Lejárati szabályzat konfigurálása közös hozzáférésű jogosultságkódokhoz

  • Cikk

Közös hozzáférésű jogosultságkód (SAS) használatával delegálhatja az Azure Storage-fiókjában lévő erőforrásokhoz való hozzáférést. Az SAS-jogkivonat tartalmazza a célzott erőforrást, a megadott engedélyeket és a hozzáférés engedélyezésének időtartamát. Az ajánlott eljárások azt javasolják, hogy korlátozza az SAS-hez tartozó időközt, ha az sérült. A tárfiókok SAS-lejárati szabályzatának beállításával megadhat egy ajánlott felső lejárati korlátot, amikor egy felhasználó létrehoz egy szolgáltatás SAS-t vagy egy fiók SAS-t.

A megosztott hozzáférésű jogosultságkódokkal kapcsolatos további információkért lásd : Korlátozott hozzáférés biztosítása az Azure Storage-erőforrásokhoz közös hozzáférésű jogosultságkódok (SAS) használatával.

Tudnivalók az SAS lejárati szabályzatairól

A tárfiókon sas-lejárati szabályzatot konfigurálhat. Az SAS lejárati szabályzata meghatározza a szolgáltatás SAS-jén vagy fiók SAS-jén az aláírt lejárati mező ajánlott felső korlátját. Az ajánlott felső korlát dátum/idő értékként van megadva, amely a napok, órák, percek és másodpercek együttes száma.

Az SAS érvényességi időközét úgy számítjuk ki, hogy kivonjuk az aláírt kezdő mező dátum/idő értékét az aláírt lejárati mező dátum/idő értékéből. Ha az eredményként kapott érték kisebb vagy egyenlő az ajánlott felső korlátnál, akkor az SAS megfelel az SAS lejárati szabályzatának.

Az SAS lejárati szabályzatának konfigurálása után minden olyan felhasználó, aki a javasolt felső korlátot meghaladó időközzel hoz létre szolgáltatás SAS-t vagy fiók SAS-t, figyelmeztetés jelenik meg.

Az SAS lejárati szabályzata nem akadályozza meg, hogy a felhasználó olyan SAS-t hozzon létre, amely lejárati ideje meghaladja a szabályzat által javasolt korlátot. Amikor egy felhasználó olyan SAS-t hoz létre, amely megsérti a szabályzatot, figyelmeztetés jelenik meg a javasolt maximális időközzel együtt. Ha diagnosztikai beállítást konfigurált a naplózáshoz az Azure Monitorral, akkor az Azure Storage üzenetet ír a naplók SasExpiryStatus tulajdonságának, amikor egy felhasználó olyan SAS-t használ , amely az ajánlott időköz után lejár. Az üzenet azt jelzi, hogy az SAS érvényességi időköze meghaladja az ajánlott időközt.

Ha sas-lejárati szabályzat van érvényben a tárfiókra vonatkozóan, az aláírt kezdő mező minden SAS-hez kötelező. Ha az aláírt kezdő mező nem szerepel az SAS-ben, és beállított egy diagnosztikai beállítást a naplózáshoz az Azure Monitorral, akkor az Azure Storage üzenetet ír a naplók SasExpiryStatus tulajdonságába, amikor egy felhasználó az aláírt kezdő mező értéke nélkül használ SAS-t.

SAS-lejárati szabályzat konfigurálása

Amikor sas-lejárati szabályzatot konfigurál egy tárfiókon, a szabályzat minden olyan SAS-típusra vonatkozik, amely a fiókkulcsgal van aláírva. A fiókkulccsal aláírt közös hozzáférésű jogosultságkódok típusai a szolgáltatás SAS és a fiók sasa.

Először el kell forgatnom a fiók hozzáférési kulcsait?

Mielőtt konfigurálhatná az SAS lejárati szabályzatát, előfordulhat, hogy legalább egyszer el kell forgatnia az egyes fiókhozzáférés-kulcsokat. Ha a tárfiók keyCreationTime tulajdonsága null értékkel rendelkezik a fiók egyik hozzáférési kulcsához (key1 és key2), el kell forgatnia őket. Annak megállapításához, hogy a keyCreationTime tulajdonság null értékű-e, tekintse meg a tárfiók fiókhozzáférési kulcsainak létrehozási idejét. Ha sas-lejárati szabályzatot próbál konfigurálni, és a kulcsokat először el kell forgatni, a művelet meghiúsul.

SAS-lejárati szabályzat konfigurálása

Sas-lejárati szabályzatot az Azure Portal, a PowerShell vagy az Azure CLI használatával konfigurálhat.

Sas-lejárati szabályzat azure portalon való konfigurálásához kövesse az alábbi lépéseket:

  1. Az Azure Portalon nyissa meg a tárfiókot.

  2. A Beállítások területen válassza a Konfiguráció elemet.

  3. Keresse meg a közös hozzáférésű jogosultságkód (SAS) lejárati időközének ajánlott felső korlátjának engedélyezése beállítást, és állítsa be engedélyezve értékre.

