Toegangssleutelverificatie uitschakelen voor een Azure-app-configuratie-exemplaar
Elke aanvraag voor een Azure-app-configuratieresource moet worden geverifieerd. Aanvragen kunnen standaard worden geverifieerd met Microsoft Entra-referenties of met behulp van een toegangssleutel. Van deze twee typen verificatieschema's biedt Microsoft Entra ID een superieure beveiliging en gebruiksgemak voor toegangssleutels en wordt aanbevolen door Microsoft. Als u wilt vereisen dat clients Microsoft Entra ID gebruiken om aanvragen te verifiëren, kunt u het gebruik van toegangssleutels voor een Azure-app-configuratieresource uitschakelen.
Wanneer u verificatie van toegangssleutels uitschakelt voor een Azure-app-configuratieresource, worden alle bestaande toegangssleutels voor die resource verwijderd. Alle volgende aanvragen voor de resource die gebruikmaken van de eerder bestaande toegangssleutels, worden geweigerd. Alleen aanvragen die worden geverifieerd met behulp van Microsoft Entra-id, worden voltooid. Zie Toegang tot Azure-app-configuratie autoriseren met behulp van Microsoft Entra-id voor meer informatie over het gebruik van Microsoft Entra-id.
Toegangssleutelverificatie uitschakelen
Als u toegangssleutelverificatie uitschakelt, worden alle toegangssleutels verwijderd. Als actieve toepassingen toegangssleutels gebruiken voor verificatie, mislukken ze zodra de verificatie van de toegangssleutel is uitgeschakeld. Als u opnieuw toegangssleutelverificatie inschakelt, wordt er een nieuwe set toegangssleutels gegenereerd. Alle toepassingen die de oude toegangssleutels proberen te gebruiken, mislukken nog steeds.
Waarschuwing
Als clients momenteel toegang hebben tot gegevens in uw Azure-app-configuratieresource met toegangssleutels, raadt Microsoft u aan deze clients te migreren naar Microsoft Entra-id voordat u toegangssleutelverificatie uitschakelt.
Voer de volgende stappen uit om verificatie van toegangssleutels voor een Azure-app-configuratieresource in Azure Portal niet toe te laten:
Navigeer naar uw Azure-app-configuratieresource in Azure Portal.
Zoek de instelling voor Access-instellingen onder Instellingen.
Stel de wisselknop Toegangssleutels inschakelen in op Uitgeschakeld.
Controleren of verificatie van toegangssleutels is uitgeschakeld
Als u wilt controleren of verificatie van toegangssleutels niet meer is toegestaan, kunt u een aanvraag indienen om de toegangssleutels voor de Azure-app-configuratieresource weer te geven. Als verificatie van toegangssleutels is uitgeschakeld, zijn er geen toegangssleutels en retourneert de lijstbewerking een lege lijst.
Voer de volgende stappen uit om te controleren of verificatie van toegangssleutels is uitgeschakeld voor een Azure-app-configuratieresource in Azure Portal:
Navigeer naar uw Azure-app-configuratieresource in Azure Portal.
Zoek de instelling voor Access-instellingen onder Instellingen.
Controleer of er geen toegangssleutels worden weergegeven en schakel toegangssleutelsin op Uitgeschakeld.
Machtigingen voor het toestaan of ongedaan maken van toegangssleutelverificatie
Als u de status van de verificatie van de toegangssleutel voor een Azure-app-configuratieresource wilt wijzigen, moet een gebruiker machtigingen hebben voor het maken en beheren van Azure-app Configuratieresources. Rollen voor op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) die deze machtigingen bieden, omvatten de actie Microsoft.AppConfiguration/configurationStores/write of Microsoft.AppConfiguration/configurationStores/* . Ingebouwde rollen met deze actie zijn onder andere:
- De rol Eigenaar voor Azure Resource Managers
- De rol Inzender voor Azure Resource Managers
Deze rollen bieden geen toegang tot gegevens in een Azure-app-configuratieresource via Microsoft Entra-id. Ze bevatten echter de machtiging Microsoft.AppConfiguration/configurationStores/listKeys/action , die toegang verleent tot de toegangssleutels van de resource. Met deze machtiging kan een gebruiker de toegangssleutels gebruiken om toegang te krijgen tot alle gegevens in de resource.
Roltoewijzingen moeten worden toegewezen aan het niveau van de Azure-app Configuratieresource of hoger, zodat een gebruiker toegangssleutelverificatie voor de resource toestaat of niet toestaat. Zie Bereik begrijpen voor Azure RBAC voor meer informatie over rolbereik.
Wees voorzichtig met het beperken van de toewijzing van deze rollen aan gebruikers die de mogelijkheid nodig hebben om een App Configuration-resource te maken of de eigenschappen ervan bij te werken. Gebruik het principe van minimale bevoegdheden om ervoor te zorgen dat gebruikers de minste machtigingen hebben die ze nodig hebben om hun taken uit te voeren. Zie Best practices voor Azure RBAC voor meer informatie over het beheren van toegang met Azure RBAC.
Notitie
De klassieke abonnementsbeheerdersrollen Service Beheer istrator en Co-Beheer istrator bevatten het equivalent van de azure Resource Manager-eigenaarrol. De rol Eigenaar bevat alle acties, zodat een gebruiker met een van deze beheerdersrollen ook App Configuration-resources kan maken en beheren. Zie Azure-rollen, Microsoft Entra-rollen en klassieke abonnementsbeheerdersrollen voor meer informatie.
Notitie
Wanneer toegangssleutelverificatie is uitgeschakeld en de ARM-verificatiemodus van het App Configuration-archief lokaal is, wordt de mogelijkheid om sleutelwaarden in een ARM-sjabloon te lezen/schrijven ook uitgeschakeld. Dit komt doordat toegang tot de resource Microsoft.AppConfiguration/configurationStores/keyValues die in ARM-sjablonen wordt gebruikt, toegangssleutelverificatie met lokale ARM-verificatiemodus vereist. Het is raadzaam om de passthrough-ARM-verificatiemodus te gebruiken. Zie Het implementatieoverzicht voor meer informatie.