Azure Depolama hesabı için Paylaşılan Anahtar yetkilendirmesini engelleme

Azure Depolama hesabına yönelik her güvenli istek yetkilendirilmelidir. Varsayılan olarak, istekler Microsoft Entra kimlik bilgileriyle veya Paylaşılan Anahtar yetkilendirmesi için hesap erişim anahtarı kullanılarak yetkilendirilebilir. Bu iki yetkilendirme türünden Microsoft Entra ID, Paylaşılan Anahtar üzerinden üstün güvenlik ve kullanım kolaylığı sağlar ve Microsoft tarafından önerilir. İstemcilerin istekleri yetkilendirmek için Microsoft Entra Kimliğini kullanmasını zorunlu kılması için, Paylaşılan Anahtar ile yetkilendirilmiş depolama hesabına yönelik isteklere izin verilmiyebilirsiniz.

Depolama hesabı için Paylaşılan Anahtar yetkilendirmesine izin vermediğinizde, Azure Depolama bu hesaba yönelik hesap erişim anahtarlarıyla yetkilendirilmiş sonraki tüm istekleri reddeder. Yalnızca Microsoft Entra Id ile yetkilendirilmiş güvenli istekler başarılı olur. Microsoft Entra Id kullanma hakkında daha fazla bilgi için bkz. Azure Depolama'da verilere erişimi yetkilendirme.

Depolama hesabının AllowSharedKeyAccess özelliği varsayılan olarak ayarlanmaz ve siz açıkça ayarlayana kadar bir değer döndürmez. Depolama hesabı, özellik değeri null olduğunda veya doğru olduğunda Paylaşılan Anahtar ile yetkilendirilmiş isteklere izin verir.

Bu makalede, depolama hesabınız için Paylaşılan Anahtar yetkilendirmesini sürekli yönetmek için DRAG (Algılama-Düzeltme-Denetim-İdaresi) çerçevesinin nasıl kullanılacağı açıklanmaktadır.

Önkoşullar

Depolama hesaplarınızdan herhangi birinde Paylaşılan Anahtar erişimine izin vermeden önce:

Paylaşılan Anahtara izin vermenin SAS belirteçlerini nasıl etkilediğini anlama

Depolama hesabı için Paylaşılan Anahtar erişimine izin verilmediğinde, Azure Depolama SAS belirteçlerini SAS türüne ve isteğin hedeflediği hizmete göre işler. Aşağıdaki tabloda her SAS türünün nasıl yetkilendirileceği ve depolama hesabının AllowSharedKeyAccess özelliği false olduğunda Azure Depolama'nin bu SAS'yi nasıl işleyecekleri gösterilmektedir.

SAS türü Yetkilendirme türü AllowSharedKeyAccess yanlış olduğunda davranış
Kullanıcı temsilcisi SAS (yalnızca Blob depolama) Microsoft Entra Kimliği İsteğe izin verilir. Microsoft, üstün güvenlik için mümkün olduğunda bir kullanıcı temsilcisi SAS kullanmanızı önerir.
Hizmet SAS'i Paylaşılan Anahtar Tüm Azure Depolama hizmetleri için istek reddedilir.
Hesap SAS'i Paylaşılan Anahtar Tüm Azure Depolama hizmetleri için istek reddedilir.

Azure İzleyici'deki Azure ölçümleri ve günlük kaydı, farklı türlerdeki paylaşılan erişim imzalarını birbirinden ayırt etmemektedir. Azure Ölçüm Gezgini'ndeki SAS filtresi ve Azure İzleyici'de günlüğe kaydetme Depolama Azure'daki SAS alanı, her türlü SAS ile yetkilendirilmiş istekleri bildirir. Ancak, paylaşılan erişim imzalarının farklı türleri farklı yetkilendirilmiştir ve Paylaşılan Anahtar erişimine izin verilmediğinde farklı davranır:

  • Hizmet SAS belirteci veya hesap SAS belirteci Paylaşılan Anahtar ile yetkilendirilir ve AllowSharedKeyAccess özelliği false olarak ayarlandığında Blob depolama isteğinde izin verilmez.
  • Kullanıcı temsilcisi SAS'si Microsoft Entra Kimliği ile yetkilendirilir ve AllowSharedKeyAccess özelliği false olarak ayarlandığında Blob depolama isteğinde izin verilir.

