إدارة مفاتيح الوصول إلى حساب التخزين

مقالة
10/26/2023

عند إنشاء حساب تخزين، يقوم Azure بإنشاء مفتاحين للوصول إلى حساب تخزين 512 بت لذلك الحساب. يمكن استخدام هذه المفاتيح لتخويل الوصول إلى البيانات في حساب التخزين الخاص بك عبر تخويل المفتاح المشترك، أو عبر رموز SAS المميزة التي تم توقيعها باستخدام المفتاح المشترك.

توصي Microsoft باستخدام Azure Key Vault لإدارة مفاتيح الوصول خاصتك، كما توصي بتدوير المفاتيح وتجديدها بانتظام. يجعل استخدام Azure Key Vault من السهل تدوير مفاتيحك دون انقطاع لتطبيقاتك. يمكنك أيضًا تدوير المفاتيح يدويًا.

حماية مفاتيح الوصول خاصتك

توفر مفاتيح الوصول إلى حساب التخزين وصولا كاملا إلى تكوين حساب التخزين، بالإضافة إلى البيانات. كن حذرًا دائمًا لحماية مفاتيح الوصول خاصتك. استخدم Azure Key Vault لإدارة المفاتيح وتدويرها بأمان. يمنح الوصول إلى المفتاح المشترك المستخدم حق الوصول الكامل إلى تكوين حساب التخزين وبياناته. يجب أن يكون الوصول إلى المفاتيح المشتركة محدودا ومراقبا بعناية. استخدم رموز SAS المميزة ذات نطاق وصول محدود في السيناريوهات التي لا يمكن فيها استخدام التخويل المستند إلى معرف Microsoft Entra. تجنب مفاتيح الوصول ذات الترميز الثابت أو حفظها في أي مكان في نص عادي يمكن للآخرين الوصول إليه. قم بتدوير المفاتيح إذا كنت تعتقد أنها قد تم اختراقها.

هام

توصي Microsoft باستخدام معرف Microsoft Entra لتخويل الطلبات مقابل بيانات الكائن الثنائي كبير الحجم وقائمة الانتظار والجدول إذا كان ذلك ممكنا، بدلا من استخدام مفاتيح الحساب (تخويل المفتاح المشترك). يوفر التخويل باستخدام معرف Microsoft Entra أمانا فائقا وسهولة في الاستخدام عبر تخويل المفتاح المشترك. لمزيد من المعلومات حول استخدام تخويل Microsoft Entra من تطبيقاتك، راجع كيفية مصادقة تطبيقات .NET باستخدام خدمات Azure. بالنسبة لمشاركات ملفات SMB Azure، توصي Microsoft باستخدام تكامل خدمات المجال Active Directory محلي (AD DS) أو مصادقة Microsoft Entra Kerberos.

لمنع المستخدمين من الوصول إلى البيانات في حساب التخزين الخاص بك باستخدام المفتاح المشترك، يمكنك عدم السماح بتخويل المفتاح المشترك لحساب التخزين. يوصى بالوصول الدقيق إلى البيانات بأقل الامتيازات الضرورية كأفضل ممارسة أمنية. يجب استخدام التخويل المستند إلى معرف Microsoft Entra للسيناريوهات التي تدعم OAuth. يجب استخدام Kerberos أو SMTP لملفات Azure عبر SMB. بالنسبة لملفات Azure عبر REST، يمكن استخدام رموز SAS المميزة. يجب تعطيل الوصول إلى المفتاح المشترك إذا لم يكن مطلوبا لمنع استخدامه غير المقصود. لمزيد من المعلومات، انظر منع تخويل "مفتاح مشترك" لحساب تخزين Azure.

لحماية حساب تخزين Azure باستخدام نهج الوصول المشروط من Microsoft Entra، يجب عدم السماح بتخويل المفتاح المشترك لحساب التخزين.

إذا قمت بتعطيل الوصول إلى المفتاح المشترك وكنت ترى تخويل المفتاح المشترك تم الإبلاغ عنه في سجلات التشخيص، فهذا يشير إلى أنه يتم استخدام الوصول الموثوق به للوصول إلى التخزين. لمزيد من التفاصيل، راجع الوصول الموثوق به للموارد المسجلة في اشتراكك.

عرض مفاتيح الوصول إلى الحساب

يمكنك عرض مفاتيح الوصول إلى حسابك ونسخها باستخدام مدخل Microsoft Azure أو PowerShell أو واجهة سطر الأوامر Azure. توفر مدخل Microsoft Azure أيضًا سلسلة اتصال لحساب التخزين خاصتك والذي يمكنك نسخه.

