Configurare un criterio di scadenza per le firme di accesso condiviso

Articolo
11/08/2023

È possibile usare una firma di accesso condiviso per delegare l'accesso alle risorse nell'account Archiviazione di Azure. Un token di firma di accesso condiviso include la risorsa di destinazione, le autorizzazioni concesse e l'intervallo in cui è consentito l'accesso. Le procedure consigliate consigliano di limitare l'intervallo per una firma di accesso condiviso in caso di compromissione. Impostando un criterio di scadenza della firma di accesso condiviso per gli account di archiviazione, è possibile fornire un limite di scadenza superiore consigliato quando un utente crea una firma di accesso condiviso del servizio o una firma di accesso condiviso dell'account.

Per altre informazioni sulle firme di accesso condiviso, vedere Concedere accesso limitato alle risorse di archiviazione di Azure tramite firme di accesso condiviso.

Informazioni sui criteri di scadenza della firma di accesso condiviso

È possibile configurare criteri di scadenza della firma di accesso condiviso nell'account di archiviazione. Il criterio di scadenza della firma di accesso condiviso specifica il limite superiore consigliato per il campo di scadenza firmato in una firma di accesso condiviso del servizio o in una firma di accesso condiviso dell'account. Il limite massimo consigliato viene specificato come valore di data/ora che è un numero combinato di giorni, ore, minuti e secondi.

L'intervallo di validità per la firma di accesso condiviso viene calcolato sottraendo il valore di data/ora del campo di inizio firmato dal valore di data/ora del campo di scadenza firmato. Se il valore risultante è minore o uguale al limite superiore consigliato, la firma di accesso condiviso è conforme ai criteri di scadenza della firma di accesso condiviso.

Dopo aver configurato i criteri di scadenza della firma di accesso condiviso, qualsiasi utente che crea una firma di accesso condiviso del servizio o una firma di accesso condiviso con un intervallo che supera il limite massimo consigliato visualizzerà un avviso.

Un criterio di scadenza della firma di accesso condiviso non impedisce a un utente di creare una firma di accesso condiviso con una scadenza che supera il limite consigliato dai criteri. Quando un utente crea una firma di accesso condiviso che viola i criteri, viene visualizzato un avviso, insieme all'intervallo massimo consigliato. Se è stata configurata un'impostazione di diagnostica per la registrazione con Monitoraggio di Azure, Archiviazione di Azure scrive un messaggio nella proprietà SasExpiryStatus nei log ogni volta che un utente usa una firma di accesso condiviso che scade dopo l'intervallo consigliato. Il messaggio indica che l'intervallo di validità della firma di accesso condiviso supera l'intervallo consigliato.

Quando un criterio di scadenza della firma di accesso condiviso è attivo per l'account di archiviazione, il campo iniziale firmato è necessario per ogni firma di accesso condiviso. Se il campo iniziale firmato non è incluso nella firma di accesso condiviso ed è stata configurata un'impostazione di diagnostica per la registrazione con Monitoraggio di Azure, Archiviazione di Azure scrive un messaggio nella proprietà SasExpiryStatus nei log ogni volta che un utente usa una firma di accesso condiviso senza un valore per il campo iniziale firmato.

Configurare un criterio di scadenza della firma di accesso condiviso

Quando si configura un criterio di scadenza della firma di accesso condiviso in un account di archiviazione, il criterio si applica a ogni tipo di firma di accesso condiviso firmato con la chiave dell'account. I tipi di firme di accesso condiviso firmate con la chiave dell'account sono la firma di accesso condiviso del servizio e la firma di accesso condiviso dell'account.

È prima necessario ruotare le chiavi di accesso dell'account?

