Opzione per impedire l'autorizzazione Chiave condivisa per un account di Archiviazione di Azure

  • Articolo

Ogni richiesta sicura a un account di Archiviazione di Azure deve essere autorizzata. Per impostazione predefinita, le richieste possono essere autorizzate con le credenziali di Microsoft Entra o usando la chiave di accesso dell'account per l'autorizzazione con chiave condivisa. Di questi due tipi di autorizzazione, Microsoft Entra ID offre maggiore sicurezza e facilità d'uso tramite chiave condivisa ed è consigliato da Microsoft. Per richiedere ai client di usare Microsoft Entra ID per autorizzare le richieste, è possibile impedire le richieste all'account di archiviazione autorizzato con chiave condivisa.

Quando si impedisce l'autorizzazione con chiave condivisa per un account di archiviazione, Archiviazione di Azure rifiuta tutte le richieste successive a tale account autorizzate con le chiavi di accesso dell'account. Solo le richieste protette autorizzate con Microsoft Entra ID avranno esito positivo. Per altre informazioni sull'uso di Microsoft Entra ID, vedere Autorizzare l'accesso ai dati in Archiviazione di Azure.

La proprietà AllowSharedKeyAccess di un account di archiviazione non è impostata per impostazione predefinita e non restituisce un valore finché non viene impostata in modo esplicito. L'account di archiviazione consente le richieste autorizzate con chiave condivisa quando il valore della proprietà è Null o quando è true.

Questo articolo descrive come usare un framework DRAG (Detection-Remediation-Audit-Governance) per gestire continuamente l'autorizzazione della chiave condivisa per l'account di archiviazione.

Prerequisiti

Prima di non consentire l'accesso con chiave condivisa a uno degli account di archiviazione:

Informazioni su come non consentire la chiave condivisa influisce sui token di firma di accesso condiviso

Quando l'accesso con chiave condivisa non è consentito per l'account di archiviazione, Archiviazione di Azure gestisce i token di firma di accesso condiviso in base al tipo di firma di accesso condiviso e al servizio di destinazione della richiesta. La tabella seguente illustra come ogni tipo di firma di accesso condiviso è autorizzato e come Archiviazione di Azure gestirà tale firma di accesso condiviso quando la proprietà AllowSharedKeyAccess per l'account di archiviazione è false.

Tipo di firma di accesso condiviso Tipo di autorizzazione Comportamento quando AllowSharedKeyAccess è false
Firma di accesso condiviso delega utente (solo archiviazione BLOB) Microsoft Entra ID La richiesta è consentita. Microsoft consiglia di usare una firma di accesso condiviso della delega utente quando possibile per una maggiore sicurezza.
Firma di accesso condiviso del servizio Chiave condivisa Richiesta negata per tutti i servizi Archiviazione di Azure.
Firma di accesso condiviso dell'account Chiave condivisa Richiesta negata per tutti i servizi Archiviazione di Azure.

Le metriche di Azure e la registrazione in Monitoraggio di Azure non distinguono i diversi tipi di firme di accesso condiviso. Il filtro sas in Esplora metriche di Azure e il campo SAS in Archiviazione di Azure registrazione in Monitoraggio di Azure entrambe le richieste di report autorizzate con qualsiasi tipo di firma di accesso condiviso. Tuttavia, diversi tipi di firme di accesso condiviso sono autorizzati in modo diverso e si comportano in modo diverso quando l'accesso con chiave condivisa non è consentito:

  • Un token di firma di accesso condiviso del servizio o un token di firma di accesso condiviso dell'account è autorizzato con chiave condivisa e non sarà consentito in una richiesta all'archiviazione BLOB quando la proprietà AllowSharedKeyAccess è impostata su false.
  • Una firma di accesso condiviso della delega utente è autorizzata con l'ID Microsoft Entra e sarà consentita in una richiesta di archiviazione BLOB quando la proprietà AllowSharedKeyAccess è impostata su false.

Quando si valuta il traffico verso l'account di archiviazione, tenere presente che le metriche e i log, come descritto in Rilevare il tipo di autorizzazione usata dalle applicazioni client possono includere richieste effettuate con una firma di accesso condiviso della delega utente.

