Gestisci chiavi di accesso all'account di archiviazioneManage storage account access keys

Quando si crea un account di archiviazione, Azure genera due chiavi di accesso dell'account di archiviazione a 512 bit.When you create a storage account, Azure generates two 512-bit storage account access keys. Queste chiavi possono essere usate per autorizzare l'accesso ai dati nell'account di archiviazione tramite l'autorizzazione della chiave condivisa.These keys can be used to authorize access to data in your storage account via Shared Key authorization.

Microsoft consiglia di utilizzare Azure Key Vault per gestire le chiavi di accesso e di ruotare e rigenerare periodicamente le chiavi.Microsoft recommends that you use Azure Key Vault to manage your access keys, and that you regularly rotate and regenerate your keys. L'uso di Azure Key Vault rende più semplice ruotare le chiavi senza interruzioni delle applicazioni.Using Azure Key Vault makes it easy to rotate your keys without interruption to your applications. È anche possibile ruotare manualmente le chiavi.You can also manually rotate your keys.

Proteggere le chiavi di accessoProtect your access keys

La chiave di accesso dell'account di archiviazione è simile a una password radice per l'account di archiviazione.Your storage account access keys are similar to a root password for your storage account. Prestare sempre attenzione a proteggere le chiavi di accesso.Always be careful to protect your access keys. Usare Azure Key Vault per gestire e ruotare le chiavi in modo sicuro.Use Azure Key Vault to manage and rotate your keys securely. Evitare di distribuire chiavi di accesso ad altri utenti, codificarle a livello di codice o salvarle ovunque in testo normale accessibile ad altri utenti.Avoid distributing access keys to other users, hard-coding them, or saving them anywhere in plain text that is accessible to others. Ruotare le chiavi se si ritiene che potrebbero essere state compromesse.Rotate your keys if you believe they may have been compromised.

Nota

Microsoft consiglia di usare Azure Active Directory (Azure AD) per autorizzare le richieste sui dati di BLOB e di Accodamento, se possibile, invece della chiave condivisa.Microsoft recommends using Azure Active Directory (Azure AD) to authorize requests against blob and queue data if possible, instead of Shared Key. Azure AD offre sicurezza e facilità d'uso superiori rispetto alla chiave condivisa.Azure AD provides superior security and ease of use over Shared Key. Per altre informazioni su come autorizzare l'accesso ai dati con Azure AD, vedere autorizzare l'accesso a BLOB e code di Azure usando Azure Active Directory.For more information about authorizing access to data with Azure AD, see Authorize access to Azure blobs and queues using Azure Active Directory.

Visualizza chiavi di accesso all'accountView account access keys

È possibile visualizzare e copiare le chiavi di accesso dell'account con l'portale di Azure, PowerShell o l'interfaccia della riga di comando di Azure.You can view and copy your account access keys with the Azure portal, PowerShell, or Azure CLI. Il portale di Azure fornisce anche una stringa di connessione per l'account di archiviazione che è possibile copiare.The Azure portal also provides a connection string for your storage account that you can copy.

Per visualizzare e copiare le chiavi di accesso o la stringa di connessione dell'account di archiviazione dal portale di Azure:To view and copy your storage account access keys or connection string from the Azure portal:

  1. Passare all'account di archiviazione nell' portale di Azure.Navigate to your storage account in the Azure portal.

  2. In Impostazioni selezionare Chiavi di accesso.Under Settings, select Access keys. Verranno visualizzate le chiavi di accesso dell'account, con la stringa di connessione completa per ogni chiave.Your account access keys appear, as well as the complete connection string for each key.

  3. Individuare il valore della chiave in Key1e fare clic sul pulsante Copy (copia ) per copiare la chiave dell'account.Locate the Key value under key1, and click the Copy button to copy the account key.

  4. In alternativa, è possibile copiare l'intera stringa di connessione.Alternately, you can copy the entire connection string. Trovare il valore Stringa di connessione in key1 e fare clic sul pulsante Copia per copiare la stringa di connessione.Find the Connection string value under key1, and click the Copy button to copy the connection string.

    Screenshot che illustra come visualizzare le chiavi di accesso nel portale di Azure

È possibile usare una delle due chiavi per accedere ad archiviazione di Azure, ma in generale è consigliabile usare la prima chiave e riservare l'uso della seconda chiave per la rotazione delle chiavi.You can use either of the two keys to access Azure Storage, but in general it's a good practice to use the first key, and reserve the use of the second key for when you are rotating keys.

Per visualizzare o leggere le chiavi di accesso di un account, l'utente deve essere un amministratore del servizio oppure deve essere assegnato un ruolo di Azure che include Microsoft. storage/storageAccounts/listkeys/Action.To view or read an account's access keys, the user must either be a Service Administrator, or must be assigned an Azure role that includes the Microsoft.Storage/storageAccounts/listkeys/action. Alcuni ruoli predefiniti di Azure che includono questa azione sono i ruoli del ruolo del servizio operatore proprietario, collaboratoree chiave account di archiviazione.Some Azure built-in roles that include this action are the Owner, Contributor, and Storage Account Key Operator Service Role roles. Per altre informazioni sul ruolo di amministratore del servizio, vedere ruoli di amministratore della sottoscrizione classica, ruoli di Azure e ruoli di Azure ad.For more information about the Service Administrator role, see Classic subscription administrator roles, Azure roles, and Azure AD roles. Per informazioni dettagliate sui ruoli predefiniti per archiviazione di Azure, vedere la sezione archiviazione in ruoli predefinitidi Azure per il controllo degli accessi in base al ruolo di Azure.For detailed information about built-in roles for Azure Storage, see the Storage section in Azure built-in roles for Azure RBAC.

