Správa přístupových klíčů účtu úložiště

Článek
10/26/2023

Když vytvoříte účet úložiště, Azure pro tento účet vygeneruje dva 512bitové přístupové klíče účtu úložiště. Tyto klíče se dají použít k autorizaci přístupu k datům ve vašem účtu úložiště prostřednictvím autorizace sdíleného klíče nebo prostřednictvím tokenů SAS, které jsou podepsané pomocí sdíleného klíče.

Microsoft doporučuje, abyste ke správě přístupových klíčů používali Azure Key Vault a že klíče pravidelně střídáte a znovu vygenerujete. Použití služby Azure Key Vault usnadňuje obměně klíčů bez přerušení aplikací. Klíče můžete také ručně otočit.

Ochrana přístupových klíčů

Přístupové klíče účtu úložiště poskytují úplný přístup ke konfiguraci účtu úložiště a také k datům. Vždy buďte opatrní při ochraně přístupových klíčů. Pomocí služby Azure Key Vault můžete klíče bezpečně spravovat a otáčet. Přístup ke sdílenému klíči uděluje uživateli úplný přístup ke konfiguraci účtu úložiště a jeho datům. Přístup ke sdíleným klíčům by měl být pečlivě omezený a monitorovaný. Použití tokenů SAS s omezeným oborem přístupu ve scénářích, kdy se autorizace založená na Microsoft Entra ID nedá použít. Vyhněte se pevně kódovacím přístupovým klíčům nebo je uložte kdekoli ve formátu prostého textu, který je přístupný ostatním uživatelům. Pokud se domníváte, že by mohly být ohroženy, obměňte klíče.

Důležité

Microsoft doporučuje použít Microsoft Entra ID k autorizaci požadavků na data objektů blob, fronty a tabulky, pokud je to možné, místo použití klíčů účtu (autorizace sdíleného klíče). Autorizace pomocí Microsoft Entra ID poskytuje vynikající zabezpečení a snadné použití prostřednictvím autorizace sdíleného klíče. Další informace o používání autorizace Microsoft Entra z vašich aplikací naleznete v tématu Jak ověřovat aplikace .NET pomocí služeb Azure. U sdílených složek Azure smb doporučuje Microsoft používat integraci služby místní Active Directory Domain Services (AD DS) nebo ověřování microsoft Entra Kerberos.

Pokud chcete uživatelům zabránit v přístupu k datům ve vašem účtu úložiště pomocí sdíleného klíče, můžete zakázat autorizaci sdíleného klíče pro účet úložiště. Podrobný přístup k datům s minimálními potřebnými oprávněními se doporučuje jako osvědčený postup zabezpečení. Pro scénáře, které podporují OAuth, by se měla použít autorizace založená na ID Microsoftu Entra. Protokol Kerberos nebo SMTP by se měly používat pro službu Azure Files přes protokol SMB. Pro Službu Azure Files přes REST je možné použít tokeny SAS. Přístup ke sdílenému klíči by měl být zakázán, pokud není vyžadován, aby se zabránilo jeho neúmyslným použití. Další informace najdete v tématu Zabránění autorizaci sdíleného klíče pro účet Azure Storage.

Pokud chcete chránit účet azure Storage pomocí zásad podmíněného přístupu Microsoft Entra, musíte zakázat autorizaci sdíleného klíče pro účet úložiště.

Pokud jste zakázali přístup ke sdíleným klíčům a v diagnostických protokolech se zobrazuje autorizace sdíleného klíče, znamená to, že se pro přístup k úložišti používá důvěryhodný přístup. Další podrobnosti najdete v tématu Důvěryhodný přístup k prostředkům registrovaným ve vašem předplatném.

Zobrazení přístupových klíčů k účtu

Přístupové klíče účtu můžete zobrazit a zkopírovat pomocí webu Azure Portal, PowerShellu nebo Azure CLI. Azure Portal také poskytuje připojovací řetězec pro váš účet úložiště, který můžete kopírovat.

