Tárfiók hozzáférési kulcsának kezelése

Ebben a cikkben megtudhatja, hogyan tekintheti meg, kezelheti és elforgathatja a tárfiók hozzáférési kulcsait. Tárfiók létrehozásakor Azure két 512 bites tárfiók-hozzáférési kulcsot hoz létre a fiókhoz. Ezekkel a kulcsokkal engedélyezheti a tárfiókban lévő adatokhoz való hozzáférést megosztott kulcsok engedélyezésével, vagy a megosztott kulccsal aláírt SAS-jogkivonatokkal.

Microsoft azt javasolja, hogy használja a Azure Key Vault a hozzáférési kulcsok kezelésére, és rendszeresen forgassa és hozza létre újra a kulcsokat. A Azure Key Vault használata megkönnyíti a kulcsok megszakítás nélküli elforgatását az alkalmazásokban. A kulcsokat manuálisan is elforgathatja.

Fontos

Az optimális biztonság érdekében a Microsoft azt javasolja, hogy Microsoft Entra ID-t használjon felügyelt identitásokkal a blob-, sor- és táblázatadatokra irányuló kérelmek engedélyezéséhez, amikor csak lehetséges. A Microsoft Entra ID és felügyelt identitásokkal való engedélyezés kiváló biztonságot és egyszerű használatot biztosít a megosztott kulcsok engedélyezésével szemben. A felügyelt identitásokkal kapcsolatos további információkért lásd: Az Azure erőforrások felügyelt identitásai. A .NET alkalmazásnak megfelelő felügyelt identitás engedélyezésére és használatára vonatkozó példáért lásd: Azure által üzemeltetett alkalmazások az Azure erőforrásokkal való hitelesítése .NET.

A Azure kívül üzemeltetett erőforrások, például a helyszíni alkalmazások esetében a felügyelt identitásokat Azure Arc keresztül használhatja. Az Azure Arc-kompatibilis kiszolgálókon futó alkalmazások például felügyelt identitásokkal csatlakozhatnak Azure szolgáltatásokhoz. További információ: A Azure Arc-kompatibilis kiszolgálókkal rendelkező Azure erőforrások hitelesítése.

Olyan esetekben, amikor közös hozzáférésű jogosultságkódokat (SAS) használnak, Microsoft felhasználói delegálási SAS használatát javasolja. A felhasználói delegálási SAS-t a fiókkulcs helyett Microsoft Entra hitelesítő adatok védik. A közös hozzáférésű jogosultságkódokkal kapcsolatos további információkért lásd : Korlátozott hozzáférés biztosítása közös hozzáférésű jogosultságkódokkal rendelkező adatokhoz. Például megmutatjuk, hogyan lehet felhasználói delegálási SAS-t létrehozni és használni .NET használatával egy blobhoz: Felhasználó-delegálási SAS létrehozása és használata blobokhoz .NET-tel.

A hozzáférési kulcsok védelme

A tárfiók hozzáférési kulcsai teljes hozzáférést biztosítanak a tárfiók adataihoz, valamint sas-jogkivonatok létrehozásához. Mindig ügyeljen a hozzáférési kulcsok védelmére. A Azure Key Vault használatával biztonságosan kezelheti és elforgathatja a kulcsokat. A megosztott kulcshoz való hozzáférés teljes hozzáférést biztosít a felhasználónak a tárfiók adataihoz. A megosztott kulcsokhoz való hozzáférést gondosan korlátozni és figyelni kell. Használjon korlátozott hozzáférési hatókörű felhasználói delegálási SAS-jogkivonatokat olyan esetekben, amikor Microsoft Entra ID alapú engedélyezés nem használható. Kerülje a hozzáférési kulcsok kódolását vagy mentését bárhol, egyszerű, mások számára elérhető szövegben. Forgassa el a kulcsokat, ha úgy véli, hogy feltörték őket.