Usare Azure Key Vault per gestire le chiavi di accessoUse Azure Key Vault to manage your access keys

Microsoft consiglia di utilizzare Azure Key Vault per gestire e ruotare le chiavi di accesso.Microsoft recommends using Azure Key Vault to manage and rotate your access keys. L'applicazione può accedere in modo sicuro alle chiavi in Key Vault, in modo che sia possibile evitare di archiviarle con il codice dell'applicazione.Your application can securely access your keys in Key Vault, so that you can avoid storing them with your application code. Per ulteriori informazioni sull'utilizzo di Key Vault per la gestione delle chiavi, vedere gli articoli seguenti:For more information about using Key Vault for key management, see the following articles:

Ruotare manualmente le chiavi di accessoManually rotate access keys

Microsoft consiglia di ruotare periodicamente le chiavi di accesso per proteggere l'account di archiviazione.Microsoft recommends that you rotate your access keys periodically to help keep your storage account secure. Se possibile, usare Azure Key Vault per gestire le chiavi di accesso.If possible, use Azure Key Vault to manage your access keys. Se non si usa Key Vault, sarà necessario ruotare manualmente le chiavi.If you are not using Key Vault, you will need to rotate your keys manually.

Vengono assegnate due chiavi di accesso che è quindi possibile ruotare.Two access keys are assigned so that you can rotate your keys. La presenza di due chiavi garantisce che l'applicazione mantenga l'accesso ad archiviazione di Azure durante tutto il processo.Having two keys ensures that your application maintains access to Azure Storage throughout the process.

Avviso

La rigenerazione delle chiavi di accesso può influire sulle applicazioni o sui servizi di Azure che dipendono dalla chiave dell'account di archiviazione.Regenerating your access keys can affect any applications or Azure services that are dependent on the storage account key. I client che usano la chiave dell'account per accedere all'account di archiviazione devono essere aggiornati per usare la nuova chiave, inclusi servizi multimediali, applicazioni cloud, desktop e per dispositivi mobili e applicazioni di interfaccia utente grafica per Archiviazione di Azure, ad esempio Azure Storage Explorer.Any clients that use the account key to access the storage account must be updated to use the new key, including media services, cloud, desktop and mobile applications, and graphical user interface applications for Azure Storage, such as Azure Storage Explorer.

Per ruotare le chiavi di accesso dell'account di archiviazione nel portale di Azure:To rotate your storage account access keys in the Azure portal:

  1. Aggiornare le stringhe di connessione nel codice dell'applicazione per fare riferimento alla chiave di accesso secondaria per l'account di archiviazione.Update the connection strings in your application code to reference the secondary access key for the storage account.
  2. Passare all'account di archiviazione nell' portale di Azure.Navigate to your storage account in the Azure portal.
  3. In Impostazioni selezionare Chiavi di accesso.Under Settings, select Access keys.
  4. Per rigenerare la chiave di accesso primaria per l'account di archiviazione, selezionare il pulsante Rigenera accanto alla chiave di accesso primaria.To regenerate the primary access key for your storage account, select the Regenerate button next to the primary access key.
  5. Aggiornare le stringhe di connessione nel codice in modo che facciano riferimento alla nuova chiave di accesso primaria.Update the connection strings in your code to reference the new primary access key.
  6. Rigenerare la chiave di accesso secondaria nello stesso modo.Regenerate the secondary access key in the same manner.

Nota

Microsoft consiglia di usare solo una delle chiavi in tutte le applicazioni contemporaneamente.Microsoft recommends using only one of the keys in all of your applications at the same time. Se si usa la Chiave 1 in alcune posizioni e la Chiave 2 in altre, non si potranno ruotare le chiavi senza quale applicazione perda l'accesso.If you use Key 1 in some places and Key 2 in others, you will not be able to rotate your keys without some application losing access.

Per ruotare le chiavi di accesso di un account, l'utente deve essere un amministratore del servizio oppure deve essere assegnato un ruolo di Azure che include Microsoft. storage/storageAccounts/RegenerateKey/Action.To rotate an account's access keys, the user must either be a Service Administrator, or must be assigned an Azure role that includes the Microsoft.Storage/storageAccounts/regeneratekey/action. Alcuni ruoli predefiniti di Azure che includono questa azione sono i ruoli del ruolo del servizio operatore proprietario, collaboratoree chiave account di archiviazione.Some Azure built-in roles that include this action are the Owner, Contributor, and Storage Account Key Operator Service Role roles. Per altre informazioni sul ruolo di amministratore del servizio, vedere ruoli di amministratore della sottoscrizione classica, ruoli di Azure e ruoli di Azure ad.For more information about the Service Administrator role, see Classic subscription administrator roles, Azure roles, and Azure AD roles. Per informazioni dettagliate sui ruoli predefiniti di Azure per archiviazione di Azure, vedere la sezione archiviazione nei ruoli predefiniti di Azure peril controllo degli accessi in base al ruolo di Azure.For detailed information about Azure built-in roles for Azure Storage, see the Storage section in Azure built-in roles for Azure RBAC.

Passaggi successiviNext steps