Tárfiók hozzáférési kulcsának kezelése

Cikk
07/19/2022
10 perc alatt elolvasható

Tárfiók létrehozásakor az Azure két 512 bites tárfiók-hozzáférési kulcsot hoz létre az adott fiókhoz. Ezekkel a kulcsokkal engedélyezheti a tárfiókban lévő adatokhoz való hozzáférést megosztott kulcsok engedélyezésén keresztül.

A Microsoft azt javasolja, hogy az Azure Key Vault használatával kezelje a hozzáférési kulcsokat, és rendszeresen forgassa el és hozza létre újra a kulcsokat. Az Azure Key Vault használatával egyszerűen elforgathatja a kulcsokat az alkalmazások megszakítása nélkül. A kulcsokat manuálisan is elforgathatja.

A hozzáférési kulcsok védelme

A tárfiók hozzáférési kulcsai hasonlóak a tárfiók gyökérjelszójához. Mindig legyen óvatos a hozzáférési kulcsok védelme érdekében. Az Azure Key Vault használatával biztonságosan kezelheti és elforgathatja a kulcsokat. Ne ossza el a hozzáférési kulcsokat más felhasználókkal, ne kódolódjon rajtuk, és ne mentse őket más felhasználók számára hozzáférhető egyszerű szövegben. Forgassa el a kulcsokat, ha úgy véli, hogy illetéktelen kezekbe kerültek.

Megjegyzés

A Microsoft az Azure Active Directory (Azure AD) használatát javasolja a blob- és üzenetsoradatokra irányuló kérések engedélyezéséhez, ha lehetséges, a fiókkulcsok használata helyett (megosztott kulcs engedélyezése). Az Azure AD-vel történő engedélyezés kiváló biztonságot és egyszerű használatot biztosít a megosztott kulcsos hitelesítéssel szemben.

Az Azure Storage-fiók Azure AD feltételes hozzáférési szabályzatokkal való védelméhez le kell tiltania a tárfiók megosztott kulcsos engedélyezését. A megosztott kulcs engedélyezésének letiltásáról további információt az Azure Storage-fiók megosztott kulcsos hitelesítésének megakadályozása című témakörben talál.

Fiókelérési kulcsok megtekintése

A fiók hívóbetűi az Azure Portalon, a PowerShellben vagy az Azure CLI-ben tekinthetők meg és másolhatók. Az Azure Portal egy olyan kapcsolati sztringet is biztosít a tárfiókhoz, amelyet másolhat.

A tárfiók hozzáférési kulcsainak vagy kapcsolati sztringjének megtekintése és másolása az Azure Portalról:

Az Azure Portalon nyissa meg a tárfiókját.
A Biztonság + hálózatkezelés területen válassza a Hozzáférési kulcsok lehetőséget. Megjelennek a fiókhoz tartozó hozzáférési kulcsok, valamint az egyes kulcsokhoz tartozó kapcsolati sztringek.
Válassza a Kulcsok megjelenítése lehetőséget a hozzáférési kulcsok és a kapcsolati sztringek megjelenítéséhez, valamint az értékek másolásához szükséges gombok engedélyezéséhez.
Az 1. kulcs alatt keresse meg a kulcs értékét. Kattintson a Másolás gombra a fiókkulcs másolásához.
Másik lehetőségként átmásolhatja a teljes kapcsolati sztringet. Az 1. kulcs alatt keresse meg a kapcsolati sztring értékét. A kapcsolati sztring másolásához kattintson a Másolás gombra.

Ha a PowerShell-lel szeretné lekérni a fiók hozzáférési kulcsait, hívja meg a Get-AzStorageAccountKey parancsot.

Az alábbi példa lekéri az első kulcsot. A második kulcs lekéréséhez használja Value[1] a következő helyett Value[0]: . Ne felejtse el lecserélni a szögletes zárójelben lévő helyőrző értékeket a saját értékeire.

