Zarządzanie kluczami dostępu do konta magazynu

Podczas tworzenia konta magazynu platforma Azure generuje dwa 512-bitowe klucze dostępu do konta magazynu dla tego konta. Te klucze mogą służyć do autoryzowania dostępu do danych na koncie magazynu za pośrednictwem autoryzacji klucza współdzielonego.

Firma Microsoft zaleca używanie usługi Azure Key Vault do zarządzania kluczami dostępu oraz regularne obracanie i ponowne generowanie kluczy. Korzystanie z usługi Azure Key Vault ułatwia obracanie kluczy bez zakłóceń w aplikacjach. Możesz również ręcznie obracać klucze.

Ochrona kluczy dostępu

Klucze dostępu do konta magazynu są podobne do hasła głównego dla konta magazynu. Zawsze należy zachować ostrożność, aby chronić klucze dostępu. Bezpieczne zarządzanie kluczami i obracanie ich za pomocą usługi Azure Key Vault. Unikaj dystrybuowania kluczy dostępu do innych użytkowników, kodowania ich na stałe lub zapisywania ich w dowolnym miejscu w postaci zwykłego tekstu, który jest dostępny dla innych użytkowników. Obróć klucze, jeśli uważasz, że zostały naruszone.

Uwaga

Firma Microsoft zaleca używanie usługi Azure Active Directory (Azure AD) do autoryzacji żądań względem danych obiektów blob i kolejek, jeśli to możliwe, zamiast używania kluczy konta (autoryzacja klucza współdzielonego). Autoryzacja w usłudze Azure AD zapewnia doskonałe zabezpieczenia i łatwość użycia za pośrednictwem autoryzacji klucza współdzielonego.

Aby chronić konto usługi Azure Storage przy użyciu zasad dostępu warunkowego usługi Azure AD, musisz nie zezwalać na autoryzację klucza współdzielonego dla konta magazynu. Aby uzyskać więcej informacji o tym, jak uniemożliwić autoryzację klucza współdzielonego, zobacz Zapobieganie autoryzacji klucza współdzielonego dla konta usługi Azure Storage.

Wyświetlanie kluczy dostępu do konta

Klucze dostępu do konta można wyświetlać i kopiować za pomocą witryny Azure Portal, programu PowerShell lub interfejsu wiersza polecenia platformy Azure. Witryna Azure Portal udostępnia również parametry połączenia dla konta magazynu, które można skopiować.

Aby wyświetlić i skopiować klucze dostępu do konta magazynu lub parametry połączenia z witryny Azure Portal:

  1. W witrynie Azure Portal przejdź do swojego konta magazynu.

  2. W obszarze Zabezpieczenia i sieć wybierz pozycję Klucze dostępu. Zostaną wyświetlone klucze dostępu do Twojego konta, a także pełne parametry połączenia dla każdego klucza.

  3. Wybierz pozycję Pokaż klucze , aby wyświetlić klucze dostępu i parametry połączenia oraz włączyć przyciski kopiowania wartości.

  4. W obszarze key1 znajdź wartość Klucz . Wybierz przycisk Kopiuj , aby skopiować klucz konta.

  5. Alternatywnie można skopiować całe parametry połączenia. W obszarze key1 znajdź wartość Parametry połączenia . Wybierz przycisk Kopiuj , aby skopiować parametry połączenia.

    Screenshot showing how to view access keys in the Azure portal

Możesz użyć jednego z dwóch kluczy, aby uzyskać dostęp do usługi Azure Storage, ale ogólnie dobrym rozwiązaniem jest użycie pierwszego klucza i zarezerwować użycie drugiego klucza podczas rotacji kluczy.

Aby wyświetlić lub odczytać klucze dostępu konta, użytkownik musi być administratorem usługi lub musi mieć przypisaną rolę platformy Azure obejmującą microsoft.Storage/storageAccounts/listkeys/action. Niektóre wbudowane role platformy Azure, które obejmują tę akcję, są rolami roli właściciela, współautora i operatora konta magazynu . Aby uzyskać więcej informacji na temat roli administratora usługi, zobacz Klasyczne role administratora subskrypcji, role platformy Azure i role usługi Azure AD. Aby uzyskać szczegółowe informacje o wbudowanych rolach usługi Azure Storage, zobacz sekcję Storagew wbudowanych rolach platformy Azure dla kontroli dostępu opartej na rolach platformy Azure.

