Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
С помощью строковой подписи (SAS) можно делегировать доступ к ресурсам в вашей учетной записи хранения Azure. Маркер SAS содержит сведения о целевом ресурсе, предоставленных разрешениях и интервале времени, в течение которого разрешен доступ. Рекомендуется придерживаться лучших практик и ограничивать интервал для SAS на случай, если он окажется скомпрометированным. Задав политику истечения срока действия SAS для учетных записей хранения, можно рекомендовать или применить верхний предел срока действия (максимальный интервал срока действия), когда пользователь создает SAS делегирования пользователей, SAS службы или SAS учетной записи.
Для получения дополнительной информации об общих ключах доступа см. статью Предоставление ограниченного доступа к ресурсам хранилища Azure с помощью общих ключей доступа (SAS).
Внимание
В сценариях, когда используется доступ с разделяемыми сигнатурами (SAS), корпорация Майкрософт рекомендует использовать делегированную пользователем SAS. SAS делегирования пользователей защищается с помощью учетных данных Microsoft Entra вместо ключа учетной записи, что обеспечивает более высокую безопасность.
Сведения о политиках срока действия SAS
Вы можете настроить политику срока действия SAS в учетной записи хранения. Политика истечения срока действия SAS задает верхний предел для интервала допустимости для SAS делегирования пользователей, SAS службы или SAS учетной записи. Верхний предел указывается как значение даты и времени, которое представляет собой объединенное количество дней, часов, минут и секунд.
Период действия для SAS вычисляется путем вычитания значения даты и времени в подписанном поле начала срока действия из значения даты и времени в поле завершения срока действия. Если полученное значение не превышает рекомендуемый верхний предел, то SAS соответствует политике истечения срока действия SAS.
Если политика срока действия SAS действует для учетной записи хранения, подписанное поле начала срока действия нужно указать для каждого SAS. Если подписанное поле запуска не включено в SAS, и вы настроили параметр диагностики для ведения журнала с помощью Azure Monitor, служба хранилища Azure записывает сообщение в свойство SasExpiryStatus в журналах всякий раз, когда пользователь использует SAS без значения для подписанного начального поля.
После настройки политики истечения срока действия SAS любой пользователь, создающий SAS с интервалом, превышающим рекомендуемый верхний предел, увидит предупреждение, а также рекомендуемый максимальный интервал.
Определение действия по истечении срока действия SAS
Политика истечения срока действия SAS поддерживает два действия:
[По умолчанию] Журнал: Разрешены запросы, сделанные с использованием SAS вне политики. Если вы настроили параметр диагностики для ведения журнала с помощью Azure Monitor, служба хранилища Azure записывает сообщение в свойство SasExpiryStatus в журналах всякий раз, когда пользователь использует SAS, срок действия которого истекает после рекомендуемого интервала. Сообщение указывает на то, что период действия SAS превышает рекомендуемый интервал. Этот параметр рекомендуется для мониторинга и аудита доступа без нарушения рабочих процессов.
Блок: Запросы, сделанные с использованием sas вне политики, запрещены. Это самый строгий вариант применения элементов управления доступом в соответствии с требованиями организации.
SAS вне политики — это те, которые не имеют подписанного запуска или имеют интервал допустимости, превышающий верхний предел.
Начните с просмотра текущего использования маркера SAS и настройки соответствующей политики истечения срока действия для учетных записей хранения. Мы рекомендуем начать с действия журнала для мониторинга журналов диагностики для нарушений политики. Настоятельно рекомендуется использовать действие блокировки , чтобы убедиться, что если маркер SAS прошел срок действия срока действия учетной записи хранения, то доступ к хранилищу должен быть заблокирован.
Внимание
Действие истечения срока действия SAS не поддерживается для SAS делегирования пользователей через конечную точку HDFS или подписанные подписанные URL-адреса уровня службы с хранимой политикой доступа.
Настройка политики истечения срока действия SAS
При настройке политики истечения срока действия SAS в учетной записи хранения эта политика применяется к каждому типу SAS: делегированных пользователей SAS, служебного SAS и SAS учетной записи. Типы SAS для службы и учетной записи подписаны ключом учетной записи, а SAS делегирования пользователей подписаны учетными данными Microsoft Entra.
Примечание.
SAS делегирования пользователя подписывается с помощью ключа делегирования пользователя, который получается с использованием учетных данных Microsoft Entra. Ключ делегирования пользователей имеет собственный интервал истечения срока действия, который не подлежит политике истечения срока действия SAS. Политика истечения срока действия SAS применяется только к пользовательскому SAS делегирования, а не к пользовательскому ключу делегирования, с которым она подписана.
SAS делегирования пользователей имеет максимальный интервал истечения срока действия 7 дней независимо от политики истечения срока действия SAS. Если для политики истечения срока действия SAS установлено значение более 7 дней, то такая политика не будет действовать для SAS с делегированием пользователей. Если срок действия ключа делегирования пользователей истек, то любой SAS делегирования пользователей, подписанный с использованием этого ключа, становится недействительным, и любая попытка использовать SAS вернёт ошибку.