Zobrazení a zkopírování přístupových klíčů k účtu úložiště nebo připojovací řetězec z webu Azure Portal:

Na webu Azure Portal přejděte do svého účtu úložiště.
V části Zabezpečení a sítě vyberte Přístupové klíče. Zobrazí se přístupové klíče vašeho účtu a také úplný připojovací řetězec pro jednotlivé klíče.
Výběrem možnosti Zobrazit klíče zobrazíte přístupové klíče a připojovací řetězec a povolíte tlačítka pro kopírování hodnot.
V části klíč1 najděte hodnotu Klíče . Výběrem tlačítka Kopírovat zkopírujte klíč účtu.
Případně můžete zkopírovat celý připojovací řetězec. V části key1 vyhledejte hodnotu řetězce Připojení ion. Výběrem tlačítka Kopírovat zkopírujte připojovací řetězec.

Pokud chcete načíst přístupové klíče účtu pomocí PowerShellu , zavolejte příkaz Get-AzStorageAccountKey .

Následující příklad načte první klíč. Chcete-li načíst druhý klíč, použijte Value[1] místo Value[0]. Nezapomeňte nahradit zástupné hodnoty v hranatých závorkách vlastními hodnotami.

$storageAccountKey = `
    (Get-AzStorageAccountKey
    -ResourceGroupName <resource-group> `
    -Name <storage-account>).Value[0]

Pokud chcete vypsat přístupové klíče účtu pomocí Azure CLI, zavolejte příkaz az storage account keys list list , jak je znázorněno v následujícím příkladu. Nezapomeňte nahradit zástupné hodnoty v hranatých závorkách vlastními hodnotami.

az storage account keys list \
  --resource-group <resource-group> \
  --account-name <storage-account>

Pro přístup ke službě Azure Storage můžete použít některý z těchto dvou klíčů, ale obecně je vhodné použít první klíč a rezervovat použití druhého klíče při rotování klíčů.

Pokud chcete zobrazit nebo přečíst přístupové klíče účtu, musí být uživatel buď služba Správa istrator, nebo musí mít přiřazenou roli Azure, která zahrnuje Microsoft.Storage/storageAccounts/listkeys/action. Mezi předdefinované role Azure, které zahrnují tuto akci, patří role role Role Vlastník, Přispěvatel a Operátor klíče účtu úložiště. Další informace o roli service Správa istrator naleznete v tématu role Azure, role Microsoft Entra a klasické role správce předplatného. Podrobné informace o předdefinovaných rolích pro Azure Storage najdete v části Úložiště v předdefinovaných rolích Azure pro Azure RBAC.

Použití služby Azure Key Vault ke správě přístupových klíčů

Microsoft doporučuje používat Azure Key Vault ke správě a obměně přístupových klíčů. Vaše aplikace může bezpečně přistupovat k vašim klíčům ve službě Key Vault, abyste se vyhnuli jejich ukládání s kódem aplikace. Další informace o používání služby Key Vault ke správě klíčů najdete v následujících článcích:

Ruční obměna přístupových klíčů

Microsoft doporučuje pravidelně obměňovat přístupové klíče, aby byl účet úložiště zabezpečený. Pokud je to možné, ke správě přístupových klíčů použijte Azure Key Vault. Pokud nepoužíváte Key Vault, budete muset klíče otočit ručně.

Přiřadí se dva přístupové klíče, abyste mohli klíče otočit. Když máte dva klíče, zajistíte, aby vaše aplikace během tohoto procesu udržovala přístup ke službě Azure Storage.

Upozorňující

Opětovné vygenerování přístupových klíčů může ovlivnit všechny aplikace nebo služby Azure, které jsou závislé na klíči účtu úložiště. Všichni klienti, kteří pro přístup k účtu úložiště používají klíč účtu, musí být aktualizováni tak, aby používali nový klíč, včetně mediálních služeb, cloudových, desktopových a mobilních aplikací a grafických aplikací uživatelského rozhraní pro Azure Storage, jako je například Průzkumník služby Azure Storage.