Per altre informazioni sulle firme di accesso condiviso, vedere Concedere accesso limitato alle risorse di archiviazione di Azure tramite firme di accesso condiviso.

Valutare la compatibilità con altri strumenti e servizi di Azure

Diversi servizi di Azure usano l'autorizzazione con chiave condivisa per comunicare con Archiviazione di Azure. Se non si consente l'autorizzazione con chiave condivisa per un account di archiviazione, questi servizi non saranno in grado di accedere ai dati in tale account e le applicazioni potrebbero essere influenzate negativamente.

Alcuni strumenti di Azure offrono la possibilità di usare l'autorizzazione di Microsoft Entra per accedere alle Archiviazione di Azure. La tabella seguente elenca alcuni strumenti di Azure più diffusi e indica se possono usare l'ID Entra di Microsoft per autorizzare le richieste a Archiviazione di Azure.

Strumento di Azure Autorizzazione di Microsoft Entra per Archiviazione di Azure
Azure portal Supportata. Per informazioni sull'autorizzazione con l'account Microsoft Entra dal portale di Azure, vedere Scegliere come autorizzare l'accesso ai dati BLOB nel portale di Azure.
AzCopy Supportato per Archiviazione BLOB. Per informazioni sull'autorizzazione delle operazioni di AzCopy, vedere Scegliere come fornire le credenziali di autorizzazione nella documentazione di AzCopy.
Azure Storage Explorer Supportato per Archiviazione BLOB, Archiviazione di accodamento, Archiviazione tabelle e Azure Data Lake Archiviazione Gen2. L'accesso a Microsoft Entra ID all'archiviazione file non è supportato. Assicurarsi di selezionare il tenant Microsoft Entra corretto. Per altre informazioni, vedere Introduzione a Archiviazione Explorer
Azure PowerShell Supportata. Per informazioni su come autorizzare i comandi di PowerShell per operazioni BLOB o code con Microsoft Entra ID, vedere Eseguire i comandi di PowerShell con le credenziali di Microsoft Entra per accedere ai dati BLOB o eseguire comandi di PowerShell con le credenziali di Microsoft Entra per accedere ai dati della coda.
Interfaccia della riga di comando di Azure Supportata. Per informazioni su come autorizzare i comandi dell'interfaccia della riga di comando di Azure con Microsoft Entra ID per l'accesso ai dati blob e code, vedere Eseguire i comandi dell'interfaccia della riga di comando di Azure con le credenziali di Microsoft Entra per accedere ai dati blob o code.
Hub IoT di Azure Supportata. Per altre informazioni, vedere hub IoT supporto per le reti virtuali.
Azure Cloud Shell Azure Cloud Shell è una shell integrata nella portale di Azure. Azure Cloud Shell ospita i file per la persistenza in una condivisione file di Azure in un account di archiviazione. Questi file diventeranno inaccessibili se l'autorizzazione della chiave condivisa non è consentita per l'account di archiviazione. Per altre informazioni, vedere Rendere persistenti i file in Azure Cloud Shell.

Per eseguire i comandi in Azure Cloud Shell per gestire gli account di archiviazione per i quali l'accesso con chiave condivisa non è consentito, assicurarsi di avere ottenuto le autorizzazioni necessarie per questi account tramite il controllo degli accessi in base al ruolo di Azure. Per altre informazioni, vedere Che cos'è il controllo degli accessi in base al ruolo di Azure?.

Non consentire l'autorizzazione della chiave condivisa per l'uso dell'accesso condizionale di Microsoft Entra

Per proteggere un account Archiviazione di Azure con i criteri di accesso condizionale di Microsoft Entra, è necessario non consentire l'autorizzazione della chiave condivisa per l'account di archiviazione.

Autorizzare l'accesso ai dati dei file o alle transizioni File di Azure carichi di lavoro

Archiviazione di Azure supporta l'autorizzazione di Microsoft Entra per le richieste di File di Azure, Archiviazione BLOB, Archiviazione di accodamento e Archiviazione tabella. Per impostazione predefinita, tuttavia, il portale di Azure usa l'autorizzazione con chiave condivisa per accedere alle condivisioni file di Azure. Se si impedisce l'autorizzazione della chiave condivisa per un account di archiviazione non configurato con le assegnazioni di controllo degli accessi in base al ruolo appropriate, le richieste a File di Azure avranno esito negativo e non sarà possibile accedere alle condivisioni file di Azure nella portale di Azure.

