Informazioni sulle chiavi dell'account di archiviazione
La maggior parte dei dati di Contoso viene generata o usata da applicazioni personalizzate. Le applicazioni sono scritte in linguaggi diversi.
Gli account di Archiviazione di Azure sono in grado di creare app autorizzate in Active Directory per controllare l'accesso ai dati in BLOB e code. Questo approccio di autenticazione è la soluzione migliore per le app che usano l'archiviazione BLOB o l'archiviazione code.
Per altri modelli di archiviazione, i client possono usare una chiave condivisa o un segreto condiviso. Questa opzione di autenticazione è una delle più facili da usare e supporta BLOB, file, code e tabelle. Il client incorpora la chiave condivisa nell'intestazione HTTP Authorization di ogni richiesta e l'account di archiviazione la convalida.
Ad esempio, un'applicazione può generare una richiesta GET per una risorsa BLOB:
GET http://myaccount.blob.core.windows.net/?restype=service&comp=stats
Le intestazioni HTTP controllano la versione dell'API REST, la data e la chiave condivisa codificata:
x-ms-version: 2018-03-28
Date: Wed, 23 Oct 2018 21:00:44 GMT
Authorization: SharedKey myaccount:CY1OP3O3jGFpYFbTCBimLn0Xov0vt0khH/E5Gy0fXvg=
Chiavi dell'account di archiviazione
Negli account di Archiviazione di Azure le chiavi condivise sono denominate chiavi dell'account di archiviazione. Azure crea due di queste chiavi, primaria e secondaria, per ogni account di archiviazione creato. Le chiavi consentono di accedere a qualsiasi elemento nell'account.
Le chiavi dell'account di archiviazione sono disponibili nella vista del portale di Azure dell'account di archiviazione. Nel riquadro del menu a sinistra dell'account di archiviazione selezionare Sicurezza e rete>Chiavi di accesso.
Proteggere le chiavi condivise
L'account di archiviazione ha solo due chiavi, che offrono l'accesso completo all'account. Poiché offrono l'accesso completo, usare queste chiavi solo con applicazioni interne attendibili interamente controllabili.
Se le chiavi vengono compromesse, modificarne i valori nel portale di Azure. Di seguito sono elencati diversi motivi per rigenerare le chiavi dell'account di archiviazione:
- Per motivi di sicurezza, è possibile rigenerare periodicamente le chiavi.
- Se un utente malintenzionato viola un'applicazione e ottiene la chiave hardcoded o salvata in un file di configurazione, rigenerare la chiave. La chiave compromessa può offrire all'utente malintenzionato accesso completo all'account di archiviazione.
- Se il team usa un'applicazione di Storage Explorer con la chiave dell'account di archiviazione e un membro del team lascia l'organizzazione, rigenerare la chiave. Se non si rigenera la chiave, l'applicazione continuerà a funzionare consentendo a quell'utente di accedere all'account di archiviazione.
Per aggiornare le chiavi:
- Modificare ogni app attendibile in modo che usi la chiave secondaria.
- Aggiornare la chiave primaria nel portale di Azure. Si tratta del nuovo valore della chiave secondaria.
Importante
Dopo aver aggiornato le chiavi, i client che tentano di usare il valore di chiave precedente verranno rifiutati. Assicurarsi di identificare tutti i client che usano la chiave condivisa e aggiornarli per mantenerli operativi.