Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Pomocí sdíleného přístupového podpisu (SAS) můžete delegovat přístup k prostředkům ve vašem účtu Azure Storage. Token SAS zahrnuje cílový prostředek, udělená oprávnění a interval povolení přístupu. Osvědčené postupy doporučují omezit interval sdíleného přístupového podpisu v případě ohrožení zabezpečení. Nastavením zásad vypršení platnosti SAS pro účty úložiště můžete doporučit nebo vynutit horní limit vypršení platnosti (maximální interval platnosti) v případě, že uživatel vytvoří delegované SAS uživatele, SAS služby nebo SAS účtu.
Další informace o sdílených přístupových podpisech najdete v tématu Udělení omezeného přístupu k prostředkům Azure Storage pomocí sdílených přístupových podpisů (SAS).
Důležité
Ve scénářích, ve kterých se používají sdílené přístupové podpisy, Microsoft doporučuje používat uživatelskou delegaci SAS. Delegace uživatelského SAS je zabezpečena pomocí přihlašovacích údajů Microsoft Entra namísto klíče účtu, což poskytuje vynikající zabezpečení.
Informace o zásadách vypršení platnosti SAS
V účtu úložiště můžete nakonfigurovat zásady vypršení platnosti SAS. Zásada vypršení platnosti SAS určuje horní limit pro interval platnosti sas delegování uživatele, SAS služby nebo SAS účtu. Horní limit je určen jako hodnota data a času, která je kombinovaným počtem dní, hodin, minut a sekund.
Interval platnosti sas se vypočítá odečtením hodnoty data a času podepsaného počátečního pole od hodnoty data a času podepsaného pole vypršení platnosti. Pokud je výsledná hodnota menší nebo rovna doporučenému hornímu limitu, je SAS v souladu se zásadami vypršení platnosti SAS.
Pokud platí zásada vypršení platnosti SAS pro účet úložiště, vyžaduje se pro každý SAS podepsané počáteční pole. Pokud podepsané počáteční pole není součástí sdíleného přístupového podpisu a nakonfigurovali jste diagnostická nastavení pro protokolování pomocí Azure Monitor, Azure Storage zapíše zprávu do vlastnosti SasExpiryStatus v protokolech pokaždé, když uživatel použije SAS bez hodnoty pro podepsané počáteční pole.
Po nakonfigurování zásad vypršení platnosti SAS se všem uživatelům, kteří vytvoří SAS s intervalem, který překročí doporučený horní limit, zobrazí upozornění spolu s doporučeným maximálním intervalem.
Definování akce vypršení platnosti SAS
Zásady vypršení platnosti SAS podporují dvě akce:
[Výchozí] Protokol: Žádosti provedené pomocí SAS mimo stanovené zásady jsou povolené. Pokud jste nakonfigurovali nastavení diagnostiky pro protokolování pomocí služby Azure Monitor, azure Storage zapíše do protokolu zprávu do vlastnosti SasExpiryStatus pokaždé, když uživatel použije SAS, jehož platnost vyprší po doporučeném intervalu. Zpráva naznačuje, že interval platnosti SAS překračuje doporučený interval. Tato možnost se doporučuje pro monitorování a auditování přístupu bez přerušení pracovních postupů.
Blokovat: Žádosti provedené pomocí sdíleného přístupového podpisu (SAS) mimo zásady jsou odepřeny. Toto je vaše nejtužší možnost vynucování řízení přístupu v souladu s požadavky vaší organizace.
SAS mimo politiku jsou ty, které nemají podepsaný začátek platnosti nebo mají interval platnosti větší než horní limit.
Začněte tím, že zkontrolujete aktuální využití tokenu SAS a nastavíte odpovídající zásady vypršení platnosti pro vaše účty úložiště. Doporučujeme začít akcí Log pro monitorování diagnostických protokolů na porušení zásad. Důrazně doporučujeme použít akci Blokovat, abyste měli jistotu, že pokud token SAS překročil dobu platnosti nastavenou pro účet úložiště, je třeba zablokovat přístup k úložišti.
Důležité
Akce vypršení platnosti SAS není podporována pro delegování uživatelů prostřednictvím koncového bodu HDFS nebo pro sdílené přístupové podpisy na úrovni služby s uloženou zásadou přístupu.
Konfigurace zásad vypršení platnosti SAS
Když nakonfigurujete zásadu vypršení platnosti SAS pro účet úložiště, platí tato zásada pro každý typ SAS: SAS delegování uživatele, SAS služby a SAS účtu. Typy SAS služby a SAS účtu jsou podepsané klíčem účtu, zatímco SAS delegování uživatelského jsou podepsané pomocí pověření Microsoft Entra.
Poznámka:
SAS pro delegování uživatelů je podepsaný klíčem delegování uživatele, který se získává pomocí přihlašovacích údajů Microsoft Entra. Klíč delegování uživatele má vlastní interval vypršení platnosti, který nepodléhá zásadám vypršení platnosti SAS. Zásada vypršení platnosti SAS se vztahuje pouze na uživatelské delegační SAS, nikoli na uživatelský delegační klíč, kterým je podepsaný.
Delegování uživatele SAS má maximální dobu vypršení platnosti 7 dnů, bez ohledu na zásady vypršení platnosti SAS. Pokud je zásada vypršení platnosti SAS nastavená na hodnotu větší než 7 dnů, tato zásada nemá žádný vliv na delegování uživatele SAS. Pokud vyprší platnost klíče delegování uživatele, znamená to, že jakýkoli SAS delegování uživatele podepsaný tímto klíčem je neplatný a jakýkoli pokus o použití SAS vrátí chybu.
