Toegangs sleutels voor opslag accounts beherenManage storage account access keys

Wanneer u een opslag account maakt, genereert Azure 2 512-bits toegangs sleutels voor opslag accounts.When you create a storage account, Azure generates two 512-bit storage account access keys. Deze sleutels kunnen worden gebruikt om toegang te verlenen tot gegevens in uw opslag account via de verificatie van de gedeelde sleutel.These keys can be used to authorize access to data in your storage account via Shared Key authorization.

Micro soft raadt u aan Azure Key Vault te gebruiken voor het beheren van uw toegangs sleutels en om uw sleutels regel matig te draaien en opnieuw te genereren.Microsoft recommends that you use Azure Key Vault to manage your access keys, and that you regularly rotate and regenerate your keys. Met Azure Key Vault kunt u eenvoudig uw sleutels zonder onderbreking naar uw toepassingen draaien.Using Azure Key Vault makes it easy to rotate your keys without interruption to your applications. U kunt uw sleutels ook hand matig draaien.You can also manually rotate your keys.

Uw toegangs sleutels beveiligenProtect your access keys

De toegangs sleutels voor uw opslag account zijn vergelijkbaar met een basis wachtwoord voor uw opslag account.Your storage account access keys are similar to a root password for your storage account. Zorg ervoor dat u altijd uw toegangs sleutels beveiligt.Always be careful to protect your access keys. Gebruik Azure Key Vault om uw sleutels veilig te beheren en te draaien.Use Azure Key Vault to manage and rotate your keys securely. Vermijd het distribueren van toegangs sleutels naar andere gebruikers, het afwijzen van de code of het opslaan van berichten naar een wille keurige locatie in tekst zonder opmaak die voor anderen toegankelijk is.Avoid distributing access keys to other users, hard-coding them, or saving them anywhere in plain text that is accessible to others. Roteer uw sleutels als u denkt dat ze mogelijk zijn aangetast.Rotate your keys if you believe they may have been compromised.

Notitie

Micro soft raadt u aan Azure Active Directory (Azure AD) te gebruiken om aanvragen te autoriseren tegen Blob-en wachtrij gegevens, indien mogelijk, in plaats van een gedeelde sleutel.Microsoft recommends using Azure Active Directory (Azure AD) to authorize requests against blob and queue data if possible, instead of Shared Key. Azure AD biedt een superieure beveiliging en gebruiks vriendelijk gebruik over gedeelde sleutels.Azure AD provides superior security and ease of use over Shared Key. Zie toegang tot Azure-blobs en-wacht rijen toestaan met Azure Active Directoryvoor meer informatie over het machtigen van toegang tot gegevens met Azure AD.For more information about authorizing access to data with Azure AD, see Authorize access to Azure blobs and queues using Azure Active Directory.

Toegangs sleutels voor accounts weer gevenView account access keys

U kunt de toegangs sleutels van uw account weer geven en kopiëren met de Azure Portal, Power shell of Azure CLI.You can view and copy your account access keys with the Azure portal, PowerShell, or Azure CLI. De Azure Portal biedt ook een connection string voor uw opslag account dat u kunt kopiëren.The Azure portal also provides a connection string for your storage account that you can copy.

De toegangs sleutels of connection string van uw opslag account weer geven en kopiëren vanuit de Azure Portal:To view and copy your storage account access keys or connection string from the Azure portal:

  1. Navigeer naar uw opslag account in de Azure Portal.Navigate to your storage account in the Azure portal.

  2. Selecteer onder Instellingen de optie Toegangssleutels.Under Settings, select Access keys. De toegangssleutels van uw account worden weergegeven, evenals de volledige verbindingsreeks voor elke sleutel.Your account access keys appear, as well as the complete connection string for each key.

  3. Zoek de sleutel waarde onder key1 en klik op de knop kopiëren om de account sleutel te kopiëren.Locate the Key value under key1, and click the Copy button to copy the account key.

  4. U kunt ook de hele connection string kopiëren.Alternately, you can copy the entire connection string. Zoek de waarde van de Verbindingsreeks onder key1 en klik op de knop Kopiëren om de verbindingsreeks te kopiëren.Find the Connection string value under key1, and click the Copy button to copy the connection string.

    Scherm afbeelding die laat zien hoe toegangs sleutels in de Azure Portal worden weer gegeven

U kunt een van de twee sleutels gebruiken om toegang te krijgen tot Azure Storage, maar in het algemeen is het een goed idee om de eerste sleutel te gebruiken en het gebruik van de tweede toets te reserveren wanneer u sleutels draait.You can use either of the two keys to access Azure Storage, but in general it's a good practice to use the first key, and reserve the use of the second key for when you are rotating keys.

Als u de toegangs sleutels van een account wilt bekijken of lezen, moet de gebruiker een service beheerder zijn of moet er een Azure-rol worden toegewezen die de micro soft. Storage/Storage accounts/listkeys ophalen/Action bevat.To view or read an account's access keys, the user must either be a Service Administrator, or must be assigned an Azure role that includes the Microsoft.Storage/storageAccounts/listkeys/action. Sommige ingebouwde rollen van Azure die deze actie bevatten, zijn de rol rollen van de operator eigenaar, Inzender en opslag account .Some Azure built-in roles that include this action are the Owner, Contributor, and Storage Account Key Operator Service Role roles. Zie voor meer informatie over de rol van service beheerder klassieke abonnements beheerders rollen, Azure-rollen en Azure AD-rollen.For more information about the Service Administrator role, see Classic subscription administrator roles, Azure roles, and Azure AD roles. Zie de sectie opslag in ingebouwde Azure-rollen voor Azure RBACvoor meer informatie over ingebouwde rollen voor Azure Storage.For detailed information about built-in roles for Azure Storage, see the Storage section in Azure built-in roles for Azure RBAC.

