Teilen über

Informationen zu mit Azure Key Vault verwalteten Speicherkontoschlüsseln (Legacy)

  • Artikel

Wichtig

Wir empfehlen die Verwendung der Azure Storage-Integration in Microsoft Entra ID, dem cloudbasierten Identitäts- und Zugriffsverwaltungsdienst von Microsoft. Die Microsoft Entra-Integration ist für Azure-Blobs und -Warteschlangen verfügbar und bietet tokenbasierten OAuth2-Zugriff auf Azure Storage (genau wie Azure Key Vault). Microsoft Entra ID ermöglicht es Ihnen, Ihre Clientanwendung zu authentifizieren, indem Sie eine Anwendungs- oder Benutzeridentität anstelle von Speicherkontoanmeldeinformationen verwenden. Sie können eine von Microsoft Entra verwaltete Identität verwenden, wenn Sie Azure ausführen. Verwaltete Identitäten machen die Clientauthentifizierung und das Speichern von Anmeldeinformationen in oder mit Ihrer Anwendung überflüssig. Verwenden Sie die folgende Lösung nur, wenn keine Microsoft Entra-Authentifizierung möglich ist.

Ein Azure-Speicherkonto verwendet Anmeldeinformationen, die sich aus einem Kontonamen und einem Schlüssel zusammensetzen. Der Schlüssel wird automatisch generiert und fungiert eher als ein Kennwort denn als ein kryptografischer Schlüssel. Key Vault verwaltet Speicherkontoschlüssel, indem sie im Speicherkonto regelmäßig neu generiert werden, und stellt SAS-Token für den delegierten Zugriff auf Ressourcen in Ihrem Speicherkonto zur Verfügung.

Sie können das Key Vault-Feature für verwaltete Speicherkontoschlüssel verwenden, um Schlüssel für ein Azure Storage-Konto aufzulisten (synchronisieren) und die Schlüssel in regelmäßigen Abständen erneut zu generieren (rotieren). Sie können Schlüssel sowohl für Speicherkonten als auch für klassische Speicherkonten verwalten.

Verwaltung eines Azure-Speicherkontoschlüssels

Key Vault kann Azure-Speicherkontoschlüssel verwalten:

  • Intern kann Key Vault die Schlüssel eines Azure-Speicherkontos auflisten (synchronisieren).
  • Key Vault kann die Schlüssel in regelmäßigen Abständen erneut generieren (rotieren).
  • Schlüsselwerte werden nie als Antwort an den Aufrufer zurückgegeben.
  • Key Vault verwaltet Schlüssel von Speicherkonten und klassischen Speicherkonten.

Weitere Informationen finden Sie unter

Speicherkonto-Zugriffssteuerung

Die folgenden Berechtigungen können beim Autorisieren eines Benutzer- oder Anwendungsprinzipals zur Ausführung von Vorgängen in einem verwalteten Speicherkonto verwendet werden:

  • Berechtigungen für Vorgänge in verwalteten Speicherkonten und SAS-Definitionen

    • get: Abrufen von Informationen zu einem Speicherkonto
    • list: Auflisten der von einem Schlüsseltresor verwalteten Speicherkonten
    • update: Aktualisieren eines Speicherkontos
    • delete: Löschen von Speicherkonten
    • recover: Wiederherstellen eines gelöschten Speicherkontos
    • backup: Sichern eines Speicherkontos
    • restore: Wiederherstellen eines gesicherten Speicherkontos in einem Schlüsseltresor
    • set: Erstellen oder Aktualisieren eines Speicherkontos
    • regeneratekey: Erneutes Generieren eines angegebenen Schlüsselwerts für ein Speicherkonto
    • getsas: Abrufen von Informationen über eine SAS-Definition für ein Speicherkonto
    • listsas: Auflisten der Speicher-SAS-Definitionen für ein Speicherkonto
    • deletesas: Löschen einer SAS-Definition aus einem Speicherkonto
    • setsas: Erstellen oder Aktualisieren einer neuen SAS-Definition bzw. von neuen SAS-Attributen für ein Speicherkonto

  • Berechtigungen für privilegierte Vorgänge

    • purge: Bereinigen (dauerhaftes Löschen) eines verwalteten Speicherkontos

Weitere Informationen finden Sie in der REST-API-Referenz für Key Vault. Informationen zum Einrichten von Berechtigungen finden Sie unter Tresore – Erstellen oder Aktualisieren und Vaults – Aktualisieren der Zugriffsrichtlinie.

Nächste Schritte