Gestire le chiavi di accesso all'account di archiviazione

Articolo
05/11/2024

Quando si crea un account di archiviazione, Azure genera due chiavi di accesso dell'account di archiviazione a 512 bit per tale account. Queste chiavi possono essere usate per autorizzare l'accesso ai dati nell'account di archiviazione tramite l'autorizzazione di Chiave condivisa o token di firma di accesso condiviso firmati con la chiave condivisa.

Microsoft consiglia di usare Azure Key Vault per gestire le chiavi di accesso e di ruotare e rigenerare regolarmente le chiavi. L'uso di Azure Key Vault semplifica la rotazione delle chiavi senza interruzioni per le applicazioni. È inoltre possibile ruotare manualmente le chiavi.

Importante

Per una sicurezza ottimale, Microsoft consiglia di usare l'ID Entra di Microsoft con identità gestite per autorizzare le richieste nei dati blob, code e tabelle, quando possibile. L'autorizzazione con l'ID e le identità gestite di Microsoft Entra offre sicurezza e facilità di utilizzo superiori rispetto all'autorizzazione con chiave condivisa. Per altre informazioni sulle identità gestite, vedere Che cosa sono le identità gestite per le risorse di Azure. Per un esempio di come abilitare e usare un'identità gestita per un'applicazione .NET, vedere Autenticazione di app ospitate in Azure in risorse di Azure con .NET.

Per le risorse ospitate all'esterno di Azure, ad esempio le applicazioni locali, è possibile usare le identità gestite tramite Azure Arc. Ad esempio, le app in esecuzione nei server abilitati per Azure Arc possono usare le identità gestite per connettersi ai servizi di Azure. Per altre informazioni, vedere Eseguire l'autenticazione con le risorse di Azure con i server abilitati per Azure Arc.

Per gli scenari in cui vengono usate le firme di accesso condiviso, Microsoft consiglia di usare una firma di accesso condiviso di delega utente. Una firma di accesso condiviso della delega utente è protetta con le credenziali di Microsoft Entra anziché la chiave dell'account. Per informazioni sulle firme di accesso condiviso, vedere Concedere l'accesso limitato ai dati con firme di accesso condiviso. Per un esempio di come creare e usare una firma di accesso condiviso di delega utente con .NET, vedere Creare una firma di accesso condiviso di delega utente per un BLOB con .NET.

Proteggere le chiavi di accesso

Le chiavi di accesso dell'account di archiviazione forniscono l'accesso completo alla configurazione di un account di archiviazione e ai dati. Fare sempre attenzione a proteggere le chiavi di accesso. Usare Azure Key Vault per gestire e ruotare le chiavi in modo sicuro. L'accesso alla chiave condivisa concede all’utente l'accesso completo alla configurazione di un account di archiviazione e ai relativi dati. L'accesso alle chiavi condivise deve essere limitato e monitorato con attenzione. Usare i token sas di delega utente con un ambito limitato di accesso negli scenari in cui non è possibile usare l'autorizzazione basata su ID Entra di Microsoft. Evitare chiavi di accesso con codifica fissa o salvarle in qualsiasi punto del testo normale che sia accessibile ad altri utenti. Ruotare le chiavi se si ritiene che potrebbero essere state compromesse.

Importante

Per evitare che gli utenti accedano ai dati nell'account di archiviazione con Chiave condivisa, è possibile non consentire l'autorizzazione con chiave condivisa per tale account. L'accesso granulare ai dati con privilegi minimi necessari è consigliato come procedura ottimale di protezione. Per gli scenari che supportano OAuth, è consigliabile usare l'autorizzazione basata su ID Entra di Microsoft usando le identità gestite. Kerberos o SMTP deve essere usato per File di Azure tramite SMB. Per File di Azure tramite REST, è possibile usare i token di firma di accesso condiviso. L'accesso con chiave condivisa deve essere disabilitato, se non necessario, per evitarne l'uso involontario. Per altre informazioni, vedere Impedire l'autorizzazione con chiave condivisa per un account di archiviazione di Azure.

Per proteggere un account di Archiviazione di Azure con i criteri di accesso condizionale di Microsoft Entra, è necessario non consentire l'autorizzazione di Chiave condivisa per tale account.

