Configuración de una directiva de expiración para firmas de acceso compartido

Puede usar una firma de acceso compartido (SAS) para delegar el acceso a los recursos a su cuenta de Azure Storage. Un token de SAS incluye el recurso de destino, los permisos concedidos y el intervalo durante el cual se permite el acceso. Los procedimientos recomendados sugieren limitar el intervalo de una SAS en caso de que se vea comprometida. Al establecer una directiva de expiración de SAS para las cuentas de almacenamiento, puede proporcionar un límite de expiración superior recomendado cuando un usuario crea una firma SAS de servicio o de cuenta.

Para obtener más información sobre las firmas de acceso compartido, consulte Otorgar acceso limitado a recursos de Azure Storage con firmas de acceso compartido (SAS).

Acerca de las directivas de expiración de SAS

Puede configurar una directiva de expiración de SAS para la cuenta de almacenamiento. La directiva de expiración de SAS especifica el límite superior recomendado para el campo de expiración firmado en una firma SAS de servicio o de cuenta. El límite superior recomendado se especifica como un valor de fecha y hora que es un número combinado de días, horas, minutos y segundos.

El intervalo de validez de la firma SAS se calcula restando el valor de fecha y hora del campo de inicio firmado al valor de fecha y hora del campo de expiración firmado. Si el valor resultante es menor o igual que el límite superior recomendado, la firma SAS cumple la directiva de expiración de SAS.

Después de configurar la directiva de expiración de SAS, cualquier usuario que cree una SAS de servicio o de cuenta con un intervalo que supere el límite superior recomendado verá una advertencia.

Una directiva de expiración de SAS no impide que un usuario cree una SAS con una expiración que supere el límite recomendado por la directiva. Cuando un usuario crea una SAS que infringe la directiva, ve una advertencia y el intervalo máximo recomendado. Si ha configurado una opción de diagnóstico para la elaboración de registros con Azure Monitor, Azure Storage escribe un mensaje en la propiedad SasExpiryStatus en los registros cada vez que un usuario usa una firma SAS que expira después del intervalo recomendado. El mensaje indica que el intervalo de validez de la firma SAS supera el intervalo recomendado.

Cuando una directiva de expiración de SAS está en vigor para la cuenta de almacenamiento, se requiere el campo de inicio firmado para cada firma SAS. Si el campo de inicio firmado no está incluido en la firma SAS y ha configurado una opción de diagnóstico para la elaboración de registros con Azure Monitor, Azure Storage escribe un mensaje en la propiedad SasExpiryStatus en los registros cada vez que un usuario usa una firma SAS sin un valor para el campo de inicio firmado.

Configuración de una directiva de expiración de SAS

Cuando se configura una directiva de expiración de SAS para una cuenta de almacenamiento, la directiva se aplica a cada tipo de SAS que se firma con la clave de la cuenta. Los tipos de firma de acceso compartido que se firman con la clave de la cuenta son la firma SAS de servicio y la firma SAS de cuenta.

¿Es necesario rotar primero las claves de acceso de la cuenta?

Antes de configurar una directiva de expiración de SAS, es posible que deba rotar cada una de las claves de acceso de la cuenta al menos una vez. Si la propiedad keyCreationTime de la cuenta de almacenamiento tiene un valor null para cualquiera de las claves de acceso de la cuenta (key1 y key2), deberá rotarlas. Para determinar si la propiedad keyCreationTime es NULL, consulte Obtención la hora de creación de las claves de acceso de la cuenta para una cuenta de almacenamiento. Si intenta configurar una directiva de expiración de SAS y las claves deben rotarse primero, se produce un error en la operación.

Configuración de una directiva de expiración de SAS

Puede configurar una directiva de expiración de SAS mediante Azure Portal, PowerShell o la CLI de Azure.

Azure Portal

Para configurar una directiva de expiración de SAS en Azure Portal, siga estos pasos:

1. Vaya a la cuenta de almacenamiento en Azure Portal.

2. En Configuración, seleccione Configuración.

3. Busque la configuración Permitir límite superior recomendado para el intervalo de expiración de firma de acceso compartido (SAS) y establézcalo como Habilitado.

   Nota

   Si la configuración está atenuada y ve el mensaje que se muestra en la imagen siguiente, deberá rotar ambas claves de acceso de cuenta para poder establecer los valores de Límite superior recomendado para el intervalo de expiración de SAS:

   

4. Especifique los valores de hora en Límite superior recomendado para el intervalo de expiración de SAS para el intervalo recomendado para las nuevas firmas de acceso compartido que se crean en los recursos de esta cuenta de almacenamiento.

   

5. Haga clic en Guardar para guardar los cambios.

PowerShell

Para configurar una directiva de expiración de SAS, use el comando Set-AzStorageAccount y, después, establezca el parámetro -SasExpirationPeriod en el número de días, horas, minutos y segundos que un token de SAS puede estar activo desde el momento en que se firma una SAS. La cadena que proporciona el parámetro -SasExpirationPeriod usa el formato siguiente: <days>.<hours>:<minutes>:<seconds>. Por ejemplo, si quisiera que la SAS expirase 1 día, 12 horas, 5 minutos y 6 segundos después de que se firmara, usaría la cadena 1.12:05:06.