$storageAccountKey = `
    (Get-AzStorageAccountKey
    -ResourceGroupName <resource-group> `
    -Name <storage-account>).Value[0]

Ha az Azure CLI-vel szeretné listázni a fiók hozzáférési kulcsait, hívja meg az az storage account keys list parancsot az alábbi példában látható módon. Ne felejtse el lecserélni a szögletes zárójelben lévő helyőrző értékeket a saját értékeire.

az storage account keys list \
  --resource-group <resource-group> \
  --account-name <storage-account>

A két kulcs bármelyikével hozzáférhet az Azure Storage-hoz, de általában ajánlott az első kulcsot használni, és a második kulcs használatát lefoglalni a kulcsok forgatásakor.

A fiók hozzáférési kulcsainak megtekintéséhez vagy olvasásához a felhasználónak szolgáltatásadminisztrátornak kell lennie, vagy hozzá kell rendelnie egy Olyan Azure-szerepkört, amely tartalmazza a Microsoft.Storage/storageAccounts/listkeys/action műveletet. Az Azure néhány beépített szerepköre, amely tartalmazza ezt a műveletet, a tulajdonos, a közreműködő és a tárfiókkulcs-kezelő szolgáltatásszerepköre . A szolgáltatásadminisztrátori szerepkörrel kapcsolatos további információkért tekintse meg a klasszikus előfizetés-rendszergazdai szerepköröket, az Azure-szerepköröket és az Azure AD-szerepköröket. Az Azure Storage beépített szerepköreivel kapcsolatos részletes információkért tekintse meg az Azure RBAC beépített Azure-szerepköreinek Storage szakaszát.

Az Azure Key Vault használata a hozzáférési kulcsok kezeléséhez

A Microsoft az Azure Key Vault használatát javasolja a hozzáférési kulcsok kezeléséhez és elforgatásához. Az alkalmazás biztonságosan hozzáférhet a kulcsokhoz a Key Vaultban, így nem tárolhatja őket az alkalmazás kódjával. A Key Vault kulcskezeléshez való használatáról az alábbi cikkekben talál további információt:

Hozzáférési kulcsok manuális elforgatása

A Microsoft azt javasolja, hogy a tárfiók biztonsága érdekében rendszeresen forgassa el a hozzáférési kulcsokat. Ha lehetséges, használja az Azure Key Vaultot a hozzáférési kulcsok kezeléséhez. Ha nem a Key Vaultot használja, manuálisan kell elforgatnia a kulcsokat.

Két hívóbetű van hozzárendelve, hogy el tudja forgatni a kulcsokat. A két kulcs biztosítja, hogy az alkalmazás a folyamat során is hozzáférjen az Azure Storage-hoz.

Figyelmeztetés

A hozzáférési kulcsok újragenerálása hatással lehet a tárfiókkulcstól függő bármely alkalmazásra vagy Azure-szolgáltatásra. Minden olyan ügyfelet, amely a tárfiók eléréséhez használja a fiókkulcsot, frissíteni kell az új kulcs használatához, beleértve a médiaszolgáltatásokat, a felhőbeli, asztali és mobilalkalmazásokat, valamint az Azure Storage grafikus felhasználói felületi alkalmazásokat, például az Azure Storage Explorert.

Ha manuálisan szeretné elforgatni a hozzáférési kulcsokat, a Microsoft azt javasolja, hogy állítson be egy kulcslejárati szabályzatot. További információ: Kulcs lejárati szabályzatának létrehozása.

A kulcslejárati szabályzat létrehozása után az Azure Policy használatával figyelheti, hogy a tárfiók kulcsait a javasolt időtartamon belül elforgatták-e. További részletekért lásd: A kulcs lejárati szabályzatának megsértéseinek ellenőrzése.

A tárfiók hozzáférési kulcsainak elforgatása az Azure Portalon:

Frissítse az alkalmazáskódban található kapcsolati sztringeket, hogy hivatkozzon a tárfiók másodlagos hozzáférési kulcsára.
Lépjen a tárfiókhoz az Azure Portalon.
A Biztonság + hálózatkezelés területen válassza a Hozzáférési kulcsok lehetőséget.
A tárfiók elsődleges hozzáférési kulcsának újragenerálásához válassza az elsődleges hozzáférési kulcs melletti Regenerate gombot.
Frissítse a kapcsolati sztringeket a kódban, hogy az új elsődleges tárhozzáférési kulcsra hivatkozzanak.
Hasonló módon állítsa elő újra a másodlagos hozzáférési kulcsot.