لعرض ونسخ مفاتيح الوصول إلى حساب التخزين أو سلسلة الاتصال من مدخل Microsoft Azure:

في مدخل Azure انتقل إلى حساب التخزين الخاص بك.
ضمن Security + networking، حدد Access keys. تظهر مفاتيح الوصول إلى حسابك، بالإضافة إلى سلسلة الاتصال الكاملة لكل مفتاح.
حدد إظهار المفاتيح لإظهار مفاتيح الوصول وسلسلة الاتصال وتمكين الأزرار من نَسخ القيم.
ضمن المفتاح 1 ، اعثر على قيمة المفتاح. حدد زر نَسخ لنسخ مفتاح الحساب.
بدلًا من ذلك، يمكنك نسخ سلسلة الاتصال بأكملها. ضمن المفتاح 1 ، اعثر على قيمة سلسلة الاتصال. حدد زر نسخ لنسخ سلسلة الاتصال.

لاسترداد مفاتيح الوصول إلى حسابك باستخدام PowerShell، اتصل بأمر Get - AzStorageAccountKey .

يسترجع المثال التالي المفتاح الأول. لاسترداد المفتاح الثاني، استخدم Value[1] بدلًا من Value[0]. تذكَّر استبدال قيم العناصر النائبة في الأقواس بقيمك.

$storageAccountKey = `
    (Get-AzStorageAccountKey
    -ResourceGroupName <resource-group> `
    -Name <storage-account>).Value[0]

لإدراج مفاتيح الوصول إلى حسابك مع Azure CLI، اتصل بأمر قائمة مفاتيح حساب التخزين az، كما هو موضح في المثال التالي. تذكَّر استبدال قيم العناصر النائبة في الأقواس بقيمك.

az storage account keys list \
  --resource-group <resource-group> \
  --account-name <storage-account>

يمكنك استخدام أي من المفتاحين للوصول إلى Azure Storage، ولكن بشكل عام من الجيد استخدام المفتاح الأول، وحجز استخدام المفتاح الثاني عند تدوير المفاتيح.

لعرض مفاتيح الوصول إلى الحساب أو قراءتها، يجب أن يكون المستخدم إما مسؤول خدمة، أو يجب تعيين دور Azure يتضمن Microsoft.Storage/storageAccounts/listkeys/action. بعض أدوار Azure المدمجة التي تشمل هذا الإجراء هي المالك و المساهم و دور خدمة المشغل الرئيسي لحساب التخزين . لمزيد من المعلومات حول دور service مسؤول istrator، راجع أدوار Azure وأدوار Microsoft Entra وأدوار مسؤول الاشتراك الكلاسيكي. للحصول على معلومات مفصلة حول الأدوار المضمنة لتخزين Azure، راجع قسم التخزين في الأدوار المضمنة لـAzure RBAC.

استخدم Azure Key Vault لإدارة مفاتيح الوصول خاصتك

توصي Microsoft باستخدام Azure Key Vault لإدارة مفاتيح الوصول وتدويرها. يمكن للتطبيق خاصتك الوصول بأمان إلى المفاتيح خاصتك في Key Vault، بحيث يمكنك تجنب تخزينها مع رمز التطبيق خاصتك. لمزيد من المعلومات حول استخدام Key Vault لإدارة المفاتيح، راجع المقالات التالية:

تدوير مفاتيح الوصول يدويًا

توصي Microsoft بتدوير مفاتيح الوصول بشكل دوري للمساعدة في الحفاظ على أمان حساب التخزين خاصتك. إذا أمكن، استخدم Azure Key Vault لإدارة مفاتيح الوصول خاصتك. إذا كنت لا تستخدم Key Vault، فستحتاج إلى تدوير المفاتيح يدويًا.

يتم تعيين مفتاحين للوصول بحيث يمكنك تدوير المفاتيح خاصتك. يضمن وجود مفتاحين أن التطبيق خاصتك يحافظ على الوصول إلى Azure Storage طوال العملية.

التحذير

يمكن أن تؤثر إعادة إنشاء مفاتيح الوصول خاصتك على أي تطبيقات أو خدمات Azure تعتمد على مفتاح حساب التخزين. يجب تحديث أي عملاء يستخدمون مفتاح الحساب للوصول إلى حساب التخزين لاستخدام المفتاح الجديد، بما في ذلك خدمات الوسائط وتطبيقات السحابة وسطح المكتب والجوال وتطبيقات واجهة المستخدم الرسومية لتخزين Azure، مثل Azure Storage Explorer.

