Een verloopbeleid voor handtekeningen voor gedeelde toegang configureren

U kunt een Shared Access Signature (SAS) gebruiken om toegang tot resources in uw Azure Storage-account te delegeren. Een SAS-token bevat de doelresource, de verleende machtigingen en het interval waarvoor toegang is toegestaan. Aanbevolen procedures raden u aan om het interval voor een SAS te beperken voor het geval dit wordt aangetast. Door een SAS-verloopbeleid in te stellen voor uw opslagaccounts, kunt u een aanbevolen bovenverlooplimiet opgeven wanneer een gebruiker een SAS voor gebruikersdelegatie, een service-SAS of een account-SAS maakt.

Zie Beperkte toegang verlenen tot Azure Storage-resources met behulp van Sas (Shared Access Signatures ) voor meer informatie over handtekeningen voor gedeelde toegang.

Belangrijk

Voor scenario's waarin handtekeningen voor gedeelde toegang worden gebruikt, raadt Microsoft aan een SAS voor gebruikersdelegering te gebruiken. Een SAS voor gebruikersdelegering wordt beveiligd met Microsoft Entra-referenties in plaats van de accountsleutel, die superieure beveiliging biedt.

Over sas-verloopbeleid

U kunt een SAS-verloopbeleid configureren voor het opslagaccount. Het SAS-verloopbeleid specificeert de aanbevolen bovengrens voor het ondertekende verloopveld voor een SAS voor gebruikersdelegatie, een service-SAS of een account-SAS. De aanbevolen bovengrens wordt opgegeven als een datum/tijd-waarde die een gecombineerd aantal dagen, uren, minuten en seconden is.

Het geldigheidsinterval voor de SAS wordt berekend door de datum-/tijdwaarde van het ondertekende beginveld af te trekken van de datum-/tijdwaarde van het ondertekende verloopveld. Als de resulterende waarde kleiner is dan of gelijk is aan de aanbevolen bovengrens, voldoet de SAS aan het SAS-verloopbeleid.

Nadat u het SAS-verloopbeleid hebt geconfigureerd, ziet elke gebruiker die een SAS maakt met een interval dat de aanbevolen bovengrens overschrijdt een waarschuwing.

Een SAS-verloopbeleid voorkomt niet dat een gebruiker een SAS maakt met een vervaldatum die de limiet overschrijdt die door het beleid wordt aanbevolen. Wanneer een gebruiker een SAS maakt die het beleid schendt, zien ze een waarschuwing, samen met het aanbevolen maximuminterval. Als u een diagnostische instelling hebt geconfigureerd voor logboekregistratie met Azure Monitor, schrijft Azure Storage een bericht naar de eigenschap SasExpiryStatus in de logboeken wanneer een gebruiker een SAS gebruikt die na het aanbevolen interval verloopt. Het bericht geeft aan dat het geldigheidsinterval van de SAS het aanbevolen interval overschrijdt.

Wanneer een SAS-verloopbeleid van kracht is voor het opslagaccount, is het ondertekende beginveld vereist voor elke SAS. Als het ondertekende beginveld niet is opgenomen in de SAS en u een diagnostische instelling hebt geconfigureerd voor logboekregistratie met Azure Monitor, schrijft Azure Storage een bericht naar de eigenschap SasExpiryStatus in de logboeken wanneer een gebruiker een SAS zonder waarde voor het ondertekende beginveld gebruikt .

Een SAS-verloopbeleid configureren

Wanneer u een SAS-verloopbeleid voor een opslagaccount configureert, is het beleid van toepassing op elk type SAS: SAS voor gebruikersdelegatie, service-SAS en account-SAS. Sas-typen services en accounts worden ondertekend met de accountsleutel, terwijl SAS voor gebruikersdelegering is ondertekend met Microsoft Entra-referenties.

Notitie

Een SAS voor gebruikersdelegatie is ondertekend met een gebruikersdelegatiesleutel, die wordt verkregen met behulp van Microsoft Entra-referenties. De gebruikersdelegeringssleutel heeft een eigen verloopinterval dat niet onderhevig is aan het SAS-verloopbeleid. Het SAS-verloopbeleid is alleen van toepassing op de SAS voor gebruikersdelegatie, niet op de gebruikersdelegeringssleutel waarmee het is ondertekend.

Een SAS voor gebruikersdelegatie heeft een maximaal verloopinterval van 7 dagen, ongeacht het SAS-verloopbeleid. Als het SAS-verloopbeleid is ingesteld op een waarde die langer is dan 7 dagen, heeft het beleid geen effect voor een SAS voor gebruikersdelegatie. Als de gebruikersdelegeringssleutel is verlopen, is een SAS voor gebruikersdelegering die met die sleutel is ondertekend, ongeldig en wordt er een fout geretourneerd bij een poging om de SAS te gebruiken.