Depolama hesabınıza gelen trafiği değerlendirirken, İstemci uygulamaları tarafından kullanılan yetkilendirme türünü algılama bölümünde açıklandığı gibi ölçümlerin ve günlüklerin kullanıcı temsilcisi SAS ile yapılan istekleri içerebileceğini unutmayın.

Paylaşılan erişim imzaları hakkında daha fazla bilgi için bkz. Paylaşılan erişim imzalarını (SAS) kullanarak Azure Depolama kaynaklarına sınırlı erişim verme.

Diğer Azure araçları ve hizmetleriyle uyumluluğu göz önünde bulundurun

Bir dizi Azure hizmeti, Azure Depolama ile iletişim kurmak için Paylaşılan Anahtar yetkilendirmesini kullanır. Depolama hesabı için Paylaşılan Anahtar yetkilendirmesine izin vermezseniz, bu hizmetler söz konusu hesaptaki verilere erişemez ve uygulamalarınız olumsuz etkilenebilir.

Bazı Azure araçları, Azure Depolama erişmek için Microsoft Entra yetkilendirmesini kullanma seçeneği sunar. Aşağıdaki tabloda bazı popüler Azure araçları listelenerek Azure Depolama istekleri yetkilendirmek için Microsoft Entra Id'yi kullanıp kullanamayacağına ilişkin notlar yer alır.

Azure aracı Azure Depolama'a Microsoft Entra yetkilendirmesi
Azure portalı Destekleniyor. Azure portalından Microsoft Entra hesabınızla yetkilendirme hakkında bilgi için bkz . Azure portalında blob verilerine erişimi yetkilendirmeyi seçme.
AzCopy Blob Depolama için desteklenir. AzCopy işlemlerini yetkilendirme hakkında bilgi için AzCopy belgelerindeki Yetkilendirme kimlik bilgilerini nasıl sağlayacağınızı seçme bölümüne bakın.
Azure Depolama Gezgini Blob Depolama, Kuyruk Depolama, Tablo Depolama ve Azure Data Lake Storage 2. Nesil için desteklenir. Dosya depolamaya Microsoft Entra Id erişimi desteklenmez. Doğru Microsoft Entra kiracısını seçtiğinizden emin olun. Daha fazla bilgi için bkz. Depolama Explorer'ı kullanmaya başlama
Azure PowerShell Destekleniyor. Microsoft Entra ID ile blob veya kuyruk işlemleri için PowerShell komutlarını yetkilendirme hakkında bilgi için bkz. Blob verilerine erişmek için PowerShell komutlarını Microsoft Entra kimlik bilgileriyle çalıştırma veya Kuyruk verilerine erişmek için Microsoft Entra kimlik bilgileriyle PowerShell komutlarını çalıştırma.
Azure CLI Destekleniyor. Blob ve kuyruk verilerine erişim için Azure CLI komutlarını Microsoft Entra ID ile yetkilendirme hakkında bilgi için bkz . Blob veya kuyruk verilerine erişmek için Microsoft Entra kimlik bilgileriyle Azure CLI komutlarını çalıştırma.
Azure IoT Hub Destekleniyor. Daha fazla bilgi için bkz . Sanal ağlar için IoT Hub desteği.
Azure Cloud Shell Azure Cloud Shell, Azure portalında tümleşik bir kabukdur. Azure Cloud Shell, depolama hesabındaki bir Azure dosya paylaşımında kalıcılık için dosyaları barındırıyor. Bu depolama hesabı için Paylaşılan Anahtar yetkilendirmeye izin verilmiyorsa bu dosyalara erişilemez hale gelir. Daha fazla bilgi için bkz . Azure Cloud Shell'de dosyaları kalıcı hale geçirme.

