Depolama hesabı erişim anahtarlarını yönetme

Makale
10/26/2023

Depolama hesabı oluşturduğunuzda, Azure bu hesap için iki 512 bit depolama hesabı erişim anahtarı oluşturur. Bu anahtarlar, Paylaşılan Anahtar yetkilendirmesi aracılığıyla veya paylaşılan anahtarla imzalanan SAS belirteçleri aracılığıyla depolama hesabınızdaki verilere erişimi yetkilendirmek için kullanılabilir.

Microsoft, erişim anahtarlarınızı yönetmek için Azure Key Vault kullanmanızı ve anahtarlarınızı düzenli olarak döndürmenizi ve yeniden oluşturmanızı önerir. Azure Key Vault'un kullanılması, uygulamalarınızda kesinti yaşamadan anahtarlarınızı döndürmenizi kolaylaştırır. Ayrıca anahtarlarınızı el ile de döndürebilirsiniz.

Erişim anahtarlarınızı koruma

Depolama hesap erişim anahtarları hem depolama hesabının yapılandırmasına hem de verilere tam erişim sağlar. Erişim anahtarlarınızı korumak için her zaman dikkatli olun. Anahtarlarınızı güvenli bir şekilde yönetmek ve döndürmek için Azure Key Vault'ı kullanın. Paylaşılan anahtara erişim, kullanıcıya depolama hesabının yapılandırmasına ve verilerine tam erişim verir. Paylaşılan anahtarlara erişim dikkatle sınırlanmalı ve izlenmelidir. Microsoft Entra ID tabanlı yetkilendirmenin kullanılamadığı senaryolarda sınırlı erişim kapsamına sahip SAS belirteçleri kullanın. Erişim anahtarlarını sabit kodlamaktan veya başkalarının erişebileceği herhangi bir yerde düz metin olarak kaydetmekten kaçının. Ele geçirilmiş olabileceklerini düşünüyorsanız anahtarlarınızı döndürün.

Önemli

Microsoft, hesap anahtarlarını (Paylaşılan Anahtar yetkilendirmesi) kullanmak yerine mümkünse blob, kuyruk ve tablo verilerine karşı istekleri yetkilendirmek için Microsoft Entra Id kullanılmasını önerir. Microsoft Entra Id ile yetkilendirme, Paylaşılan Anahtar yetkilendirmesi yerine üstün güvenlik ve kullanım kolaylığı sağlar. Uygulamalarınızdan Microsoft Entra yetkilendirmesini kullanma hakkında daha fazla bilgi için bkz . Azure hizmetleriyle .NET uygulamalarının kimliğini doğrulama. SMB Azure dosya paylaşımları için Microsoft, şirket içi Active Directory Domain Services (AD DS) tümleştirmesi veya Microsoft Entra Kerberos kimlik doğrulaması kullanılmasını önerir.

Kullanıcıların Paylaşılan Anahtar ile depolama hesabınızdaki verilere erişmesini önlemek için, depolama hesabı için Paylaşılan Anahtar yetkilendirmesine izin verilmiyebilirsiniz. En düşük ayrıcalıklara sahip verilere ayrıntılı erişim, en iyi güvenlik uygulaması olarak önerilir. OAuth'u destekleyen senaryolar için Microsoft Entra Id tabanlı yetkilendirme kullanılmalıdır. SMB üzerinden Azure Dosyalar için Kerberos veya SMTP kullanılmalıdır. REST üzerinden Azure Dosyalar için SAS belirteçleri kullanılabilir. Yanlışlıkla kullanılmasını önlemek için gerekli değilse paylaşılan anahtar erişimi devre dışı bırakılmalıdır. Daha fazla bilgi için bkz. Azure Depolama hesabı için Paylaşılan Anahtar yetkilendirmesini engelleme.

Azure Depolama hesabını Microsoft Entra Koşullu Erişim ilkeleriyle korumak için, depolama hesabı için Paylaşılan Anahtar yetkilendirmesine izin vermemelisiniz.

Paylaşılan anahtar erişimini devre dışı bırakmışsanız ve tanılama günlüklerinde Paylaşılan Anahtar yetkilendirmesinin bildirildiğini görüyorsanız, bu, depolama alanına erişmek için güvenilen erişimin kullanıldığını gösterir. Diğer ayrıntılar için bkz . Aboneliğinizde kayıtlı kaynaklar için güvenilir erişim.