Нужно ли сначала повернуть ключи доступа к учетной записи?
Этот раздел касается типов SAS для служб и учетных записей, которые подписаны ключом учетной записи. Прежде чем настроить политику истечения срока действия SAS, возможно, потребуется сменить все ключи доступа к учетной записи по крайней мере один раз. Если свойство keyCreationTime учетной записи хранилища имеет значение NULL для любого из ключей доступа (ключ1 или ключ2), необходимо выполнить их ротацию. Чтобы определить, имеет ли свойство keyCreationTime значение NULL, см. раздел "Получение времени создания ключей доступа к учетной записи хранения". Если вы пытаетесь настроить политику истечения срока действия SAS, а ключи должны быть предварительно обновлены, операция завершается неудачей.
Настройка политики истечения срока действия SAS
Политику истечения срока действия SAS можно настроить с помощью портал Azure, PowerShell или Azure CLI.
Чтобы настроить политику истечения срока действия SAS в портал Azure, выполните следующие действия.
Войдите в свою учетную запись хранения на портале Azure.
В разделе Параметры выберите пункт Конфигурация.
Найдите параметр политики истечения срока действия подписанного URL-адреса (SAS) и установите для него значение "Включено".
Примечание.
Если параметр неактивен, может потребоваться повернуть оба ключа доступа к учетной записи , прежде чем задать политику истечения срока действия.
Укажите значение времени в верхнем пределе для интервала истечения срока действия SAS для требуемого максимального интервала для новых подписей общего доступа, созданных на ресурсах в этой учетной записи хранения.
[Необязательно] Определите действие окончания срока действия. Действие журнала по умолчанию помогает обнаруживать тенденции и исследовать доступ без нарушения пользователей, а действие блокировки позволяет применять нулевой допустимость для маркеров SAS вне политики.
Выберите Сохранить, чтобы сохранить изменения.
Запрос данных журналов о нарушениях политики
Чтобы регистрировать использование SAS, который действителен в течение более длительного промежутка времени, чем это рекомендуется политикой истечения срока действия SAS, сначала создайте настройку диагностики, которая отправляет журналы в рабочую область Azure Log Analytics. Дополнительные сведения см. в разделе Отправка журналов в Azure Log Analytics
Затем используйте запрос журнала Azure Monitor, чтобы отслеживать, была ли нарушена политика. Создайте новый запрос в рабочей области Log Analytics, добавьте следующий текст запроса и нажмите кнопку Выполнить.
StorageBlobLogs
| where SasExpiryStatus startswith "Policy violated"
| summarize count() by AccountName, SasExpiryStatus
Использование встроенной политики для мониторинга соответствия
Вы можете контролировать учетные записи хранения с помощью Azure Policy, чтобы убедиться, что для учетных записей хранения в вашей подписке настроены политики истечения срока действия SAS. Служба хранилища Azure предоставляет встроенную политику, которая контролирует применение этого параметра для учетных записей. Дополнительные сведения о встроенной политике см. в разделе учетные записи хранилища должны иметь настроенные политики маркер общей подписи доступа (SAS) в Списке определений встроенных политик.
Назначьте встроенную политику для области ресурсов
Чтобы назначить встроенную политику соответствующей области на портале Azure, выполните указанные ниже действия:
На портале Azure выполните поиск по слову Политика, чтобы найти панель мониторинга "Политика Azure".
В разделе Создание выберите Задания.
Выберите Назначить политику.
На вкладке Основные сведения страницы Назначение политики в разделе Область укажите область назначения политики. Чтобы выбрать подписку и группу ресурсов (при желании), нажмите кнопку Дополнительно.
В поле Определение политики нажмите кнопку Дополнительно и введите текст ключи учетной записи хранения в поле Поиск. Выберите определение политики Ключи учетной записи хранения не должны быть просрочены.
Чтобы назначить определение политики для указанной области действия, выберите Обзор + создание.
Контроль соответствия политике срока действия ключей
Чтобы отслеживать учетные записи хранения на соответствие политике срока действия ключей, выполните указанные ниже действия:
На панели мониторинга Политики Azure найдите встроенное определение политики для области, указанной в назначении политики. Чтобы отфильтровать встроенную политику, можно найти
Storage accounts should have shared access signature (SAS) policies configuredв поле поиска .Выберите название политики с нужной областью.
На странице Назначение политики для встроенной политики выберите Просмотр соответствия. Все учетные записи хранения в указанной подписке и группе ресурсов, которые не соответствуют требованиям политики, отображаются в отчете о соответствии.
Чтобы обеспечить соответствие учетной записи хранения, настройте политику истечения срока действия SAS для этой учетной записи, как описано в разделе "Настройка политики истечения срока действия SAS".