Paylaşılan Anahtar erişimine izin verilmeyen depolama hesaplarını yönetmek üzere Azure Cloud Shell'de komut çalıştırmak için önce Azure RBAC aracılığıyla bu hesaplar için gerekli izinlere sahip olduğunuzdan emin olun. Daha fazla bilgi için bkz . Azure rol tabanlı erişim denetimi (Azure RBAC) nedir?.

Microsoft Entra Koşullu Erişim'i kullanmak için Paylaşılan Anahtar yetkilendirmesine izin verme

Azure Depolama hesabını Microsoft Entra Koşullu Erişim ilkeleriyle korumak için, depolama hesabı için Paylaşılan Anahtar yetkilendirmesine izin vermemelisiniz.

Dosya verilerine erişimi yetkilendirme veya Azure Dosyalar iş yüklerine geçiş

Azure Depolama Azure Dosyalar, Blob Depolama, Kuyruk Depolama ve Tablo Depolama istekleri için Microsoft Entra yetkilendirmesini destekler. Ancak, Varsayılan olarak Azure portalı, Azure dosya paylaşımlarına erişmek için Paylaşılan Anahtar yetkilendirmesini kullanır. Uygun RBAC atamalarıyla yapılandırılmamış bir depolama hesabı için Paylaşılan Anahtar yetkilendirmesine izin vermezseniz, Azure Dosyalar istekleri başarısız olur ve Azure portalında Azure dosya paylaşımlarına erişemezsiniz.

Bunu azaltmak için üç yaklaşımdan birini kullanmanızı öneririz:

  1. Microsoft Entra hesabınızı kullanarak dosya verilerine erişimi yetkilendirmek için bu adımları izleyin veya
  2. Paylaşılan Anahtar aracılığıyla bir hesaba erişime izin vermeden önce Azure Dosyalar verileri ayrı bir depolama hesabına geçirin veya
  3. Bu ayarı Azure Dosyalar iş yüklerini destekleyen depolama hesaplarına uygulamayın.

Paylaşılan Anahtar erişimine izin veren depolama hesaplarını tanımlama

Paylaşılan Anahtar erişimine izin veren depolama hesaplarını tanımlamanın iki yolu vardır:

Birden çok hesap için Paylaşılan Anahtar erişim ayarını denetleyin

En iyi performansa sahip bir depolama hesabı kümesinde Paylaşılan Anahtar erişimi ayarını denetlemek için Azure portalda Azure Kaynak Grafı Gezgini'ni kullanabilirsiniz. Kaynak Grafı Gezgini'ni kullanma hakkında daha fazla bilgi edinmek için bkz. Hızlı Başlangıç: Azure Kaynak Grafı Gezgini'ni kullanarak ilk Kaynak Grafı sorgunuzu çalıştırma.

Kaynak Grafı Gezgini'nde aşağıdaki sorguyu çalıştırmak, depolama hesaplarının listesini döndürür ve her hesap için Paylaşılan Anahtar erişim ayarını görüntüler:

resources
| where type =~ 'Microsoft.Storage/storageAccounts'
| extend allowSharedKeyAccess = parse_json(properties).allowSharedKeyAccess
| project subscriptionId, resourceGroup, name, allowSharedKeyAccess

Denetim modunda Paylaşılan Anahtar erişimi için Azure İlkesi yapılandırma

Azure İlkesi Depolama hesapları paylaşılan anahtar erişimini engellemelidir ve uygun izinlere sahip kullanıcıların Paylaşılan Anahtar yetkilendirmesine izin vermek için yeni veya mevcut depolama hesaplarını yapılandırmalarını engeller. Paylaşılan Anahtar yetkilendirmesine izin verilen depolama hesaplarını belirlemek için bu ilkeyi denetim modunda yapılandırın. Uygulamaları yetkilendirme için Paylaşılan Anahtar yerine Microsoft Entra kullanacak şekilde değiştirdikten sonra, Paylaşılan Anahtar erişimine izin verilmesini önlemek için ilkeyi güncelleştirebilirsiniz.