Per attenuare questo problema, è consigliabile adottare uno dei tre approcci seguenti:

  1. Seguire questa procedura per autorizzare l'accesso ai dati dei file usando l'account Microsoft Entra o
  2. Eseguire la migrazione di qualsiasi File di Azure dati a un account di archiviazione separato prima di non consentire l'accesso a un account tramite chiave condivisa o
  3. Non applicare questa impostazione agli account di archiviazione che supportano i carichi di lavoro File di Azure.

Identificare gli account di archiviazione che consentono l'accesso con chiave condivisa

Esistono due modi per identificare gli account di archiviazione che consentono l'accesso a chiave condivisa:

Controllare l'impostazione accesso con chiave condivisa per più account

Per controllare l'impostazione accesso a chiave condivisa in un set di account di archiviazione con prestazioni ottimali, è possibile usare Azure Resource Graph Explorer nella portale di Azure. Per altre informazioni sull'uso di Resource Graph Explorer, vedere Avvio rapido: Eseguire la prima query di Resource Graph usando Azure Resource Graph Explorer.

L'esecuzione della query seguente in Resource Graph Explorer restituisce un elenco di account di archiviazione e visualizza l'impostazione accesso con chiave condivisa per ogni account:

resources
| where type =~ 'Microsoft.Storage/storageAccounts'
| extend allowSharedKeyAccess = parse_json(properties).allowSharedKeyAccess
| project subscriptionId, resourceGroup, name, allowSharedKeyAccess

Configurare il Criteri di Azure per l'accesso con chiave condivisa in modalità di controllo

Criteri di Azure account di Archiviazione devono impedire l'accesso con chiave condivisa impedisce agli utenti con autorizzazioni appropriate di configurare account di archiviazione nuovi o esistenti per consentire l'autorizzazione con chiave condivisa. Configurare questo criterio in modalità di controllo per identificare gli account di archiviazione in cui è consentita l'autorizzazione con chiave condivisa. Dopo aver modificato le applicazioni per l'uso di Microsoft Entra anziché la chiave condivisa per l'autorizzazione, è possibile aggiornare i criteri per impedire l'accesso a chiave condivisa.

Per altre informazioni sui criteri predefiniti, vedere Archiviazione account devono impedire l'accesso alle chiavi condivise in Elenco di definizioni di criteri predefiniti.

Assegnare i criteri predefiniti per un ambito di risorsa

Seguire questa procedura per assegnare i criteri predefiniti per l'ambito appropriato nel portale di Azure:

  1. Nella portale di Azure cercare Criteri per visualizzare il dashboard Criteri di Azure.

  2. Nella sezione Creazione selezionare Assegnazioni.

  3. Scegliere Assegna criterio.

  4. Nella sezione Ambito della scheda Informazioni di base della pagina Assegna criteri specificare l'ambito per l'assegnazione dei criteri. Selezionare il pulsante Altro (...) per scegliere la sottoscrizione e il gruppo di risorse facoltativo.

  5. Per il campo Definizione criteri selezionare il pulsante Altro (...) e immettere l'accesso alla chiave condivisa nel campo Cerca . Selezionare la definizione di criteri denominata Archiviazione account deve impedire l'accesso con chiave condivisa.

    Screenshot che mostra come selezionare i criteri predefiniti per impedire l'accesso a chiave condivisa per gli account di archiviazione

  6. Selezionare Rivedi e crea.

  7. Nella scheda Rivedi e crea esaminare l'assegnazione dei criteri e quindi selezionare Crea per assegnare la definizione dei criteri all'ambito specificato.

Monitorare la conformità ai criteri

Per monitorare la conformità degli account di archiviazione con i criteri di accesso con chiave condivisa, seguire questa procedura:

  1. Nel dashboard Criteri di Azure in Creazione selezionare Assegnazioni.

  2. Individuare e selezionare l'assegnazione di criteri creata nella sezione precedente.

  3. Selezionare la scheda Visualizza conformità .

  4. Tutti gli account di archiviazione all'interno dell'ambito dell'assegnazione dei criteri che non soddisfano i requisiti dei criteri vengono visualizzati nel report di conformità.

