Konfigurace zásad vypršení platnosti pro sdílené přístupové podpisy

Pomocí sdíleného přístupového podpisu (SAS) můžete delegovat přístup k prostředkům ve vašem účtu Azure Storage. Token SAS zahrnuje cílový prostředek, udělená oprávnění a interval povolení přístupu. Osvědčené postupy doporučují omezit interval sdíleného přístupového podpisu v případě ohrožení zabezpečení. Nastavením zásad vypršení platnosti SAS pro účty úložiště můžete zadat doporučený horní limit vypršení platnosti, když uživatel vytvoří SAS služby nebo SAS účtu.

Další informace o sdílených přístupových podpisech najdete v tématu Udělení omezeného přístupu k prostředkům Azure Storage pomocí sdílených přístupových podpisů (SAS).

Informace o zásadách vypršení platnosti SAS

V účtu úložiště můžete nakonfigurovat zásady vypršení platnosti SAS. Zásady vypršení platnosti SAS určují doporučený horní limit pro pole podepsané vypršení platnosti u sdíleného přístupového podpisu služby nebo sdíleného přístupového podpisu účtu. Doporučený horní limit je určen jako hodnota data a času, která představuje kombinovaný počet dní, hodin, minut a sekund.

Interval platnosti sas se vypočítá odečtením hodnoty data a času podepsaného počátečního pole od hodnoty data a času podepsaného pole vypršení platnosti. Pokud je výsledná hodnota menší nebo rovna doporučenému hornímu limitu, je SAS v souladu se zásadami vypršení platnosti SAS.

Po nakonfigurování zásady vypršení platnosti SAS se všem uživatelům, kteří vytvoří SAS služby nebo SAS účtu s intervalem, který překročí doporučený horní limit, zobrazí upozornění.

Zásady vypršení platnosti SAS nezabrání uživateli v vytvoření sdíleného přístupového podpisu s vypršením platnosti, který překračuje limit doporučený zásadou. Když uživatel vytvoří SAS, který zásadu porušuje, zobrazí se mu upozornění spolu s doporučeným maximálním intervalem. Pokud jste nakonfigurovali nastavení diagnostiky pro protokolování pomocí služby Azure Monitor, azure Storage zapíše do protokolu zprávu do vlastnosti SasExpiryStatus pokaždé, když uživatel použije SAS, jehož platnost vyprší po doporučeném intervalu. Zpráva označuje, že interval platnosti sdíleného přístupového podpisu překračuje doporučený interval.

Pokud platí zásada vypršení platnosti SAS pro účet úložiště, vyžaduje se pro každý sdílený přístupový podpis pole se podepsaným počátečním polem. Pokud není podepsané počáteční pole součástí sdíleného přístupového podpisu a nakonfigurovali jste nastavení diagnostiky pro protokolování pomocí služby Azure Monitor, azure Storage do protokolu zapíše zprávu do vlastnosti SasExpiryStatus pokaždé, když uživatel použije SAS bez hodnoty pro pole pro zahájení podpisu.

Konfigurace zásad vypršení platnosti SAS

Když nakonfigurujete zásadu vypršení platnosti SAS pro účet úložiště, platí tato zásada pro každý typ SAS, který je podepsaný klíčem účtu. Typy sdílených přístupových podpisů, které jsou podepsané pomocí klíče účtu, jsou SAS služby a SAS účtu.

Musím nejdřív otočit přístupové klíče účtu?

Než budete moct nakonfigurovat zásady vypršení platnosti SAS, budete možná muset obměnět všechny přístupové klíče účtu alespoň jednou. Pokud má vlastnost keyCreationTime účtu úložiště hodnotu null pro některý z přístupových klíčů účtu (klíč1 a klíč2), budete je muset otočit. Pokud chcete zjistit, jestli má vlastnost keyCreationTime hodnotu null, přečtěte si téma Získání času vytvoření přístupových klíčů účtu pro účet úložiště. Pokud se pokusíte nakonfigurovat zásadu vypršení platnosti SAS a klíče je potřeba nejprve otočit, operace selže.

