Gestire le chiavi di accesso all'account di archiviazione

Quando si crea un account di archiviazione, Azure genera due chiavi di accesso all'account di archiviazione a 512 bit per tale account. Queste chiavi possono essere usate per autorizzare l'accesso ai dati nell'account di archiviazione tramite l'autorizzazione di chiave condivisa.

Microsoft consiglia di usare Azure Key Vault per gestire le chiavi di accesso e di ruotare e rigenerare regolarmente le chiavi. L'uso di Azure Key Vault semplifica la rotazione delle chiavi senza interruzioni per le applicazioni. È anche possibile ruotare manualmente le chiavi.

Proteggere le chiavi di accesso

Le chiavi di accesso dell'account di archiviazione sono simili a una password radice per l'account di archiviazione. Prestare sempre attenzione a proteggere le chiavi di accesso. Usare Azure Key Vault per gestire e ruotare in modo sicuro le chiavi. Evitare di distribuire le chiavi di accesso ad altri utenti, codificarli in modo rigido o salvarli ovunque in testo normale accessibile ad altri utenti. Ruotare le chiavi se si ritiene che siano state compromesse.

Importante

Microsoft consiglia di usare Azure Active Directory (Azure AD) per autorizzare le richieste sui dati BLOB e code, se possibile, anziché usare le chiavi dell'account (autorizzazione chiave condivisa). L'autorizzazione con Azure AD offre una maggiore sicurezza e facilità d'uso tramite l'autorizzazione di chiave condivisa.

Per proteggere un account di archiviazione di Azure con criteri di accesso condizionale di Azure AD, è necessario impedire l'autorizzazione della chiave condivisa per l'account di archiviazione. Per altre informazioni su come impedire l'autorizzazione di chiave condivisa, vedere Impedire l'autorizzazione della chiave condivisa per un account di archiviazione di Azure.

Visualizzare le chiavi di accesso all'account

È possibile visualizzare e copiare le chiavi di accesso dell'account con l'interfaccia della riga di comando di Portale di Azure, PowerShell o Azure. Il portale di Azure fornisce anche una stringa di connessione per l'account di archiviazione che è possibile copiare.

Per visualizzare e copiare le chiavi di accesso dell'account di archiviazione o la stringa di connessione dalla portale di Azure:

  1. Nel portale di Azure passare all'account di archiviazione.

  2. In Sicurezza e rete selezionare Chiavi di accesso. Verranno visualizzate le chiavi di accesso dell'account, con la stringa di connessione completa per ogni chiave.

  3. Selezionare Mostra chiavi per visualizzare le chiavi di accesso e le stringhe di connessione e per abilitare i pulsanti per copiare i valori.

  4. In key1 trovare il valore Chiave . Selezionare il pulsante Copia per copiare la chiave dell'account.

  5. In alternativa, è possibile copiare l'intera stringa di connessione. In key1 trovare il valore della stringa di connessione . Selezionare il pulsante Copia per copiare la stringa di connessione.

    Screenshot che mostra come visualizzare le chiavi di accesso nel portale di Azure

È possibile usare una delle due chiavi per accedere ad Archiviazione di Azure, ma in generale è consigliabile usare la prima chiave e riservare l'uso della seconda chiave per quando si ruotano le chiavi.

Per visualizzare o leggere le chiavi di accesso di un account, l'utente deve essere un amministratore del servizio o deve essere assegnato un ruolo di Azure che include Microsoft.Storage/storageAccounts/listkeys/action. Alcuni ruoli predefiniti di Azure che includono questa azione sono i ruoli proprietario, collaboratore e ruolo del servizio dell'operatore chiave dell'account di archiviazione . Per altre informazioni sul ruolo amministratore del servizio, vedere Ruoli di amministratore della sottoscrizione classica, ruoli di Azure e ruoli di Azure AD. Per informazioni dettagliate sui ruoli predefiniti per Archiviazione di Azure, vedere la sezione Archiviazione nei ruoli predefiniti di Azure per Il controllo degli accessi in base al ruolo di Azure.

