Gestire le chiavi di accesso all'account di archiviazione

Quando si crea un account di archiviazione, Azure genera due chiavi di accesso dell'account di archiviazione a 512 bit per tale account. Queste chiavi possono essere usate per autorizzare l'accesso ai dati nell'account di archiviazione tramite l'autorizzazione con chiave condivisa o tramite token di firma di accesso condiviso firmati con la chiave condivisa.

Microsoft consiglia di usare Azure Key Vault per gestire le chiavi di accesso e di ruotare e rigenerare regolarmente le chiavi. L'uso di Azure Key Vault semplifica la rotazione delle chiavi senza interruzioni nelle applicazioni. È anche possibile ruotare manualmente le chiavi.

Proteggere le chiavi di accesso

Archiviazione chiavi di accesso dell'account forniscono l'accesso completo alla configurazione di un account di archiviazione, nonché ai dati. Prestare sempre attenzione a proteggere le chiavi di accesso. Usare Azure Key Vault per gestire e ruotare le chiavi in modo sicuro. L'accesso alla chiave condivisa concede a un utente l'accesso completo alla configurazione di un account di archiviazione e ai relativi dati. L'accesso alle chiavi condivise deve essere attentamente limitato e monitorato. Usare i token di firma di accesso condiviso con ambito limitato negli scenari in cui non è possibile usare l'autorizzazione basata su ID Entra di Microsoft. Evitare di codificare in modo rigido i tasti di scelta o di salvarli in qualsiasi punto del testo normale accessibile ad altri utenti. Ruotare le chiavi se si ritiene che potrebbero essere state compromesse.

Importante

Microsoft consiglia di usare Microsoft Entra ID per autorizzare le richieste nei dati blob, code e tabelle, se possibile, anziché usare le chiavi dell'account (autorizzazione con chiave condivisa). L'autorizzazione con Microsoft Entra ID offre maggiore sicurezza e facilità d'uso tramite l'autorizzazione con chiave condivisa. Per altre informazioni sull'uso dell'autorizzazione Di Microsoft Entra dalle applicazioni, vedere Come autenticare le applicazioni .NET con i servizi di Azure. Per le condivisioni file di Azure SMB, Microsoft consiglia di usare l'integrazione Active Directory locale Domain Services (AD DS) o l'autenticazione Kerberos di Microsoft Entra.

Per impedire agli utenti di accedere ai dati nell'account di archiviazione con chiave condivisa, è possibile impedire l'autorizzazione della chiave condivisa per l'account di archiviazione. L'accesso granulare ai dati con privilegi minimi necessari è consigliato come procedura consigliata per la sicurezza. L'autorizzazione basata su ID Entra di Microsoft deve essere usata per scenari che supportano OAuth. Kerberos o SMTP deve essere usato per File di Azure tramite SMB. Per File di Azure su REST, è possibile usare i token di firma di accesso condiviso. L'accesso con chiave condivisa deve essere disabilitato se non è necessario per evitare l'uso accidentale. Per altre informazioni, vedere Impedire l'autorizzazione con chiave condivisa per un account Archiviazione di Azure.

Per proteggere un account Archiviazione di Azure con i criteri di accesso condizionale di Microsoft Entra, è necessario non consentire l'autorizzazione della chiave condivisa per l'account di archiviazione.

Se è stato disabilitato l'accesso con chiave condivisa e viene visualizzata l'autorizzazione con chiave condivisa segnalata nei log di diagnostica, indica che l'accesso attendibile viene usato per accedere all'archiviazione. Per altri dettagli, vedere Accesso attendibile per le risorse registrate nella sottoscrizione.

Visualizzare le chiavi di accesso dell'account

È possibile visualizzare e copiare le chiavi di accesso dell'account con le portale di Azure, PowerShell o l'interfaccia della riga di comando di Azure. Il portale di Azure fornisce anche un stringa di connessione per l'account di archiviazione che è possibile copiare.

Portale

Per visualizzare e copiare le chiavi di accesso dell'account di archiviazione o stringa di connessione dal portale di Azure:

1. Nel portale di Azure passare all'account di archiviazione.

2. In Sicurezza e rete selezionare Chiavi di accesso. Verranno visualizzate le chiavi di accesso dell'account, con la stringa di connessione completa per ogni chiave.

