Поделиться через

Управление ключами доступа к учетной записи хранения

В этой статье вы узнаете, как просматривать, управлять и вращать ключи доступа к учетной записи хранения. При создании учетной записи хранения Azure создает два 512-разрядных ключа доступа к учетной записи хранения. Эти ключи можно использовать для авторизации доступа к данным в учетной записи хранения с помощью авторизации общего ключа или через маркеры SAS, подписанные общим ключом.

Майкрософт рекомендует использовать Azure Key Vault для управления ключами доступа, а также регулярно поворачивать и повторно создавать ключи. Использование Azure Key Vault упрощает смену ключей без прерывания работы с приложениями. Вы также можете вручную ротировать ваши ключи.

Внимание

Для оптимальной безопасности Майкрософт рекомендует использовать Microsoft Entra ID с управляемыми идентификациями для авторизации запросов к blob-объектам, очередям и табличным данным, когда это возможно. Авторизация с помощью Microsoft Entra ID и управляемых удостоверений обеспечивает более высокую безопасность и удобство использования при авторизации общего ключа. Дополнительные сведения об управляемых удостоверениях см. в статье Что такое управляемые удостоверения для ресурсов Azure. Для примера того, как включить и использовать управляемое удостоверение для приложения .NET, см. статью Аутентификация приложений, размещенных на Azure, к ресурсам Azure с помощью .NET.

Для ресурсов, размещенных за пределами Azure, таких как локальные приложения, можно использовать управляемые удостоверения через Azure Arc. Например, приложения, работающие на серверах с поддержкой Azure Arc, могут использовать управляемые удостоверения для подключения к службам Azure. Дополнительные сведения см. в разделе Аутентификация для ресурсов Azure с серверами, поддерживающими Azure Arc.

В сценариях, когда используются подписи общего доступа (SAS), Майкрософт рекомендует использовать делегированные подписи общего доступа (SAS). SAS для делегации пользователей защищается с помощью учетных данных системы Microsoft Entra вместо ключа учетной записи. Дополнительные сведения о подписанных URL-адресах см. в статье Предоставление ограниченного доступа к данным с помощью подписанных URL-адресов. Для примера создания и использования SAS делегативного доступа с .NET см. Создание SAS делегативного доступа для блок-объекта с .NET.

Защита ключей доступа

Ключи доступа к учетной записи хранения предоставляют полный доступ к данным учетной записи хранения и возможность создавать маркеры SAS. Не забудьте защитить ключи доступа. Используйте Azure Key Vault для безопасного управления ключами и их смены. Доступ к общему ключу предоставляет пользователю полный доступ к данным учетной записи хранения. Доступ к общим ключам следует тщательно ограничить и отслеживать. Используйте делегированные пользователем токены SAS с ограниченной областью доступа в сценариях, где невозможно использовать авторизацию на основе Microsoft Entra ID. Избегайте жесткого написания ключей доступа или сохраняйте их в любом месте обычного текста, доступного другим пользователям. Поверните ключи, если вы считаете, что они были скомпрометированы.

Внимание

Чтобы запретить пользователям доступ к данным в учетной записи хранения с общим ключом, вы можете запретить авторизацию общего ключа для учетной записи хранения. Гранулярный доступ к данным с минимальными необходимыми привилегиями рекомендуется как лучшая практика безопасности. Авторизацию на основе Microsoft Entra ID с использованием управляемых удостоверений следует применять для сценариев, поддерживающих OAuth. Kerberos следует использовать для Файлы Azure по протоколу SMB. Для Файлы Azure через REST можно использовать SAS маркеры. Доступ к общему ключу следует отключить, если не требуется, чтобы предотвратить его непреднамеренное использование. Дополнительные сведения см. в разделе Авторизация общего ключаPrevent для учетной записи служба хранилища Azure.

Чтобы защитить учетную запись служба хранилища Azure с помощью политик Условный доступ Microsoft Entra, необходимо запретить авторизацию общего ключа для учетной записи хранения.

Если вы отключили доступ к общему ключу, и вы видите авторизацию общего ключа, указанную в журналах диагностики, это означает, что доверенный доступ используется для доступа к хранилищу. Дополнительные сведения см. в разделе Доверенный доступ для ресурсов, зарегистрированных в клиенте Microsoft Entra.

Просмотр ключей доступа к учетной записи

Вы можете просматривать и копировать ключи доступа к учетной записи с помощью портала Azure, PowerShell или Azure CLI. Портал Azure также предоставляет строку подключения для учетной записи хранения, которую можно скопировать.