Zarządzanie kluczami dostępu za pomocą usługi Azure Key Vault

Firma Microsoft zaleca używanie usługi Azure Key Vault do zarządzania kluczami dostępu i obracania ich. Aplikacja może bezpiecznie uzyskiwać dostęp do kluczy w usłudze Key Vault, dzięki czemu można uniknąć ich przechowywania przy użyciu kodu aplikacji. Aby uzyskać więcej informacji na temat używania usługi Key Vault do zarządzania kluczami, zobacz następujące artykuły:

Ręczne obracanie kluczy dostępu

Firma Microsoft zaleca okresowe obracanie kluczy dostępu w celu zapewnienia bezpieczeństwa konta magazynu. Jeśli to możliwe, użyj usługi Azure Key Vault do zarządzania kluczami dostępu. Jeśli nie używasz usługi Key Vault, musisz ręcznie obrócić klucze.

Przypisane są dwa klucze dostępu, dzięki czemu można obracać klucze. Posiadanie dwóch kluczy gwarantuje, że aplikacja utrzymuje dostęp do usługi Azure Storage w całym procesie.

Ostrzeżenie

Ponowne generowanie kluczy dostępu może mieć wpływ na wszystkie aplikacje lub usługi platformy Azure zależne od klucza konta magazynu. Każdy klient korzystający z klucza konta w celu uzyskania dostępu do konta magazynu musi zostać zaktualizowany tak, aby używał nowego klucza, w tym usług multimedialnych, aplikacji klasycznych i mobilnych oraz graficznych aplikacji interfejsu użytkownika dla usługi Azure Storage, takich jak Eksplorator usługi Azure Storage.

Jeśli planujesz ręczne obracanie kluczy dostępu, firma Microsoft zaleca ustawienie zasad wygasania klucza. Aby uzyskać więcej informacji, zobacz Tworzenie zasad wygasania klucza.

Po utworzeniu zasad wygasania kluczy można użyć usługi Azure Policy do monitorowania, czy klucze konta magazynu zostały obrócone w zalecanym interwale. Aby uzyskać szczegółowe informacje, zobacz Sprawdzanie naruszeń zasad wygasania kluczy.

Aby obrócić klucze dostępu do konta magazynu w witrynie Azure Portal:

  1. Zaktualizuj parametry połączenia w kodzie aplikacji, aby odwoływać się do pomocniczego klucza dostępu dla konta magazynu.
  2. Przejdź do konta magazynu w witrynie Azure Portal.
  3. W obszarze Zabezpieczenia i sieć wybierz pozycję Klucze dostępu.
  4. Aby ponownie wygenerować podstawowy klucz dostępu dla konta magazynu, wybierz przycisk Wygeneruj ponownie obok klucza dostępu podstawowego.
  5. Zaktualizuj parametry połączenia w kodzie za pomocą odwołania do nowego podstawowego klucza dostępu.
  6. W ten sam sposób wygeneruj ponownie pomocniczy klucz dostępu.

Przestroga

Firma Microsoft zaleca używanie tylko jednego z kluczy we wszystkich aplikacjach jednocześnie. Jeśli używasz klucza 1 w niektórych miejscach i klucza 2 w innych, nie będzie można obracać kluczy bez utraty dostępu przez aplikację.

Aby wymienić klucze dostępu konta, użytkownik musi być administratorem usługi lub musi mieć przypisaną rolę platformy Azure obejmującą usługę Microsoft.Storage/storageAccounts/regeneratekey/action. Niektóre wbudowane role platformy Azure, które obejmują tę akcję, są rolami roli właściciela, współautora i operatora konta magazynu . Aby uzyskać więcej informacji na temat roli administratora usługi, zobacz Klasyczne role administratora subskrypcji, role platformy Azure i role usługi Azure AD. Aby uzyskać szczegółowe informacje na temat wbudowanych ról platformy Azure dla usługi Azure Storage, zobacz sekcję Storagew wbudowanych rolach platformy Azure dla kontroli dostępu opartej na rolach platformy Azure.