Yerleşik ilke hakkında daha fazla bilgi için, yerleşik ilke tanımları listesinde hesapların paylaşılan anahtar erişimini engellemesi Depolama bölümüne bakın.

Kaynak kapsamı için yerleşik ilkeyi atama

Azure portalında uygun kapsam için yerleşik ilke atamak için şu adımları izleyin:

  1. Azure portalında, Azure İlkesi panosunu görüntülemek için İlke'yi arayın.

  2. Yazma bölümünde Atamalar'ı seçin.

  3. İlke ata'yı seçin.

  4. İlke ata sayfasının Temel Bilgiler sekmesinde, Kapsam bölümünde ilke atamasının kapsamını belirtin. Aboneliği ve isteğe bağlı kaynak grubunu seçmek için Diğer düğmesini (...) seçin.

  5. İlke tanımı alanı için Diğer düğmesini (...) seçin ve Arama alanına paylaşılan anahtar erişimigirin. hesapların paylaşılan anahtar erişimini engellemesi Depolama adlı ilke tanımını seçin.

    Screenshot showing how to select the built-in policy to prevent allowing Shared Key access for your storage accounts

  6. Gözden geçir ve oluştur’u seçin.

  7. gözden geçir ve oluştur sekmesinde ilke atamasını gözden geçirin ve ardından oluştur'u seçerek ilke tanımını belirtilen kapsama atayın.

İlkeyle uyumluluğu izleme

Depolama hesaplarınızın Paylaşılan Anahtar erişim ilkesiyle uyumluluğunu izlemek için şu adımları izleyin:

  1. Azure İlkesi panosunda Yazma'nın altında Atamalar'ı seçin.

  2. Önceki bölümde oluşturduğunuz ilke atamasını bulun ve seçin.

  3. Uyumluluğu görüntüle sekmesini seçin.

  4. İlke ataması kapsamındaki ve ilke gereksinimlerini karşılamayan tüm depolama hesapları uyumluluk raporunda görünür.

    Screenshot showing how to view the compliance report for the Shared Key access built-in policy.

Depolama hesabının neden uyumsuz olduğu hakkında daha fazla bilgi edinmek için Uyumluluk nedeni'nin altında Ayrıntılar'ı seçin.

İstemci uygulamaları tarafından kullanılan yetkilendirme türünü algılama

Bu değişikliği yapmanızdan önce Paylaşılan Anahtar yetkilendirmesine izin vermenin istemci uygulamalarını nasıl etkileyebileceğini anlamak için depolama hesabı için günlüğe kaydetmeyi ve ölçümleri etkinleştirin. Ardından, isteklerin nasıl yetkilendirildiğini belirlemek için belirli bir süre boyunca hesabınıza yönelik istek desenlerini analiz edebilirsiniz.

Depolama hesabının Paylaşılan Anahtar veya paylaşılan erişim imzası (SAS) ile yetkilendirilmiş kaç istek aldığını belirlemek için ölçümleri kullanın. Bu istekleri hangi istemcilerin gönderdiğini belirlemek için günlükleri kullanın.

Sas, Paylaşılan Anahtar veya Microsoft Entra Kimliği ile yetkilendirilebilir. Paylaşılan erişim imzası ile yapılan istekleri yorumlama hakkında daha fazla bilgi için bkz . Paylaşılan Anahtara izin vermenin SAS belirteçlerini nasıl etkilediğini anlama.

Paylaşılan Anahtar ile yetkilendirilmiş isteklerin sayısını ve sıklığını belirleme

Depolama hesabına yönelik isteklerin nasıl yetkilendirilmekte olduğunu izlemek için Azure portalda Azure Ölçüm Gezgini'ni kullanın. Ölçüm Gezgini hakkında daha fazla bilgi için bkz . Azure İzleyici ölçüm gezgini ile ölçümleri analiz etme.