3. Seleziona Mostra chiavi per visualizzare le tue chiavi di accesso e le stringhe di connessione e per abilitare i pulsanti per copiare i valori.

4. In key1 trovare il valore chiave . Seleziona il pulsante Copia per copiare la chiave dell'account.

5. In alternativa, è possibile copiare l'intera stringa di connessione. In key1 trovare il valore della stringa di Connessione ion. Selezionare il pulsante Copia per copiare il stringa di connessione.

   

PowerShell

Per recuperare le chiavi di accesso dell'account con PowerShell, chiamare il comando Get-Az Archiviazione AccountKey.

Nell'esempio seguente viene recuperata la prima chiave. Per recuperare la seconda chiave, usare Value[1] invece di Value[0]. Ricordarsi di sostituire i valori segnaposto tra parentesi quadre con i propri valori.

$storageAccountKey = `
    (Get-AzStorageAccountKey
    -ResourceGroupName <resource-group> `
    -Name <storage-account>).Value[0]

Interfaccia della riga di comando di Azure

Per elencare le chiavi di accesso dell'account con l'interfaccia della riga di comando di Azure, chiamare il comando az storage account keys list , come illustrato nell'esempio seguente. Ricordarsi di sostituire i valori segnaposto tra parentesi quadre con i propri valori.

az storage account keys list \
  --resource-group <resource-group> \
  --account-name <storage-account>

È possibile usare una delle due chiavi per accedere a Archiviazione di Azure, ma in generale è consigliabile usare la prima chiave e riservare l'uso della seconda chiave per quando si ruotano i tasti.

Per visualizzare o leggere le chiavi di accesso di un account, l'utente deve essere un Amministrazione istrator del servizio o deve essere assegnato un ruolo di Azure che include Microsoft.Archiviazione/storageAccounts/listkeys/action. Alcuni ruoli predefiniti di Azure che includono questa azione sono i ruoli proprietario, collaboratore e Archiviazione ruolo del servizio dell'operatore chiave dell'account. Per altre informazioni sul ruolo service Amministrazione istrator, vedere Ruoli di Azure, ruoli di Microsoft Entra e ruoli di amministratore della sottoscrizione classica. Per informazioni dettagliate sui ruoli predefiniti per Archiviazione di Azure, vedere la sezione Archiviazione in Ruoli predefiniti di Azure per il controllo degli accessi in base al ruolo di Azure.

Usare Azure Key Vault per gestire le chiavi di accesso

Microsoft consiglia di usare Azure Key Vault per gestire e ruotare le chiavi di accesso. L'applicazione può accedere in modo sicuro alle chiavi in Key Vault, in modo da evitare di archiviarle con il codice dell'applicazione. Per altre informazioni sull'uso di Key Vault per la gestione delle chiavi, vedere gli articoli seguenti:

• Gestire le chiavi dell'account di archiviazione con Azure Key Vault e PowerShell
• Gestire le chiavi dell'account di archiviazione con Azure Key Vault e l'interfaccia della riga di comando di Azure

Ruotare manualmente i tasti di scelta

Microsoft consiglia di ruotare periodicamente le chiavi di accesso per proteggere l'account di archiviazione. Se possibile, usare Azure Key Vault per gestire le chiavi di accesso. Se non si usa Key Vault, sarà necessario ruotare manualmente le chiavi.

Vengono assegnate due chiavi di accesso che è quindi possibile ruotare. La presenza di due chiavi garantisce che l'applicazione mantenga l'accesso a Archiviazione di Azure durante il processo.

Avviso

La rigenerazione delle chiavi di accesso può influire sulle applicazioni o sui servizi di Azure che dipendono dalla chiave dell'account di archiviazione. I client che usano la chiave dell'account per accedere all'account di archiviazione devono essere aggiornati per usare la nuova chiave, inclusi servizi multimediali, applicazioni cloud, desktop e per dispositivi mobili e applicazioni di interfaccia utente grafica per Archiviazione di Azure, ad esempio Azure Storage Explorer.

