Zakázání ověřování přístupového klíče pro instanci konfigurace Aplikace Azure
Každý požadavek na prostředek konfigurace Aplikace Azure musí být ověřený. Ve výchozím nastavení je možné žádosti ověřit pomocí přihlašovacích údajů Microsoft Entra nebo pomocí přístupového klíče. Z těchto dvou typů schémat ověřování poskytuje Microsoft Entra ID vynikající zabezpečení a snadné použití u přístupových klíčů a doporučuje ho Microsoft. Pokud chcete, aby klienti k ověřování požadavků používali ID Microsoft Entra, můžete zakázat použití přístupových klíčů pro prostředek Aplikace Azure Konfigurace.
Když zakážete ověřování přístupového klíče pro prostředek konfigurace Aplikace Azure, odstraní se všechny existující přístupové klíče pro tento prostředek. Všechny následné požadavky na prostředek používající dříve existující přístupové klíče budou odmítnuty. Úspěšné budou pouze požadavky, které se ověřují pomocí ID Microsoft Entra. Další informace o použití Microsoft Entra ID naleznete v tématu Autorizace přístupu k Aplikace Azure Konfigurace pomocí Microsoft Entra ID.
Zakázání ověřování přístupového klíče
Zakázáním ověřování přístupového klíče odstraníte všechny přístupové klíče. Pokud některé spuštěné aplikace k ověřování používají přístupové klíče, začnou selhávat, jakmile je ověření přístupového klíče zakázané. Opětovné povolení ověřování přístupového klíče vygeneruje novou sadu přístupových klíčů a všechny aplikace, které se pokoušejí použít staré přístupové klíče, se stále nezdaří.
Upozorňující
Pokud k datům ve vašem prostředku konfigurace Aplikace Azure aktuálně přistupují klienti pomocí přístupových klíčů, společnost Microsoft doporučuje migrovat tyto klienty do Microsoft Entra ID před zakázáním ověřování přístupového klíče.
Pokud chcete zakázat ověřování přístupového klíče pro prostředek konfigurace Aplikace Azure na webu Azure Portal, postupujte takto:
Na webu Azure Portal přejděte ke svému prostředku konfigurace Aplikace Azure.
V části Nastavení vyhledejte nastavení Accessu.
Nastavte přepínač Povolit přístupové klávesy na Zakázáno.
Ověření, jestli je ověřování přístupového klíče zakázané
Pokud chcete ověřit, že ověřování pomocí přístupového klíče už není povolené, je možné vytvořit žádost o výpis přístupových klíčů pro prostředek konfigurace Aplikace Azure. Pokud je ověřování pomocí přístupového klíče zakázané, nebudou k dispozici žádné přístupové klíče a operace seznamu vrátí prázdný seznam.
Pokud chcete ověřit, že je ověřování přístupového klíče pro prostředek konfigurace Aplikace Azure na webu Azure Portal zakázané, postupujte takto:
Na webu Azure Portal přejděte ke svému prostředku konfigurace Aplikace Azure.
V části Nastavení vyhledejte nastavení Accessu.
Ověřte, že nejsou zobrazeny žádné přístupové klíče, a povolte přístupové klíče přepínejte na Zakázáno.
Oprávnění pro povolení nebo zakázání ověřování přístupového klíče
Pokud chcete změnit stav ověřování pomocí přístupového klíče pro prostředek konfigurace Aplikace Azure, musí mít uživatel oprávnění k vytváření a správě prostředků konfigurace Aplikace Azure. Role řízení přístupu na základě role Azure (Azure RBAC), které poskytují tato oprávnění, zahrnují akci Microsoft.AppConfiguration/configurationStores/write nebo Microsoft.AppConfiguration/configurationStores/* . Mezi předdefinované role s touto akcí patří:
- Role vlastníka Azure Resource Manager
- Role přispěvatele Azure Resource Manager
Tyto role neposkytují přístup k datům v prostředku konfigurace Aplikace Azure prostřednictvím ID Microsoft Entra. Zahrnují však oprávnění akce Microsoft.AppConfiguration/configurationStores/listKeys/action , které uděluje přístup k přístupovým klíčům prostředku. S tímto oprávněním může uživatel přistupovat ke všem datům v prostředku pomocí přístupových klíčů.
Přiřazení rolí musí být vymezena na úroveň prostředku Aplikace Azure Konfigurace nebo vyšší, aby uživatel povolil nebo nepovolil ověřování přístupového klíče pro daný prostředek. Další informace o oboru role najdete v tématu Vysvětlení oboru pro Azure RBAC.
Dávejte pozor, abyste přiřazování těchto rolí omezili jenom na uživatele, kteří vyžadují možnost vytvořit prostředek služby App Configuration nebo aktualizovat jeho vlastnosti. Pomocí principu nejnižšího oprávnění se ujistěte, že uživatelé mají nejmenší oprávnění, která potřebují k plnění svých úkolů. Další informace o správě přístupu pomocí Azure RBAC najdete v tématu Osvědčené postupy pro Azure RBAC.
Poznámka:
Role klasického správce předplatného Service Správa istrator a Spolu Správa istrator zahrnují ekvivalent role vlastníka Azure Resource Manageru. Role Vlastník zahrnuje všechny akce, takže uživatel s jednou z těchto rolí pro správu může také vytvářet a spravovat prostředky služby App Configuration. Další informace najdete v tématu Role Azure, role Microsoft Entra a klasické role správce předplatného.
Poznámka:
Pokud je ověřování pomocí přístupového klíče zakázané a režim ověřování ARM v App Configuration Storu je místní, možnost čtení a zápisu hodnot klíčů v šabloně ARM se zakáže také. Důvodem je to, že přístup k prostředku Microsoft.AppConfiguration/configurationStores/keyValues používanému v šablonách ARM vyžaduje ověřování pomocí přístupového klíče v místním režimu ověřování ARM. Doporučuje se použít předávací režim ověřování ARM. Další informace najdete v tématu Přehled nasazení.