Fontos

Ha meg szeretné akadályozni, hogy a felhasználók megosztott kulccsal férhessenek hozzá a tárfiók adataihoz, letilthatja a tárfiók megosztott kulcsának engedélyezését. Ajánlott biztonsági eljárásként ajánlott a minimális jogosultságokkal rendelkező adatokhoz való részletes hozzáférés. Microsoft Entra ID felügyelt identitásokat használó alapú engedélyezést kell használni az OAuthot támogató forgatókönyvekhez. A Kerberost az SMB-en keresztül elérhető Azure Files használatához kell használni. Azure Files esetén a REST-en keresztül SAS-jogkivonatok használhatók. A megosztott kulcs hozzáférését le kell tiltani, ha nincs szükség a véletlen használat megakadályozására. További információért lásd: A megosztott kulcsos hitelesítés megakadályozása egy Azure Storage fiókhoz.

Ha egy Azure Storage-fiókot Microsoft Entra Feltételes hozzáférés szabályzatokkal szeretne védeni, tiltsa le a tárfiók megosztott kulcsának engedélyezését.

Ha letiltotta a megosztott kulcshoz való hozzáférést, és a diagnosztikai naplókban a megosztott kulcs engedélyezését látja, az azt jelzi, hogy a rendszer megbízható hozzáférést használ a tárterület eléréséhez. További információ: A Microsoft Entra-bérlőben regisztrált erőforrások megbízható hozzáférése.

Fiókelérési kulcsok megtekintése

A fiók hozzáférési kulcsait megtekintheti és másolhatja a Azure portálon, a PowerShellben vagy a Azure CLI. A Azure portál egy kapcsolati karakterlánc is biztosít a tárfiókhoz, amelyet másolhat.

Portál

Az Azure portálon történő megtekintéshez és másoláshoz a tárfiók hozzáférési kulcsait vagy kapcsolati karakterláncot kövesse az alábbi lépéseket:

1. A Azure portálon nyissa meg a tárfiókot.

2. Az erőforrás menü Biztonság + hálózatkezelés területén válassza az Access-kulcsokat. Megjelennek a fiók hozzáférési kulcsai, valamint az egyes kulcsok teljes kapcsolati karakterlánca.

3. Válassza a Kulcsok megjelenítése lehetőséget a hozzáférési kulcsok és kapcsolati sztring megjelenítéséhez, valamint az értékek másolásához szükséges gombok engedélyezéséhez.

4. A key1 alatt keresse meg a Key értékét. Kattintson a Másolás gombra a fiókkulcs másolásához.

5. Alternatívaként másolhatja a teljes kapcsolati karakterláncot. Az key1 alatt keresse meg a kapcsolati lánc értékét. A kapcsolati karakterlánc másolásához válassza a Copy gombot.

   

PowerShell

A fiók hozzáférési kulcsainak PowerShell-lel való lekéréséhez hívja meg a Get-AzStorageAccountKey parancsot.

Az alábbi példa beolvassa az első kulcsot. A második kulcs lekéréséhez használja Value[1] a következő helyett: Value[0]. Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire.

$storageAccountKey = `
    (Get-AzStorageAccountKey
    -ResourceGroupName <resource-group> `
    -Name <storage-account>).Value[0]

Azure CLI-

A fiókelérési kulcsok Azure CLI való listázásához hívja meg a az tárfiókkulcsok listáját parancsot, ahogyan az az alábbi példában látható. Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire.

az storage account keys list \
  --resource-group <resource-group> \
  --account-name <storage-account>

Az Azure Storage-hoz a két kulcs bármelyikével hozzáférhet, de általában ajánlott az első kulcsot használni, és a második kulcs használatát fenntartani a kulcsok cseréje esetén.