    Screenshot che mostra come visualizzare il report di conformità per i criteri predefiniti di accesso con chiave condivisa.

Per ottenere altre informazioni sul motivo per cui un account di archiviazione non è conforme, selezionare Dettagli in Motivo di conformità.

Rilevare il tipo di autorizzazione usata dalle applicazioni client

Per comprendere come impedire l'autorizzazione con chiave condivisa può influire sulle applicazioni client prima di apportare questa modifica, abilitare la registrazione e le metriche per l'account di archiviazione. È quindi possibile analizzare i modelli di richieste all'account in un periodo di tempo per determinare il modo in cui le richieste vengono autorizzate.

Usare le metriche per determinare il numero di richieste ricevute dall'account di archiviazione autorizzate con chiave condivisa o con una firma di accesso condiviso. Usare i log per determinare quali client inviano tali richieste.

Una firma di accesso condiviso può essere autorizzata con la chiave condivisa o l'ID Microsoft Entra. Per altre informazioni sull'interpretazione delle richieste effettuate con una firma di accesso condiviso, vedere Informazioni su come non consentire la chiave condivisa influisce sui token di firma di accesso condiviso.

Determinare il numero e la frequenza delle richieste autorizzate con chiave condivisa

Per tenere traccia delle modalità di autorizzazione delle richieste a un account di archiviazione, usare Esplora metriche di Azure nella portale di Azure. Per altre informazioni su Esplora metriche, vedere Analizzare le metriche con Esplora metriche di Monitoraggio di Azure.

Seguire questa procedura per creare una metrica che tiene traccia delle richieste effettuate con chiave condivisa o firma di accesso condiviso:

  1. Passare all'account di archiviazione nel portale di Azure. Nella sezione Monitoraggio, selezionare Metriche.

  2. Verrà visualizzata la nuova casella della metrica:

    Screenshot che mostra la finestra di dialogo nuova metrica.

    In caso contrario, selezionare Aggiungi metrica.

  3. Nella finestra di dialogo Metrica specificare i valori seguenti:

    1. Lasciare il campo Ambito impostato sul nome dell'account di archiviazione.
    2. Impostare Spazio dei nomi della metrica su Account. Questa metrica segnala tutte le richieste rispetto all'account di archiviazione.
    3. Impostare il campo Metrica su Transazioni.
    4. Impostare il campo Aggregazione su Somma.

    La nuova metrica visualizzerà la somma del numero di transazioni rispetto all'account di archiviazione in un determinato intervallo di tempo. La metrica risultante viene visualizzata come illustrato nell'immagine seguente:

    Screenshot che mostra come configurare una metrica per riepilogare le transazioni effettuate con chiave condivisa o firma di accesso condiviso.

  4. Selezionare quindi il pulsante Aggiungi filtro per creare un filtro sulla metrica per il tipo di autorizzazione.

  5. Nella finestra di dialogo Filtro specificare i valori seguenti:

    1. Impostare il valore della proprietà su Autenticazione.
    2. Impostare il campo Operatore sul segno di uguale (=).
    3. Nel campo Valori selezionare Chiave account e firma di accesso condiviso.

  6. Nell'angolo superiore destro selezionare l'intervallo di tempo per il quale si vuole visualizzare la metrica. È anche possibile indicare come deve essere granulare l'aggregazione delle richieste specificando intervalli da 1 minuto a 1 mese. Ad esempio, impostare Intervallo di tempo su 30 giorni e Granularità temporale su 1 giorno per visualizzare le richieste aggregate per giorno negli ultimi 30 giorni.

Dopo aver configurato la metrica, le richieste all'account di archiviazione inizieranno a essere visualizzate nel grafico. L'immagine seguente mostra le richieste autorizzate con chiave condivisa o effettuate con un token di firma di accesso condiviso. Le richieste vengono aggregate al giorno negli ultimi trenta giorni.