Hesap erişim anahtarlarını görüntüleme

Hesap erişim anahtarlarınızı Azure portalı, PowerShell veya Azure CLI ile görüntüleyebilir ve kopyalayabilirsiniz. Azure portalı, depolama hesabınız için kopyalayabileceğiniz bir bağlantı dizesi de sağlar.

Azure portalından depolama hesabı erişim anahtarlarınızı veya bağlantı dizesi görüntülemek ve kopyalamak için:

Azure portalında depolama hesabınıza gidin.
Güvenlik + ağ altında Erişim anahtarları'nı seçin. Hesap erişim anahtarlarınız ve her bir anahtar için tam bağlantı dizesi görüntülenir.
Erişim anahtarlarınızı ve bağlantı dizesi göstermek ve değerleri kopyalamak için düğmeleri etkinleştirmek için Anahtarları göster'i seçin.
anahtar1'in altında Anahtar değerini bulun. Hesap anahtarını kopyalamak için Kopyala düğmesini seçin.
Alternatif olarak, bağlantı dizesi tamamını kopyalayabilirsiniz. anahtar1'in altında Bağlan ion dizesi değerini bulun. bağlantı dizesi kopyalamak için Kopyala düğmesini seçin.

PowerShell ile hesap erişim anahtarlarınızı almak için Get-Az Depolama AccountKey komutunu çağırın.

Aşağıdaki örnek ilk anahtarı alır. İkinci anahtarı almak için yerine Value[0]kullanınValue[1]. Köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın.

$storageAccountKey = `
    (Get-AzStorageAccountKey
    -ResourceGroupName <resource-group> `
    -Name <storage-account>).Value[0]

Azure CLI ile hesap erişim anahtarlarınızı listelemek için aşağıdaki örnekte gösterildiği gibi az storage account keys list komutunu çağırın. Köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın.

az storage account keys list \
  --resource-group <resource-group> \
  --account-name <storage-account>

Azure Depolama erişmek için iki anahtardan birini kullanabilirsiniz, ancak genel olarak ilk anahtarı kullanmak ve anahtarları döndürürken ikinci anahtarın kullanımını ayırmak iyi bir uygulamadır.

Bir hesabın erişim anahtarlarını görüntülemek veya okumak için kullanıcının bir Hizmet Yönetici istrator olması veya Microsoft.Depolama içeren bir Azure rolüne atanması gerekir/storageAccounts/listkeys/action. Bu eylemi içeren bazı Azure yerleşik rolleri Sahip, Katkıda Bulunan ve Depolama Hesap Anahtarı İşleci Hizmeti Rolü rolleridir. Hizmet Yönetici strator rolü hakkında daha fazla bilgi için bkz. Azure rolleri, Microsoft Entra rolleri ve klasik abonelik yöneticisi rolleri. Azure Depolama için yerleşik roller hakkında ayrıntılı bilgi için Azure RBAC için Azure yerleşik rolleri bölümündeki Depolama bölümüne bakın.

Erişim anahtarlarınızı yönetmek için Azure Key Vault kullanma

Microsoft, erişim anahtarlarınızı yönetmek ve döndürmek için Azure Key Vault'u kullanmanızı önerir. Uygulamanız anahtarlarınıza Key Vault'ta güvenli bir şekilde erişebilir, böylece bunları uygulama kodunuzla depolamaktan kaçınabilirsiniz. Anahtar yönetimi için Key Vault kullanma hakkında daha fazla bilgi için aşağıdaki makalelere bakın:

Erişim anahtarlarını el ile döndürme

Microsoft, depolama hesabınızın güvenli kalmasına yardımcı olmak için erişim anahtarlarınızı düzenli aralıklarla döndürmenizi önerir. Mümkünse erişim anahtarlarınızı yönetmek için Azure Key Vault'ı kullanın. Key Vault kullanmıyorsanız anahtarlarınızı el ile döndürmeniz gerekir.

Anahtarlarınızı döndürebilmeniz için iki erişim anahtarı atanır. İki anahtara sahip olmak, uygulamanızın işlem boyunca Azure Depolama erişimini sürdürmesini sağlar.

Uyarı

Erişim anahtarlarınızı yeniden oluşturma işlemi, depolama hesabı anahtarına bağımlı olan tüm uygulamaları veya Azure hizmetlerini etkileyebilir. Depolama hesabına erişmek için hesap anahtarını kullanan tüm istemcilerin, medya hizmetleri, bulut, masaüstü ve mobil uygulamalar ve Azure Depolama Gezgini gibi Azure Depolama için grafik kullanıcı arabirimi uygulamaları gibi yeni anahtarı kullanacak şekilde güncelleştirilmesi gerekir.