Konfigurace zásad vypršení platnosti SAS

Zásady vypršení platnosti SAS můžete nakonfigurovat pomocí webu Azure Portal, PowerShellu nebo Azure CLI.

Azure Portal

Pokud chcete nakonfigurovat zásady vypršení platnosti SAS na webu Azure Portal, postupujte takto:

1. Na webu Azure Portal přejděte na svůj účet úložiště.

2. V části Nastavení vyberte Konfigurace.

3. Vyhledejte nastavení Povolit doporučený horní limit pro interval vypršení platnosti sdíleného přístupového podpisu (SAS) a nastavte ho na Povoleno.

   Poznámka:

   Pokud je nastavení neaktivní a zobrazí se zpráva zobrazená na následujícím obrázku, budete muset před nastavením doporučeného horního limitu pro hodnoty intervalu vypršení platnosti SAS otočit oba přístupové klíče účtu:

   

4. Zadejte časové hodnoty v rámci doporučeného horního limitu pro interval vypršení platnosti SAS pro doporučený interval pro všechny nové sdílené přístupové podpisy vytvořené u prostředků v tomto účtu úložiště.

   

5. Výběrem možnosti Uložit uložte změny.

PowerShell

Ke konfiguraci zásad vypršení platnosti SAS použijte příkaz Set-AzStorageAccount a potom nastavte -SasExpirationPeriod parametr na počet dní, hodin, minut a sekund, po které může být token SAS aktivní od okamžiku podepsání sdíleného přístupového podpisu. Řetězec, který zadáte parametr -SasExpirationPeriod , používá následující formát: <days>.<hours>:<minutes>:<seconds>. Pokud například chcete, aby platnost sdíleného přístupového podpisu vypršela 1 den, 12 hodin, 5 minut a 6 sekund po jeho podepsání, použili byste řetězec 1.12:05:06.

$account = Set-AzStorageAccount -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -SasExpirationPeriod <days>.<hours>:<minutes>:<seconds>

Tip

Zásady vypršení platnosti SAS můžete nastavit také při vytváření účtu úložiště nastavením -SasExpirationPeriod parametru příkazu New-AzStorageAccount .

Poznámka:

Pokud se zobrazí chybová zpráva s informací, že čas vytvoření klíče nebyl nastaven, otočte přístupové klíče účtu a zkuste to znovu.

Pokud chcete ověřit, že se zásada použila, zkontrolujte vlastnost SasPolicy účtu úložiště.

$account.SasPolicy

Ve výstupu konzoly se zobrazí období vypršení platnosti SAS.

Azure CLI

Pokud chcete nakonfigurovat zásady vypršení platnosti SAS, použijte příkaz az storage account update a potom nastavte --key-exp-days parametr na počet dní, hodin, minut a sekund, po které může být token SAS aktivní od okamžiku podepsání sdíleného přístupového podpisu. Řetězec, který zadáte parametr --key-exp-days , používá následující formát: <days>.<hours>:<minutes>:<seconds>. Pokud například chcete, aby platnost sdíleného přístupového podpisu vypršela 1 den, 12 hodin, 5 minut a 6 sekund po jeho podepsání, použili byste řetězec 1.12:05:06.

az storage account update \
  --name <storage-account> \
  --resource-group <resource-group> \
  --sas-exp <days>.<hours>:<minutes>:<seconds>

Tip

Zásady vypršení platnosti SAS můžete nastavit také při vytváření účtu úložiště nastavením --key-exp-days parametru příkazu az storage account create .

Poznámka:

Pokud se zobrazí chybová zpráva s informací, že čas vytvoření klíče nebyl nastaven, otočte přístupové klíče účtu a zkuste to znovu.

