Mengonfigurasi kebijakan kedaluwarsa untuk tanda tangan akses bersama

Artikel
11/08/2023

Anda dapat menggunakan tanda tangan akses bersama (SAS) untuk mendelegasikan akses ke sumber daya di akun Azure Storage Anda. Token SAS mencakup sumber daya yang ditargetkan, izin yang diberikan, dan interval di mana akses diizinkan. Praktik terbaik merekomendasikan agar Anda membatasi interval untuk SAS jika disusupi. Dengan menetapkan kebijakan kedaluwarsa SAS untuk akun penyimpanan Anda, Anda dapat memberikan batas kedaluwarsa lebih dari yang direkomendasikan saat pengguna membuat SAS.

Untuk informasi selengkapnya tentang tanda tangan akses bersama, lihat Berikan akses terbatas ke sumber daya Azure Storage dengan menggunakan tanda tangan akses berbagi (SAS).

Tentang kebijakan kedaluwarsa SAS

Anda dapat mengonfigurasi kebijakan kedaluwarsa SAS di akun penyimpanan. Kebijakan kedaluwarsa SAS menentukan batas atas yang direkomendasikan untuk bidang kedaluwarsa yang ditandatangani pada layanan SAS atau akun SAS. Batas atas yang disarankan ditentukan sebagai nilai tanggal /waktu yang merupakan gabungan jumlah hari, jam, menit, dan detik.

Interval validitas untuk SAS dihitung dengan mengurangi nilai tanggal/waktu bidang mulai yang ditandatangani dari nilai tanggal/waktu bidang kedaluwarsa yang ditandatangani. Jika nilai yang dihasilkan kurang dari atau sama dengan batas atas yang direkomendasikan, maka SAS mematuhi kebijakan kedaluwarsa SAS.

Setelah Anda mengonfigurasi kebijakan kedaluwarsa SAS, setiap pengguna yang membuat SAS layanan atau SAS akun dengan interval yang melebihi batas atas yang direkomendasikan akan melihat peringatan.

Kebijakan kedaluwarsa SAS tidak mencegah pengguna membuat SAS dengan kedaluwarsa yang melebihi batas yang direkomendasikan oleh kebijakan. Saat pengguna membuat SAS yang melanggar kebijakan, mereka melihat peringatan, bersama dengan interval maksimum yang direkomendasikan. Jika Anda telah mengonfigurasi pengaturan diagnostik untuk pengelogan dengan Azure Monitor, Maka Azure Storage menulis pesan ke properti SasExpiryStatus di log setiap kali pengguna menggunakan SAS yang kedaluwarsa setelah interval yang direkomendasikan. Pesan menunjukkan bahwa validitas interval SAS melebihi interval yang disarankan.

Ketika kebijakan kedaluwarsa SAS berlaku untuk akun penyimpanan, bidang mulai yang ditandatangani diperlukan untuk setiap SAS. Jika bidang mulai yang ditandatangani tidak disertakan pada SAS, dan Anda telah mengonfigurasi pengaturan diagnostik untuk pengelogan dengan Azure Monitor, maka Azure Storage menulis pesan ke properti SasExpiryStatus di log setiap kali pengguna menggunakan SAS tanpa nilai untuk bidang mulai yang ditandatangani.

Mengonfigurasi kebijakan kedaluwarsa SAS

Saat Anda mengonfigurasi kebijakan kedaluwarsa SAS pada akun penyimpanan, kebijakan berlaku untuk setiap jenis SAS yang ditandatangani dengan kunci akun. Jenis tanda tangan akses bersama yang ditandatangani dengan kunci akun adalah layanan SAS dan akun SAS.

Apakah saya perlu memutar kunci akses akun terlebih dahulu?

Sebelum dapat mengonfigurasi kebijakan kedaluwarsa SAS, Anda mungkin perlu memutar setiap kunci akses akun Anda setidaknya sekali. Jika properti keyCreationTime dari akun penyimpanan memiliki nilai null untuk salah satu kunci akses akun (key1 dan key2), Anda harus memutarnya. Untuk menentukan apakah properti keyCreationTime null, lihat Mendapatkan waktu pembuatan kunci akses akun untuk akun penyimpanan. Jika Anda mencoba mengonfigurasi kebijakan kedaluwarsa SAS dan kunci perlu diputar terlebih dahulu, operasi gagal.