A tárfiók hozzáférési kulcsának elforgatása a PowerShell-lel:

Frissítse az alkalmazáskódban található kapcsolati sztringeket, hogy hivatkozzon a tárfiók másodlagos hozzáférési kulcsára.
Hívja meg a New-AzStorageAccountKey parancsot az elsődleges hozzáférési kulcs újragenerálásához az alábbi példában látható módon:
```
New-AzStorageAccountKey -ResourceGroupName <resource-group> `
  -Name <storage-account> `
  -KeyName key1
```
Frissítse a kapcsolati sztringeket a kódban, hogy az új elsődleges tárhozzáférési kulcsra hivatkozzanak.
Hasonló módon állítsa elő újra a másodlagos hozzáférési kulcsot. A másodlagos kulcs újragenerálásához használja kulcsnévként ahelyett, hogy a következőt használná key2key1: .

A tárfiók hozzáférési kulcsainak elforgatása az Azure CLI-vel:

Frissítse az alkalmazáskódban található kapcsolati sztringeket, hogy hivatkozzon a tárfiók másodlagos hozzáférési kulcsára.
Hívja meg az az storage account keys renew parancsot az elsődleges hozzáférési kulcs újragenerálásához az alábbi példában látható módon:
```
az storage account keys renew \
  --resource-group <resource-group> \
  --account-name <storage-account> \
  --key primary
```
Frissítse a kapcsolati sztringeket a kódban, hogy az új elsődleges tárhozzáférési kulcsra hivatkozzanak.
Hasonló módon állítsa elő újra a másodlagos hozzáférési kulcsot. A másodlagos kulcs újragenerálásához használja kulcsnévként ahelyett, hogy a következőt használná secondaryprimary: .

Figyelemfelhívás

A Microsoft azt javasolja, hogy egyszerre csak az egyik kulcsot használja az összes alkalmazásban. Ha egyes helyeken az 1- és a 2. kulcsot használja, nem fogja tudni elforgatni a kulcsokat anélkül, hogy egyes alkalmazások elveszítenék a hozzáférésüket.

A fiók hozzáférési kulcsainak elforgatásához a felhasználónak szolgáltatásadminisztrátornak kell lennie, vagy olyan Azure-szerepkört kell hozzárendelnie, amely tartalmazza a Microsoft.Storage/storageAccounts/regeneratekey/action műveletet. Az Azure néhány beépített szerepköre, amely tartalmazza ezt a műveletet, a tulajdonos, a közreműködő és a tárfiókkulcs-kezelő szolgáltatásszerepköre . A szolgáltatásadminisztrátori szerepkörrel kapcsolatos további információkért tekintse meg a klasszikus előfizetés-rendszergazdai szerepköröket, az Azure-szerepköröket és az Azure AD-szerepköröket. Az Azure-beli beépített Azure-szerepkörökről az Azure RBAC-hez készült Beépített Azure-szerepkörök storage szakaszában talál részletes információkat.

Kulcs lejárati szabályzatának létrehozása

A kulcslejárati szabályzat lehetővé teszi, hogy emlékeztetőt állítson be a fiók hozzáférési kulcsainak rotálására. Az emlékeztető akkor jelenik meg, ha a megadott időköz eltelt, és a kulcsok még nem forgottak el. A kulcslejárati szabályzat létrehozása után figyelheti a tárfiókok megfelelőségét, hogy a fiókelérési kulcsok rendszeres rotálása biztosított legyen.

Megjegyzés

A kulcslejárati szabályzat létrehozása előtt előfordulhat, hogy legalább egyszer el kell forgatnia az egyes fiók-hozzáférési kulcsokat.