Buna ek olarak, erişim anahtarlarını döndürme veya yeniden oluşturma, bu anahtara göre oluşturulan paylaşılan erişim imzalarını (SAS) iptal eder. Erişim anahtarı döndürmeden sonra, uygulamalarda kesinti yaşanmasını önlemek için hesap ve hizmet SAS belirteçlerini yeniden oluşturmanız gerekir. Kullanıcı temsilcisi SAS belirteçlerinin Microsoft Entra kimlik bilgileriyle güvenli hale getirildiğini ve anahtar döndürmeden etkilenmediğini unutmayın.

Erişim anahtarlarını el ile döndürmeyi planlıyorsanız, Microsoft bir anahtar süre sonu ilkesi ayarlamanızı önerir. Daha fazla bilgi için bkz . Anahtar süre sonu ilkesi oluşturma.

Anahtar süre sonu ilkesini oluşturduktan sonra, Azure İlkesi kullanarak bir depolama hesabının anahtarlarının önerilen aralık içinde döndürülmüş olup olmadığını izleyebilirsiniz. Ayrıntılar için bkz . Anahtar süre sonu ilkesi ihlallerini denetleme.

Azure portalında depolama hesabı erişim anahtarlarınızı döndürmek için:

Depolama hesabının ikincil erişim anahtarına başvurmak için uygulama kodunuzdaki bağlantı dizesi güncelleştirin.
Azure portalında depolama hesabınıza gidin.
Güvenlik + ağ altında Erişim anahtarları'nı seçin.
Depolama hesabınızın birincil erişim anahtarını yeniden oluşturmak için birincil erişim anahtarının yanındaki Yeniden Oluştur düğmesini seçin.
Yeni birincil erişim anahtarını referans olarak kullanmak için bağlantı dizelerini güncelleştirin.
İkincil erişim anahtarını da aynı şekilde yeniden oluşturun.

Depolama hesabı erişim anahtarlarınızı PowerShell ile döndürmek için:

Depolama hesabının ikincil erişim anahtarına başvurmak için uygulama kodunuzdaki bağlantı dizesi güncelleştirin.
Aşağıdaki örnekte gösterildiği gibi birincil erişim anahtarını yeniden oluşturmak için New-Az Depolama AccountKey komutunu çağırın:
```
New-AzStorageAccountKey -ResourceGroupName <resource-group> `
  -Name <storage-account> `
  -KeyName key1
```
Yeni birincil erişim anahtarını referans olarak kullanmak için bağlantı dizelerini güncelleştirin.
İkincil erişim anahtarını da aynı şekilde yeniden oluşturun. İkincil anahtarı yeniden oluşturmak için yerine anahtar adı key1olarak kullanınkey2.

Azure CLI ile depolama hesabı erişim anahtarlarınızı döndürmek için:

Depolama hesabının ikincil erişim anahtarına başvurmak için uygulama kodunuzdaki bağlantı dizesi güncelleştirin.
Aşağıdaki örnekte gösterildiği gibi birincil erişim anahtarını yeniden oluşturmak için az storage account keys renew komutunu çağırın:
```
az storage account keys renew \
  --resource-group <resource-group> \
  --account-name <storage-account> \
  --key primary
```
Yeni birincil erişim anahtarını referans olarak kullanmak için bağlantı dizelerini güncelleştirin.
İkincil erişim anahtarını da aynı şekilde yeniden oluşturun. İkincil anahtarı yeniden oluşturmak için yerine anahtar adı primaryolarak kullanınsecondary.

Dikkat

Microsoft, tüm uygulamalarınızdaki anahtarlardan yalnızca birini aynı anda kullanmanızı önerir. Bazı yerlerde Anahtar 1 ve bazı yerlerde Anahtar 2 kullanıyorsanız, bazı uygulamaların erişimi kaybetmeden anahtarlarınızı döndüremezsiniz.

