تكوين نهج انتهاء صلاحية لتوقيعات الوصول المشتركة

يمكنك استخدام توقيع الوصول المشترك (SAS) لتفويض الوصول إلى الموارد في حساب Azure Storage لديك. يتضمن رمز SAS المميز المورد المستهدف والأذونات الممنوحة والفاصل الزمني الذي يسمح بالوصول إليه. توصي أفضل الممارسات بتحديد الفاصل الزمني ل SAS في حالة اختراقه. من خلال تعيين نهج انتهاء صلاحية SAS لحسابات التخزين الخاصة بك، يمكنك توفير حد انتهاء صلاحية أعلى موصى به عندما يقوم المستخدم بإنشاء SAS لتفويض مستخدم أو SAS خدمة أو SAS حساب.

للحصول على مزيد من المعلومات عن توقيعات الوصول المشارك، راجع منح الوصول المحدود إلى موارد Azure Storage باستخدام توقيعات الوصول المشاركة (SAS).

هام

بالنسبة للسيناريوهات التي يتم فيها استخدام توقيعات الوصول المشترك، توصي Microsoft باستخدام توقيع الوصول المشترك لتفويض المستخدم. يتم تأمين SAS لتفويض المستخدم باستخدام بيانات اعتماد Microsoft Entra بدلا من مفتاح الحساب، والذي يوفر أمانا فائقا.

حول نهج انتهاء صلاحية SAS

يمكنك تكوين نهج انتهاء صلاحية SAS على حساب التخزين. يحدد نهج انتهاء صلاحية SAS الحد الأعلى الموصى به لحقل انتهاء الصلاحية الموقع على SAS لتفويض المستخدم أو SAS للخدمة أو SAS للحساب. يتم تحديد الحد الأعلى الموصى به كقيمة تاريخ/وقت عبارة عن عدد مجمع من الأيام والساعات والدقائق والثواني.

يتم حساب الفاصل الزمني للصلاحية لـ SAS عن طريق طرح قيمة التاريخ/الوقت لحقل البدء الموقع من قيمة التاريخ/الوقت لحقل انتهاء الصلاحية الموقع. إذا كانت القيمة الناتجة أقل من الحد الأعلى الموصى به أو مساوية له، فإن SAS تتوافق مع نهج انتهاء صلاحية SAS.

بعد تكوين نهج انتهاء صلاحية SAS، سيرى أي مستخدم يقوم بإنشاء SAS بفاصل زمني يتجاوز الحد الأعلى الموصى به تحذيرا.

لا يمنع نهج انتهاء صلاحية SAS المستخدم من إنشاء SAS مع انتهاء صلاحية يتجاوز الحد الموصى به من قبل النهج. عندما يقوم مستخدم بإنشاء SAS ينتهك النهج، يرى تحذيرا، جنبا إلى جنب مع الفاصل الزمني الأقصى الموصى به. إذا قمت بتكوين إعداد تشخيص للتسجيل باستخدام Azure Monitor، فسيكتب Azure Storage رسالة إلى الخاصية SasExpiryStatus في السجلات كلما استخدم مستخدم SAS تنتهي صلاحيته بعد الفاصل الزمني الموصى به. تشير الرسالة إلى أن الفاصل الزمني لصلاحية SAS يتجاوز الفاصل الزمني الموصى به.

عندما يكون نهج انتهاء صلاحية SAS ساري المفعول لحساب التخزين، يكون حقل البدء الموقّع مطلوبًا لكل SAS. إذا لم يتم تضمين حقل البدء الموقع في SAS، وقمت بتكوين إعداد تشخيص للتسجيل باستخدام Azure Monitor، فسيكتب Azure Storage رسالة إلى الخاصية SasExpiryStatus في السجلات كلما استخدم مستخدم SAS بدون قيمة لحقل البدء الموقع.

تكوين نهج انتهاء صلاحية SAS

عند تكوين نهج انتهاء صلاحية SAS على حساب تخزين، ينطبق النهج على كل نوع من أنواع SAS: توقيعات الوصول المشترك لتفويض المستخدم و SAS للخدمة و SAS للحساب. يتم توقيع أنواع SAS للخدمة و SAS للحساب باستخدام مفتاح الحساب، بينما يتم توقيع SAS لتفويض المستخدم باستخدام بيانات اعتماد Microsoft Entra.

إشعار

يتم توقيع SAS لتفويض المستخدم باستخدام مفتاح تفويض المستخدم، والذي يتم الحصول عليه باستخدام بيانات اعتماد Microsoft Entra. مفتاح تفويض المستخدم له فترة انتهاء الصلاحية الخاصة به والتي لا تخضع لنهج انتهاء صلاحية SAS. ينطبق نهج انتهاء صلاحية SAS فقط على SAS لتفويض المستخدم، وليس مفتاح تفويض المستخدم الذي تم توقيعه معه.