    Megjegyzés:

    Ha a beállítás szürkítve jelenik meg, és az alábbi képen látható üzenet jelenik meg, akkor mindkét fiók hozzáférési kulcsát el kell forgatnia, mielőtt beállíthatja az SAS lejárati időközi értékeinek javasolt felső korlátját:

    Screenshot showing the option to configure a SAS expiration policy is grayed out in the Azure portal.

  4. Adja meg az SAS lejárati időközének ajánlott felső korlátja alatt megadott időértékeket a tárfiók erőforrásain létrehozott új közös hozzáférésű jogosultságkódok javasolt időközéhez.

    Screenshot showing how to configure a SAS expiration policy in the Azure portal.

  5. Válassza a Mentés lehetőséget a módosítások mentéséhez.

Szabályzatsértések lekérdezési naplói

Ha az SAS lejárati szabályzata által javasoltnál hosszabb időközönként érvényes SAS használatát szeretné naplózni, először hozzon létre egy diagnosztikai beállítást, amely naplókat küld egy Azure Log Analytics-munkaterületre. További információ: Naplók küldése az Azure Log Analyticsbe.

Ezután egy Azure Monitor-napló lekérdezés használatával figyelje meg, hogy megsértették-e a szabályzatot. Hozzon létre egy új lekérdezést a Log Analytics-munkaterületen, adja hozzá a következő lekérdezési szöveget, és nyomja le a Futtatás billentyűt.

StorageBlobLogs 
| where SasExpiryStatus startswith "Policy violated"
| summarize count() by AccountName, SasExpiryStatus

A megfelelőség monitorozása beépített szabályzat használatával

A tárfiókokat az Azure Policy használatával figyelheti, hogy az előfizetés tárfiókja konfigurálta-e az SAS lejárati szabályzatait. Az Azure Storage beépített szabályzatot biztosít annak biztosítására, hogy a fiókok konfigurálják ezt a beállítást. A beépített szabályzattal kapcsolatos további információkért lásd: A tárfiókoknak a beépített szabályzatdefiníciók listájában konfigurált közös hozzáférésű jogosultságkóddal (SAS) kell rendelkezniük.

Erőforrás-hatókör beépített szabályzatának hozzárendelése

Az alábbi lépéseket követve rendelje hozzá a beépített szabályzatot a megfelelő hatókörhöz az Azure Portalon:

  1. Az Azure Portalon keresse meg a Szabályzatot az Azure Policy irányítópult megjelenítéséhez.

  2. A Szerzői szakaszban válassza a Hozzárendelések lehetőséget.

  3. Válassza a Szabályzat hozzárendelése lehetőséget.

  4. A Szabályzat hozzárendelése lap Alapismeretek lapján, a Hatókör szakaszban adja meg a szabályzat-hozzárendelés hatókörét. Válassza a Továbbiak gombot az előfizetés és az opcionális erőforráscsoport kiválasztásához.

  5. A Szabályzatdefiníció mezőnél válassza az Egyebek gombot, és írja be a tárfiókkulcsokat a Keresés mezőbe. Válassza ki a Tárfiókkulcsok nevű szabályzatdefiníciót.

    Screenshot showing how to select the built-in policy to monitor validity intervals for shared access signatures for your storage accounts

  6. Válassza a Véleményezés + létrehozás lehetőséget a szabályzatdefiníciónak a megadott hatókörhöz való hozzárendeléséhez.

    Screenshot showing how to create the policy assignment

A kulcs lejárati szabályzatának megfelelőségének figyelése

A tárfiókok a kulcs lejárati szabályzatának való megfelelés figyeléséhez kövesse az alábbi lépéseket:

  1. Az Azure Policy irányítópultján keresse meg a szabályzat-hozzárendelésben megadott hatókör beépített szabályzatdefinícióját. Storage accounts should have shared access signature (SAS) policies configured A keresőmezőben kereshet a beépített szabályzat szűréséhez.

  2. Válassza ki a kívánt hatókörrel rendelkező szabályzatnevet.

  3. A beépített szabályzat Szabályzat-hozzárendelés lapján válassza a Megfelelőség megtekintése lehetőséget. A megadott előfizetésben és erőforráscsoportban található olyan tárfiókok, amelyek nem felelnek meg a szabályzatkövetelményeknek, megjelennek a megfelelőségi jelentésben.

    Screenshot showing how to view the compliance report for the SAS expiration built-in policy

A tárfiók megfelelőségének biztosításához konfiguráljon egy SAS-lejárati szabályzatot az adott fiókhoz, az SAS lejárati szabályzatának konfigurálása című szakaszban leírtak szerint.

Kapcsolódó információk