Se è stato disabilitato l'accesso con chiave condivisa e viene visualizzata l'autorizzazione di Chiave condivisa nei log di diagnostica, significa che l'accesso attendibile viene usato per accedere all'archiviazione. Per altri dettagli, vedere Accesso attendibile per le risorse registrate nella sottoscrizione.

Visualizzare le chiavi di accesso dell'account

È possibile visualizzare e copiare le chiavi di accesso dell'account con il portale di Azure, PowerShell o l'interfaccia della riga di comando di Azure. Il portale di Azure fornisce anche una stringa di connessione per l'account di archiviazione che è possibile copiare.

Per visualizzare e copiare le chiavi di accesso dell'account di archiviazione o la stringa di connessione dal portale di Azure:

Nel portale di Azure passare all'account di archiviazione.
In Sicurezza e rete selezionare Chiavi di accesso. Verranno visualizzate le chiavi di accesso dell'account, con la stringa di connessione completa per ogni chiave.
Seleziona Mostra chiavi per visualizzare le tue chiavi di accesso e le stringhe di connessione e per abilitare i pulsanti per copiare i valori.
In key1, trovare il valore della Chiave. Seleziona il pulsante Copia per copiare la chiave dell'account.
In alternativa, è possibile copiare l'intera stringa di connessione. In key1 trovare il valore della stringa di Connessione ion. Selezionare il pulsante Copia per copiare la stringa di connessione.

Per recuperare le chiavi di accesso dell'account con PowerShell, chiamare il comando Get-Az Archiviazione AccountKey.

Nell'esempio seguente viene recuperata la prima chiave. Per recuperare la seconda chiave, usare Value[1] invece di Value[0]. Ricordare di sostituire i valori segnaposto tra parentesi con i valori personalizzati.

$storageAccountKey = `
    (Get-AzStorageAccountKey
    -ResourceGroupName <resource-group> `
    -Name <storage-account>).Value[0]

Per elencare le chiavi di accesso dell'account con l'interfaccia della riga di comando di Azure, chiamare il comando az storage account keys list , come illustrato nell'esempio seguente. Ricordare di sostituire i valori segnaposto tra parentesi con i valori personalizzati.

az storage account keys list \
  --resource-group <resource-group> \
  --account-name <storage-account>

È possibile usare una delle due chiavi per accedere ad Archiviazione di Azure, ma in generale è consigliabile usare la prima chiave e riservare l'uso della seconda chiave per la rotazione delle chiavi.

Per visualizzare o leggere le chiavi di accesso di un account, l'utente deve essere un Amministrazione istrator del servizio o deve essere assegnato un ruolo di Azure che include Microsoft.Archiviazione/storageAccounts/listkeys/action. Alcuni ruoli predefiniti di Azure che includono questa azione sono i ruoli proprietario, collaboratore e Archiviazione ruolo del servizio dell'operatore chiave dell'account. Per altre informazioni sul ruolo service Amministrazione istrator, vedere Ruoli di Azure, ruoli di Microsoft Entra e ruoli di amministratore della sottoscrizione classica. Per informazioni dettagliate sui ruoli predefiniti per Archiviazione di Azure, vedere la sezione Archiviazione in Ruoli predefiniti di Azure per il controllo degli accessi in base al ruolo di Azure.

Usare Azure Key Vault per gestire le chiavi di accesso

Microsoft consiglia di usare Azure Key Vault per gestire e ruotare le chiavi di accesso. L'applicazione può accedere in modo sicuro alle chiavi in Key Vault, in modo da evitare di archiviarle con il codice dell'applicazione. Per altre informazioni sull'uso di Key Vault per la gestione delle chiavi, vedere gli articoli seguenti:

Ruotare manualmente le chiavi di accesso

Microsoft consiglia di ruotare periodicamente le chiavi di accesso per garantire la sicurezza dell'account di archiviazione. Se possibile, usare Azure Key Vault per gestire le chiavi di accesso. Se non si usa Key Vault, sarà necessario ruotare manualmente le chiavi.

Vengono assegnate due chiavi di accesso che è quindi possibile ruotare. La presenza di due chiavi garantisce che l'applicazione mantenga l'accesso ad Archiviazione di Azure durante l’intero processo.