Azure Key Vault gebruiken om uw toegangs sleutels te beherenUse Azure Key Vault to manage your access keys

Micro soft raadt u aan Azure Key Vault te gebruiken om uw toegangs sleutels te beheren en te draaien.Microsoft recommends using Azure Key Vault to manage and rotate your access keys. Uw toepassing kan veilig toegang krijgen tot uw sleutels in Key Vault, zodat u ze niet kunt opslaan met de code van uw toepassing.Your application can securely access your keys in Key Vault, so that you can avoid storing them with your application code. Raadpleeg de volgende artikelen voor meer informatie over het gebruik van Key Vault voor sleutel beheer:For more information about using Key Vault for key management, see the following articles:

Toegangs sleutels hand matig draaienManually rotate access keys

Micro soft raadt u aan uw toegangs sleutels regel matig te draaien om uw opslag account veilig te houden.Microsoft recommends that you rotate your access keys periodically to help keep your storage account secure. Gebruik, indien mogelijk, Azure Key Vault om uw toegangs sleutels te beheren.If possible, use Azure Key Vault to manage your access keys. Als u Key Vault niet gebruikt, moet u de sleutels hand matig draaien.If you are not using Key Vault, you will need to rotate your keys manually.

Er zijn twee toegangs sleutels toegewezen zodat u uw sleutels kunt draaien.Two access keys are assigned so that you can rotate your keys. Als u twee sleutels hebt, zorgt u ervoor dat uw toepassing gedurende het proces toegang tot Azure Storage houdt.Having two keys ensures that your application maintains access to Azure Storage throughout the process.

Waarschuwing

Het opnieuw genereren van de toegangs sleutels kan invloed hebben op alle toepassingen of Azure-Services die afhankelijk zijn van de sleutel van het opslag account.Regenerating your access keys can affect any applications or Azure services that are dependent on the storage account key. Clients die gebruikmaken van de account sleutel voor toegang tot het opslag account moeten worden bijgewerkt om de nieuwe sleutel te gebruiken, inclusief Media Services, Cloud, desktop-en mobiele toepassingen en Graphical User Interface toepassingen voor Azure Storage, zoals Azure Storage Explorer.Any clients that use the account key to access the storage account must be updated to use the new key, including media services, cloud, desktop and mobile applications, and graphical user interface applications for Azure Storage, such as Azure Storage Explorer.

De toegangs sleutels van uw opslag account in de Azure Portal draaien:To rotate your storage account access keys in the Azure portal:

  1. Werk de verbindings reeksen in uw toepassings code bij om te verwijzen naar de secundaire toegangs sleutel voor het opslag account.Update the connection strings in your application code to reference the secondary access key for the storage account.
  2. Navigeer naar uw opslag account in de Azure Portal.Navigate to your storage account in the Azure portal.
  3. Selecteer onder Instellingen de optie Toegangssleutels.Under Settings, select Access keys.
  4. Als u de primaire toegangs sleutel voor uw opslag account opnieuw wilt genereren, selecteert u de knop opnieuw genereren naast de primaire toegangs sleutel.To regenerate the primary access key for your storage account, select the Regenerate button next to the primary access key.
  5. Werk de verbindingsreeksen in uw code bij, zodat deze verwijzen naar de nieuwe primaire toegangssleutel.Update the connection strings in your code to reference the new primary access key.
  6. Genereer de secundaire toegangssleutel op dezelfde manier opnieuw.Regenerate the secondary access key in the same manner.

Notitie

Micro soft raadt u aan om op hetzelfde moment slechts één van de sleutels in al uw toepassingen te gebruiken.Microsoft recommends using only one of the keys in all of your applications at the same time. Als u Key 1 op sommige locaties en sleutel 2 in andere gebruikt, kunt u de sleutels niet draaien zonder dat de toepassing de toegang verliest.If you use Key 1 in some places and Key 2 in others, you will not be able to rotate your keys without some application losing access.

Als u de toegangs sleutels van een account wilt draaien, moet de gebruiker een service beheerder zijn of moet aan een Azure-rol zijn toegewezen die de micro soft. Storage/Storage accounts/regeneratekey/Action bevat.To rotate an account's access keys, the user must either be a Service Administrator, or must be assigned an Azure role that includes the Microsoft.Storage/storageAccounts/regeneratekey/action. Sommige ingebouwde rollen van Azure die deze actie bevatten, zijn de rol rollen van de operator eigenaar, Inzender en opslag account .Some Azure built-in roles that include this action are the Owner, Contributor, and Storage Account Key Operator Service Role roles. Zie voor meer informatie over de rol van service beheerder klassieke abonnements beheerders rollen, Azure-rollen en Azure AD-rollen.For more information about the Service Administrator role, see Classic subscription administrator roles, Azure roles, and Azure AD roles. Zie de sectie opslag in ingebouwde Azure-rollen voor Azure RBACvoor meer informatie over ingebouwde rollen van Azure voor Azure Storage.For detailed information about Azure built-in roles for Azure Storage, see the Storage section in Azure built-in roles for Azure RBAC.

Volgende stappenNext steps