Cara mengonfigurasi kebijakan kedaluwarsa SAS

Anda dapat mengonfigurasi kebijakan kedaluwarsa SAS menggunakan portal Azure, PowerShell, atau Azure CLI.

Untuk mengonfigurasi kebijakan kedaluwarsa SAS di portal Azure, ikuti langkah-langkah berikut:

Navigasikan ke akun penyimpanan Anda di portal Microsoft Azure.
Di bawah Pengaturan, pilih Konfigurasi.
Temukan pengaturan untuk Izinkan batas atas yang direkomendasikan untuk interval kedaluwarsa tanda tangan akses bersama (SAS),dan atur ke Diaktifkan.

Catatan

Jika pengaturan berwarna abu-abu dan Anda melihat pesan yang ditunjukkan pada gambar di bawah ini, maka Anda harus memutar kedua kunci akses akun sebelum Anda dapat mengatur batas atas yang Direkomendasikan untuk nilai interval kedaluwarsa SAS:
Tentukan nilai waktu di bawah Batas atas yang direkomendasikan untuk interval kedaluwarsa SAS untuk interval yang direkomendasikan untuk tanda tangan akses bersama baru yang dibuat pada sumber daya di akun penyimpanan ini.
Pilih Simpan untuk menerapkan perubahan.

Untuk mengonfigurasi kebijakan kedaluwarsa SAS, gunakan perintah Set-AzStorageAccount , lalu atur -SasExpirationPeriod parameter ke jumlah hari, jam, menit, dan detik bahwa token SAS dapat aktif sejak SAS ditandatangani. String yang Anda berikan -SasExpirationPeriod parameter menggunakan format berikut: <days>.<hours>:<minutes>:<seconds>. Misalnya, jika Anda ingin SAS kedaluwarsa 1 hari, 12 jam, 5 menit, dan 6 detik setelah ditandatangani, maka Anda akan menggunakan string 1.12:05:06.

$account = Set-AzStorageAccount -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -SasExpirationPeriod <days>.<hours>:<minutes>:<seconds>

Tip

Anda juga dapat mengatur kebijakan kedaluwarsa kunci saat Anda membuat akun penyimpanan dengan mengatur parameter -SasExpirationPeriod dari perintah New-AzStorageAccount.

Catatan

Jika Anda mendapatkan pesan kesalahan yang menunjukkan bahwa waktu pembuatan untuk kunci belum diatur, putar kunci akses akun dan coba lagi.

Untuk memverifikasi bahwa kebijakan telah diterapkan, periksa properti SasPolicy akun penyimpanan.

$account.SasPolicy

Periode kedaluwarsa kunci muncul dalam output konsol.

SAS expiration period

Untuk mengonfigurasi kebijakan kedaluwarsa SAS, gunakan perintah az storage account update , lalu atur --key-exp-days parameter ke jumlah hari, jam, menit, dan detik bahwa token SAS dapat aktif sejak SAS ditandatangani. String yang Anda berikan --key-exp-days parameter menggunakan format berikut: <days>.<hours>:<minutes>:<seconds>. Misalnya, jika Anda ingin SAS kedaluwarsa 1 hari, 12 jam, 5 menit, dan 6 detik setelah ditandatangani, maka Anda akan menggunakan string 1.12:05:06.

az storage account update \
  --name <storage-account> \
  --resource-group <resource-group> \
  --sas-exp <days>.<hours>:<minutes>:<seconds>

Tip

Anda juga dapat mengatur kebijakan kedaluwarsa kunci saat Anda membuat akun penyimpanan dengan mengatur parameter --key-exp-days dari perintah buat akun penyimpanan az.

Catatan

Jika Anda mendapatkan pesan kesalahan yang menunjukkan bahwa waktu pembuatan untuk kunci belum diatur, putar kunci akses akun dan coba lagi.

