaccount:CY1OP3O3jGFpYFbTCBimLn0Xov0vt0khH/E5Gy0fXvg=
Claves de cuenta de almacenamiento
En las cuentas de Azure Storage, las claves compartidas se denominan claves de cuenta de almacenamiento. Azure crea dos de estas claves (principal y secundaria) para cada cuenta de almacenamiento que se crea. Las claves dan acceso a todo lo que hay en la cuenta.
Las claves de cuenta de almacenamiento se encuentran en la vista de la cuenta de almacenamiento de Azure Portal. En el panel de menús de la izquierda de la cuenta de almacenamiento, seleccione Seguridad y redes>Claves de acceso.
Protección de claves compartidas
La cuenta de almacenamiento solo tiene dos claves que proporcionan acceso completo a la cuenta. Dado el poder de estas claves, úselas solamente con aplicaciones internas de confianza que controle por completo.
Si las claves están en peligro, cambie los valores de clave en Azure Portal. Estas son algunas otras razones para volver a generar las claves de la cuenta de almacenamiento:
- Por motivos de seguridad, podría volver a generar las claves periódicamente.
- Si alguien piratea una aplicación y obtiene la clave codificada de forma rígida o guardada en un archivo de configuración, vuelva a generar la clave. La clave en peligro puede dar al hacker acceso completo a la cuenta de almacenamiento.
- Si el equipo usa una aplicación del Explorador de Storage que conserva la clave de la cuenta de almacenamiento y uno de los miembros abandona el equipo, vuelva a generar la clave. De lo contrario, la aplicación sigue funcionando, dando acceso a ese antiguo miembro del equipo a la cuenta de almacenamiento.
Para actualizar claves:
- Cambie cada aplicación de confianza para usar la clave secundaria.
- Actualice la clave principal en Azure Portal. Este será el valor nuevo de clave secundaria.
Importante
Una vez actualizadas las claves, se rechazará a cualquier cliente que intente usar el valor de clave antiguo. Asegúrese de identificar a todos los clientes que usen la clave compartida y de actualizarlos para mantenerlos operativos.