A fiók hozzáférési kulcsainak megtekintéséhez vagy olvasásához a felhasználónak szolgáltatásadminisztrátornak kell lennie, vagy hozzá kell rendelnie egy Azure szerepkört, amely tartalmazza a Microsoft. Storage/storageAccounts/listkeys/action. A műveletet magában foglaló Azure beépített szerepkörök közé tartozik a Owner, Contributor és Storage fiókkulcs-kezelő szolgáltatásszerepkör szerepkör. A szolgáltatásadminisztrátori szerepkörről további információt a Azure szerepkörök, Microsoft Entra szerepkörök és klasszikus előfizetés-rendszergazdai szerepkörök című témakörben talál. A Azure Storage beépített szerepköreiről részletes információt az Storage szakaszban találhatja, az Azure RBAC beépített szerepköreiről.

A Azure Key Vault használata a hozzáférési kulcsok kezeléséhez

Microsoft Microsoft Entra ID és felügyelt identitások használatát javasolja a Azure Storage való hozzáférés engedélyezéséhez. Ha hozzáférési kulcsokat kell használnia, tárolja őket Azure Key Vault, és rendszeresen forgassa őket. További információkért tekintse át az alábbi cikket:

• A Azure Storage

Hozzáférési kulcsok manuális elforgatása

Microsoft azt javasolja, hogy a tárfiók biztonsága érdekében rendszeresen forgassa el a hozzáférési kulcsokat. Ha lehetséges, használja a Azure Key Vault a hozzáférési kulcsok kezeléséhez. Ha nem használja a Key Vault, manuálisan kell elforgatnia a kulcsokat.

Két hozzáférési kulcs van hozzárendelve, hogy cserélhesse a kulcsokat. A két kulcs biztosítja, hogy az alkalmazás a folyamat során is hozzáférjen a Azure Storage.

Figyelmeztetés

A hozzáférési kulcsok újragenerálása hatással lehet a tárfiókkulcstól függő alkalmazásokra vagy Azure szolgáltatásokra. A tárfiók eléréséhez a fiókkulcsot használó összes ügyfelet frissíteni kell az új kulcs használatához, beleértve a médiaszolgáltatásokat, a felhőalapú, asztali és mobilalkalmazásokat, valamint a grafikus felhasználói felületi alkalmazásokat Azure Storage, például Azure Storage Explorer.

Emellett a hozzáférési kulcsok elforgatása vagy újragenerálása visszavonja a kulcs alapján létrehozott közös hozzáférésű jogosultságkódokat (SAS). A hozzáférési kulcs elforgatása után újra kell létrehoznia a fiók és szolgáltatás SAS-jogkivonatokat az alkalmazások megszakadásának elkerülése érdekében. Érdemes megjegyezni, hogy a felhasználói delegálás SAS-jogkivonatokat Microsoft Entra hitelesítő adatokkal védik, és nem érinti őket a kulcsváltás.

Ha manuálisan szeretné elforgatni a hozzáférési kulcsokat, Microsoft azt javasolja, hogy állítson be egy kulcslejárati szabályzatot. További információ: Kulcs lejárati szabályzat létrehozása.

A kulcslejárati szabályzat létrehozása után a Azure Policy segítségével figyelheti, hogy a tárfiók kulcsait a javasolt időközön belül elforgatták-e. További információ: A kulcs lejárati szabályzatának megsértéseinek ellenőrzése.

Portál

A tárfiók hozzáférési kulcsainak elforgatása a Azure portálon:

1. Frissítse az alkalmazáskódban a kapcsolati sztringeket, hogy megjelölje a tárfiók másodlagos hozzáférési kulcsát.
2. Lépjen a tárfiókra a Azure portálon.
3. A Biztonság + hálózatkezelés területen válassza az Access-kulcsokat.
4. A tárfiók elsődleges hozzáférési kulcsának újragenerálásához válassza az elsődleges hozzáférési kulcs melletti Regenerate gombot.
5. Frissítse a kapcsolati szövegeket a kódban, hogy az új elsődleges kulcsra hivatkozzanak.
6. Hasonló módon állítsa elő újra a másodlagos hozzáférési kulcsot.