Musím nejdřív otočit přístupové klíče účtu?
Tato část se týká typů SAS služby a SAS účtu, které jsou podepsané pomocí klíče účtu. Než budete moct nakonfigurovat zásady vypršení platnosti SAS, budete možná muset obměnět všechny přístupové klíče účtu alespoň jednou. Pokud má vlastnost keyCreationTime účtu úložiště hodnotu null pro některý z přístupových klíčů účtu (klíč1 a klíč2), budete je muset otočit. Pokud chcete zjistit, jestli má vlastnost keyCreationTime hodnotu null, přečtěte si téma Získání času vytvoření přístupových klíčů účtu pro účet úložiště. Pokud se pokusíte nakonfigurovat zásadu vypršení platnosti SAS a klíče je potřeba nejprve otočit, operace selže.
Konfigurace zásad vypršení platnosti SAS
Zásady vypršení platnosti SAS můžete nakonfigurovat pomocí webu Azure Portal, PowerShellu nebo Azure CLI.
Pokud chcete nakonfigurovat zásady vypršení platnosti SAS na webu Azure Portal, postupujte takto:
Na webu Azure Portal přejděte na svůj účet úložiště.
V části Nastavení vyberte Konfigurace.
Vyhledejte nastavení pro zásady vypršení platnosti sdíleného přístupového podpisu (SAS) a nastavte ho na Povoleno.
Poznámka:
Pokud je nastavení neaktivní, možná budete muset vyměnit oba přístupové klíče účtu, dříve než můžete nastavit zásady vypršení platnosti.
Zadejte časovou hodnotu pod horním limitem pro interval vypršení platnosti SAS pro požadovaný maximální interval pro nové sdílené přístupové podpisy vytvořené u prostředků v tomto účtu úložiště.
[Volitelné] Definujte akci vypršení platnosti. Výchozí akce logování pomáhá zjišťovat trendy a zkoumat přístup bez narušení uživatelů, zatímco akce Blokovat umožňuje zavést nulovou toleranci vůči tokenům SAS proti zásadám.
Výběrem možnosti Uložit uložte změny.
Protokoly dotazů na porušení zásad
Pokud chcete protokolovat použití sdíleného přístupového podpisu platného po delším intervalu, než doporučuje zásada vypršení platnosti SAS, vytvořte nejprve nastavení diagnostiky, které odesílá protokoly do pracovního prostoru služby Azure Log Analytics. Další informace najdete v tématu Odesílání protokolů do Azure Log Analytics.
Dále pomocí dotazu protokolu služby Azure Monitor monitor monitorujte, jestli nedošlo k porušení zásad. V pracovním prostoru služby Log Analytics vytvořte nový dotaz, přidejte následující text dotazu a stiskněte Spustit.
StorageBlobLogs
| where SasExpiryStatus startswith "Policy violated"
| summarize count() by AccountName, SasExpiryStatus
Použití předdefinovaných zásad k monitorování dodržování předpisů
Pomocí služby Azure Policy můžete monitorovat účty úložiště a zajistit tak, aby účty úložiště ve vašem předplatném nakonfigurovaly zásady vypršení platnosti SAS. Azure Storage poskytuje předdefinované zásady pro zajištění, že účty mají toto nastavení nakonfigurované. Další informace o předdefinovaných zásadách najdete v tématu Účty úložiště by měly mít nakonfigurované zásady sdíleného přístupového podpisu (SAS) v seznamu předdefinovaných definic zásad.
Přiřadit integrované zásady pro rozsah prostředků
Pomocí těchto kroků přiřaďte předdefinované zásady k příslušnému oboru na webu Azure Portal:
Na webu Azure Portal vyhledejte zásady pro zobrazení řídicího panelu Azure Policy.
V části Vytváření obsahu vyberte Zadání.
Zvolte Přiřadit zásadu.
Na kartě Základy na stránce Přiřadit zásadu, v části Obor, zadejte obor přiřazení zásady. Výběrem tlačítka Další zvolte předplatné a volitelnou skupinu prostředků.
V poli Definice zásady vyberte tlačítko Další a do vyhledávacího pole zadejte klíče účtu úložiště. Vyberte definici zásady s názvem Platnost klíčů účtu úložiště by neměla vypršet.
Výběrem možnosti Zkontrolovat a vytvořit přiřaďte definici zásady k zadanému oboru.
Monitorování dodržování zásad vypršení platnosti klíče
Pokud chcete monitorovat účty úložiště kvůli dodržování zásad vypršení platnosti klíče, postupujte takto:
Na řídicím panelu Azure Policy vyhledejte předdefinovanou definici zásad pro obor, který jste zadali v přiřazení zásad. Do pole
Storage accounts should have shared access signature (SAS) policies configuredmůžete zadat a filtrovat předdefinované zásady.Vyberte název zásady s požadovaným oborem.
Na stránce Přiřazení zásad pro vestavěnou politiku vyberte Zobrazit soulad. Všechny účty úložiště v zadaném předplatném a skupině prostředků, které nesplňují požadavky zásad, se zobrazí v reportu dodržování předpisů.
Pokud chcete, aby byl účet úložiště v souladu s předpisy, nakonfigurujte pro tento účet zásady vypršení platnosti SAS, jak je popsáno v tématu Konfigurace zásad vypršení platnosti SAS.