لدى SAS لتفويض المستخدم فاصل زمني أقصى لانتهاء الصلاحية 7 أيام، بغض النظر عن نهج انتهاء صلاحية SAS. إذا تم تعيين نهج انتهاء صلاحية SAS إلى قيمة أكبر من 7 أيام، فلن يكون للنهج أي تأثير على SAS لتفويض المستخدم. إذا انتهت صلاحية مفتاح تفويض المستخدم، فإن أي توقيع SAS لتفويض المستخدم مع هذا المفتاح غير صالح وأي محاولة لاستخدام SAS ترجع خطأ.

هل أحتاج إلى تدوير مفاتيح الوصول إلى الحساب أولا؟

ينطبق هذا القسم على أنواع SAS للخدمة و SAS للحساب، والتي تم توقيعها باستخدام مفتاح الحساب. قبل أن تتمكن من تكوين نهج انتهاء صلاحية SAS، قد تحتاج إلى تدوير كل مفتاح من مفاتيح الوصول إلى حسابك مرة واحدة على الأقل. إذا كانت خاصية keyCreationTime لحساب التخزين تحتوي على قيمة خالية لأي من مفاتيح الوصول إلى الحساب (key1 وkey2)، فستحتاج إلى تدويرها. لتحديد ما إذا كانت خاصية keyCreationTime خالية، راجع الحصول على وقت إنشاء مفاتيح الوصول إلى الحساب لحساب تخزين. إذا حاولت تكوين نهج انتهاء صلاحية SAS وتحتاج المفاتيح إلى تدوير أولا، تفشل العملية.

كيفية تكوين نهج انتهاء صلاحية SAS

يمكنك تكوين نهج انتهاء صلاحية SAS باستخدام مدخل Microsoft Azure أو PowerShell أو Azure CLI.

مدخل Microsoft Azure

لتكوين نهج انتهاء صلاحية SAS في مدخل Microsoft Azure، اتبع الخطوات التالية:

1. انتقل إلى حساب التخزين خاصتك في مدخل Microsoft Azure.

2. ضمن Settings، حدد Configuration.

3. حدد موقع إعداد السماح بالحد الأعلى الموصى به لفاصل انتهاء صلاحية توقيع الوصول المشترك (SAS)، وقم بتعيينه على ممكَّن.

   إشعار

   إذا كان الإعداد رمادي اللون وظهرت الرسالة المعروضة في الصورة أدناه، فستحتاج إلى تدوير مفتاحي الوصول إلى الحساب قبل أن تتمكن من تعيين الحد الأعلى الموصى به لقيم الفاصل الزمني لانتهاء صلاحية SAS:

   

4. حدد قيم الوقت ضمن الحد الأعلى الموصى به للفاصل الزمني لانتهاء صلاحية SAS للفاصل الزمني الموصى به لأي توقيعات وصول مشتركة جديدة تم إنشاؤها على الموارد في حساب التخزين هذا.

   

5. حدد حفظ لحفظ التغييرات الخاصة بك.

بوويرشيل

لتكوين نهج انتهاء صلاحية SAS، استخدم الأمر Set-AzStorageAccount ، ثم قم بتعيين -SasExpirationPeriod المعلمة إلى عدد الأيام والساعات والدقائق والثوانى التي يمكن أن يكون رمز SAS المميز نشطا من وقت توقيع SAS. تستخدم السلسلة التي توفر لها المعلمة -SasExpirationPeriod التنسيق التالي: <days>.<hours>:<minutes>:<seconds>. على سبيل المثال، إذا كنت تريد أن تنتهي صلاحية SAS لمدة يوم واحد و12 ساعة و5 دقائق و6 ثوان بعد توقيعه، فيمكنك استخدام السلسلة 1.12:05:06.

$account = Set-AzStorageAccount -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -SasExpirationPeriod <days>.<hours>:<minutes>:<seconds>

تلميح

يمكنك أيضاً تعيين نهج انتهاء صلاحية SAS أثناء إنشاء حساب تخزين عن طريق تعيين المعلمة -SasExpirationPeriod للأمر New-AzStorageAccount.

إشعار

إذا تلقيت رسالة خطأ تشير إلى أنه لم يتم تعيين وقت إنشاء مفتاح، فقم بتدوير مفاتيح الوصول إلى الحساب وحاول مرة أخرى.

للتحقق من تطبيق النهج، تحقق من خاصية SasPolicy لحساب التخزين.

$account.SasPolicy

تظهر فترة انتهاء صلاحية SAS في إخراج وحدة التحكم.