PowerShell

Tárfiók hozzáférési kulcsának elforgatása a PowerShell-lel:

1. Frissítse az alkalmazáskódban a kapcsolati sztringeket, hogy megjelölje a tárfiók másodlagos hozzáférési kulcsát.

2. Hívja meg a New-AzStorageAccountKey parancsot az elsődleges hozzáférési kulcs újragenerálásához az alábbi példában látható módon:

   New-AzStorageAccountKey -ResourceGroupName <resource-group> `
     -Name <storage-account> `
     -KeyName key1
   

3. Frissítse a kapcsolati szövegeket a kódban, hogy az új elsődleges kulcsra hivatkozzanak.

4. Hasonló módon állítsa elő újra a másodlagos hozzáférési kulcsot. A másodlagos kulcs újragenerálásához használja kulcsnévként a key2 helyett a key1-t.

Azure CLI-

Az Azure CLI használatával tárolófiók hozzáférési kulcsainak cseréje:

1. Frissítse az alkalmazáskódban a kapcsolati sztringeket, hogy megjelölje a tárfiók másodlagos hozzáférési kulcsát.

2. Hívja meg az az storage-fiókkulcsok megújítási parancsát az elsődleges hozzáférési kulcs újragenerálásához az alábbi példában látható módon:

   az storage account keys renew \
     --resource-group <resource-group> \
     --account-name <storage-account> \
     --key primary
   

3. Frissítse a kapcsolati szövegeket a kódban, hogy az új elsődleges kulcsra hivatkozzanak.

4. Hasonló módon állítsa elő újra a másodlagos hozzáférési kulcsot. A másodlagos kulcs újragenerálásához használja kulcsnévként a secondary helyett a primary-t.

Figyelemfelhívás

Microsoft azt javasolja, hogy egyszerre csak az egyik kulcsot használja az összes alkalmazásban. Ha egyes helyeken az 1. kulcsot, másokban a 2. kulcsot használja, nem fogja tudni elforgatni a kulcsokat anélkül, hogy az alkalmazás elveszítené a hozzáférését.

A fiók hozzáférési kulcsainak elforgatásához a felhasználónak szolgáltatásadminisztrátornak kell lennie, vagy hozzá kell rendelnie egy Azure szerepkört, amely tartalmazza a Microsoft. Storage/StorageAccounts/regeneratekey/action. A műveletet magában foglaló Azure beépített szerepkörök közé tartozik a Owner, Contributor és Storage fiókkulcs-kezelő szolgáltatásszerepkör szerepkör. A szolgáltatásadminisztrátori szerepkörről további információt a Azure szerepkörök, Microsoft Entra szerepkörök és klasszikus előfizetés-rendszergazdai szerepkörök című témakörben talál. Az Azure Storage beépített szerepköreiről részletes információt az Storage szakaszban talál a Azure RBAC beépített szerepkörei alatt.

Kulcs lejárati szabályzatának létrehozása

A kulcslejárati szabályzat lehetővé teszi, hogy emlékeztetőt állítson be a fiók hozzáférési kulcsainak elforgatásához. Az emlékeztető akkor jelenik meg, ha a megadott időköz lejárt, és a kulcsok még nem lettek elforgatva. A kulcslejárati szabályzat létrehozása után figyelheti a tárfiókokat a szabályzatnak való megfelelés szempontjából, hogy a fiókhozzáférési kulcsok rendszeresen megújításra kerüljenek.

Megjegyzés

A kulcslejárati szabályzat létrehozása előtt előfordulhat, hogy legalább egyszer el kell forgatnia az egyes fiókhozzáférés-kulcsokat.