Paylaşılan Anahtar veya SAS ile yapılan istekleri izleyen bir ölçüm oluşturmak için şu adımları izleyin:

  1. Azure portalda depolama hesabınıza gidin. İzleme bölümünde Ölçümler'i seçin.

  2. Yeni ölçüm kutusu görünmelidir:

    Screenshot showing the new metric dialog.

    Yoksa Ölçüm ekle'yi seçin.

  3. Ölçüm iletişim kutusunda aşağıdaki değerleri belirtin:

    1. Kapsam alanını depolama hesabının adı olarak bırakın.
    2. Ölçüm Ad Alanı'nı Hesap olarak ayarlayın. Bu ölçüm, depolama hesabına yönelik tüm istekleri bildirir.
    3. Ölçüm alanını İşlemler olarak ayarlayın.
    4. Toplama alanını Toplam olarak ayarlayın.

    Yeni ölçüm, belirli bir zaman aralığı boyunca depolama hesabına yönelik işlem sayısının toplamını görüntüler. Elde edilen ölçüm aşağıdaki görüntüde gösterildiği gibi görünür:

    Screenshot showing how to configure a metric to summarize transactions made with Shared Key or SAS.

  4. Ardından, yetkilendirme türü için ölçümde bir filtre oluşturmak için Filtre ekle düğmesini seçin.

  5. Filtre iletişim kutusunda aşağıdaki değerleri belirtin:

    1. Özellik değerini Kimlik Doğrulaması olarak ayarlayın.
    2. İşleç alanını eşittir işaretine (=) ayarlayın.
    3. Değerler alanında Hesap Anahtarı ve SAS'yi seçin.
  6. Sağ üst köşede, ölçümü görüntülemek istediğiniz zaman aralığını seçin. Ayrıca, 1 dakikadan 1 aya kadar olan aralıkları belirterek isteklerin toplamının ne kadar ayrıntılı olması gerektiğini belirtebilirsiniz. Örneğin, son 30 gün içinde güne göre toplanan istekleri görmek için Zaman aralığını 30 gün ve Zaman ayrıntı düzeyini 1 gün olarak ayarlayın.

Ölçümü yapılandırdıktan sonra, depolama hesabınıza yönelik istekler grafikte görünmeye başlar. Aşağıdaki görüntüde Paylaşılan Anahtar ile yetkilendirilmiş veya SAS belirteci ile yapılan istekler gösterilmektedir. İstekler son otuz gün içinde günlük olarak toplanır.

Screenshot showing aggregated requests authorized with Shared Key.

Depolama hesabınızda Paylaşılan Anahtar ile yetkilendirilmiş belirli sayıda istek yapıldığında sizi bilgilendirmek için bir uyarı kuralı da yapılandırabilirsiniz. Daha fazla bilgi için bkz . Azure İzleyici kullanarak ölçüm uyarıları oluşturma, görüntüleme ve yönetme.

Paylaşılan Anahtar veya SAS ile istekleri yetkilendirilen istemcileri belirlemek için günlükleri analiz etme

Azure Depolama günlükleri, bir isteğin nasıl yetkilendirilildiği de dahil olmak üzere depolama hesabında yapılan isteklerle ilgili ayrıntıları yakalar. Paylaşılan Anahtar veya SAS belirteci ile istekleri hangi istemcilerin yetkilendirildiğini belirlemek için günlükleri analiz edebilirsiniz.

İsteklerin nasıl yetkilendirildiklerini değerlendirmek üzere Azure Depolama hesabınızdaki istekleri günlüğe kaydetmek için Azure İzleyici'de Azure Depolama günlüğünü kullanabilirsiniz. Daha fazla bilgi için bkz. Azure Depolama izleme.