Obměna nebo opětovné vygenerování přístupových klíčů navíc odvolá sdílené přístupové podpisy (SAS), které se generují na základě daného klíče. Po obměně přístupových klíčů musíte znovu vygenerovat tokeny SAS účtu a služby , abyste se vyhnuli přerušení aplikací. Upozorňujeme, že tokeny SAS delegování uživatele jsou zabezpečené pomocí přihlašovacích údajů Microsoft Entra a nejsou ovlivněny obměnou klíčem.

Pokud plánujete ručně obměňovat přístupové klíče, Microsoft doporučuje nastavit zásady vypršení platnosti klíče. Další informace najdete v tématu Vytvoření zásad vypršení platnosti klíče.

Po vytvoření zásady vypršení platnosti klíče můžete pomocí služby Azure Policy monitorovat, jestli se klíče účtu úložiště v doporučeném intervalu obměněly. Podrobnosti najdete v tématu Kontrola porušení zásad vypršení platnosti klíče.

Obměna přístupových klíčů účtu úložiště na webu Azure Portal:

Aktualizujte připojovací řetězec v kódu aplikace tak, aby odkazovat na sekundární přístupový klíč pro účet úložiště.
Na webu Azure Portal přejděte ke svému účtu úložiště.
V části Zabezpečení a sítě vyberte Přístupové klíče.
Pokud chcete znovu vygenerovat primární přístupový klíč pro účet úložiště, vyberte tlačítko Znovu vygenerovat vedle primárního přístupového klíče.
Aktualizujte připojovací řetězce v kódu tak, aby odkazovaly na nový primární přístupový klíč.
Stejným způsobem pak znovu vygenerujte sekundární přístupový klíč.

Obměna přístupových klíčů účtu úložiště pomocí PowerShellu:

Aktualizujte připojovací řetězec v kódu aplikace tak, aby odkazovat na sekundární přístupový klíč pro účet úložiště.
Voláním příkazu New-AzStorageAccountKey vygenerujte primární přístupový klíč, jak je znázorněno v následujícím příkladu:
```
New-AzStorageAccountKey -ResourceGroupName <resource-group> `
  -Name <storage-account> `
  -KeyName key1
```
Aktualizujte připojovací řetězce v kódu tak, aby odkazovaly na nový primární přístupový klíč.
Stejným způsobem pak znovu vygenerujte sekundární přístupový klíč. Chcete-li znovu vygenerovat sekundární klíč, použijte key2 jako název klíče místo key1.

Obměna přístupových klíčů k účtu úložiště pomocí Azure CLI:

Aktualizujte připojovací řetězec v kódu aplikace tak, aby odkazovat na sekundární přístupový klíč pro účet úložiště.
Voláním příkazu az storage account keys renew vygenerujte primární přístupový klíč, jak je znázorněno v následujícím příkladu:
```
az storage account keys renew \
  --resource-group <resource-group> \
  --account-name <storage-account> \
  --key primary
```
Aktualizujte připojovací řetězce v kódu tak, aby odkazovaly na nový primární přístupový klíč.
Stejným způsobem pak znovu vygenerujte sekundární přístupový klíč. Chcete-li znovu vygenerovat sekundární klíč, použijte secondary jako název klíče místo primary.

Upozornění

Microsoft doporučuje používat současně jenom jeden z klíčů ve všech vašich aplikacích. Pokud klíč 1 používáte na některých místech a klíč 2 v jiných, nebudete moct klíče otočit, aniž by některá aplikace ztratila přístup.

Pokud chcete obměňovat přístupové klíče účtu, musí být uživatel buď služba Správa istrator, nebo musí mít přiřazenou roli Azure, která zahrnuje Microsoft.Storage/storageAccounts/regeneratekey/action. Mezi předdefinované role Azure, které zahrnují tuto akci, patří role role Role Vlastník, Přispěvatel a Operátor klíče účtu úložiště. Další informace o roli service Správa istrator naleznete v tématu role Azure, role Microsoft Entra a klasické role správce předplatného. Podrobné informace o předdefinovaných rolích Azure pro Azure Storage najdete v části Úložiště v předdefinovaných rolích Azure pro Azure RBAC.