Tworzenie zasad wygasania kluczy

Zasady wygasania klucza umożliwiają ustawienie przypomnienia o rotacji kluczy dostępu do konta. Przypomnienie jest wyświetlane, jeśli określony interwał upłynął, a klucze nie zostały jeszcze obrócone. Po utworzeniu zasad wygasania kluczy można monitorować konta magazynu pod kątem zgodności, aby upewnić się, że klucze dostępu do konta są regularnie obracane.

Uwaga

Przed utworzeniem zasad wygasania klucza może być konieczne obracanie każdego z kluczy dostępu do konta co najmniej raz.

Aby utworzyć zasady wygasania kluczy w witrynie Azure Portal:

  1. W witrynie Azure Portal przejdź do swojego konta magazynu.
  2. W obszarze Zabezpieczenia i sieć wybierz pozycję Klucze dostępu. Zostaną wyświetlone klucze dostępu do Twojego konta, a także pełne parametry połączenia dla każdego klucza.
  3. Wybierz przycisk Ustaw przypomnienie o rotacji . Jeśli przycisk Ustaw przypomnienie o rotacji jest wyszaryzowany, należy obrócić każdy z kluczy. Wykonaj kroki opisane w temacie Ręczne obracanie kluczy dostępu, aby obrócić klucze.
  4. W obszarze Ustaw przypomnienie, aby obrócić klucze dostępu, zaznacz pole wyboru Włącz przypomnienia dotyczące rotacji kluczy i ustaw częstotliwość przypomnienia.
  5. Wybierz pozycję Zapisz.

Screenshot showing how to create a key expiration policy in the Azure portal

Sprawdzanie pod kątem naruszeń zasad wygasania kluczy

Konta magazynu można monitorować za pomocą usługi Azure Policy, aby upewnić się, że klucze dostępu do konta zostały obrócone w zalecanym okresie. Usługa Azure Storage udostępnia wbudowane zasady zapewniające, że klucze dostępu do konta magazynu nie wygasły. Aby uzyskać więcej informacji na temat wbudowanych zasad, zobacz Klucze konta magazynu nie powinny być wygasłe na liście wbudowanych definicji zasad.

Przypisywanie wbudowanych zasad dla zakresu zasobów

Wykonaj następujące kroki, aby przypisać wbudowane zasady do odpowiedniego zakresu w witrynie Azure Portal:

  1. W witrynie Azure Portal wyszukaj pozycję Zasady , aby wyświetlić pulpit nawigacyjny usługi Azure Policy.

  2. W sekcji Tworzenie wybierz pozycję Przypisania.

  3. Wybierz pozycję Przypisz zasady.

  4. Na karcie Podstawy na stronie Przypisywanie zasad w sekcji Zakres określ zakres przypisania zasad. Wybierz przycisk Więcej , aby wybrać subskrypcję i opcjonalną grupę zasobów.

  5. W polu Definicja zasad wybierz przycisk Więcej , a następnie wprowadź klucze konta magazynu w polu Wyszukaj . Wybierz definicję zasad o nazwie Klucze konta magazynu nie powinny być wygasłe.

    Screenshot showing how to select the built-in policy to monitor key rotation intervals for your storage accounts

  6. Wybierz pozycję Przejrzyj i utwórz , aby przypisać definicję zasad do określonego zakresu.

    Screenshot showing how to create the policy assignment

Monitorowanie zgodności z zasadami wygasania kluczy

Aby monitorować konta magazynu pod kątem zgodności z zasadami wygasania kluczy, wykonaj następujące kroki:

  1. Na pulpicie nawigacyjnym usługi Azure Policy znajdź wbudowaną definicję zasad dla zakresu określonego w przypisaniu zasad. Możesz wyszukać klucze konta magazynu nie powinny być wygasłe w polu wyszukiwania , aby filtrować wbudowane zasady.

  2. Wybierz nazwę zasad z żądanym zakresem.

  3. Na stronie Przypisywanie zasad dla wbudowanych zasad wybierz pozycję Wyświetl zgodność. Wszystkie konta magazynu w określonej subskrypcji i grupie zasobów, które nie spełniają wymagań zasad, są wyświetlane w raporcie zgodności.

    Screenshot showing how to view the compliance report for the key expiration built-in policy

Aby zapewnić zgodność konta magazynu, należy obrócić klucze dostępu do konta.

Następne kroki