Azure İzleyici'de Azure Depolama günlüğü, günlük verilerini analiz etmek için günlük sorgularının kullanılmasını destekler. Günlükleri sorgulamak için bir Azure Log Analytics çalışma alanı kullanabilirsiniz. Günlük sorguları hakkında daha fazla bilgi edinmek için bkz . Öğretici: Log Analytics sorgularını kullanmaya başlama.

Azure portalında tanılama ayarı oluşturma

Azure İzleyici ile Azure Depolama verilerini günlüğe kaydetmek ve Azure Log Analytics ile analiz etmek isterseniz, önce ne tür istekler ve hangi depolama hizmetleri için verileri günlüğe kaydetmek istediğinizi belirten bir tanılama ayarı oluşturmanız gerekir. Azure portalda bir tanılama ayarı oluşturmak için şu adımları izleyin:

  1. Abonelikte Azure Depolama hesabınızı içeren yeni bir Log Analytics çalışma alanı oluşturun veya mevcut log analytics çalışma alanını kullanın. Depolama hesabınız için günlüğe kaydetmeyi yapılandırdıktan sonra günlükler, Log Analytics çalışma alanında kullanılabilir. Daha fazla bilgi için Azure portalda Log Analytics çalışma alanı oluşturma bölümüne bakın.

  2. Azure portalda depolama hesabınıza gidin.

  3. İzleme bölümünde Tanılama ayarları'nı seçin.

  4. İstekleri günlüğe kaydetmek istediğiniz Azure Depolama hizmetini seçin. Örneğin, istekleri Blob depolamaya kaydetmek için Blob'u seçin.

  5. Tanılama ayarı ekle’yi seçin.

  6. Tanılama ayarı için bir ad belirtin.

  7. Kategori ayrıntıları'nın altındaki günlük bölümünde Depolama Read, Depolama Write ve Depolama Delete'i seçerek tüm veri isteklerini seçili hizmete günlüğe kaydedebilirsiniz.

  8. Hedef ayrıntıları altında Log Analytics’e Gönder seçeneğini belirleyin. Aşağıdaki görüntüde gösterildiği gibi aboneliğinizi ve daha önce oluşturduğunuz Log Analytics çalışma alanını seçin.

    Screenshot showing how to create a diagnostic setting for logging requests.

Depolama hesabınızdaki her Azure Depolama kaynağı türü için bir tanılama ayarı oluşturabilirsiniz.

Tanılama ayarını oluşturduktan sonra depolama hesabına yönelik istekler daha sonra bu ayara göre günlüğe kaydedilir. Daha fazla bilgi için bkz . Azure'da kaynak günlüklerini ve ölçümleri toplamak için tanılama ayarı oluşturma.

Azure İzleyici'deki Azure Depolama günlüklerinde bulunan alanlara başvuru için bkz. Kaynak günlükleri.

Paylaşılan Anahtar veya SAS ile yapılan istekler için sorgu günlükleri

Azure İzleyici'deki Azure Depolama günlükleri, depolama hesabına istekte bulunmak için kullanılan yetkilendirme türünü içerir. Paylaşılan Anahtar veya SAS ile yetkilendirilmiş son yedi gün içinde yapılan isteklerin günlüklerini almak için Log Analytics çalışma alanınızı açın. Ardından, aşağıdaki sorguyu yeni bir günlük sorgusuna yapıştırın ve çalıştırın. Bu sorgu, Paylaşılan Anahtar veya SAS ile yetkilendirilmiş istekleri en sık gönderen on IP adresini görüntüler:

StorageBlobLogs
| where AuthenticationType in ("AccountKey", "SAS") and TimeGenerated > ago(7d)
| summarize count() by CallerIpAddress, UserAgentHeader, AccountName
| top 10 by count_ desc

Paylaşılan Anahtar veya SAS ile yetkilendirilmiş istekler hakkında sizi bilgilendirmek için bu sorguyu temel alan bir uyarı kuralı da yapılandırabilirsiniz. Daha fazla bilgi için bkz . Azure İzleyici kullanarak günlük uyarıları oluşturma, görüntüleme ve yönetme.