Usare Azure Key Vault per gestire le chiavi di accesso

Microsoft consiglia di usare Azure Key Vault per gestire e ruotare le chiavi di accesso. L'applicazione può accedere in modo sicuro alle chiavi in Key Vault, in modo da evitare di archiviarle con il codice dell'applicazione. Per altre informazioni sull'uso di Key Vault per la gestione delle chiavi, vedere gli articoli seguenti:

Ruotare manualmente le chiavi di accesso

Microsoft consiglia di ruotare periodicamente le chiavi di accesso per mantenere sicuro l'account di archiviazione. Se possibile, usare Azure Key Vault per gestire le chiavi di accesso. Se non si usa Key Vault, sarà necessario ruotare manualmente le chiavi.

Vengono assegnate due chiavi di accesso che è quindi possibile ruotare. La presenza di due chiavi garantisce che l'applicazione mantenga l'accesso ad Archiviazione di Azure durante il processo.

Avviso

La rigenerazione delle chiavi di accesso può influire sulle applicazioni o sui servizi di Azure che dipendono dalla chiave dell'account di archiviazione. I client che usano la chiave dell'account per accedere all'account di archiviazione devono essere aggiornati per usare la nuova chiave, inclusi servizi multimediali, applicazioni cloud, desktop e per dispositivi mobili e applicazioni di interfaccia utente grafica per Archiviazione di Azure, ad esempio Azure Storage Explorer.

Se si prevede di ruotare manualmente le chiavi di accesso, Microsoft consiglia di impostare un criterio di scadenza della chiave. Per altre informazioni, vedere Creare un criterio di scadenza della chiave.

Dopo aver creato i criteri di scadenza della chiave, è possibile usare Criteri di Azure per monitorare se le chiavi di un account di archiviazione sono state ruotate entro l'intervallo consigliato. Per informazioni dettagliate, vedere Verificare le violazioni dei criteri di scadenza delle chiavi.

Per ruotare le chiavi di accesso dell'account di archiviazione nel portale di Azure:

  1. Aggiornare le stringhe di connessione nel codice dell'applicazione per fare riferimento alla chiave di accesso secondaria per l'account di archiviazione.
  2. Passare all'account di archiviazione nel portale di Azure.
  3. In Sicurezza e rete selezionare Chiavi di accesso.
  4. Per rigenerare la chiave di accesso primaria per l'account di archiviazione , selezionare il pulsante Rigenera accanto alla chiave di accesso primaria.
  5. Aggiornare le stringhe di connessione nel codice in modo che facciano riferimento alla nuova chiave di accesso primaria.
  6. Rigenerare la chiave di accesso secondaria nello stesso modo.

Attenzione

Microsoft consiglia di usare solo una delle chiavi in tutte le applicazioni contemporaneamente. Se si usa la Chiave 1 in alcune posizioni e la Chiave 2 in altre, non si potranno ruotare le chiavi senza quale applicazione perda l'accesso.

Per ruotare le chiavi di accesso di un account, l'utente deve essere un amministratore del servizio o deve essere assegnato un ruolo di Azure che include Microsoft.Storage/storageAccounts/regeneratekey/action. Alcuni ruoli predefiniti di Azure che includono questa azione sono i ruoli proprietario, collaboratore e ruolo del servizio dell'operatore chiave dell'account di archiviazione . Per altre informazioni sul ruolo amministratore del servizio, vedere Ruoli di amministratore della sottoscrizione classica, ruoli di Azure e ruoli di Azure AD. Per informazioni dettagliate sui ruoli predefiniti di Azure per Archiviazione di Azure, vedere la sezione Archiviazione nei ruoli predefiniti di Azure per Il controllo degli accessi in base al ruolo di Azure.

Creare criteri di scadenza della chiave

Un criterio di scadenza della chiave consente di impostare un promemoria per la rotazione delle chiavi di accesso all'account. Il promemoria viene visualizzato se l'intervallo specificato è trascorso e le chiavi non sono ancora state ruotate. Dopo aver creato un criterio di scadenza della chiave, è possibile monitorare gli account di archiviazione per garantire che le chiavi di accesso all'account vengano ruotate regolarmente.