بالإضافة إلى ذلك، يؤدي تدوير مفاتيح الوصول أو إعادة إنشائها إلى إبطال توقيعات الوصول المشتركة (SAS) التي تم إنشاؤها استنادا إلى هذا المفتاح. بعد تدوير مفتاح الوصول، يجب إعادة إنشاء رموز SAS المميزة للحسابوالخدمة لتجنب تعطيل التطبيقات. لاحظ أن رموز SAS المميزة لتفويض المستخدم مؤمنة باستخدام بيانات اعتماد Microsoft Entra ولا تتأثر بتناوب المفاتيح.

إذا كنت تخطط لتدوير مفاتيح الوصول يدويًا، توصي Microsoft بتعيين سياسة انتهاء صلاحية المفتاح. لمزيد من المعلومات، راجع إنشاء سياسة انتهاء صلاحية رئيسية.

بعد إنشاء سياسة انتهاء صلاحية المفتاح، يمكنك استخدام سياسة Azure لمراقبة ما إذا كانت مفاتيح حساب التخزين قد تم تدويرها خلال الفترة الموصى بها. لمزيد من التفاصيل، راجع التحقق من انتهاكات سياسة انتهاء الصلاحية الرئيسية.

لتدوير مفاتيح الوصول إلى حساب التخزين في مدخل Microsoft Azure:

قم بتحديث سلاسل الاتصال في رمز التطبيق خاصتك للإشارة إلى مفتاح الوصول الثانوي لحساب التخزين.
انتقل إلى حساب التخزين خاصتك في مدخل Microsoft Azure.
ضمن Security + networking، حدد Access keys.
لإعادة إنشاء مفتاح الوصول الأساسي لحساب التخزين خاصتك، حدد زر تجديد بجوار مفتاح الوصول الأساسي.
حدّث سلاسل الاتصال في التعليمة البرمجية الخاصة بك للإشارة إلى مفتاح الاختصار الأساسي الجديد.
يمكنك إعادة كتابة مفتاح الاختصار الثانوي بالطريقة نفسها.

لتدوير مفاتيح الوصول إلى حساب التخزين باستخدام PowerShell:

قم بتحديث سلاسل الاتصال في رمز التطبيق خاصتك للإشارة إلى مفتاح الوصول الثانوي لحساب التخزين.
اتصل بأمر New - AzStorageAccountKey لإعادة إنشاء مفتاح الوصول الأساسي، كما هو موضح في المثال التالي:
```
New-AzStorageAccountKey -ResourceGroupName <resource-group> `
  -Name <storage-account> `
  -KeyName key1
```
حدّث سلاسل الاتصال في التعليمة البرمجية الخاصة بك للإشارة إلى مفتاح الاختصار الأساسي الجديد.
يمكنك إعادة كتابة مفتاح الاختصار الثانوي بالطريقة نفسها. لإعادة إنشاء المفتاح الثانوي، استخدم key2 كاسم مفتاح بدلًا من key1.

لتدوير مفاتيح الوصول إلى حساب التخزين باستخدام Azure CLI:

قم بتحديث سلاسل الاتصال في رمز التطبيق خاصتك للإشارة إلى مفتاح الوصول الثانوي لحساب التخزين.
استدعاء الأمر تجديد مفاتيح التخزين az لإعادة إنشاء مفتاح الوصول الأساسي، كما هو موضح في المثال التالي:
```
az storage account keys renew \
  --resource-group <resource-group> \
  --account-name <storage-account> \
  --key primary
```
حدّث سلاسل الاتصال في التعليمة البرمجية الخاصة بك للإشارة إلى مفتاح الاختصار الأساسي الجديد.
يمكنك إعادة كتابة مفتاح الاختصار الثانوي بالطريقة نفسها. لإعادة إنشاء المفتاح الثانوي، استخدم secondary كاسم مفتاح بدلًا من primary.

تنبيه

توصي Microsoft باستخدام مفتاح واحد فقط في جميع تطبيقاتك في نفس الوقت. إذا كنت تستخدم المفتاح 1 في بعض الأماكن والمفتاح 2 في أماكن أخرى، فلن تتمكن من تدوير المفاتيح دون أن تفقد بعض التطبيقات الوصول إليها.

لتدوير مفاتيح الوصول إلى الحساب، يجب أن يكون المستخدم إما مسؤول خدمة، أو يجب تعيين دور Azure يتضمن Microsoft.Storage/storageAccounts/regeneratekey/action. بعض أدوار Azure المدمجة التي تشمل هذا الإجراء هي المالك و المساهم و دور خدمة المشغل الرئيسي لحساب التخزين . لمزيد من المعلومات حول دور service مسؤول istrator، راجع أدوار Azure وأدوار Microsoft Entra وأدوار مسؤول الاشتراك الكلاسيكي. للحصول على معلومات مفصلة حول أدوار Azure المدمجة لتخزين Azure، راجع قسم التخزين في أدوار Azure المدمجة لـ Azure RBAC.