Avviso

La rigenerazione delle chiavi di accesso può influire sulle applicazioni o sui servizi di Azure che dipendono dalla chiave dell'account di archiviazione. I client che usano la chiave dell'account per accedere all'account di archiviazione devono essere aggiornati per usare la nuova chiave, inclusi servizi multimediali, applicazioni cloud, desktop e per dispositivi mobili e applicazioni di interfaccia utente grafica per Archiviazione di Azure, ad esempio Azure Storage Explorer.

Inoltre, la rotazione o la rigenerazione delle chiavi di accesso revoca le firme di accesso condiviso (SAS) generate in base a tale chiave. Dopo la rotazione delle chiavi di accesso, è necessario rigenerare i token di firma di accesso condiviso dell'account e del servizio per evitare interruzioni delle applicazioni. Si noti che i token di firma di accesso condiviso della delega dell’utente sono protetti con le credenziali di Microsoft Entra e non sono interessati dalla rotazione delle chiavi.

Se si prevede di ruotare manualmente le chiavi di accesso, Microsoft consiglia di impostare un criterio di scadenza della chiave. Per altre informazioni, vedere Creare un criterio di scadenza della chiave.

Dopo aver creato il criterio di scadenza della chiave, è possibile usare Criteri di Azure per monitorare se le chiavi di un account di archiviazione sono state ruotate entro l'intervallo consigliato. Per informazioni dettagliate, vedere Verificare la presenza di violazioni dei criteri di scadenza della chiave.

Per ruotare le chiavi di accesso dell'account di archiviazione nel portale di Azure:

Aggiornare le stringhe di connessione nel codice dell'applicazione in modo che facciano riferimento alla chiave di accesso secondaria per l'account di archiviazione.
Passare all'account di archiviazione nel portale di Azure.
In Sicurezza e rete selezionare Chiavi di accesso.
Per rigenerare la chiave di accesso primaria per l'account di archiviazione, selezionare il pulsante Rigenera accanto alla chiave di accesso primaria.
Aggiornare le stringhe di connessione nel codice in modo che facciano riferimento alla nuova chiave di accesso primaria.
Rigenerare la chiave di accesso secondaria nello stesso modo.

Per ruotare le chiavi di accesso dell'account di archiviazione con PowerShell:

Aggiornare le stringhe di connessione nel codice dell'applicazione in modo che facciano riferimento alla chiave di accesso secondaria per l'account di archiviazione.
Chiamare il comando New-Az Archiviazione AccountKey per rigenerare la chiave di accesso primaria, come illustrato nell'esempio seguente:
```
New-AzStorageAccountKey -ResourceGroupName <resource-group> `
  -Name <storage-account> `
  -KeyName key1
```
Aggiornare le stringhe di connessione nel codice in modo che facciano riferimento alla nuova chiave di accesso primaria.
Rigenerare la chiave di accesso secondaria nello stesso modo. Per rigenerare la chiave secondaria, usare key2 come nome della key1chiave anziché .

Per ruotare le chiavi di accesso dell'account di archiviazione con l'interfaccia della riga di comando di Azure:

Aggiornare le stringhe di connessione nel codice dell'applicazione in modo che facciano riferimento alla chiave di accesso secondaria per l'account di archiviazione.
Chiamare il comando az storage account keys renew per rigenerare la chiave di accesso primaria, come illustrato nell'esempio seguente:
```
az storage account keys renew \
  --resource-group <resource-group> \
  --account-name <storage-account> \
  --key primary
```
Aggiornare le stringhe di connessione nel codice in modo che facciano riferimento alla nuova chiave di accesso primaria.
Rigenerare la chiave di accesso secondaria nello stesso modo. Per rigenerare la chiave secondaria, usare secondary come nome della primarychiave anziché .

Attenzione

Microsoft consiglia di usare solo una delle chiavi in tutte le applicazioni contemporaneamente. Se si usa la Chiave 1 in alcune posizioni e la Chiave 2 in altre, non si potranno ruotare le chiavi senza quale applicazione perda l'accesso.