Vytvoření zásady vypršení platnosti klíče

Zásady vypršení platnosti klíče umožňují nastavit připomenutí obměny přístupových klíčů účtu. Připomenutí se zobrazí, pokud zadaný interval uplynul a klíče ještě nebyly otočeny. Po vytvoření zásady vypršení platnosti klíče můžete monitorovat dodržování předpisů v účtech úložiště, abyste měli jistotu, že se přístupové klíče účtu pravidelně obměňují.

Poznámka:

Než budete moct vytvořit zásadu vypršení platnosti klíče, budete možná muset alespoň jednou obměnět všechny přístupové klíče účtu.

Vytvoření zásady vypršení platnosti klíče na webu Azure Portal:

Na webu Azure Portal přejděte do svého účtu úložiště.
V části Zabezpečení a sítě vyberte Přístupové klíče. Zobrazí se přístupové klíče vašeho účtu a také úplný připojovací řetězec pro jednotlivé klíče.
Vyberte tlačítko Nastavit připomenutí otočení. Pokud je tlačítko Nastavit připomenutí otočení neaktivní, budete muset otočit jednotlivé klávesy. Pokud chcete klíče otočit, postupujte podle kroků popsaných v části Ruční otočení přístupových klíčů .
V části Nastavit připomenutí pro otáčení přístupových klíčů zaškrtněte políčko Povolit připomenutí obměny klíčů a nastavte frekvenci připomenutí.
Zvolte Uložit.

Screenshot showing how to create a key expiration policy in the Azure portal

Pokud chcete vytvořit zásadu vypršení platnosti klíče pomocí PowerShellu, použijte příkaz Set-AzStorageAccount a nastavte -KeyExpirationPeriodInDay parametr na interval v dnech, dokud se přístupový klíč nesmí otočit.

Tato KeyCreationTime vlastnost označuje, kdy byly vytvořeny nebo naposledy otočeny přístupové klíče účtu. Starší účty můžou mít pro KeyCreationTime vlastnost hodnotu null, protože ještě nebyla nastavena. Pokud má KeyCreationTime vlastnost hodnotu null, nemůžete vytvořit zásadu vypršení platnosti klíče, dokud klíče neotáčíte. Z tohoto důvodu je vhodné před pokusem o nastavení zásad vypršení platnosti klíče zkontrolovat KeyCreationTime vlastnost účtu úložiště.

Následující příklad zkontroluje, zda KeyCreationTime je vlastnost nastavena pro každý klíč. Pokud má KeyCreationTime vlastnost hodnotu, vytvoří se pro účet úložiště zásada vypršení platnosti klíče. Nezapomeňte nahradit zástupné hodnoty v hranatých závorkách vlastními hodnotami.

$rgName = "<resource-group>"
$accountName = "<account-name>"

$account = Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName

# Check whether the KeyCreationTime property has a value for each key 
# before creating the key expiration policy.
if ($account.KeyCreationTime.Key1 -eq $null -or $account.KeyCreationTime.Key2 -eq $null)
{
    Write-Host("You must regenerate both keys at least once before setting expiration policy")
}
else
{
    $account = Set-AzStorageAccount -ResourceGroupName $rgName -Name `
        $accountName  -KeyExpirationPeriodInDay 60
}

Zásady vypršení platnosti klíče můžete nastavit také při vytváření účtu úložiště nastavením -KeyExpirationPeriodInDay parametru příkazu New-AzStorageAccount .

Pokud chcete ověřit, že se zásada použila, zkontrolujte vlastnost účtu KeyPolicy úložiště.

$account.KeyPolicy

Pokud chcete vytvořit zásadu vypršení platnosti klíče pomocí Azure CLI, použijte příkaz az storage account update a nastavte --key-exp-days parametr na interval v dnech, dokud se přístupový klíč nesmí otočit.

Tato keyCreationTime vlastnost označuje, kdy byly vytvořeny nebo naposledy otočeny přístupové klíče účtu. Starší účty můžou mít pro keyCreationTime vlastnost hodnotu null, protože ještě nebyla nastavena. Pokud má keyCreationTime vlastnost hodnotu null, nemůžete vytvořit zásadu vypršení platnosti klíče, dokud klíče neotáčíte. Z tohoto důvodu je vhodné před pokusem o nastavení zásad vypršení platnosti klíče zkontrolovat keyCreationTime vlastnost účtu úložiště.