إنشاء نهج انتهاء صلاحية مفتاح

تتيح لك سياسة انتهاء صلاحية المفتاح تعيين تذكير لتدوير مفاتيح الوصول إلى الحساب. يتم عرض التذكير إذا انقضت الفترة الزمنية المحددة ولم يتم تدوير المفاتيح بعد. بعد إنشاء سياسة انتهاء صلاحية المفتاح، يمكنك مراقبة حسابات التخزين خاصتك للتأكد من الامتثال لضمان تدوير مفاتيح الوصول إلى الحساب بانتظام.

إشعار

قبل أن تتمكن من إنشاء سياسة انتهاء صلاحية المفتاح، قد تحتاج إلى تدوير كل مفتاح من مفاتيح الوصول إلى حسابك مرة واحدة على الأقل.

لإنشاء سياسة انتهاء صلاحية رئيسية في مدخل Microsoft Azure:

في مدخل Azure انتقل إلى حساب التخزين الخاص بك.
ضمن Security + networking، حدد Access keys. تظهر مفاتيح الوصول إلى حسابك، بالإضافة إلى سلسلة الاتصال الكاملة لكل مفتاح.
حدد الزر تعيين تذكير التدوير. إذا كان زر تعيين تذكير التدوير رماديًا، فستحتاج إلى تدوير كل مفتاح من مفاتيحك. اتبع الخطوات الموضحة في تدوير مفاتيح الوصول يدويًا لتدوير المفاتيح.
في تعيين تذكير لتدوير مفاتيح الوصول ، حدد مربع الاختيار تمكين ذاكرات تدوير المفاتيح وتعيين تكرار للتذكير.
حدد حفظ.

Screenshot showing how to create a key expiration policy in the Azure portal

لإنشاء سياسة انتهاء صلاحية المفتاح باستخدام PowerShell، استخدم أمر Set - AzStorageAccount واضبط معلمة -KeyExpirationPeriodInDay على الفاصل الزمني بالأيام حتى يتم تدوير مفتاح الوصول.

يشير العقار KeyCreationTime إلى وقت إنشاء مفاتيح الوصول إلى الحساب أو آخر تدوير لها. قد يكون للحسابات القديمة قيمة فارغة للخاصية KeyCreationTime لأنه لم يتم تعيينها بعد. إذا كانت KeyCreationTime الخاصية فارغة، فلا يمكنك إنشاء نهج انتهاء صلاحية المفتاح حتى تقوم بتدوير المفاتيح. لهذا السبب، من الجيد التحقق من KeyCreationTime الخاصية لحساب التخزين قبل محاولة تعيين سياسة انتهاء الصلاحية الرئيسية.

يتحقق المثال التالي مما إذا كان KeyCreationTime الخاصية قد تم تعيينها لكل مفتاح. إذا كان للخاصية KeyCreationTime قيمة، فسيتم إنشاء سياسة انتهاء صلاحية مفتاح لحساب التخزين. تذكَّر استبدال قيم العناصر النائبة في الأقواس بقيمك.

$rgName = "<resource-group>"
$accountName = "<account-name>"

$account = Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName

# Check whether the KeyCreationTime property has a value for each key 
# before creating the key expiration policy.
if ($account.KeyCreationTime.Key1 -eq $null -or $account.KeyCreationTime.Key2 -eq $null)
{
    Write-Host("You must regenerate both keys at least once before setting expiration policy")
}
else
{
    $account = Set-AzStorageAccount -ResourceGroupName $rgName -Name `
        $accountName  -KeyExpirationPeriodInDay 60
}

يمكنك أيضًا تعيين سياسة انتهاء صلاحية المفتاح أثناء إنشاء حساب تخزين عن طريق تعيين -KeyExpirationPeriodInDay معلمة أمر New - AzStorageAccount .

للتحقق من تطبيق السياسة، تحقق من خاصية KeyPolicy حساب التخزين.

$account.KeyPolicy

لإنشاء سياسة انتهاء صلاحية المفتاح باستخدام واجهة سطر الأوامر Azure، استخدم أمر تحديث حساب تخزين Az واضبط معلمة --key-exp-days على الفاصل الزمني بالأيام حتى يتم تدوير مفتاح الوصول.