Portál

Kulcs lejárati szabályzatának létrehozása a Azure portálon:

1. A Azure portálon nyissa meg a tárfiókot.
2. A Biztonság + hálózatkezelés területen válassza az Access-kulcsokat. Megjelennek a fiók hozzáférési kulcsai, valamint az egyes kulcsok teljes kapcsolati karakterlánca.
3. Válassza a Forgatási emlékeztető beállítása gombot. Ha a Forgatás beállítása emlékeztető gomb szürkén jelenik meg, minden kulcsát el kell forgatnia. A kulcsok elforgatásához kövesse a hozzáférési kulcsok manuális elforgatásával kapcsolatos lépéseit.
4. Az Emlékeztető beállítása a hozzáférési kulcsok elforgatásához jelölőnégyzet bejelölésével jelölje be a Kulcsváltás emlékeztetők engedélyezése jelölőnégyzetet, és állítsa be az emlékeztető gyakoriságát.
5. Válassza a Mentés lehetőséget.

PowerShell

Kulcslejárati szabályzat PowerShell-lel való beállításához használja a Set-AzStorageAccount parancsot, és állítsa be a -KeyExpirationPeriodInDay paramétert az időközt napokban, amíg a hozzáférési kulcsot el kell forgatni.

A KeyCreationTime tulajdonság azt jelzi, hogy mikor lettek létrehozva vagy utoljára elforgatva a fiók hozzáférési kulcsai. A régebbi fiókok null értékűek lehetnek a KeyCreationTime tulajdonsághoz, mert még nincs beállítva. Ha a KeyCreationTime tulajdonság null értékű, nem hozhat létre kulcslejárati szabályzatot, amíg el nem forgatja a kulcsokat. Ezért érdemes ellenőrizni a KeyCreationTime tárfiók tulajdonságát, mielőtt megkísérli beállítani a kulcs lejárati szabályzatát.

Az alábbi példa ellenőrzi, hogy a KeyCreationTime tulajdonság be van-e állítva az egyes kulcsokhoz. Ha a KeyCreationTime tulajdonság értéke van, akkor létrejön egy kulcs lejárati szabályzata a tárfiókhoz. Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire.

$rgName = "<resource-group>"
$accountName = "<account-name>"

$account = Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName

# Check whether the KeyCreationTime property has a value for each key 
# before creating the key expiration policy.
if ($account.KeyCreationTime.Key1 -eq $null -or $account.KeyCreationTime.Key2 -eq $null)
{
    Write-Host("You must regenerate both keys at least once before setting expiration policy")
}
else
{
    $account = Set-AzStorageAccount -ResourceGroupName $rgName -Name `
        $accountName  -KeyExpirationPeriodInDay 60
}

A kulcslejárati szabályzatot a Tárfiók létrehozásakor is beállíthatja a -KeyExpirationPeriodInDayNew-AzStorageAccount parancs paraméterének beállításával.

A szabályzat alkalmazásának ellenőrzéséhez ellenőrizze a tárfiók tulajdonságát KeyPolicy .

$account.KeyPolicy

Azure CLI-

Az Azure CLI-ban kulcs lejárati szabályzat létrehozásához használja az az storage account update parancsot, és állítsa be a --key-exp-days paramétert azokra a napokra, amelyek elteltével a hozzáférési kulcsot forgatni kell.

A keyCreationTime tulajdonság azt jelzi, hogy mikor lettek létrehozva vagy utoljára elforgatva a fiók hozzáférési kulcsai. A régebbi fiókok null értékűek lehetnek a keyCreationTime tulajdonsághoz, mert még nincs beállítva. Ha a keyCreationTime tulajdonság null értékű, nem hozhat létre kulcslejárati szabályzatot, amíg el nem forgatja a kulcsokat. Ezért érdemes ellenőrizni a keyCreationTime tárfiók tulajdonságát, mielőtt megkísérli beállítani a kulcs lejárati szabályzatát.

