Hantera åtkomstnycklar för lagringskonto

När du skapar ett lagringskonto genererar Azure två åtkomstnycklar för 512-bitars lagringskonto. Dessa nycklar kan användas för att ge åtkomst till data i ditt lagringskonto via auktorisering med delad nyckel.

Microsoft rekommenderar att du använder Azure Key Vault för att hantera dina åtkomstnycklar och att du regelbundet roterar och återskapar dina nycklar. Med Azure Key Vault det enkelt att rotera dina nycklar utan avbrott i dina program. Du kan också rotera dina nycklar manuellt.

Skydda dina åtkomstnycklar

Åtkomstnycklarna för lagringskontot liknar ett rotlösenord för ditt lagringskonto. Var alltid noga med att skydda dina åtkomstnycklar. Använd Azure Key Vault för att hantera och rotera dina nycklar på ett säkert sätt. Undvik att distribuera åtkomstnycklar till andra användare, hårdkoda dem eller spara dem var som helst i oformaterad text som andra kan komma åt. Rotera dina nycklar om du tror att de kan ha komprometterats.

Anteckning

Microsoft rekommenderar att du använder Azure Active Directory (Azure AD) för att auktorisera begäranden mot blob- och ködata om möjligt, i stället för delad nyckel. Azure AD ger överlägsen säkerhet och enkel användning via delad nyckel. Mer information om hur du auktoriserar åtkomst till data med Azure AD finns i Auktorisera åtkomst till Azure-blobaroch köer med hjälp av Azure Active Directory .

Visa åtkomstnycklar för konto

Du kan visa och kopiera dina kontoåtkomstnycklar med Azure Portal, PowerShell eller Azure CLI. I Azure Portal även en anslutningssträng för ditt lagringskonto som du kan kopiera.

Så här visar och kopierar du lagringskontots åtkomstnycklar eller anslutningssträng från Azure Portal:

  1. I Azure Portaldu till ditt lagringskonto.

  2. Under Säkerhet + nätverk väljer du Åtkomstnycklar. Åtkomstnycklarna för kontot visas, samt den fullständiga anslutningssträngen för varje nyckel.

  3. Välj Visa nycklar för att visa dina åtkomstnycklar och anslutningssträngar och aktivera knappar för att kopiera värdena.

  4. Under key1 hittar du värdet Nyckel. Välj knappen Kopiera för att kopiera kontonyckeln.

  5. Alternativt kan du kopiera hela anslutningssträngen. Under key1 hittar du värdet Anslutningssträng. Välj knappen Kopiera för att kopiera anslutningssträngen.

    Skärmbild som visar hur du visar åtkomstnycklar i Azure Portal

Du kan använda någon av de två nycklarna för att komma åt Azure Storage, men i allmänhet är det en bra idé att använda den första nyckeln och reservera användningen av den andra nyckeln för när du roterar nycklar.

Om du vill visa eller läsa åtkomstnycklarna för ett konto måste användaren antingen vara tjänstadministratör eller ha tilldelats en Azure-roll som innehåller Microsoft.Storage/storageAccounts/listkeys/action. Vissa inbyggda Azure-roller som omfattar den här åtgärden är rollerna Ägare, Deltagare och Storage för tjänstrollen Kontonyckeloperatör. Mer information om tjänstadministratörsrollen finns i Administratörsroller för klassiska prenumerationer, Azure-roller och Azure AD-roller. Detaljerad information om inbyggda roller för Azure Storage finns i avsnittet Storage Azure-inbyggda roller för Azure RBAC.

Använda Azure Key Vault för att hantera dina åtkomstnycklar

Microsoft rekommenderar att du använder Azure Key Vault för att hantera och rotera dina åtkomstnycklar. Programmet kan komma åt dina nycklar på ett säkert Key Vault, så att du kan undvika att lagra dem med din programkod. Mer information om hur Key Vault för nyckelhantering finns i följande artiklar:

Rotera åtkomstnycklar manuellt

Microsoft rekommenderar att du roterar dina åtkomstnycklar regelbundet för att skydda ditt lagringskonto. Om möjligt använder du Azure Key Vault för att hantera dina åtkomstnycklar. Om du inte använder Key Vault måste du rotera nycklarna manuellt.