Inoltre, la rotazione o la rigenerazione delle chiavi di accesso revoca le firme di accesso condiviso generate in base a tale chiave. Dopo la rotazione delle chiavi di accesso, è necessario rigenerare i token di firma di accesso condiviso dell'account e del servizio per evitare interruzioni delle applicazioni. Si noti che i token di firma di accesso condiviso della delega utente sono protetti con le credenziali di Microsoft Entra e non sono interessati dalla rotazione delle chiavi.

Se si prevede di ruotare manualmente le chiavi di accesso, Microsoft consiglia di impostare un criterio di scadenza della chiave. Per altre informazioni, vedere Creare un criterio di scadenza della chiave.

Dopo aver creato i criteri di scadenza della chiave, è possibile usare Criteri di Azure per monitorare se le chiavi di un account di archiviazione sono state ruotate entro l'intervallo consigliato. Per informazioni dettagliate, vedere Verificare la presenza di violazioni dei criteri di scadenza della chiave.

Portale

Per ruotare le chiavi di accesso dell'account di archiviazione nel portale di Azure:

1. Aggiornare le stringa di connessione nel codice dell'applicazione per fare riferimento alla chiave di accesso secondaria per l'account di archiviazione.
2. Passare all'account di archiviazione nel portale di Azure.
3. In Sicurezza e rete selezionare Chiavi di accesso.
4. Per rigenerare la chiave di accesso primaria per l'account di archiviazione, selezionare il pulsante Rigenera accanto alla chiave di accesso primaria.
5. Aggiornare le stringhe di connessione nel codice in modo che facciano riferimento alla nuova chiave di accesso primaria.
6. Rigenerare la chiave di accesso secondaria nello stesso modo.

PowerShell

Per ruotare le chiavi di accesso dell'account di archiviazione con PowerShell:

1. Aggiornare le stringa di connessione nel codice dell'applicazione per fare riferimento alla chiave di accesso secondaria per l'account di archiviazione.

2. Chiamare il comando New-Az Archiviazione AccountKey per rigenerare la chiave di accesso primaria, come illustrato nell'esempio seguente:

   New-AzStorageAccountKey -ResourceGroupName <resource-group> `
     -Name <storage-account> `
     -KeyName key1
   

3. Aggiornare le stringhe di connessione nel codice in modo che facciano riferimento alla nuova chiave di accesso primaria.

4. Rigenerare la chiave di accesso secondaria nello stesso modo. Per rigenerare la chiave secondaria, usare key2 come nome della key1chiave anziché .

Interfaccia della riga di comando di Azure

Per ruotare le chiavi di accesso dell'account di archiviazione con l'interfaccia della riga di comando di Azure:

1. Aggiornare le stringa di connessione nel codice dell'applicazione per fare riferimento alla chiave di accesso secondaria per l'account di archiviazione.

2. Chiamare il comando az storage account keys renew per rigenerare la chiave di accesso primaria, come illustrato nell'esempio seguente:

   az storage account keys renew \
     --resource-group <resource-group> \
     --account-name <storage-account> \
     --key primary
   

3. Aggiornare le stringhe di connessione nel codice in modo che facciano riferimento alla nuova chiave di accesso primaria.

4. Rigenerare la chiave di accesso secondaria nello stesso modo. Per rigenerare la chiave secondaria, usare secondary come nome della primarychiave anziché .

Attenzione

Microsoft consiglia di usare solo una delle chiavi in tutte le applicazioni contemporaneamente. Se si usa la Chiave 1 in alcune posizioni e la Chiave 2 in altre, non si potranno ruotare le chiavi senza quale applicazione perda l'accesso.

Per ruotare le chiavi di accesso di un account, l'utente deve essere un Amministrazione istrator del servizio o deve essere assegnato un ruolo di Azure che include Microsoft.Archiviazione/storageAccounts/regeneratekey/action. Alcuni ruoli predefiniti di Azure che includono questa azione sono i ruoli proprietario, collaboratore e Archiviazione ruolo del servizio dell'operatore chiave dell'account. Per altre informazioni sul ruolo service Amministrazione istrator, vedere Ruoli di Azure, ruoli di Microsoft Entra e ruoli di amministratore della sottoscrizione classica. Per informazioni dettagliate sui ruoli predefiniti di Azure per Archiviazione di Azure, vedere la sezione Archiviazione in Ruoli predefiniti di Azure per il controllo degli accessi in base al ruolo di Azure.