Prima di poter configurare un criterio di scadenza della firma di accesso condiviso, potrebbe essere necessario ruotare ognuna delle chiavi di accesso dell'account almeno una volta. Se la proprietà keyCreationTime dell'account di archiviazione ha un valore Null per una delle chiavi di accesso dell'account (key1 e key2), sarà necessario ruotarle. Per determinare se la proprietà keyCreationTime è null, vedere Ottenere l'ora di creazione delle chiavi di accesso dell'account per un account di archiviazione. Se si tenta di configurare un criterio di scadenza della firma di accesso condiviso e le chiavi devono essere ruotate per prime, l'operazione non riesce.

Come configurare un criterio di scadenza della firma di accesso condiviso

È possibile configurare un criterio di scadenza della firma di accesso condiviso usando il portale di Azure, PowerShell o l'interfaccia della riga di comando di Azure.

Per configurare un criterio di scadenza della firma di accesso condiviso nel portale di Azure, seguire questa procedura:

Passare all'account di archiviazione nel portale di Azure.
In Impostazioni selezionare Configurazione.
Individuare l'impostazione Consenti limite superiore consigliato per l'intervallo di scadenza della firma di accesso condiviso (SAS) e impostarlo su Abilitato.

Nota

Se l'impostazione è disattivata e viene visualizzato il messaggio visualizzato nell'immagine seguente, sarà necessario ruotare entrambe le chiavi di accesso dell'account prima di poter impostare il limite superiore consigliato per i valori di intervallo di scadenza della firma di accesso condiviso:
Specificare i valori di ora in Limite massimo consigliato per l'intervallo di scadenza della firma di accesso condiviso per l'intervallo consigliato per le nuove firme di accesso condiviso create nelle risorse in questo account di archiviazione.
Seleziona Salva per salvare le modifiche.

Per configurare un criterio di scadenza della firma di accesso condiviso, usare il comando Set-Az Archiviazione Account e quindi impostare il -SasExpirationPeriod parametro sul numero di giorni, ore, minuti e secondi in cui un token di firma di accesso condiviso può essere attivo dal momento in cui una firma di accesso condiviso è firmata. La stringa specificata dal -SasExpirationPeriod parametro usa il formato seguente: <days>.<hours>:<minutes>:<seconds>. Ad esempio, se si vuole che la firma di accesso condiviso scada 1 giorno, 12 ore, 5 minuti e 6 secondi dopo la firma, si userà la stringa 1.12:05:06.

$account = Set-AzStorageAccount -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -SasExpirationPeriod <days>.<hours>:<minutes>:<seconds>

Suggerimento

È anche possibile impostare i criteri di scadenza della firma di accesso condiviso durante la creazione di un account di archiviazione impostando il -SasExpirationPeriod parametro del comando New-Az Archiviazione Account.

Nota

Se viene visualizzato un messaggio di errore che indica che l'ora di creazione di una chiave non è stata impostata, ruotare le chiavi di accesso dell'account e riprovare.

Per verificare che i criteri siano stati applicati, controllare la proprietà SasPolicy dell'account di archiviazione.

$account.SasPolicy

Il periodo di scadenza della firma di accesso condiviso viene visualizzato nell'output della console.

SAS expiration period

Per configurare un criterio di scadenza della firma di accesso condiviso, usare il comando az storage account update e quindi impostare il --key-exp-days parametro sul numero di giorni, ore, minuti e secondi in cui un token di firma di accesso condiviso può essere attivo dal momento in cui una firma di accesso condiviso è firmata. La stringa specificata dal --key-exp-days parametro usa il formato seguente: <days>.<hours>:<minutes>:<seconds>. Ad esempio, se si vuole che la firma di accesso condiviso scada 1 giorno, 12 ore, 5 minuti e 6 secondi dopo la firma, si userà la stringa 1.12:05:06.

az storage account update \
  --name <storage-account> \
  --resource-group <resource-group> \
  --sas-exp <days>.<hours>:<minutes>:<seconds>

Suggerimento

È anche possibile impostare i criteri di scadenza della firma di accesso condiviso durante la creazione di un account di archiviazione impostando il --key-exp-days parametro del comando az storage account create .