$account = Set-AzStorageAccount -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -SasExpirationPeriod <days>.<hours>:<minutes>:<seconds>

Sugerencia

También puede establecer la directiva de expiración de SAS al crear una cuenta de almacenamiento si establece el parámetro -SasExpirationPeriod del comando New-AzStorageAccount.

Nota

Si recibe un mensaje de error que indica que no se ha establecido la hora de creación de una clave, rote las claves de acceso de la cuenta e inténtelo de nuevo.

Para comprobar que se ha aplicado la directiva, compruebe la propiedad SasPolicy de la cuenta de almacenamiento.

$account.SasPolicy

El período de expiración de SAS aparece en la salida de la consola.

CLI de Azure

Para configurar una directiva de expiración de SAS, use el comando az storage account update y, después, establezca el parámetro --key-exp-days en el número de días, horas, minutos y segundos que un token de SAS puede estar activo desde el momento en que se firma una SAS. La cadena que proporciona el parámetro --key-exp-days usa el formato siguiente: <days>.<hours>:<minutes>:<seconds>. Por ejemplo, si quisiera que la SAS expirase 1 día, 12 horas, 5 minutos y 6 segundos después de que se firmara, usaría la cadena 1.12:05:06.

az storage account update \
  --name <storage-account> \
  --resource-group <resource-group> \
  --sas-exp <days>.<hours>:<minutes>:<seconds>

Sugerencia

También puede establecer la directiva de expiración de SAS al crear una cuenta de almacenamiento si establece el parámetro --key-exp-days del comando az storage account create.

Nota:

Si recibe un mensaje de error que indica que no se ha establecido la hora de creación de una clave, rote las claves de acceso de la cuenta e inténtelo de nuevo.

Para comprobar que se ha aplicado la directiva, llame al comando az storage account show y use la cadena {SasPolicy:sasPolicy} para el parámetro -query.

az storage account show \
  --name <storage-account> \
  --resource-group <resource-group> \
  --query "{SasPolicy:sasPolicy}"

El período de expiración de SAS aparece en la salida de la consola.

{
  "SasPolicy": {
    "expirationAction": "Log",
    "sasExpirationPeriod": "1.12:05:06"
  }
}

Consulta de registros de infracciones de la directiva

Para registrar el uso de una SAS que sea válida durante un intervalo más largo del que recomienda la directiva de expiración de SAS, cree primero una configuración de diagnóstico que envíe registros a un área de trabajo de Azure Log Analytics. Para más información, consulte Enviar registros a Azure Log Analytics.

A continuación, use una consulta de registro de Azure Monitor de registro para comprobar si se ha infringido la directiva. Cree una nueva consulta en el área de trabajo de Log Analytics, agregue el siguiente texto de consulta y presione Ejecutar.

StorageBlobLogs 
| where SasExpiryStatus startswith "Policy violated"
| summarize count() by AccountName, SasExpiryStatus

Uso de una directiva integrada para supervisar el cumplimiento

Puede supervisar sus cuentas de almacenamiento con Azure Policy para asegurarse de que las cuentas de almacenamiento de su suscripción tienen directivas de expiración de SAS configuradas. Azure Storage proporciona una directiva integrada para garantizar que las cuentas tengan definida esta configuración. Para obtener más información sobre la directiva integrada, consulte Las cuentas de almacenamiento deben tener directivas de firma de acceso compartido (SAS) configuradas en la lista de definiciones de directivas integradas.

Asignación de la directiva integrada para un ámbito de recursos

Siga estos pasos para asignar la directiva integrada al ámbito adecuado en Azure Portal:

1. En Azure Portal, busque Directiva para mostrar el panel Azure Policy.

2. Seleccione Asignaciones en la sección Creación.

3. Seleccione Asignar directiva.

4. En la pestaña Conceptos básicos de la página Asignar directiva, en la sección Ámbito, especifique el ámbito de la asignación de directivas. Seleccione el botón Más para elegir la suscripción y el grupo de recursos opcional.

5. Para el campo Definición de directiva, seleccione el botón Más y escriba las claves de cuenta de almacenamiento en el campo Buscar. Seleccione la definición de directiva denominada Las claves de la cuenta de almacenamiento no deben haber expirado.

   

6. Seleccione Revisar + crear para asignar la definición de directiva al ámbito especificado.

   

Supervisión del cumplimiento de la directiva de expiración clave

Para supervisar el cumplimiento de las cuentas de almacenamiento con la directiva de expiración de claves, siga estos pasos:

1. En el panel Azure Policy, busque la definición de directiva integrada para el ámbito especificado en la asignación de directivas. Puede buscar Storage accounts should have shared access signature (SAS) policies configured en el cuadro Buscar para filtrar la directiva integrada.

2. Seleccione el nombre de la directiva con el ámbito deseado.

3. En la página Asignación de directivas de la directiva integrada, seleccione Ver compatibilidad. Todas las cuentas de almacenamiento de la suscripción y del grupo de recursos especificados que no cumplen los requisitos de la directiva aparecen en el informe de cumplimiento.

   

A fin de lograr el cumplimiento de una cuenta de almacenamiento, configure una directiva de expiración de SAS para esa cuenta, tal como se describe en Configuración de una directiva de expiración de SAS.

Consulte también

• Grant limited access to Azure Storage resources using shared access signatures (SAS) (Otorgar acceso limitado a recursos de Azure Storage con firmas de acceso compartido [SAS])
• Create a service SAS (Creación de una SAS de servicio)
• Creación de una SAS de cuenta