Creare un criterio di scadenza della chiave

Un criterio di scadenza della chiave consente di impostare un promemoria per la rotazione delle chiavi di accesso dell'account. Il promemoria viene visualizzato se è trascorso l'intervallo specificato e le chiavi non sono ancora state ruotate. Dopo aver creato un criterio di scadenza della chiave, è possibile monitorare la conformità degli account di archiviazione per assicurarsi che le chiavi di accesso dell'account vengano ruotate regolarmente.

Nota

Prima di poter creare un criterio di scadenza della chiave, potrebbe essere necessario ruotare ognuna delle chiavi di accesso dell'account almeno una volta.

Portale

Per creare un criterio di scadenza della chiave nel portale di Azure:

1. Nel portale di Azure passare all'account di archiviazione.
2. In Sicurezza e rete selezionare Chiavi di accesso. Verranno visualizzate le chiavi di accesso dell'account, con la stringa di connessione completa per ogni chiave.
3. Selezionare il pulsante Imposta promemoria rotazione. Se il pulsante Imposta promemoria rotazione è disattivato, sarà necessario ruotare ognuna delle chiavi. Seguire i passaggi descritti in Ruotare manualmente i tasti di scelta per ruotare le chiavi.
4. In Imposta un promemoria per ruotare le chiavi di accesso selezionare la casella di controllo Abilita promemoria rotazione chiavi e impostare una frequenza per il promemoria.
5. Seleziona Salva.

PowerShell

Per creare un criterio di scadenza della chiave con PowerShell, usare il comando Set-Az Archiviazione Account e impostare il -KeyExpirationPeriodInDay parametro sull'intervallo in giorni fino alla rotazione della chiave di accesso.

La KeyCreationTime proprietà indica quando le chiavi di accesso dell'account sono state create o ruotate per l'ultima volta. Gli account meno recenti possono avere un valore Null per la KeyCreationTime proprietà perché non è ancora stato impostato. Se la KeyCreationTime proprietà è Null, non è possibile creare un criterio di scadenza della chiave fino a quando non si ruotano le chiavi. Per questo motivo, è consigliabile controllare la KeyCreationTime proprietà per l'account di archiviazione prima di tentare di impostare i criteri di scadenza della chiave.

Nell'esempio seguente viene verificato se la KeyCreationTime proprietà è stata impostata per ogni chiave. Se la KeyCreationTime proprietà ha un valore, viene creato un criterio di scadenza della chiave per l'account di archiviazione. Ricordarsi di sostituire i valori segnaposto tra parentesi quadre con i propri valori.

$rgName = "<resource-group>"
$accountName = "<account-name>"

$account = Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName

# Check whether the KeyCreationTime property has a value for each key 
# before creating the key expiration policy.
if ($account.KeyCreationTime.Key1 -eq $null -or $account.KeyCreationTime.Key2 -eq $null)
{
    Write-Host("You must regenerate both keys at least once before setting expiration policy")
}
else
{
    $account = Set-AzStorageAccount -ResourceGroupName $rgName -Name `
        $accountName  -KeyExpirationPeriodInDay 60
}

È anche possibile impostare i criteri di scadenza della chiave durante la creazione di un account di archiviazione impostando il -KeyExpirationPeriodInDay parametro del comando New-Az Archiviazione Account.

Per verificare che i criteri siano stati applicati, controllare la proprietà dell'account di KeyPolicy archiviazione.

$account.KeyPolicy

Interfaccia della riga di comando di Azure

Per creare un criterio di scadenza della chiave con l'interfaccia della riga di comando di Azure, usare il comando az storage account update e impostare il --key-exp-days parametro sull'intervallo in giorni fino alla rotazione della chiave di accesso.

La keyCreationTime proprietà indica quando le chiavi di accesso dell'account sono state create o ruotate per l'ultima volta. Gli account meno recenti possono avere un valore Null per la keyCreationTime proprietà perché non è ancora stato impostato. Se la keyCreationTime proprietà è Null, non è possibile creare un criterio di scadenza della chiave fino a quando non si ruotano le chiavi. Per questo motivo, è consigliabile controllare la keyCreationTime proprietà per l'account di archiviazione prima di tentare di impostare i criteri di scadenza della chiave.