Následující příklad zkontroluje, zda keyCreationTime je vlastnost nastavena pro každý klíč. Pokud má keyCreationTime vlastnost hodnotu, vytvoří se pro účet úložiště zásada vypršení platnosti klíče. Nezapomeňte nahradit zástupné hodnoty v hranatých závorkách vlastními hodnotami.

key1_create_time=$(az storage account show \
    --name <storage-account> \
    --resource-group <resource-group> \
    --query 'keyCreationTime.key1' \
    --output tsv)
key2_create_time=$(az storage account show \
    --name <storage-account> \
    --resource-group <resource-group> \
    --query 'keyCreationTime.key2' \
    --output tsv)

if [ -z "$key1_create_time" ] || [ -z "$key2_create_time" ]; 
then
    echo "You must regenerate both keys at least once before setting expiration policy"
else
    az storage account update \
        --name <storage-account> \
        --resource-group <resource-group> \
        --key-exp-days 60
fi

Zásady vypršení platnosti klíče můžete nastavit také při vytváření účtu úložiště nastavením --key-exp-days parametru příkazu az storage account create .

Pokud chcete ověřit, že se zásada použila, zavolejte příkaz az storage account show a použijte řetězec {KeyPolicy:keyPolicy} pro -query parametr.

az storage account show \
  -n <storage-account-name> \
  -g <resource-group-name> \
  --query "{KeyPolicy:keyPolicy}"

Ve výstupu konzoly se zobrazí období vypršení platnosti klíče.

{
  "KeyPolicy": {
    "enableAutoRotation": false,
    "keyExpirationPeriodInDays": 60
  }
}

Kontrola porušení zásad vypršení platnosti klíče

Pomocí služby Azure Policy můžete monitorovat účty úložiště, abyste měli jistotu, že se přístupové klíče účtu v doporučeném období obměnaly. Azure Storage poskytuje předdefinované zásady pro zajištění, že nevypršela platnost přístupových klíčů účtu úložiště. Další informace o předdefinovaných zásadách najdete v tématu Klíče účtu úložiště by neměly být ukončeny v seznamu předdefinovaných definic zásad.

Přiřazení předdefinovaných zásad pro obor prostředků

Pomocí těchto kroků přiřaďte předdefinované zásady k příslušnému oboru na webu Azure Portal:

Na webu Azure Portal vyhledejte zásady pro zobrazení řídicího panelu Azure Policy.
V části Vytváření obsahu vyberte Zadání.
Zvolte Přiřadit zásadu.
Na kartě Základy na stránce Přiřadit zásadu v části Obor zadejte obor přiřazení zásady. Výběrem tlačítka Další zvolte předplatné a volitelnou skupinu prostředků.
V poli Definice zásady vyberte tlačítko Další a do vyhledávacího pole zadejte klíče účtu úložiště. Vyberte definici zásady s názvem Klíče účtu úložiště, jejichž platnost by neměla vypršena.
Výběrem možnosti Zkontrolovat a vytvořit přiřaďte definici zásady k zadanému oboru.

Monitorování dodržování zásad vypršení platnosti klíče

Pokud chcete monitorovat účty úložiště kvůli dodržování zásad vypršení platnosti klíče, postupujte takto:

Na řídicím panelu Azure Policy vyhledejte předdefinovanou definici zásad pro obor, který jste zadali v přiřazení zásad. Pokud chcete filtrovat předdefinované zásady, můžete vyhledat klíče účtu úložiště, jejichž platnost nevypršela.
Vyberte název zásady s požadovaným oborem.
Na stránce Přiřazení zásad pro předdefinované zásady vyberte Zobrazit dodržování předpisů. Všechny účty úložiště v zadaném předplatném a skupině prostředků, které nesplňují požadavky zásad, se zobrazí v sestavě dodržování předpisů.

Pokud chcete, aby byl účet úložiště v souladu s předpisy, obměňte přístupové klíče účtu.