Чтобы просмотреть и скопировать ключи доступа к учетной записи хранения или строку подключения на портале Azure:

  1. На портале Azure перейдите к учетной записи хранения.

  2. В меню ресурсов в разделе "Безопасность и сеть" выберите ключи доступа. Отображаются ключи доступа к учетной записи, а также полные строки подключения для каждого ключа.

  3. Выберите Показать ключи, чтобы просмотреть ключи доступа и строки подключения, а также включить кнопки для копирования значений.

  4. В разделе key1 найдите значение Key. Нажмите кнопку Копировать, чтобы скопировать ключ учетной записи.

  5. В качестве альтернативы, можно скопировать всю строку подключения. В разделе key1 найдите значение Строки подключения. Нажмите кнопку Copy, чтобы скопировать строка подключения.

    Screenshot, показывающий, как просматривать ключи доступа на портале Azure

Вы можете использовать один из двух ключей для доступа к служба хранилища Azure, но в целом рекомендуется использовать первый ключ и зарезервировать использование второго ключа при смене ключей.

Чтобы просмотреть или прочитать ключи доступа учетной записи, пользователь должен быть администратором службы или ему должна быть назначена роль Azure, включающая Майкрософт.Storage/storageAccounts/listkeys/action. Некоторые встроенные роли Azure, включающие это действие, включают роли Owner, Contributor и Оператор службы ключей учетной записи хранения. Дополнительную информацию о роли администратора службы см. в разделе роли Azure, роли Microsoft Entra и роли администратора классической подписки. Подробные сведения о встроенных ролях для служба хранилища Azure см. в разделе Storage документа встроенные роли Azure для Azure RBAC.

Управление ключами доступа с помощью Azure Key Vault

Майкрософт рекомендует использовать Microsoft Entra ID и управляемые удостоверения для авторизации доступа к служба хранилища Azure. Если необходимо использовать ключи доступа, сохраните их в Azure Key Vault и регулярно поворачивайте их. Дополнительные сведения см. в следующей статье:

Ротация ключей доступа вручную

Майкрософт рекомендует периодически менять ключи доступа, чтобы обеспечить безопасность учетной записи хранения. По возможности используйте Azure Key Vault для управления ключами доступа. Если вы не используете Key Vault, вам потребуется повернуть ключи вручную.

Для возможности смены ключей назначаются два ключа доступа. Наличие двух ключей гарантирует, что приложение поддерживает доступ к служба хранилища Azure во время процесса.

Предупреждение

Повторное создание ключей доступа может повлиять на любые приложения или службы Azure, зависящие от ключа учетной записи хранения. Все клиенты, использующие ключ учетной записи для доступа к учетной записи хранения, должны быть обновлены для использования нового ключа, включая службы мультимедиа, облачные, классические и мобильные приложения, а также графические приложения пользовательского интерфейса для служба хранилища Azure, например Обозреватель службы хранилища Azure.

Кроме того, изменение или перегенерация ключей доступа аннулирует подписи для разделения доступа (SAS), созданные на основе этого ключа. После смены ключа доступа необходимо повторно создать учетную запись и служебные SAS маркеры, чтобы избежать сбоев в приложениях. Обратите внимание, что делегирование пользователя токены SAS защищены с помощью учетных данных Microsoft Entra и не подвержены изменениям при ротации ключей.

Если вы планируете вручную повернуть ключи доступа, Майкрософт рекомендует задать политику истечения срока действия ключа. Дополнительные сведения см. в статье Создание политики срока действия ключей.

После создания политики истечения срока действия ключа можно использовать Политика Azure для отслеживания того, были ли ключи учетной записи хранения повернуты в течение рекомендуемого интервала. Подробные сведения см. в разделе Проверка нарушений политики срока действия ключей.

Чтобы повернуть ключи доступа к учетной записи хранения на портале Azure:

  1. Обновите строки подключения в коде приложения, чтобы ссылаться на дополнительный ключ доступа учетной записи хранения.
  2. Перейдите к учетной записи хранения на портале Azure.
  3. В разделе Безопасность и сетьвыберите Ключи доступа.
  4. Чтобы повторно создать первичный ключ доступа для учетной записи хранения, нажмите кнопку Повторно создать рядом с первичным ключом доступа.
  5. Обновите строки подключения в коде, чтобы они ссылались на новый основной ключ доступа.
  6. Повторите процедуру, чтобы повторно создать вторичный ключ доступа.