Bir hesabın erişim anahtarlarını döndürmek için kullanıcının bir Hizmet Yönetici istrator olması veya Microsoft.Depolama içeren bir Azure rolüne atanması gerekir/storageAccounts/regeneratekey/action. Bu eylemi içeren bazı Azure yerleşik rolleri Sahip, Katkıda Bulunan ve Depolama Hesap Anahtarı İşleci Hizmeti Rolü rolleridir. Hizmet Yönetici strator rolü hakkında daha fazla bilgi için bkz. Azure rolleri, Microsoft Entra rolleri ve klasik abonelik yöneticisi rolleri. Azure Depolama için Azure yerleşik rolleri hakkında ayrıntılı bilgi için Azure RBAC için Azure yerleşik rolleri bölümündeki Depolama bölümüne bakın.

Anahtar süre sonu ilkesi oluşturma

Anahtar süre sonu ilkesi, hesap erişim anahtarlarının döndürülmesi için bir anımsatıcı ayarlamanıza olanak tanır. Belirtilen aralık geçtiyse ve anahtarlar henüz döndürülmediyse anımsatıcı görüntülenir. Anahtar süre sonu ilkesi oluşturduktan sonra, hesap erişim anahtarlarının düzenli olarak döndürülmesini sağlamak için depolama hesaplarınızı uyumluluk açısından izleyebilirsiniz.

Dekont

Anahtar süre sonu ilkesi oluşturabilmeniz için önce hesap erişim anahtarlarınızın her birini en az bir kez döndürmeniz gerekebilir.

Azure portalında anahtar süre sonu ilkesi oluşturmak için:

Azure portalında depolama hesabınıza gidin.
Güvenlik + ağ altında Erişim anahtarları'nı seçin. Hesap erişim anahtarlarınız ve her bir anahtar için tam bağlantı dizesi görüntülenir.
Döndürme anımsatıcısı ayarla düğmesini seçin. Döndürme anımsatıcısını ayarla düğmesi griyse, tuşlarınızın her birini döndürmeniz gerekir. Anahtarları döndürmek için Erişim tuşlarını el ile döndürme başlığında açıklanan adımları izleyin.
Erişim anahtarlarını döndürmek için anımsatıcı ayarla bölümünde Anahtar döndürme anımsatıcılarını etkinleştir onay kutusunu seçin ve anımsatıcı için bir sıklık ayarlayın.
Kaydet'i seçin.

Screenshot showing how to create a key expiration policy in the Azure portal

PowerShell ile anahtar süre sonu ilkesi oluşturmak için Set-Az Depolama Account komutunu kullanın ve parametreyi erişim anahtarının -KeyExpirationPeriodInDay döndürülmesi gerekene kadar gün cinsinden aralık olarak ayarlayın.

özelliği, KeyCreationTime hesap erişim anahtarlarının ne zaman oluşturulduğunu veya en son döndürüldüğünü gösterir. Eski hesaplar henüz ayarlanmadığından özelliği için KeyCreationTime null değere sahip olabilir. KeyCreationTime Özellik null ise, anahtarları döndürene kadar anahtar süre sonu ilkesi oluşturamazsınız. Bu nedenle, anahtar süre sonu ilkesini ayarlamaya çalışmadan önce depolama hesabının özelliğini denetlemek KeyCreationTime iyi bir fikirdir.

Aşağıdaki örnek, özelliğin KeyCreationTime her anahtar için ayarlanıp ayarlanmadığını denetler. Özelliğin KeyCreationTime bir değeri varsa depolama hesabı için bir anahtar süre sonu ilkesi oluşturulur. Köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın.

$rgName = "<resource-group>"
$accountName = "<account-name>"

$account = Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName

# Check whether the KeyCreationTime property has a value for each key 
# before creating the key expiration policy.
if ($account.KeyCreationTime.Key1 -eq $null -or $account.KeyCreationTime.Key2 -eq $null)
{
    Write-Host("You must regenerate both keys at least once before setting expiration policy")
}
else
{
    $account = Set-AzStorageAccount -ResourceGroupName $rgName -Name `
        $accountName  -KeyExpirationPeriodInDay 60
}

New-Az Depolama Account komutunun parametresini ayarlayarak -KeyExpirationPeriodInDay depolama hesabı oluştururken anahtar süre sonu ilkesini de ayarlayabilirsiniz.

İlkenin uygulandığını doğrulamak için depolama hesabının KeyPolicy özelliğini denetleyin.

$account.KeyPolicy

Azure CLI ile bir anahtar süre sonu ilkesi oluşturmak için az storage account update komutunu kullanın ve erişim anahtarının --key-exp-days döndürülmesi gerekene kadar gün cinsinden parametresini aralık olarak ayarlayın.