يشير العقار keyCreationTime إلى وقت إنشاء مفاتيح الوصول إلى الحساب أو آخر تدوير لها. قد يكون للحسابات القديمة قيمة فارغة للخاصية keyCreationTime لأنه لم يتم تعيينها بعد. إذا كانت keyCreationTime الخاصية فارغة، فلا يمكنك إنشاء نهج انتهاء صلاحية المفتاح حتى تقوم بتدوير المفاتيح. لهذا السبب، من الجيد التحقق من keyCreationTime الخاصية لحساب التخزين قبل محاولة تعيين سياسة انتهاء الصلاحية الرئيسية.

يتحقق المثال التالي مما إذا كان keyCreationTime الخاصية قد تم تعيينها لكل مفتاح. إذا كان للخاصية keyCreationTime قيمة، فسيتم إنشاء سياسة انتهاء صلاحية مفتاح لحساب التخزين. تذكَّر استبدال قيم العناصر النائبة في الأقواس بقيمك.

key1_create_time=$(az storage account show \
    --name <storage-account> \
    --resource-group <resource-group> \
    --query 'keyCreationTime.key1' \
    --output tsv)
key2_create_time=$(az storage account show \
    --name <storage-account> \
    --resource-group <resource-group> \
    --query 'keyCreationTime.key2' \
    --output tsv)

if [ -z "$key1_create_time" ] || [ -z "$key2_create_time" ]; 
then
    echo "You must regenerate both keys at least once before setting expiration policy"
else
    az storage account update \
        --name <storage-account> \
        --resource-group <resource-group> \
        --key-exp-days 60
fi

يمكنك أيضًا تعيين سياسة انتهاء صلاحية المفتاح أثناء إنشاء حساب تخزين عن طريق تعيين --key-exp-days معلمة الأمر إنشاء حساب تخزين az.

للتحقق من تطبيق السياسة، اتصل بأمر حساب تخزين az، واستخدم السلسلة {KeyPolicy:keyPolicy} للمعلمة -query.

az storage account show \
  -n <storage-account-name> \
  -g <resource-group-name> \
  --query "{KeyPolicy:keyPolicy}"

تظهر فترة انتهاء صلاحية المفتاح في مخرج وحدة التحكم.

{
  "KeyPolicy": {
    "enableAutoRotation": false,
    "keyExpirationPeriodInDays": 60
  }
}

التحقق من انتهاكات سياسة انتهاء الصلاحية الرئيسية

يمكنك مراقبة حسابات التخزين خاصتك باستخدام سياسة Azure للتأكد من أن مفاتيح الوصول إلى الحساب قد تم تدويرها خلال الفترة الموصى بها. يوفر Azure Storage سياسة مدمجة لضمان عدم انتهاء صلاحية مفاتيح الوصول إلى حساب التخزين. لمزيد من المعلومات حول السياسة المضمنة، راجع يجب عدم انتهاء صلاحية مفاتيح حساب التخزين في قائمة تعريفات السياسة المضمنة .

تعيين السياسة المضمنة لنطاق الموارد

اتبع هذه الخطوات لتعيين النهج المضمن للنطاق المناسب في مدخل Azure:

في مدخل Azure، ابحث عن النهج لعرض لوحة معلومات نهج Azure.
في قسم التأليف، حدد المهام.
اختر تعيين النهج.
في علامة التبويب الأساسيات في صفحة تعيين النهج، في قسم النطاق، حدد نطاق تعيين النهج. حدد زر المزيد لاختيار الاشتراك ومجموعة الموارد الاختيارية.
بالنسبة لحقل تعريف النهج، حدد زر المزيد، وأدخل مفاتيح حساب التخزين في حقل البحث. حدد تعريف النهج المسمى يجب ألا تنتهي صلاحية مفاتيح حساب التخزين.
حدد مراجعة + إنشاء لتعيين تعريف النهج للنطاق المحدد.

مراقبة التوافق مع نهج انتهاء صلاحية المفاتيح

لمراقبة حسابات التخزين للتأكد من توافقها مع نهج انتهاء صلاحية المفاتيح، اتبع الخطوات التالية:

في لوحة معلومات سياسة Azure، حدد تعريف السياسة المضمن للنطاق الذي حددته في تعيين السياسة. يمكنك البحث عن مفاتيح حساب التخزين لا ينبغي أن تنتهي صلاحيتها في مربع البحث للتصفية للسياسة المضمنة.
حدد اسم النهج مع النطاق المطلوب.
في صفحة تعيين النهج للنهج المضمن، حدد عرض التوافق. تظهر أي حسابات تخزين في مجموعة الاشتراك والموارد المحددة لا تفي بمتطلبات السياسة في تقرير الامتثال.

لجعل حساب التخزين متوافقًا، قم بتدوير مفاتيح الوصول إلى الحساب.