Az alábbi példa ellenőrzi, hogy a keyCreationTime tulajdonság be van-e állítva az egyes kulcsokhoz. Ha a keyCreationTime tulajdonság értéke van, akkor létrejön egy kulcs lejárati szabályzata a tárfiókhoz. Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire.

key1_create_time=$(az storage account show \
    --name <storage-account> \
    --resource-group <resource-group> \
    --query 'keyCreationTime.key1' \
    --output tsv)
key2_create_time=$(az storage account show \
    --name <storage-account> \
    --resource-group <resource-group> \
    --query 'keyCreationTime.key2' \
    --output tsv)

if [ -z "$key1_create_time" ] || [ -z "$key2_create_time" ]; 
then
    echo "You must regenerate both keys at least once before setting expiration policy"
else
    az storage account update \
        --name <storage-account> \
        --resource-group <resource-group> \
        --key-exp-days 60
fi

A kulcs lejárati szabályzatát a tárfiók létrehozásakor is beállíthatja az --key-exp-daysaz storage account create parancs paraméterének beállításával.

A szabályzat alkalmazásának ellenőrzéséhez hívja meg az az storage account show parancsot, és használja a {KeyPolicy:keyPolicy}-query paraméter sztringet.

az storage account show \
  -n <storage-account-name> \
  -g <resource-group-name> \
  --query "{KeyPolicy:keyPolicy}"

A kulcs lejárati ideje megjelenik a konzol kimenetében.

{
  "KeyPolicy": {
    "enableAutoRotation": false,
    "keyExpirationPeriodInDays": 60
  }
}

Kulcs lejárati szabályzatának megsértéseinek ellenőrzése

Az Azure Policy figyelheti a tárfiókokat, hogy a fiókhozzáférési kulcsok az ajánlott időszakon belül cserélve legyenek. Azure Storage egy beépített szabályzatot biztosít annak biztosítására, hogy a tárfiók hozzáférési kulcsai ne legyenek lejártak. A beépített szabályzattal kapcsolatos további információkért lásd: A tárfiókkulcsok nem lehetnek lejártak a beépített szabályzatdefiníciók listájában.

A beépített szabályzat hozzárendelése egy erőforrás hatóköréhez

Az alábbi lépéseket követve rendelje hozzá a beépített szabályzatot a megfelelő hatókörhöz a Azure portálon:

1. A Azure portálon keresse meg a Policy elemet a Azure Policy irányítópult megjelenítéséhez.

2. A Szerzői szakaszban válassza a Hozzárendelések lehetőséget.

3. Válassza a Szabályzat hozzárendelése lehetőséget.

4. Az Alapismeretek fülön, a Szabályzat hozzárendelése lapon, a Hatókör szakaszban adja meg a szabályzat-hozzárendelés hatókörét. Válassza a Továbbiak gombot az előfizetés és az opcionális erőforráscsoport kiválasztásához.

5. A Szabályzatdefiníció mezőnél válassza az Egyebek gombot, és írja be a tárfiókkulcsokat a Keresés mezőbe. Válassza ki az "A tárolófiók kulcsai ne járjanak le" nevű szabályzatdefiníciót.

   

6. Válassza a Véleményezés + létrehozás lehetőséget a szabályzatdefiníciónak a megadott hatókörhöz való hozzárendeléséhez.

   

A kulcs lejárati szabályzatának megfelelőségének figyelése

A tárfiókok a kulcs lejárati szabályzatának való megfelelés figyeléséhez kövesse az alábbi lépéseket:

1. Az Azure Policy irányítópulton keresse meg a szabályzat-hozzárendelésben megadott hatókör beépített szabályzatdefinícióját. A beépített szabályzat szűréséhez a Keresőmezőben nem lehet lejárt tárfiókkulcsokat keresni.

2. Válassza ki a kívánt hatókörrel rendelkező szabályzatnevet.

3. A beépített szabályzat Szabályzat-hozzárendelés lapján válassza a Megfelelőség megtekintése lehetőséget. A megadott előfizetés és erőforráscsoport azon tárfiókja, amely nem felel meg a szabályzat követelményeinek, megjelenik a megfelelőségi jelentésben.

   

A tárfiók megfelelőségének biztosításához forgassa el a fiók hozzáférési kulcsait.

Következő lépések

• Azure tárfiók áttekintése
• Tárfiók létrehozása
• Megakadályozza a megosztott kulcs engedélyezését egy Azure Storage-fiókhoz