Deaktivieren Sie die Zugriffsschlüsselauthentifizierung für eine Azure App Configuration-Instanz

Jede Anforderung einer Azure App Configuration-Ressource muss authentifiziert werden. Anforderungen können standardmäßig entweder mit Microsoft Entra-Anmeldeinformationen oder mit einem Zugriffsschlüssel authentifiziert werden. Im Vergleich dieser beiden Arten von Authentifizierungsschemas bietet Microsoft Entra ID mehr Sicherheit und eine einfachere Verwendung als Zugriffsschlüssel und wird daher von Microsoft empfohlen. Um zu erzwingen, dass Clients Microsoft Entra ID zum Authentifizieren von Anforderungen verwenden, können Sie die Verwendung von Zugriffsschlüsseln für eine Azure App Configuration-Ressource deaktivieren.

Wenn Sie die Zugriffsschlüsselauthentifizierung für eine Azure App Configuration-Ressource deaktivieren, werden alle vorhandenen Zugriffsschlüssel für diese Ressource gelöscht. Alle nachfolgenden Anforderungen der Ressource mit den zuvor vorhandenen Zugriffsschlüsseln werden abgelehnt. Nur mithilfe von Microsoft Entra ID authentifizierte Anforderungen werden erfolgreich ausgeführt. Weitere Informationen zur Verwendung von Microsoft Entra ID finden Sie unter Autorisieren des Zugriffs auf Azure App Configuration mithilfe von Microsoft Entra ID.

Deaktivieren der Zugriffsschlüsselauthentifizierung

Wenn Sie die Zugriffsschlüsselauthentifizierung deaktivieren, werden alle Zugriffsschlüssel gelöscht. Wenn ausgeführte Anwendungen Zugriffsschlüssel für die Authentifizierung verwenden, treten Fehler auf, sobald die Zugriffsschlüsselauthentifizierung deaktiviert ist. Wenn Sie die Zugriffsschlüsselauthentifizierung wieder aktivieren, werden neue Zugriffsschlüsseln generiert, und bei allen Anwendungen, die versuchen, die alten Zugriffsschlüssel zu verwenden, treten weiterhin Fehler auf.

Warnung

Wenn Clients derzeit mit Zugriffsschlüsseln auf Daten in Ihrer Azure App Configuration-Ressource zugreifen, empfiehlt Microsoft, dass Sie diese Clients zu Microsoft Entra ID migrieren, bevor Sie die Authentifizierung per Zugriffsschlüssel deaktivieren.

Azure portal

Führen Sie die folgenden Schritte aus, um die Zugriffsschlüsselauthentifizierung für eine Azure App Configuration-Ressource im Azure-Portal zu deaktivieren:

1. Navigieren Sie im Azure-Portal zu Ihrer Azure App Configuration-Ressource.

2. Suchen Sie die Einstellung Zugriffseinstellungen unter Einstellungen.

   

3. Legen Sie den Umschalter Enable access keys (Zugriffsschlüssel aktivieren) auf Deaktiviert fest.

   

Azure-Befehlszeilenschnittstelle

Die Funktion zum Deaktivieren der Zugriffsschlüsselauthentifizierung mithilfe der Azure CLI befindet sich in der Entwicklungsphase.

Überprüfen, ob die Zugriffsschlüsselauthentifizierung deaktiviert ist

Wenn Sie überprüfen möchten, ob die Zugriffsschlüsselauthentifizierung nicht mehr zulässig ist, können Sie eine Anforderung zum Auflisten der Zugriffsschlüssel für die Azure App Configuration-Ressource senden. Wenn die Zugriffsschlüsselauthentifizierung deaktiviert ist, sind keine Zugriffsschlüssel vorhanden, und beim Auflistungsvorgang wird eine leere Liste zurückgegeben.

Azure portal

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob die Zugriffsschlüsselauthentifizierung für eine Azure App Configuration-Ressource im Azure-Portal deaktiviert ist:

1. Navigieren Sie im Azure-Portal zu Ihrer Azure App Configuration-Ressource.

2. Suchen Sie die Einstellung Zugriffseinstellungen unter Einstellungen.

   

3. Vergewissern Sie sich, dass keine Zugriffsschlüssel angezeigt werden und Enable access keys (Zugriffsschlüssel aktivieren) auf Deaktiviert festgelegt ist.