Screenshot che mostra le richieste aggregate autorizzate con chiave condivisa.

È anche possibile configurare una regola di avviso per inviare una notifica quando viene effettuato un determinato numero di richieste autorizzate con chiave condivisa sull'account di archiviazione. Per altre informazioni, vedere Creare, visualizzare e gestire gli avvisi delle metriche con Monitoraggio di Azure.

Analizzare i log per identificare i client che autorizzano le richieste con chiave condivisa o firma di accesso condiviso

Archiviazione di Azure log acquisisce i dettagli sulle richieste effettuate sull'account di archiviazione, inclusa la modalità di autorizzazione di una richiesta. È possibile analizzare i log per determinare quali client autorizzano le richieste con chiave condivisa o un token di firma di accesso condiviso.

Per registrare le richieste all'account Archiviazione di Azure per valutare come sono autorizzate, è possibile usare Archiviazione di Azure registrazione in Monitoraggio di Azure. Per altre informazioni, vedere Monitoraggio di Archiviazione di Azure.

La registrazione di Archiviazione di Azure in Monitoraggio di Azure supporta l'uso delle query sui log per analizzarne i dati. Per eseguire query sui log, è possibile usare un'area di lavoro Log Analytics di Azure. Per altre informazioni sulle query di log, vedere Esercitazione: Introduzione alle query di Log Analytics.

Creare un'impostazione di diagnostica nella portale di Azure

Per registrare Archiviazione di Azure dati con Monitoraggio di Azure e analizzarli con Analisi dei log di Azure, è prima necessario creare un'impostazione di diagnostica che indica quali tipi di richieste e per quali servizi di archiviazione si vogliono registrare i dati. Per creare un'impostazione di diagnostica nel portale di Azure, seguire questa procedura:

  1. Creare una nuova area di lavoro Log Analytics nella sottoscrizione contenente l'account Archiviazione di Azure oppure usare un'area di lavoro Log Analytics esistente. Dopo aver configurato la registrazione per l'account di archiviazione, i log saranno disponibili nell'area di lavoro Analisi dei log. Per altre informazioni, vedere Creare un'area di lavoro Log Analytics nel portale di Azure.

  2. Passare all'account di archiviazione nel portale di Azure.

  3. Nella sezione Monitoraggio selezionare Impostazioni di diagnostica.

  4. Selezionare il servizio Archiviazione di Azure per il quale si desidera registrare le richieste. Ad esempio, scegliere BLOB per registrare le richieste nell'archiviazione BLOB.

  5. Selezionare Aggiungi impostazione di diagnostica.

  6. Immettere un nome per le impostazioni di diagnostica.

  7. In Dettagli categoria scegliere Archiviazione Read, Archiviazione Write e Archiviazione Delete per registrare tutte le richieste di dati al servizio selezionato.

  8. In Dettagli destinazione, selezionare Invia ad Analisi dei log. Selezionare la sottoscrizione e l'area di lavoro Log Analytics creata in precedenza, come illustrato nell'immagine seguente.

    Screenshot che mostra come creare un'impostazione di diagnostica per la registrazione delle richieste.

È possibile creare un'impostazione di diagnostica per ogni tipo di risorsa Archiviazione di Azure nell'account di archiviazione.

Dopo aver creato l'impostazione di diagnostica, le richieste all'account di archiviazione vengono successivamente registrate in base a tale impostazione. Per altre informazioni, vedere Creare un'impostazione di diagnostica per raccogliere i log e le metriche delle risorse in Azure.

Per informazioni di riferimento sui campi disponibili nei log di Archiviazione di Azure in Monitoraggio di Azure, vedere Log delle risorse.