Untuk memverifikasi bahwa kebijakan telah diterapkan, panggil perintah tampilkan akun penyimpanan az, dan gunakan untai (karakter) {SasPolicy:sasPolicy} untuk parameter -query.

az storage account show \
  --name <storage-account> \
  --resource-group <resource-group> \
  --query "{SasPolicy:sasPolicy}"

Periode kedaluwarsa kunci muncul dalam output konsol.

{
  "SasPolicy": {
    "expirationAction": "Log",
    "sasExpirationPeriod": "1.12:05:06"
  }
}

Kueri mencatat pelanggaran kebijakan

Untuk mencatat penggunaan SAS yang valid selama interval yang lebih lama dari yang direkomendasikan kebijakan kedaluwarsa SAS, pertama-tama buat pengaturan diagnostik yang mengirim log ke ruang kerja Azure Log Analytics. Untuk informasi selengkapnya, lihat Mengirim log ke Azure Log Analytics.

Selanjutnya, gunakan kueri log Azure Monitor untuk memantau apakah kebijakan telah dilanggar. Buat kueri baru di ruang kerja Log Analytics Anda, tambahkan teks kueriJalankan.

StorageBlobLogs 
| where SasExpiryStatus startswith "Policy violated"
| summarize count() by AccountName, SasExpiryStatus

Gunakan kebijakan bawaan untuk memantau kepatuhan

Anda dapat memantau akun penyimpanan dengan Azure Policy untuk memastikan bahwa akun penyimpanan di langganan Anda telah mengonfigurasi kebijakan kedaluwarsa SAS. Azure Storage menyediakan kebijakan bawaan untuk memastikan bahwa akun telah mengonfigurasi pengaturan ini. Untuk informasi selengkapnya tentang kebijakan bawaan, lihat Akun penyimpanan harus memiliki kebijakan tanda tangan akses bersama (SAS) yang dikonfigurasi di Daftar definisi kebijakan bawaan.

Menetapkan kebijakan bawaan untuk cakupan sumber daya

Ikuti langkah-langkah berikut untuk menetapkan kebijakan bawaan ke cakupan yang sesuai di portal Azure:

Di portal Azure, cari Kebijakan untuk menampilkan dasbor Kebijakan Azure.
Di bagian Penulisan, pilih Penugasan.
Pilih Tetapkan kebijakan.
Di tab Dasar-dasar pada halaman Tetapkan kebijakan, di bagian Cakupan, tentukan cakupan untuk penetapan kebijakan. Pilih tombol Lainnya untuk memilih langganan dan grup sumber daya opsional.
Untuk bidang Definisi kebijakan, pilih tombol Lainnya, dan masukkan kunci akun penyimpanan di bidang Pencarian. Pilih definisi kebijakan bernama Kunci akun penyimpanan tidak boleh kedaluwarsa.
Pilih Tinjau + buat untuk menetapkan definisi kebijakan ke cakupan yang ditentukan.

Memantau kepatuhan dengan kebijakan kedaluwarsa utama

Untuk memantau kepatuhan akun penyimpanan Anda terhadap kebijakan kedaluwarsa utama, ikuti langkah-langkah berikut:

Di dasbor Azure Policy, temukan definisi kebijakan bawaan untuk cakupan yang Anda tentukan dalam penetapan kebijakan. Anda dapat mencari Storage accounts should have shared access signature (SAS) policies configured di kotak Pencarian untuk memfilter kebijakan bawaan.
Pilih nama kebijakan dengan cakupan yang diinginkan.
Pada halaman Penetapan kebijakan untuk kebijakan bawaan, pilih Lihat kepatuhan. Akun penyimpanan apa pun dalam grup langganan dan sumber daya yang ditentukan yang tidak memenuhi persyaratan kebijakan muncul dalam laporan kepatuhan.

Untuk membuat akun penyimpanan menjadi kepatuhan, konfigurasikan kebijakan kedaluwarsa SAS untuk akun tersebut, seperti yang dijelaskan dalam Mengonfigurasi kebijakan kedaluwarsa SAS.