Pokud chcete ověřit, že se zásada použila, zavolejte příkaz az storage account show a použijte řetězec {SasPolicy:sasPolicy} pro -query parametr.

az storage account show \
  --name <storage-account> \
  --resource-group <resource-group> \
  --query "{SasPolicy:sasPolicy}"

Ve výstupu konzoly se zobrazí období vypršení platnosti SAS.

{
  "SasPolicy": {
    "expirationAction": "Log",
    "sasExpirationPeriod": "1.12:05:06"
  }
}

Dotazování protokolů na porušení zásad

Pokud chcete protokolovat použití sdíleného přístupového podpisu platného po delším intervalu, než doporučuje zásada vypršení platnosti SAS, vytvořte nejprve nastavení diagnostiky, které odesílá protokoly do pracovního prostoru služby Azure Log Analytics. Další informace najdete v tématu Odesílání protokolů do Azure Log Analytics.

Dále pomocí dotazu protokolu služby Azure Monitor monitor monitorujte, jestli nedošlo k porušení zásad. V pracovním prostoru služby Log Analytics vytvořte nový dotaz, přidejte následující text dotazu a stiskněte Spustit.

StorageBlobLogs 
| where SasExpiryStatus startswith "Policy violated"
| summarize count() by AccountName, SasExpiryStatus

Použití předdefinovaných zásad k monitorování dodržování předpisů

Pomocí služby Azure Policy můžete monitorovat účty úložiště a zajistit tak, aby účty úložiště ve vašem předplatném nakonfigurovaly zásady vypršení platnosti SAS. Azure Storage poskytuje předdefinované zásady pro zajištění, že účty mají toto nastavení nakonfigurované. Další informace o předdefinovaných zásadách najdete v tématu Účty úložiště by měly mít nakonfigurované zásady sdíleného přístupového podpisu (SAS) v seznamu předdefinovaných definic zásad.

Přiřazení předdefinovaných zásad pro obor prostředků

Pomocí těchto kroků přiřaďte předdefinované zásady k příslušnému oboru na webu Azure Portal:

1. Na webu Azure Portal vyhledejte zásady pro zobrazení řídicího panelu Azure Policy.

2. V části Vytváření obsahu vyberte Zadání.

3. Zvolte Přiřadit zásadu.

4. Na kartě Základy na stránce Přiřadit zásadu v části Obor zadejte obor přiřazení zásady. Výběrem tlačítka Další zvolte předplatné a volitelnou skupinu prostředků.

5. V poli Definice zásady vyberte tlačítko Další a do vyhledávacího pole zadejte klíče účtu úložiště. Vyberte definici zásady s názvem Klíče účtu úložiště, jejichž platnost by neměla vypršena.

   

6. Výběrem možnosti Zkontrolovat a vytvořit přiřaďte definici zásady k zadanému oboru.

   

Monitorování dodržování zásad vypršení platnosti klíče

Pokud chcete monitorovat účty úložiště kvůli dodržování zásad vypršení platnosti klíče, postupujte takto:

1. Na řídicím panelu Azure Policy vyhledejte předdefinovanou definici zásad pro obor, který jste zadali v přiřazení zásad. Do vyhledávacího pole můžete vyhledat Storage accounts should have shared access signature (SAS) policies configured filtr předdefinovaných zásad.

2. Vyberte název zásady s požadovaným oborem.

3. Na stránce Přiřazení zásad pro předdefinované zásady vyberte Zobrazit dodržování předpisů. Všechny účty úložiště v zadaném předplatném a skupině prostředků, které nesplňují požadavky zásad, se zobrazí v sestavě dodržování předpisů.

   

Pokud chcete, aby byl účet úložiště v souladu s předpisy, nakonfigurujte pro tento účet zásady vypršení platnosti SAS, jak je popsáno v tématu Konfigurace zásad vypršení platnosti SAS.

Viz také

• Udělení omezeného přístupu k prostředkům Azure Storage pomocí sdílených přístupových podpisů
• Vytvoření SAS služby
• Vytvoření SAS účtu