Eseguire query sui log per le richieste effettuate con chiave condivisa o firma di accesso condiviso

Archiviazione di Azure log in Monitoraggio di Azure includono il tipo di autorizzazione usato per effettuare una richiesta a un account di archiviazione. Per recuperare i log per le richieste effettuate negli ultimi sette giorni autorizzati con chiave condivisa o firma di accesso condiviso, aprire l'area di lavoro Log Analytics. Incollare quindi la query seguente in una nuova query di log ed eseguirla. Questa query visualizza i dieci indirizzi IP che hanno inviato più di frequente richieste autorizzate con chiave condivisa o firma di accesso condiviso:

StorageBlobLogs
| where AuthenticationType in ("AccountKey", "SAS") and TimeGenerated > ago(7d)
| summarize count() by CallerIpAddress, UserAgentHeader, AccountName
| top 10 by count_ desc

È anche possibile configurare una regola di avviso basata su questa query per notificare le richieste autorizzate con chiave condivisa o firma di accesso condiviso. Per altre informazioni, vedere Creare, visualizzare e gestire gli avvisi dei log con Monitoraggio di Azure.

Correggere l'autorizzazione tramite chiave condivisa

Dopo aver analizzato come vengono autorizzate le richieste all'account di archiviazione, è possibile intervenire per impedire l'accesso tramite chiave condivisa. Prima di tutto, è necessario aggiornare tutte le applicazioni che usano l'autorizzazione Con chiave condivisa per usare invece l'ID Microsoft Entra. È possibile monitorare i log e le metriche come descritto in Rilevare il tipo di autorizzazione usato dalle applicazioni client per tenere traccia della transizione. Per altre informazioni sull'uso di Microsoft Entra ID per accedere ai dati in un account di archiviazione, vedere Autorizzare l'accesso ai dati in Archiviazione di Azure.

Quando si è certi di poter rifiutare in modo sicuro le richieste autorizzate con chiave condivisa, è possibile impostare la proprietà AllowSharedKeyAccess per l'account di archiviazione su false.

Avviso

Se i client attualmente accedono ai dati nell'account di archiviazione con chiave condivisa, Microsoft consiglia di eseguire la migrazione di tali client all'ID Microsoft Entra prima di non consentire l'accesso con chiave condivisa all'account di archiviazione.

Autorizzazioni per consentire o impedire l'accesso con chiave condivisa

Per impostare la proprietà AllowSharedKeyAccess per l'account di archiviazione, un utente deve disporre delle autorizzazioni per creare e gestire gli account di archiviazione. I ruoli di controllo degli accessi in base al ruolo di Azure che forniscono queste autorizzazioni includono l'azione Microsoft.Storage/storageAccounts/write o Microsoft.Storage/storageAccounts/*. I ruoli predefiniti con questa azione includono:

Questi ruoli non forniscono l'accesso ai dati in un account di archiviazione tramite Microsoft Entra ID. Tuttavia, includono Microsoft.Storage/storageAccounts/listkeys/action, che concede l'accesso alle chiavi di accesso dell'account. Con questa autorizzazione, un utente può usare le chiavi di accesso dell'account per accedere a tutti i dati in un account di archiviazione.

Le assegnazioni di ruolo devono avere come ambito il livello dell'account di archiviazione o superiore per consentire a un utente di consentire o impedire l'accesso a chiave condivisa per l'account di archiviazione. Per altre informazioni sull'ambito del ruolo, vedere Informazioni sull'ambito per il controllo degli accessi in base al ruolo di Azure.

Prestare attenzione a limitare l'assegnazione di questi ruoli solo agli utenti che richiedono la possibilità di creare un account di archiviazione o di aggiornarne le proprietà. Usare il principio dei privilegi minimi per assicurarsi che gli utenti abbiano le autorizzazioni minime necessarie per eseguire le attività. Per altre informazioni sulla gestione dell'accesso con il controllo degli accessi in base al ruolo di Azure, vedere Procedure consigliate per il controllo degli accessi in base al ruolo di Azure.

Nota

I ruoli di amministratore della sottoscrizione classica Amministratore del servizio e Coamministratore includono l'equivalente del ruolo di Proprietario di Azure Resource Manager. Il ruolo di Proprietario include tutte le azioni, quindi un utente con uno di questi ruoli amministrativi può anche creare e gestire gli account di archiviazione. Per altre informazioni, vedere Ruoli di Azure, ruoli di Microsoft Entra e ruoli di amministratore della sottoscrizione classica.

Disabilitare l'autorizzazione con chiave condivisa

Usando un account con le autorizzazioni necessarie, disabilitare l'autorizzazione della chiave condivisa nel portale di Azure, con PowerShell o usando l'interfaccia della riga di comando di Azure.