Paylaşılan Anahtar aracılığıyla yetkilendirmeyi düzeltme

Depolama hesabınıza yönelik isteklerin nasıl yetkilendirilmekte olduğunu analiz ettikten sonra, Paylaşılan Anahtar üzerinden erişimi engellemek için eylem gerçekleştirebilirsiniz. Ancak ilk olarak, Bunun yerine Microsoft Entra Id kullanmak için Paylaşılan Anahtar yetkilendirmesi kullanan tüm uygulamaları güncelleştirmeniz gerekir. Geçişi izlemek için istemci uygulamaları tarafından kullanılan yetkilendirme türünü algılama bölümünde açıklandığı gibi günlükleri ve ölçümleri izleyebilirsiniz. Depolama hesabındaki verilere erişmek için Microsoft Entra Id kullanma hakkında daha fazla bilgi için bkz. Azure Depolama'de verilere erişimi yetkilendirme.

Paylaşılan Anahtar ile yetkilendirilmiş istekleri güvenle reddedebileceğinizden eminseniz, depolama hesabı için AllowSharedKeyAccess özelliğini false olarak ayarlayabilirsiniz.

Uyarı

Depolama hesabınızdaki verilere Paylaşılan Anahtar ile erişen istemciler varsa, Microsoft, Paylaşılan Anahtar'ın depolama hesabına erişimine izin vermeden önce bu istemcileri Microsoft Entra Id'ye geçirmenizi önerir.

Paylaşılan Anahtar erişimine izin verme veya erişimi reddetme izinleri

Depolama hesabının AllowSharedKeyAccess özelliğini ayarlamak için, kullanıcının depolama hesapları oluşturma ve yönetme izinlerine sahip olması gerekir. Bu izinleri sağlayan Azure rol tabanlı erişim denetimi (Azure RBAC) rolleri Microsoft.Depolama/storageAccounts/write veya Microsoft.Depolama/storageAccounts/* eylemi. Bu eyleme sahip yerleşik roller şunlardır:

Bu roller, Microsoft Entra Id aracılığıyla bir depolama hesabındaki verilere erişim sağlamaz. Ancak Microsoft.Depolama Hesap erişim anahtarlarına erişim veren /storageAccounts/listkeys/action. Bu izinle, kullanıcı bir depolama hesabındaki tüm verilere erişmek için hesap erişim anahtarlarını kullanabilir.

Bir kullanıcının depolama hesabı için Paylaşılan Anahtar erişimine izin vermesine veya erişimine izin vermesine izin vermek için rol atamalarının kapsamı depolama hesabı düzeyine veya daha yüksek bir düzeye çıkarılmalıdır. Rol kapsamı hakkında daha fazla bilgi için bkz . Azure RBAC kapsamını anlama.

Bu rollerin atamasını yalnızca depolama hesabı oluşturma veya özelliklerini güncelleştirme yeteneğine ihtiyaç duyanlarla kısıtlamaya dikkat edin. Kullanıcıların görevlerini gerçekleştirmek için ihtiyaç duydukları en az izinlere sahip olduğundan emin olmak için en az ayrıcalık ilkesini kullanın. Azure RBAC ile erişimi yönetme hakkında daha fazla bilgi için bkz . Azure RBAC için en iyi yöntemler.

Dekont

Klasik abonelik yöneticisi rolleri Service Yönetici istrator ve Co-Yönetici istrator, Azure Resource Manager Sahip rolünün eşdeğerini içerir. Sahip rolü tüm eylemleri içerdiğinden, bu yönetim rollerinden birine sahip bir kullanıcı da depolama hesapları oluşturabilir ve yönetebilir. Daha fazla bilgi için bkz . Azure rolleri, Microsoft Entra rolleri ve klasik abonelik yöneticisi rolleri.

Paylaşılan Anahtar yetkilendirmesini devre dışı bırakma

Gerekli izinlere sahip bir hesap kullanarak, Azure portalında, PowerShell ile veya Azure CLI kullanarak Paylaşılan Anahtar yetkilendirmesini devre dışı bırakın.