Kulcs lejárati szabályzatának létrehozása az Azure Portalon:

Az Azure Portalon nyissa meg a tárfiókját.
A Biztonság + hálózatkezelés területen válassza a Hozzáférési kulcsok lehetőséget. Megjelennek a fiókhoz tartozó hozzáférési kulcsok, valamint az egyes kulcsokhoz tartozó kapcsolati sztringek.
Válassza a Forgatási emlékeztető beállítása gombot. Ha a Forgatás emlékeztető beállítása gomb szürkén jelenik meg, akkor az egyes kulcsokat el kell forgatnia. A kulcsok elforgatásához kövesse a elérésű kulcsok manuális elforgatásával kapcsolatos szakaszban leírt lépéseket.
Az Emlékeztető beállítása a hívóbetűk elforgatásához beállításnál jelölje be a Kulcsrotálási emlékeztetők engedélyezése jelölőnégyzetet, és adja meg az emlékeztető gyakoriságát.
Kattintson a Mentés gombra.

Screenshot showing how to create a key expiration policy in the Azure portal

Ha kulcslejárati szabályzatot szeretne létrehozni a PowerShell-lel, használja a Set-AzStorageAccount parancsot, és állítsa a -KeyExpirationPeriodInDay paramétert napokra a hozzáférési kulcs elforgatásáig.

A KeyCreationTime tulajdonság azt jelzi, hogy mikor lettek létrehozva vagy utoljára elforgatva a fiók hozzáférési kulcsai. Előfordulhat, hogy a régebbi fiókok null értékkel rendelkeznek a KeyCreationTime tulajdonsághoz, mert még nincs beállítva. Ha a KeyCreationTime tulajdonság értéke null, addig nem hozhat létre kulcslejárati szabályzatot, amíg el nem forgatja a kulcsokat. Ezért érdemes ellenőrizni a KeyCreationTime tárfiók tulajdonságát, mielőtt megkísérli beállítani a kulcs lejárati szabályzatát.

Az alábbi példa ellenőrzi, hogy a KeyCreationTime tulajdonság be van-e állítva az egyes kulcsokhoz. Ha a KeyCreationTime tulajdonság értéke van, akkor létrejön egy kulcs lejárati szabályzata a tárfiókhoz. Ne felejtse el lecserélni a szögletes zárójelben lévő helyőrző értékeket a saját értékeire.

$rgName = "<resource-group>"
$accountName = "<account-name>"

$account = Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName

# Check whether the KeyCreationTime property has a value for each key 
# before creating the key expiration policy.
if ($account.KeyCreationTime.Key1 -eq $null -or $account.KeyCreationTime.Key2 -eq $null)
{
    Write-Host("You must regenerate both keys at least once before setting expiration policy")
}
else
{
    $account = Set-AzStorageAccount -ResourceGroupName $rgName -Name `
        $accountName  -KeyExpirationPeriodInDay 60
}

A kulcslejárati szabályzatot tárfiók létrehozásakor is beállíthatja a -KeyExpirationPeriodInDayNew-AzStorageAccount parancs paraméterének beállításával.

A szabályzat alkalmazásának ellenőrzéséhez ellenőrizze a tárfiók tulajdonságát KeyPolicy .

$account.KeyPolicy

Ha kulcs lejárati szabályzatot szeretne létrehozni az Azure CLI-vel, használja az az storage account update parancsot, és állítsa a --key-exp-days paramétert napokra a hozzáférési kulcs elforgatásáig.

A keyCreationTime tulajdonság azt jelzi, hogy mikor lettek létrehozva vagy utoljára elforgatva a fiók hozzáférési kulcsai. Előfordulhat, hogy a régebbi fiókok null értékkel rendelkeznek a keyCreationTime tulajdonsághoz, mert még nincs beállítva. Ha a keyCreationTime tulajdonság értéke null, addig nem hozhat létre kulcslejárati szabályzatot, amíg el nem forgatja a kulcsokat. Ezért érdemes ellenőrizni a keyCreationTime tárfiók tulajdonságát, mielőtt megkísérli beállítani a kulcs lejárati szabályzatát.