Per ruotare le chiavi di accesso di un account, l'utente deve essere un Amministratore del servizio o deve essere assegnato a un ruolo di Azure che includa Microsoft.Storage/storageAccounts/regeneratekey/action. Alcuni ruoli predefiniti di Azure che includono questa azione sono i ruoli proprietario, collaboratore e Archiviazione ruolo del servizio dell'operatore chiave dell'account. Per altre informazioni sul ruolo service Amministrazione istrator, vedere Ruoli di Azure, ruoli di Microsoft Entra e ruoli di amministratore della sottoscrizione classica. Per informazioni dettagliate sui ruoli predefiniti di Azure per Archiviazione di Azure, vedere la sezione Archiviazione in Ruoli predefiniti di Azure per il controllo degli accessi in base al ruolo di Azure.

Creare un criterio di scadenza della chiave

Il criterio di scadenza della chiave consente di impostare un promemoria per la rotazione delle chiavi di accesso dell'account. Il promemoria viene visualizzato se è trascorso l'intervallo specificato e le chiavi non sono ancora state ruotate. Dopo aver creato un criterio di scadenza della chiave, è possibile monitorare la conformità degli account di archiviazione per garantire che le chiavi di accesso degli account vengano ruotate regolarmente.

Nota

Prima di poter creare un criterio di scadenza della chiave, potrebbe essere necessario ruotare ognuna delle chiavi di accesso dell'account almeno una volta.

Per creare un criterio di scadenza della chiave nel portale di Azure:

Nel portale di Azure passare all'account di archiviazione.
In Sicurezza e rete selezionare Chiavi di accesso. Verranno visualizzate le chiavi di accesso dell'account, con la stringa di connessione completa per ogni chiave.
Selezionare il pulsante Imposta promemoria rotazione. Se il pulsante Imposta promemoria rotazione è disattivato, sarà necessario ruotare ognuna delle chiavi. Seguire i passaggi descritti in Ruotare manualmente i tasti di scelta per ruotare le chiavi.
In Imposta un promemoria per ruotare le chiavi di accesso selezionare la casella di controllo Abilita promemoria rotazione chiavi e impostare una frequenza per il promemoria.
Seleziona Salva.

Screenshot che mostra come creare un criterio di scadenza della chiave nel portale di Azure

Per creare un criterio di scadenza della chiave con PowerShell, usare il comando Set-Az Archiviazione Account e impostare il -KeyExpirationPeriodInDay parametro sull'intervallo in giorni fino alla rotazione della chiave di accesso.

La KeyCreationTime proprietà indica quando le chiavi di accesso dell'account sono state create o ruotate per l'ultima volta. Gli account meno recenti possono avere un valore Null per la KeyCreationTime proprietà perché non è ancora stato impostato. Se la KeyCreationTime proprietà è Null, non è possibile creare un criterio di scadenza della chiave fino a quando non si ruotano le chiavi. Per questo motivo, è consigliabile controllare la KeyCreationTime proprietà per l'account di archiviazione prima di tentare di impostare i criteri di scadenza della chiave.

Nell'esempio seguente viene verificato se la KeyCreationTime proprietà è stata impostata per ogni chiave. Se la KeyCreationTime proprietà ha un valore, viene creato un criterio di scadenza della chiave per l'account di archiviazione. Ricordare di sostituire i valori segnaposto tra parentesi con i valori personalizzati.

$rgName = "<resource-group>"
$accountName = "<account-name>"

$account = Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName

# Check whether the KeyCreationTime property has a value for each key 
# before creating the key expiration policy.
if ($account.KeyCreationTime.Key1 -eq $null -or $account.KeyCreationTime.Key2 -eq $null)
{
    Write-Host("You must regenerate both keys at least once before setting expiration policy")
}
else
{
    $account = Set-AzStorageAccount -ResourceGroupName $rgName -Name `
        $accountName  -KeyExpirationPeriodInDay 60
}

È anche possibile impostare i criteri di scadenza della chiave durante la creazione di un account di archiviazione impostando il -KeyExpirationPeriodInDay parametro del comando New-Az Archiviazione Account.

Per verificare che i criteri siano stati applicati, controllare la proprietà dell'account di KeyPolicy archiviazione.

$account.KeyPolicy

Per creare un criterio di scadenza della chiave con l'interfaccia della riga di comando di Azure, usare il comando az storage account update e impostare il --key-exp-days parametro sull'intervallo in giorni fino alla rotazione della chiave di accesso.