   

Azure-Befehlszeilenschnittstelle

Verwenden Sie den folgenden Befehl, um zu überprüfen, ob die Zugriffsschlüsselauthentifizierung für eine Azure App Configuration-Ressource im Azure-Portal deaktiviert ist. Der Befehl listet die Zugriffsschlüssel für eine Azure App Configuration-Ressource auf. Wenn die Zugriffsschlüsselauthentifizierung deaktiviert ist, ist die Liste leer.

az appconfig credential list \
    --name <app-configuration-name> \
    --resource-group <resource-group>

Wenn die Zugriffsschlüsselauthentifizierung deaktiviert ist, wird eine leere Liste zurückgegeben.

C:\Users\User>az appconfig credential list -g <resource-group> -n <app-configuration-name>
[]

Berechtigungen zum Zulassen oder Untersagen der Zugriffsschlüsselauthentifizierung

Ein Benutzer muss über Berechtigungen zum Erstellen und Verwalten von Azure App Configuration-Ressourcen verfügen, um den Status der Zugriffsschlüsselauthentifizierung für eine Azure App Configuration-Ressource zu ändern. Die Rollen der rollenbasierten Zugriffssteuerung in Azure (Azure RBAC), die diese Berechtigungen bieten, umfassen die Aktion Microsoft.AppConfiguration/configurationStores/write oder Microsoft.AppConfiguration/configurationStores/*. In diese Aktion sind folgende Rollen integriert:

• Die Azure Resource Manager-Rolle Besitzer
• Die Azure Resource Manager-Rolle Mitwirkender

Diese Rollen bieten keinen Zugriff auf Daten in einer Azure App Configuration-Ressource über Microsoft Entra ID. Sie umfassen jedoch die Berechtigung für die Aktion Microsoft.AppConfiguration/configurationStores/listKeys/action, mit der der Zugriff auf die Zugriffsschlüssel der Ressource gewährt wird. Mit dieser Berechtigung kann ein Benutzer die Zugriffsschlüssel verwenden, um auf alle Daten in der Ressource zuzugreifen.

Rollenzuweisungen müssen auf die Ebene der Azure App Configuration-Ressource oder höher festgelegt werden, damit ein Benutzer die Zugriffsschlüsselauthentifizierung für die Ressource zulassen oder untersagen kann. Weitere Informationen zum Rollenbereich finden Sie unter Grundlegendes zum Bereich für Azure RBAC.

Beschränken Sie die Zuweisung dieser Rollen unbedingt nur auf diejenigen Benutzerinnen und Benutzer, denen es möglich sein muss, eine App Configuration-Ressource zu erstellen oder deren Eigenschaften zu aktualisieren. Verwenden Sie das Prinzip der geringsten Rechte, um sicherzustellen, dass Benutzer die geringsten Berechtigungen haben, die sie zum Ausführen ihrer Aufgaben benötigen. Weitere Informationen zum Verwalten des Zugriffs mit Azure RBAC finden Sie unter Bewährte Methoden für Azure RBAC.

Hinweis

Die zu „Administrator für klassisches Abonnement“ gehörigen Rollen „Dienstadministrator“ und „Co-Administrator“ schließen die Entsprechung der Azure Resource Manager-Rolle Besitzer ein. Da die Rolle Besitzer alle Aktionen einschließt, kann ein Benutzer mit einer dieser administrativen Rollen auch App Configuration-Ressourcen erstellen und verwalten. Weitere Informationen finden Sie unter Azure-Rollen, Microsoft Entra-Rollen und Administratorrollen für klassische Abonnements.

Hinweis

Wenn die Zugriffsschlüsselauthentifizierung deaktiviert ist, und der ARM-Authentifizierungsmodus des App Configuration-Speichers lokal ist, wird auch die Funktion zum Lesen bzw. Schreiben von Schlüsselwerten in einer ARM-Vorlage deaktiviert. Dies liegt daran, dass für den Zugriff auf die in ARM-Vorlagen verwendete Ressource „Microsoft.AppConfiguration/configurationStores/keyValues“ eine Zugriffstastenauthentifizierung mit dem ARM-Authentifizierungsmodus „Lokal“ erforderlich ist. Es wird empfohlen, den ARM-Authentifizierungsmodus „Passthrough“ zu verwenden. Weitere Informationen finden Sie unter Bereitstellungsübersicht.

Nächste Schritte

• Verwenden von kundenseitig verwalteten Schlüsseln zum Verschlüsseln Ihrer App Configuration-Daten
• Verwenden privater Endpunkte für Azure App Configuration