Nota

Se viene visualizzato un messaggio di errore che indica che l'ora di creazione di una chiave non è stata impostata, ruotare le chiavi di accesso dell'account e riprovare.

Per verificare che i criteri siano stati applicati, chiamare il comando az storage account show e usare la stringa {SasPolicy:sasPolicy} per il -query parametro .

az storage account show \
  --name <storage-account> \
  --resource-group <resource-group> \
  --query "{SasPolicy:sasPolicy}"

Il periodo di scadenza della firma di accesso condiviso viene visualizzato nell'output della console.

{
  "SasPolicy": {
    "expirationAction": "Log",
    "sasExpirationPeriod": "1.12:05:06"
  }
}

Log di query per le violazioni dei criteri

Per registrare l'uso di una firma di accesso condiviso valida per un intervallo più lungo rispetto ai criteri di scadenza della firma di accesso condiviso, creare prima di tutto un'impostazione di diagnostica che invia i log a un'area di lavoro Log Analytics di Azure. Per altre informazioni, vedere Inviare log ad Azure Log Analytics.

Usare quindi una query di log di Monitoraggio di Azure per monitorare se i criteri sono stati violati. Creare una nuova query nell'area di lavoro Log Analytics, aggiungere il testo della query seguente e premere Esegui.

StorageBlobLogs 
| where SasExpiryStatus startswith "Policy violated"
| summarize count() by AccountName, SasExpiryStatus

Usare un criterio predefinito per monitorare la conformità

È possibile monitorare gli account di archiviazione con Criteri di Azure per assicurarsi che gli account di archiviazione nella sottoscrizione abbiano configurato i criteri di scadenza della firma di accesso condiviso. Archiviazione di Azure fornisce un criterio predefinito per garantire che gli account abbiano questa impostazione configurata. Per altre informazioni sui criteri predefiniti, vedere Archiviazione account devono avere criteri di firma di accesso condiviso configurati in Elenco di definizioni di criteri predefiniti.

Assegnare i criteri predefiniti per un ambito di risorsa

Seguire questa procedura per assegnare i criteri predefiniti all'ambito appropriato nel portale di Azure:

Nella portale di Azure cercare Criteri per visualizzare il dashboard Criteri di Azure.
Nella sezione Creazione selezionare Assegnazioni.
Scegliere Assegna criterio.
Nella sezione Ambito della scheda Informazioni di base della pagina Assegna criteri specificare l'ambito per l'assegnazione dei criteri. Selezionare il pulsante Altro per scegliere la sottoscrizione e il gruppo di risorse facoltativo.
Per il campo Definizione criteri selezionare il pulsante Altro e immettere le chiavi dell'account di archiviazione nel campo Cerca . Selezionare la definizione di criteri denominata Archiviazione chiavi dell'account non deve essere scaduta.
Selezionare Rivedi e crea per assegnare la definizione dei criteri all'ambito specificato.

Monitorare la conformità ai criteri di scadenza della chiave

Per monitorare la conformità degli account di archiviazione ai criteri di scadenza della chiave, seguire questa procedura:

Nel dashboard Criteri di Azure individuare la definizione dei criteri predefinita per l'ambito specificato nell'assegnazione dei criteri. È possibile cercare Storage accounts should have shared access signature (SAS) policies configured nella casella di ricerca per filtrare i criteri predefiniti.
Selezionare il nome del criterio con l'ambito desiderato.
Nella pagina Assegnazione criteri per i criteri predefiniti selezionare Visualizza conformità. Tutti gli account di archiviazione nella sottoscrizione e nel gruppo di risorse specificati che non soddisfano i requisiti dei criteri vengono visualizzati nel report di conformità.

Per rendere conforme un account di archiviazione, configurare un criterio di scadenza della firma di accesso condiviso per tale account, come descritto in Configurare i criteri di scadenza della firma di accesso condiviso.