Azure portalında bir depolama hesabı için Paylaşılan Anahtar yetkilendirmesine izin vermemek için şu adımları izleyin:

  1. Azure portalda depolama hesabınıza gidin.

  2. Ayarlar altında Yapılandırma ayarını bulun.

  3. Depolama hesabı anahtarı erişimine izin ver seçeneğini Devre Dışı olarak ayarlayın.

    Screenshot showing how to disallow Shared Key access for a storage account.

Paylaşılan Anahtar yetkilendirmesine izin vermedikten sonra, Paylaşılan Anahtar yetkilendirmeli depolama hesabına istekte bulunmak 403 (Yasak) hata koduyla başarısız olur. Azure Depolama, depolama hesabında anahtar tabanlı yetkilendirmeye izin verilmediğini belirten bir hata döndürür.

AllowSharedKeyAccess özelliği yalnızca Azure Resource Manager dağıtım modelini kullanan depolama hesapları için desteklenir. Hangi depolama hesaplarının Azure Resource Manager dağıtım modelini kullandığı hakkında bilgi için bkz . Depolama hesabı türleri.

Paylaşılan Anahtar erişimine izin verilmediğini doğrulayın

Paylaşılan Anahtar yetkilendirmesine artık izin verilmediğini doğrulamak için hesap erişim anahtarıyla bir veri işlemi çağırmayı deneyin. Aşağıdaki örnek, erişim anahtarını kullanarak bir kapsayıcı oluşturmayı dener. Depolama hesabı için Paylaşılan Anahtar yetkilendirmesine izin verilmediğinde bu çağrı başarısız olur. Köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın:

az storage container create \
    --account-name <storage-account> \
    --name sample-container \
    --account-key <key> \
    --auth-mode key

Dekont

Anonim istekler yetkilendirilmediğinden, depolama hesabını ve kapsayıcıyı anonim okuma erişimi için yapılandırdıysanız devam eder. Daha fazla bilgi için bkz . Kapsayıcılar ve bloblar için anonim okuma erişimini yapılandırma.

Uyumluluk için Azure İlkesi izleme

İstenen depolama hesaplarında Paylaşılan Anahtar erişimine izin vermedikten sonra, devam eden uyumluluk için daha önce oluşturduğunuz ilkeyi izlemeye devam edin. İzleme sonuçlarına bağlı olarak, ilkenin kapsamını değiştirme, daha fazla hesapta Paylaşılan Anahtar erişimine izin verme veya düzeltme için daha fazla zaman gereken hesaplar için izin verme gibi uygun eylemi gerçekleştirin.

Paylaşılan Anahtar erişimine izin vermemeye yönelik Azure İlkesi güncelleştirme

İlke Depolama hesapları için daha önce oluşturduğunuz Azure İlkesi atamasını zorunlu kılmaya başlamak için, yetkili kullanıcıların depolama hesaplarında Paylaşılan Anahtar erişimine izin vermesini önlemek için ilke atamasının Etkisini Reddet olarak değiştirin. İlkenin etkisini değiştirmek için aşağıdaki adımları uygulayın:

  1. Azure İlkesi panosunda, daha önce oluşturduğunuz ilke atamasını bulun ve seçin.

  2. Ödevi düzenle'yi seçin.

  3. Parametreler sekmesine gidin.

  4. Yalnızca giriş veya gözden geçirme gerektiren parametreleri göster onay kutusunun işaretini kaldırın.

  5. Efekt açılan listesinde Denetimi Reddet olarak değiştirin ve gözden geçir + kaydet'i seçin.

  6. Gözden geçir ve kaydet sekmesinde değişikliklerinizi gözden geçirin ve kaydet'i seçin.

Dekont

İlke değişikliğinizin geçerlilik kazanması 30 dakika kadar sürebilir.

Sonraki adımlar