Az alábbi példa ellenőrzi, hogy a keyCreationTime tulajdonság be van-e állítva az egyes kulcsokhoz. Ha a keyCreationTime tulajdonság értéke van, akkor létrejön egy kulcs lejárati szabályzata a tárfiókhoz. Ne felejtse el lecserélni a szögletes zárójelben lévő helyőrző értékeket a saját értékeire.

key1_create_time=$(az storage account show \
    --name <storage-account> \
    --resource-group <resource-group> \
    --query 'keyCreationTime.key1' \
    --output tsv)
key2_create_time=$(az storage account show \
    --name <storage-account> \
    --resource-group <resource-group> \
    --query 'keyCreationTime.key2' \
    --output tsv)

if [ -z "$key1_create_time" ] || [ -z "$key2_create_time" ]; 
then
    echo "You must regenerate both keys at least once before setting expiration policy"
else
    az storage account update \
        --name <storage-account> \
        --resource-group <resource-group> \
        --key-exp-days 60
fi

A kulcs lejárati szabályzatát a tárfiók létrehozásakor is beállíthatja az --key-exp-daysaz storage account create parancs paraméterének beállításával.

A szabályzat alkalmazásának ellenőrzéséhez hívja meg az az storage account show parancsot, és használja a paraméter sztringét {KeyPolicy:keyPolicy}-query .

az storage account show \
  -n <storage-account-name> \
  -g <resource-group-name> \
  --query "{KeyPolicy:keyPolicy}"

A kulcs lejárati ideje megjelenik a konzol kimenetében.

{
  "KeyPolicy": {
    "enableAutoRotation": false,
    "keyExpirationPeriodInDays": 60
  }
}

Kulcs lejárati szabályzatának megsértéseinek ellenőrzése

Az Azure Policyvel figyelheti a tárfiókokat, így meggyőződhet arról, hogy a fiók hozzáférési kulcsai az ajánlott időszakon belül el lettek forgatva. Az Azure Storage beépített szabályzattal biztosítja, hogy a tárfiók hozzáférési kulcsai ne legyenek lejártak. A beépített szabályzattal kapcsolatos további információkért lásd: A beépített szabályzatdefiníciók listájábana tárfiókkulcsok nem lehetnek lejártak.

A beépített szabályzat hozzárendelése egy erőforrás-hatókörhöz

Az alábbi lépéseket követve rendelje hozzá a beépített szabályzatot a megfelelő hatókörhöz az Azure Portalon:

Az Azure Portalon keresse meg a Policyt az Azure Policy irányítópultjának megjelenítéséhez.
A Szerzői műveletek szakaszban válassza a Hozzárendelések lehetőséget.
Válassza a Szabályzat hozzárendelése lehetőséget.
A Szabályzat hozzárendelése lap Alapvető beállítások lapján, a Hatókör szakaszban adja meg a szabályzat-hozzárendelés hatókörét. Válassza az Egyebek gombot az előfizetés és az opcionális erőforráscsoport kiválasztásához.
A Szabályzatdefiníció mezőnél válassza az Egyebek gombot, és írja be a tárfiókkulcsokat a Keresőmezőbe . Válassza ki a Tárfiókkulcsok nevű szabályzatdefiníciót.
Válassza az Áttekintés + létrehozás lehetőséget a szabályzatdefiníciónak a megadott hatókörhöz való hozzárendeléséhez.

A kulcs lejárati szabályzatának megfelelőségének figyelése

A tárfiókok kulcs lejárati szabályzatnak való megfelelésének figyeléséhez kövesse az alábbi lépéseket:

Az Azure Policy irányítópultján keresse meg a szabályzat-hozzárendelésben megadott hatókör beépített szabályzatdefinícióját. A beépített szabályzatra való szűréshez a Keresőmezőben nem lehet lejárt tárfiókkulcsokra keresni.
Válassza ki a szabályzat nevét a kívánt hatókörrel.
A beépített szabályzat Szabályzat-hozzárendelés lapján válassza a Megfelelőség megtekintése lehetőséget. A megfelelőségi jelentésben minden olyan tárfiók megjelenik a megfelelőségi jelentésben, amely nem felel meg a szabályzat követelményeinek a megadott előfizetésben és erőforráscsoportban.

A tárfiók megfelelőségének biztosításához forgassa el a fiók hozzáférési kulcsait.