Azure CLI

لتكوين نهج انتهاء صلاحية SAS، استخدم الأمر az storage account update ، ثم قم بتعيين --key-exp-days المعلمة إلى عدد الأيام والساعات والدقائق والثوانى التي يمكن أن يكون رمز SAS المميز نشطا من وقت توقيع SAS. تستخدم السلسلة التي توفر لها المعلمة --key-exp-days التنسيق التالي: <days>.<hours>:<minutes>:<seconds>. على سبيل المثال، إذا كنت تريد أن تنتهي صلاحية SAS لمدة يوم واحد و12 ساعة و5 دقائق و6 ثوان بعد توقيعه، فيمكنك استخدام السلسلة 1.12:05:06.

az storage account update \
  --name <storage-account> \
  --resource-group <resource-group> \
  --sas-exp <days>.<hours>:<minutes>:<seconds>

تلميح

يمكنك أيضًا تعيين نهج انتهاء صلاحية SAS أثناء إنشاء حساب تخزين عن طريق تعيين المعلمة --key-exp-days للأمر az storage account create.

إشعار

إذا تلقيت رسالة خطأ تشير إلى أنه لم يتم تعيين وقت إنشاء مفتاح، فقم بتدوير مفاتيح الوصول إلى الحساب وحاول مرة أخرى.

للتحقق من تطبيق السياسة، اتصل بأمر حساب تخزين az، واستخدم السلسلة {SasPolicy:sasPolicy} للمعلمة -query.

az storage account show \
  --name <storage-account> \
  --resource-group <resource-group> \
  --query "{SasPolicy:sasPolicy}"

تظهر فترة انتهاء صلاحية SAS في إخراج وحدة التحكم.

{
  "SasPolicy": {
    "expirationAction": "Log",
    "sasExpirationPeriod": "1.12:05:06"
  }
}

سجلات الاستعلام عن انتهاكات النهج

لتسجيل استخدام SAS صالح على فترة زمنية أطول مما يوصي به نهج انتهاء صلاحية SAS، قم أولا بإنشاء إعداد تشخيص يرسل سجلات إلى مساحة عمل Azure Log Analytics. لمزيد من المعلومات، راجع إرسال السجلات إلى Azure Log Analytics.

بعد ذلك، استخدم استعلام سجل مراقبة Azure لمراقبة ما إذا كان قد تم انتهاك النهج أم لا. أنشئ استعلاماً جديداً في مساحة عمل Log Analytics، وأضف نص الاستعلام التالي، ثم اضغط على تشغيل.

StorageBlobLogs 
| where SasExpiryStatus startswith "Policy violated"
| summarize count() by AccountName, SasExpiryStatus

استخدام نهج مضمن لمراقبة التوافق

يمكنك مراقبة حسابات التخزين باستخدام نهج Azure للتأكد من أن حسابات التخزين في اشتراكك قد قامت بتكوين نهج انتهاء صلاحية SAS. يوفر Azure Storage نهجًا مضمنًا لضمان تكوين هذا الإعداد للحسابات. لمزيد من المعلومات حول النهج المضمن، راجع يجب أن تحتوي حسابات التخزين على نُهُج توقيع الوصول المشترك (SAS) التي تم تكوينها في قائمة تعريفات النهج المضمنة.

تعيين السياسة المضمنة لنطاق الموارد

اتبع هذه الخطوات لتعيين النهج المضمن للنطاق المناسب في مدخل Azure:

1. في مدخل Azure، ابحث عن النهج لعرض لوحة معلومات نهج Azure.

2. في قسم التأليف، حدد المهام.

3. اختر تعيين النهج.

4. في علامة التبويب الأساسيات في صفحة تعيين النهج، في قسم النطاق، حدد نطاق تعيين النهج. حدد زر المزيد لاختيار الاشتراك ومجموعة الموارد الاختيارية.

5. بالنسبة لحقل تعريف النهج، حدد زر المزيد، وأدخل مفاتيح حساب التخزين في حقل البحث. حدد تعريف النهج المسمى يجب ألا تنتهي صلاحية مفاتيح حساب التخزين.

   

6. حدد مراجعة + إنشاء لتعيين تعريف النهج للنطاق المحدد.

   

مراقبة التوافق مع نهج انتهاء صلاحية المفاتيح

لمراقبة حسابات التخزين للتأكد من توافقها مع نهج انتهاء صلاحية المفاتيح، اتبع الخطوات التالية:

1. في لوحة معلومات سياسة Azure، حدد تعريف السياسة المضمن للنطاق الذي حددته في تعيين السياسة. يمكنك البحث عن Storage accounts should have shared access signature (SAS) policies configured في مربع البحث لتصفية النهج المضمن.

2. حدد اسم النهج مع النطاق المطلوب.

3. في صفحة تعيين النهج للنهج المضمن، حدد عرض التوافق. تظهر أي حسابات تخزين في الاشتراك المحدد ومجموعة الموارد التي لا تفي بمتطلبات النهج في تقرير التوافق.

   

لجلب حساب تخزين إلى التوافق، قم بتكوين نهج انتهاء صلاحية SAS لهذا الحساب، كما هو موضح في تكوين نهج انتهاء صلاحية SAS.

(راجع أيضًا )

• منح وصول محدود إلى موارد Azure Storage باستخدام توقيعات الوصول المشترك (SAS)
• إنشاء SAS للخدمة
• إنشاء SAS للحساب