Nota

Prima di poter creare un criterio di scadenza della chiave, potrebbe essere necessario ruotare ognuna delle chiavi di accesso dell'account almeno una volta.

Per creare criteri di scadenza delle chiavi nel portale di Azure:

  1. Nel portale di Azure passare all'account di archiviazione.
  2. In Sicurezza e rete selezionare Chiavi di accesso. Verranno visualizzate le chiavi di accesso dell'account, con la stringa di connessione completa per ogni chiave.
  3. Selezionare il pulsante Imposta promemoria rotazione . Se il pulsante Imposta promemoria di rotazione è disattivato, sarà necessario ruotare ognuna delle chiavi. Seguire i passaggi descritti in Ruotare manualmente le chiavi di accesso per ruotare le chiavi .
  4. In Impostare un promemoria per ruotare le chiavi di accesso selezionare la casella di controllo Abilita promemoria di rotazione delle chiavi e impostare una frequenza per il promemoria.
  5. Selezionare Salva.

Screenshot che mostra come creare un criterio di scadenza della chiave nel portale di Azure

Verificare le violazioni dei criteri di scadenza delle chiavi

È possibile monitorare gli account di archiviazione con Criteri di Azure per assicurarsi che le chiavi di accesso all'account siano state ruotate entro il periodo consigliato. Archiviazione di Azure fornisce criteri predefiniti per garantire che le chiavi di accesso all'account di archiviazione non siano scadute. Per altre informazioni sui criteri predefiniti, vedere Chiavi dell'account di archiviazione non devono essere scadutenell'elenco delle definizioni dei criteri predefinite.

Assegnare i criteri predefiniti per un ambito di risorsa

Seguire questa procedura per assegnare i criteri predefiniti all'ambito appropriato nell'portale di Azure:

  1. Nella portale di Azure cercare Criteri per visualizzare il dashboard Criteri di Azure.

  2. Nella sezione Creazione selezionare Assegnazioni.

  3. Scegliere Assegna criteri.

  4. Nella scheda Nozioni di base della pagina Assegna criteri , nella sezione Ambito specificare l'ambito per l'assegnazione dei criteri. Selezionare il pulsante Altro per scegliere la sottoscrizione e il gruppo di risorse facoltativo.

  5. Per il campo Definizione criteri selezionare il pulsante Altro e immettere le chiavi dell'account di archiviazione nel campo Ricerca . Selezionare la definizione di criteri denominata Chiavi dell'account di archiviazione non devono essere scadute.

    Screenshot che mostra come selezionare i criteri predefiniti per monitorare gli intervalli di rotazione delle chiavi per gli account di archiviazione

  6. Selezionare Rivedi e crea per assegnare la definizione dei criteri all'ambito specificato.

    Screenshot che mostra come creare l'assegnazione dei criteri

Monitorare la conformità ai criteri di scadenza della chiave

Per monitorare gli account di archiviazione per la conformità ai criteri di scadenza della chiave, seguire questa procedura:

  1. Nel dashboard Criteri di Azure individuare la definizione dei criteri predefinita per l'ambito specificato nell'assegnazione dei criteri. È possibile cercare le chiavi dell'account di archiviazione non devono essere scadute nella casella di ricerca per filtrare i criteri predefiniti.

  2. Selezionare il nome del criterio con l'ambito desiderato.

  3. Nella pagina Assegnazione criteri per i criteri predefiniti selezionare Visualizza conformità. Tutti gli account di archiviazione nella sottoscrizione e nel gruppo di risorse specificati che non soddisfano i requisiti dei criteri vengono visualizzati nel report di conformità.

    Screenshot che mostra come visualizzare il report di conformità per i criteri predefiniti per la scadenza della chiave

Per portare un account di archiviazione in conformità, ruotare le chiavi di accesso all'account.

Passaggi successivi