Memahami kunci akun penyimpanan

  • 5 menit

Sebagian besar data Contoso dihasilkan atau digunakan oleh aplikasi khusus. Aplikasi ditulis dalam berbagai bahasa.

Akun Azure Storage dapat membuat aplikasi resmi di Active Directory untuk mengontrol akses ke data dalam blob dan antrean. Pendekatan autentikasi ini adalah solusi terbaik untuk aplikasi yang menggunakan penyimpanan Blob atau penyimpanan Antrean.

Untuk model penyimpanan lainnya, klien dapat menggunakan kunci bersama, atau rahasia bersama. Opsi autentikasi ini adalah salah satu yang paling mudah digunakan, dan mendukung blob, file, antrean, dan tabel. Klien menyematkan kunci bersama di header Authorization HTTP dari setiap permintaan, dan akun Penyimpanan memvalidasi kunci.

Misalnya, aplikasi dapat mengeluarkan permintaan GET terhadap sumber blob:

GET http://myaccount.blob.core.windows.net/?restype=service&comp=stats

Header HTTP mengontrol versi REST API, tanggal, dan kunci bersama yang dikodekan:

x-ms-version: 2018-03-28  
Date: Wed, 23 Oct 2018 21:00:44 GMT  
Authorization: SharedKey myaccount:CY1OP3O3jGFpYFbTCBimLn0Xov0vt0khH/E5Gy0fXvg=

Kunci akun penyimpanan

Di akun Azure Storage, kunci bersama disebut kunci akun penyimpanan. Azure membuat dua kunci ini (utama dan sekunder) untuk setiap akun penyimpanan yang Anda buat. Kunci memungkinkan akses ke semua di akun.

Anda akan menemukan kunci akun penyimpanan di tampilan portal Microsoft Azure dari akun penyimpanan. Di panel menu sebelah kiri akun penyimpanan Anda, pilih Keamanan + jaringan>Kunci akses.

Screenshot showing the access keys in the Azure portal.

Lindungi kunci bersama

Akun penyimpanan hanya memiliki dua kunci, dan mereka menyediakan akses penuh ke akun. Karena kunci ini kuat, gunakan hanya dengan aplikasi internal tepercaya yang Anda kontrol sepenuhnya.

Jika kunci disusupi, ubah nilai kunci dalam portal Azure. Berikut adalah beberapa alasan untuk meregenerasi kunci akun penyimpanan Anda:

  • Untuk alasan keamanan, Anda dapat meregenerasi kunci secara berkala.
  • Jika seseorang meretas aplikasi dan mendapatkan kunci yang dikodekan secara permanen atau disimpan dalam file konfigurasi, regenerasi kunci. Kunci yang disusupi dapat memberi peretas akses penuh ke akun penyimpanan Anda.
  • Jika tim Anda menggunakan aplikasi Storage Explorer yang menyimpan kunci akun penyimpanan, dan salah satu anggota tim keluar, regenerasi kunci. Jika tidak, aplikasi akan terus bekerja, memberikan mantan anggota tim akses ke akun penyimpanan Anda.

Untuk me-refresh kunci:

  • Ubah setiap aplikasi tepercaya untuk menggunakan kunci sekunder.
  • Refresh kunci utama di portal Azure. Ini akan menjadi nilai kunci sekunder baru.

Penting

Setelah Anda merefresh kunci, setiap klien yang mencoba menggunakan nilai kunci lama akan ditolak. Pastikan Anda mengidentifikasi semua klien yang menggunakan kunci bersama dan memperbaruinya agar tetap beroperasi.