Nell'esempio seguente viene verificato se la keyCreationTime proprietà è stata impostata per ogni chiave. Se la keyCreationTime proprietà ha un valore, viene creato un criterio di scadenza della chiave per l'account di archiviazione. Ricordarsi di sostituire i valori segnaposto tra parentesi quadre con i propri valori.

key1_create_time=$(az storage account show \
    --name <storage-account> \
    --resource-group <resource-group> \
    --query 'keyCreationTime.key1' \
    --output tsv)
key2_create_time=$(az storage account show \
    --name <storage-account> \
    --resource-group <resource-group> \
    --query 'keyCreationTime.key2' \
    --output tsv)

if [ -z "$key1_create_time" ] || [ -z "$key2_create_time" ]; 
then
    echo "You must regenerate both keys at least once before setting expiration policy"
else
    az storage account update \
        --name <storage-account> \
        --resource-group <resource-group> \
        --key-exp-days 60
fi

È anche possibile impostare i criteri di scadenza della chiave durante la creazione di un account di archiviazione impostando il --key-exp-days parametro del comando az storage account create .

Per verificare che i criteri siano stati applicati, chiamare il comando az storage account show e usare la stringa {KeyPolicy:keyPolicy} per il -query parametro .

az storage account show \
  -n <storage-account-name> \
  -g <resource-group-name> \
  --query "{KeyPolicy:keyPolicy}"

Il periodo di scadenza della chiave viene visualizzato nell'output della console.

{
  "KeyPolicy": {
    "enableAutoRotation": false,
    "keyExpirationPeriodInDays": 60
  }
}

Verificare la presenza di violazioni dei criteri di scadenza della chiave

È possibile monitorare gli account di archiviazione con Criteri di Azure per assicurarsi che le chiavi di accesso dell'account siano state ruotate entro il periodo consigliato. Archiviazione di Azure fornisce criteri predefiniti per garantire che le chiavi di accesso dell'account di archiviazione non siano scadute. Per altre informazioni sui criteri predefiniti, vedere Archiviazione chiavi dell'account non devono essere scadute in Elenco di definizioni di criteri predefiniti.

Assegnare i criteri predefiniti per un ambito di risorsa

Seguire questa procedura per assegnare i criteri predefiniti all'ambito appropriato nel portale di Azure:

1. Nella portale di Azure cercare Criteri per visualizzare il dashboard Criteri di Azure.

2. Nella sezione Creazione selezionare Assegnazioni.

3. Scegliere Assegna criterio.

4. Nella sezione Ambito della scheda Informazioni di base della pagina Assegna criteri specificare l'ambito per l'assegnazione dei criteri. Selezionare il pulsante Altro per scegliere la sottoscrizione e il gruppo di risorse facoltativo.

5. Per il campo Definizione criteri selezionare il pulsante Altro e immettere le chiavi dell'account di archiviazione nel campo Cerca . Selezionare la definizione di criteri denominata Archiviazione chiavi dell'account non deve essere scaduta.

   

6. Selezionare Rivedi e crea per assegnare la definizione dei criteri all'ambito specificato.

   

Monitorare la conformità ai criteri di scadenza della chiave

Per monitorare la conformità degli account di archiviazione ai criteri di scadenza della chiave, seguire questa procedura:

1. Nel dashboard Criteri di Azure individuare la definizione dei criteri predefinita per l'ambito specificato nell'assegnazione dei criteri. È possibile cercare Archiviazione chiavi dell'account non devono essere scadute nella casella di ricerca per filtrare i criteri predefiniti.

2. Selezionare il nome del criterio con l'ambito desiderato.

3. Nella pagina Assegnazione criteri per i criteri predefiniti selezionare Visualizza conformità. Tutti gli account di archiviazione nella sottoscrizione e nel gruppo di risorse specificati che non soddisfano i requisiti dei criteri vengono visualizzati nel report di conformità.

   

Per rendere conforme un account di archiviazione, ruotare le chiavi di accesso dell'account.

Passaggi successivi

• Panoramica dell'account di archiviazione di Azure
• Creare un account di archiviazione
• Impedire l'autorizzazione della chiave condivisa per un account Archiviazione di Azure