La keyCreationTime proprietà indica quando le chiavi di accesso dell'account sono state create o ruotate per l'ultima volta. Gli account meno recenti possono avere un valore Null per la keyCreationTime proprietà perché non è ancora stato impostato. Se la keyCreationTime proprietà è Null, non è possibile creare un criterio di scadenza della chiave fino a quando non si ruotano le chiavi. Per questo motivo, è consigliabile controllare la keyCreationTime proprietà per l'account di archiviazione prima di tentare di impostare i criteri di scadenza della chiave.

Nell'esempio seguente viene verificato se la keyCreationTime proprietà è stata impostata per ogni chiave. Se la keyCreationTime proprietà ha un valore, viene creato un criterio di scadenza della chiave per l'account di archiviazione. Ricordare di sostituire i valori segnaposto tra parentesi con i valori personalizzati.

key1_create_time=$(az storage account show \
    --name <storage-account> \
    --resource-group <resource-group> \
    --query 'keyCreationTime.key1' \
    --output tsv)
key2_create_time=$(az storage account show \
    --name <storage-account> \
    --resource-group <resource-group> \
    --query 'keyCreationTime.key2' \
    --output tsv)

if [ -z "$key1_create_time" ] || [ -z "$key2_create_time" ]; 
then
    echo "You must regenerate both keys at least once before setting expiration policy"
else
    az storage account update \
        --name <storage-account> \
        --resource-group <resource-group> \
        --key-exp-days 60
fi

È anche possibile impostare i criteri di scadenza della chiave durante la creazione di un account di archiviazione impostando il --key-exp-days parametro del comando az storage account create .

Per verificare che i criteri siano stati applicati, chiamare il comando az storage account show e usare la stringa {KeyPolicy:keyPolicy} per il -query parametro .

az storage account show \
  -n <storage-account-name> \
  -g <resource-group-name> \
  --query "{KeyPolicy:keyPolicy}"

Il periodo di scadenza della chiave viene visualizzato nell'output della console.

{
  "KeyPolicy": {
    "enableAutoRotation": false,
    "keyExpirationPeriodInDays": 60
  }
}

Verificare la presenza di violazioni del criterio di scadenza della chiave

È possibile monitorare gli account di archiviazione con Criteri di Azure per garantire che le chiavi di accesso dell'account siano state ruotate entro il periodo consigliato. Archiviazione di Azure offre criteri predefiniti per garantire che le chiavi di accesso dell'account di archiviazione non siano scadute. Per altre informazioni sui criteri predefiniti, vedere Archiviazione chiavi dell'account non devono essere scadute in Elenco di definizioni di criteri predefiniti.

Assegnare il criterio predefinito per un ambito della risorsa

Eseguire i passaggi seguenti per assegnare il criterio predefinito all'ambito appropriato nel portale di Azure:

Nel Portale di Azure, cercare Criteri per visualizzare il dashboard di Criteri di Azure.
Nella sezione Creazione, selezionare Assegnazioni.
Scegliere Assegna criterio.
Nella scheda Dati principali della pagina Assegna criterio, all’interno della sezione Ambito, specificare l'ambito per l'assegnazione del criterio. Selezionare il pulsante Altro per scegliere la sottoscrizione e il gruppo di risorse facoltativo.
Per il campo Definizione criterio, selezionare il pulsante Altro e immettere le chiavi dell'account di archiviazione nel campo Cerca. Selezionare la definizione del criterio denominata Le chiavi dell'account di archiviazione non devono essere scadute.
Selezionare Rivedi e crea per assegnare la definizione del criterio all'ambito specificato.

Monitorare la conformità al criterio di scadenza della chiave

Per monitorare la conformità degli account di archiviazione al criterio di scadenza della chiave, eseguire i passaggi seguenti:

Nel dashboard di Criteri di Azure, individuare la definizione del criterio predefinito per l'ambito specificato nell'assegnazione del criterio. È possibile cercare Archiviazione chiavi dell'account non devono essere scadute nella casella di ricerca per filtrare i criteri predefiniti.
Selezionare il nome del criterio con l'ambito desiderato.
Nella pagina Assegnazione del criterio per il criterio predefinito selezionare Visualizza conformità. Tutti gli account di archiviazione nella sottoscrizione e nel gruppo di risorse specificati che non soddisfano i requisiti del criterio vengono visualizzati nel rapporto di conformità.

Per rendere conforme un account di archiviazione, ruotare le chiavi di accesso dell'account.

Share via