Внимание

Майкрософт рекомендует одновременно использовать только один из ключей во всех приложениях. Если в одних приложениях используется ключ 1, а в других — ключ 2, вы не сможете произвести смену ключей без того, чтобы некоторые приложения утратили доступ.

Чтобы обновить ключи доступа учетной записи, пользователь должен быть Администратором службы или назначен на роль Azure, которая включает Майкрософт.Storage/storageAccounts/regeneratekey/action. Некоторые встроенные роли Azure, которые включают это действие, — это роли Owner, Contributor и Storage Account Key Operator Service Role. Для получения дополнительной информации о роли администратора службы см. в разделе роли Azure, роли Microsoft Entra и роли классического администратора подписки. Подробные сведения о встроенных ролях Azure для служба хранилища Azure см. в разделе Storage документации Встроенные роли Azure для Azure RBAC.

Создание политики срока действия ключа

Политика срока действия ключей позволяет настроить напоминание для смены ключей доступа учетной записи. Напоминание отображается, если заданный интервал истек, но смена ключей еще не была выполнена. После создания политики срока действия ключей вы можете отслеживать учетные записи хранения на предмет соответствия требованиям, чтобы обеспечить регулярную смену ключей доступа учетной записи.

Примечание.

Перед созданием политики срока действия ключей может потребоваться выполнить смену каждого из ключей доступа к учетной записи хотя бы один раз.

Чтобы создать политику истечения срока действия ключа на портале Azure, выполните следующие действия.

  1. На портале Azure перейдите к учетной записи хранения.
  2. В разделе Безопасность и сетьвыберите Ключи доступа. Отображаются ключи доступа к учетной записи, а также полные строки подключения для каждого ключа.
  3. Нажмите кнопку Установить напоминание о смене. Если кнопка Установить напоминание о смене ключей неактивна, вам придется сменить каждый из ключей. Следуйте шагам, описанным в Выполнение ротации ключей доступа вручную, чтобы выполнить ротацию ключей.
  4. В разделе Установка напоминания о смене ключей доступа установите флажок Включить напоминания о смене ключей и задайте частоту напоминания.
  5. Выберите Сохранить.

Screenshot, показывающий, как создать политику истечения срока действия ключа на портале Azure

Проверка нарушений политики истечения срока действия ключей

Вы можете отслеживать учетные записи хранения с помощью Политика Azure, чтобы обеспечить смену ключей доступа к учетной записи в течение рекомендуемого периода. служба хранилища Azure предоставляет встроенную политику для предотвращения истечения срока действия ключей доступа к учетной записи хранения. Дополнительные сведения о встроенной политике см. в разделе Ключи учетной записи хранения не должны быть просрочены статьи Список определений встроенных политик.

Назначьте встроенную политику для области ресурсов

Выполните следующие действия, чтобы назначить встроенную политику соответствующей области на портале Azure:

  1. На портале Azure найдите Policy, чтобы отобразить панель мониторинга Политика Azure.

  2. В разделе Разработка выберите Назначения.

  3. Выберите Назначить политику.

  4. На вкладке Основные сведения страницы Назначение политики в разделе Область укажите область назначения политики. Чтобы выбрать подписку и группу ресурсов (при желании), нажмите кнопку Дополнительно.

  5. В поле Определение политики нажмите кнопку Дополнительно и введите текст ключи учетной записи хранения в поле Поиск. Выберите определение политики Ключи учетной записи хранения не должны быть просрочены.

    Снимок экрана: выбор встроенной политики для отслеживания интервалов смены ключей для учетных записей хранения

  6. Чтобы назначить определение политики к указанной области, выберите Проверить и создать.

    Снимок экрана, на котором показано создание назначения политики

Контроль за соблюдением политики истечения срока действия ключей

Чтобы отслеживать учетные записи хранения на соответствие политике срока действия ключей, выполните указанные ниже действия:

  1. На панели мониторинга Политика Azure найдите встроенное определение политики для области, указанной в назначении политики. Чтобы найти встроенную политику, можно ввести текст Ключи учетной записи хранения не должны быть просрочены в поле Поиск.

  2. Выберите название политики с нужной областью.

  3. На странице Назначение политики для встроенной политики выберите Просмотр соответствия. В отчете о соответствии отображаются все учетные записи хранения в указанной подписке и группе ресурсов, которые не соответствуют требованиям политики.

    Снимок экрана, показывающий, как просмотреть отчет о соответствии для встроенной политики истечения срока действия ключа

Чтобы обеспечить соответствие требованиям для учетной записи хранения, выполните смену ключей доступа к учетной записи.

Следующие шаги

  • Last updated on