özelliği, keyCreationTime hesap erişim anahtarlarının ne zaman oluşturulduğunu veya en son döndürüldüğünü gösterir. Eski hesaplar henüz ayarlanmadığından özelliği için keyCreationTime null değere sahip olabilir. keyCreationTime Özellik null ise, anahtarları döndürene kadar anahtar süre sonu ilkesi oluşturamazsınız. Bu nedenle, anahtar süre sonu ilkesini ayarlamaya çalışmadan önce depolama hesabının özelliğini denetlemek keyCreationTime iyi bir fikirdir.

Aşağıdaki örnek, özelliğin keyCreationTime her anahtar için ayarlanıp ayarlanmadığını denetler. Özelliğin keyCreationTime bir değeri varsa depolama hesabı için bir anahtar süre sonu ilkesi oluşturulur. Köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın.

key1_create_time=$(az storage account show \
    --name <storage-account> \
    --resource-group <resource-group> \
    --query 'keyCreationTime.key1' \
    --output tsv)
key2_create_time=$(az storage account show \
    --name <storage-account> \
    --resource-group <resource-group> \
    --query 'keyCreationTime.key2' \
    --output tsv)

if [ -z "$key1_create_time" ] || [ -z "$key2_create_time" ]; 
then
    echo "You must regenerate both keys at least once before setting expiration policy"
else
    az storage account update \
        --name <storage-account> \
        --resource-group <resource-group> \
        --key-exp-days 60
fi

Az storage account create komutunun parametresini ayarlayarak --key-exp-days depolama hesabı oluştururken anahtar süre sonu ilkesini de ayarlayabilirsiniz.

İlkenin uygulandığını doğrulamak için az storage account show komutunu çağırın ve parametresinin dizesini {KeyPolicy:keyPolicy}-query kullanın.

az storage account show \
  -n <storage-account-name> \
  -g <resource-group-name> \
  --query "{KeyPolicy:keyPolicy}"

Anahtar süre sonu, konsol çıkışında görünür.

{
  "KeyPolicy": {
    "enableAutoRotation": false,
    "keyExpirationPeriodInDays": 60
  }
}

Anahtar süre sonu ilkesi ihlallerini denetleme

Hesap erişim anahtarlarının önerilen süre içinde döndürülmesini sağlamak için depolama hesaplarınızı Azure İlkesi ile izleyebilirsiniz. Azure Depolama, depolama hesabı erişim anahtarlarının süresinin dolmadığından emin olmak için yerleşik bir ilke sağlar. Yerleşik ilke hakkında daha fazla bilgi için yerleşik ilke tanımları listesinde hesap anahtarlarının süresi dolmaması Depolama bölümüne bakın.

Kaynak kapsamı için yerleşik ilkeyi atama

Yerleşik ilkeyi Azure portalında uygun kapsama atamak için şu adımları izleyin:

Azure portalında, Azure İlkesi panosunu görüntülemek için İlke'yi arayın.
Yazma bölümünde Atamalar'ı seçin.
İlke ata'yı seçin.
İlke ata sayfasının Temel Bilgiler sekmesinde, Kapsam bölümünde ilke atamasının kapsamını belirtin. Aboneliği ve isteğe bağlı kaynak grubunu seçmek için Diğer düğmesini seçin.
İlke tanımı alanı için Diğer düğmesini seçin ve Arama alanına depolama hesabı anahtarlarınıgirin. Depolama hesap anahtarlarının süresi dolmamalıdır adlı ilke tanımını seçin.
İlke tanımını belirtilen kapsama atamak için Gözden geçir + oluştur'u seçin.

Anahtar süre sonu ilkesiyle uyumluluğu izleme

Depolama hesaplarınızın anahtar süre sonu ilkesiyle uyumluluğunu izlemek için şu adımları izleyin:

Azure İlkesi panosunda, ilke atamasında belirttiğiniz kapsam için yerleşik ilke tanımını bulun. Yerleşik ilkeyi filtrelemek için Arama kutusunda Depolama hesap anahtarlarının süresinin dolmaması gerektiğini arayabilirsiniz.
İstenen kapsama sahip ilke adını seçin.
Yerleşik ilkenin İlke atama sayfasında Uyumluluğu görüntüle'yi seçin. Belirtilen abonelik ve kaynak grubundaki ilke gereksinimlerini karşılamayan tüm depolama hesapları uyumluluk raporunda görünür.

Depolama hesabını uyumlu hale getirmek için hesap erişim anahtarlarını döndürün.