Per impedire l'autorizzazione della chiave condivisa per un account di archiviazione nella portale di Azure, seguire questa procedura:

  1. Passare all'account di archiviazione nel portale di Azure.

  2. Individuare l'impostazione Configurazione in Impostazioni.

  3. Impostare Consenti l'accesso alla chiave dell'account di archiviazione su Disabilitato.

    Screenshot che mostra come impedire l'accesso con chiave condivisa per un account di archiviazione.

Dopo aver negato l'autorizzazione con chiave condivisa, l'esecuzione di una richiesta all'account di archiviazione con autorizzazione con chiave condivisa avrà esito negativo con codice di errore 403 (Accesso negato). Archiviazione di Azure restituisce un errore che indica che l'autorizzazione basata su chiave non è consentita nell'account di archiviazione.

La proprietà AllowSharedKeyAccess è supportata per gli account di archiviazione che usano solo il modello di distribuzione azure Resource Manager. Per informazioni sugli account di archiviazione che usano il modello di distribuzione Azure Resource Manager, vedere Tipi di account di archiviazione.

Verificare che l'accesso con chiave condivisa non sia consentito

Per verificare che l'autorizzazione con chiave condivisa non sia più consentita, è possibile eseguire una query sulle impostazioni dell'account Archiviazione di Azure con il comando seguente. Sostituire i valori segnaposto tra parentesi quadre con i propri valori.

az storage account show \
    --name <storage-account-name> \
    --resource-group <resource-group-name> \
    --query "allow-shared-key-access"

Il comando restituisce false se l'autorizzazione con chiave condivisa non è consentita per l'account di archiviazione.

È possibile verificare ulteriormente provando a chiamare un'operazione sui dati con la chiave di accesso dell'account. L'esempio seguente tenta di creare un contenitore usando la chiave di accesso. Questa chiamata avrà esito negativo quando l'autorizzazione con chiave condivisa non è consentita per l'account di archiviazione. Sostituire i valori segnaposto tra parentesi quadre con i propri valori:

az storage container create \
    --account-name <storage-account-name> \
    --name sample-container \
    --account-key <key> \
    --auth-mode key

Nota

Le richieste anonime non sono autorizzate e procederanno se sono stati configurati l'account di archiviazione e il contenitore per l'accesso in lettura anonimo. Per altre informazioni, vedere Configurare l'accesso in lettura anonimo per contenitori e BLOB.

Monitorare il Criteri di Azure per la conformità

Dopo aver consentito l'accesso con chiave condivisa negli account di archiviazione desiderati, continuare a monitorare i criteri creati in precedenza per la conformità in corso. In base ai risultati del monitoraggio, intraprendere l'azione appropriata in base alle esigenze, inclusa la modifica dell'ambito dei criteri, la disallowing Shared Key access on more accounts or allow it for accounts where more time is needed for remediation.Based on the monitoring results, take the appropriate action as needed, including changing the scope of the policy, disallowing Shared Key access on more accounts or allow it for accounts where more time is needed for remediation.

Aggiornare il Criteri di Azure per impedire l'accesso a chiave condivisa

Per iniziare a applicare l'assegnazione di Criteri di Azure creata in precedenza per gli account di Archiviazione criteri, è consigliabile impedire l'accesso alle chiavi condivise, modificare l'effetto dell'assegnazione dei criteri in Nega per impedire agli utenti autorizzati di consentire l'accesso con chiave condivisa negli account di archiviazione. Per modificare l'effetto dei criteri, seguire questa procedura:

  1. Nel dashboard Criteri di Azure individuare e selezionare l'assegnazione dei criteri creata in precedenza.

  2. Selezionare Modifica assegnazione.

  3. Passare alla scheda Parametri .

  4. Deselezionare la casella di controllo Mostra solo i parametri che richiedono input o revisione .

  5. Nell'elenco a discesa Effetto modificare Controllo su Nega, quindi selezionare Rivedi e salva.

  6. Nella scheda Rivedi e salva rivedere le modifiche e quindi selezionare Salva.

Nota

L'applicazione della modifica dei criteri potrebbe richiedere fino a 30 minuti.

Passaggi successivi