Två åtkomstnycklar tilldelas så att du kan rotera dina nycklar. Med två nycklar säkerställer du att ditt program har Azure Storage åtkomst under hela processen.

Varning

Att återskapa dina åtkomstnycklar kan påverka alla program eller Azure-tjänster som är beroende av lagringskontonyckeln. Klienter som använder kontonyckeln för att få åtkomst till lagringskontot måste uppdateras så att de använder den nya nyckeln, inklusive medietjänster, moln-, skrivbords- och mobilprogram och grafiska användargränssnittsprogram för Azure Storage, till exempel Azure Storage Explorer.

Om du planerar att rotera åtkomstnycklar manuellt rekommenderar Microsoft att du anger en förfalloprincip för nyckeln och sedan använder frågor i Azure Monitor för att avgöra när det är dags att rotera en åtkomstnyckel.

Skapa en förfalloprincip för nyckel

Så här skapar du en princip för nyckelförfallotid i Azure Portal:

  1. I Azure Portaldu till ditt lagringskonto.

  2. Under Säkerhet + nätverk väljer du Åtkomstnycklar. Åtkomstnycklarna för kontot visas, samt den fullständiga anslutningssträngen för varje nyckel.

  3. Välj länken Ställ in rotationspåminnelse.

  4. I Ställ in en påminnelse om att rotera åtkomstnycklar markerar du kryssrutan Aktivera påminnelser för nyckelrotation och anger en frekvens för påminnelsen.

  5. Välj Spara.

Skärmbild som visar hur du skapar en princip för nyckelförfallotid i Azure Portal

Fråga efter principöverträdelser

Om du skapar en diagnostikinställning som skickar loggar till Azure Log Analytics-arbetsytan kan du använda en Azure Monitor för att avgöra om en nyckel har upphört att gälla.

Ange följande fråga i loggsökningsfältet för att avgöra om en nyckel har upphört att gälla.

StorageBlobLogs | where KeyExpiryStatus startsWith "Policy Violated". 

Du kan också skapa en fråga som hjälper dig att avgöra om en fråga snart upphör att gälla. Följande fråga innehåller den här informationen.

StorageBlobLogs 
| where type =~ 'microsoft.storage/storageAccounts'
| extend days = datetime_diff('day', now(), todatetime(parse_json(properties).keyCreationTime))
| extend KeyExpiryStatus = iff(days > 180, "Policy Violated", "")
| project name, days, KeyExpiryStatus  

Rotera åtkomstnycklar

Så här roterar du lagringskontots åtkomstnycklar i Azure Portal:

  1. Uppdatera anslutningssträngarna i programkoden så att de refererar till lagringskontots sekundära åtkomstnyckel.

  2. Gå till ditt lagringskonto i Azure Portal.

  3. Under Säkerhet + nätverk väljer du Åtkomstnycklar.

  4. Om du vill återskapa den primära åtkomstnyckeln för ditt lagringskonto väljer du knappen Återskapa bredvid den primära åtkomstnyckeln.

  5. Uppdatera anslutningssträngarna i koden så att de refererar till den nya primärnyckeln.

  6. Återskapa den sekundära åtkomstnyckeln på samma sätt.

Anteckning

Microsoft rekommenderar att du bara använder en av nycklarna i alla dina program på samma gång. Om du använder nyckel 1 på vissa platser och nyckel 2 på andra kan du inte rotera dina nycklar utan att vissa program förlorar åtkomst.

Om du vill rotera ett kontos åtkomstnycklar måste användaren antingen vara tjänstadministratör eller ha tilldelats en Azure-roll som innehåller Microsoft.Storage/storageAccounts/regeneratekey/action. Vissa inbyggda Azure-roller som omfattar den här åtgärden är rollerna Ägare, Deltagare och Storage för tjänstrollen Kontonyckeloperatör. Mer information om tjänstadministratörsrollen finns i Administratörsroller för klassiska prenumerationer, Azure-roller och Azure AD-roller. Detaljerad information om inbyggda Azure-roller för Azure Storage finns i avsnittet Storage azure-inbyggda roller för Azure RBAC.

Nästa steg