Moet ik eerst de toegangssleutels van het account roteren?

Deze sectie is van toepassing op service-SAS- en account-SAS-typen, die zijn ondertekend met de accountsleutel. Voordat u een SAS-verloopbeleid kunt configureren, moet u mogelijk ten minste één keer de toegangssleutels van uw account roteren. Als de eigenschap keyCreationTime van het opslagaccount een null-waarde heeft voor een van de toegangssleutels van het account (key1 en key2), moet u deze draaien. Zie De aanmaaktijd van de accounttoegangssleutels voor een opslagaccount ophalen om te bepalen of de eigenschap keyCreationTime null is. Als u probeert een SAS-verloopbeleid te configureren en de sleutels eerst moeten worden geroteerd, mislukt de bewerking.

Een SAS-verloopbeleid configureren

U kunt een SAS-verloopbeleid configureren met behulp van Azure Portal, PowerShell of Azure CLI.

Azure-portal

Volg deze stappen om een SAS-verloopbeleid te configureren in Azure Portal:

1. Ga in het Navigeer naar uw opslagaccount in de Azure-portal.

2. Selecteer onder Instellingen de optie Configuratie.

3. Zoek de instelling aanbevolen bovengrens toestaan voor het verloopinterval voor Shared Access Signature (SAS) en stel deze in op Ingeschakeld.

   Notitie

   Als de instelling grijs wordt weergegeven en u het bericht in de onderstaande afbeelding ziet, moet u beide accounttoegangssleutels roteren voordat u de aanbevolen bovengrens voor sas-verloopintervalwaarden kunt instellen:

   

4. Geef de tijdwaarden op onder Aanbevolen bovengrens voor het verloopinterval van SAS voor het aanbevolen interval voor nieuwe handtekeningen voor gedeelde toegang die zijn gemaakt op resources in dit opslagaccount.

   

5. Selecteer Opslaan om uw wijzigingen op te slaan.

PowerShell

Als u een SAS-verloopbeleid wilt configureren, gebruikt u de opdracht Set-AzStorageAccount en stelt u de -SasExpirationPeriod parameter in op het aantal dagen, uren, minuten en seconden dat een SAS-token actief kan zijn vanaf het moment dat een SAS is ondertekend. De tekenreeks die u voor de -SasExpirationPeriod parameter opgeeft, gebruikt de volgende indeling: <days>.<hours>:<minutes>:<seconds> Als u bijvoorbeeld wilt dat de SAS 1 dag, 12 uur, 5 minuten en 6 seconden na ondertekening verloopt, gebruikt u de tekenreeks 1.12:05:06.

$account = Set-AzStorageAccount -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -SasExpirationPeriod <days>.<hours>:<minutes>:<seconds>

Tip

U kunt ook het SAS-verloopbeleid instellen terwijl u een opslagaccount maakt door de -SasExpirationPeriod parameter van de opdracht New-AzStorageAccount in te stellen.

Notitie

Als er een foutbericht wordt weergegeven dat de aanmaaktijd voor een sleutel niet is ingesteld, roteert u de toegangssleutels van het account en probeert u het opnieuw.

Als u wilt controleren of het beleid is toegepast, controleert u de SasPolicy-eigenschap van het opslagaccount.

$account.SasPolicy

De SAS-verloopperiode wordt weergegeven in de console-uitvoer.

Azure-CLI

Als u een SAS-verloopbeleid wilt configureren, gebruikt u de opdracht az storage account update en stelt u de --key-exp-days parameter in op het aantal dagen, uren, minuten en seconden dat een SAS-token actief kan zijn vanaf het moment dat een SAS is ondertekend. De tekenreeks die u voor de --key-exp-days parameter opgeeft, gebruikt de volgende indeling: <days>.<hours>:<minutes>:<seconds> Als u bijvoorbeeld wilt dat de SAS 1 dag, 12 uur, 5 minuten en 6 seconden na ondertekening verloopt, gebruikt u de tekenreeks 1.12:05:06.

az storage account update \
  --name <storage-account> \
  --resource-group <resource-group> \
  --sas-exp <days>.<hours>:<minutes>:<seconds>

Tip

U kunt ook het SAS-verloopbeleid instellen terwijl u een opslagaccount maakt door de --key-exp-days parameter van de opdracht az storage account create in te stellen.

Notitie

Als er een foutbericht wordt weergegeven dat de aanmaaktijd voor een sleutel niet is ingesteld, roteert u de toegangssleutels van het account en probeert u het opnieuw.

Als u wilt controleren of het beleid is toegepast, roept u de opdracht az storage account show aan en gebruikt u de tekenreeks {SasPolicy:sasPolicy} voor de -query parameter.

az storage account show \
  --name <storage-account> \
  --resource-group <resource-group> \
  --query "{SasPolicy:sasPolicy}"

De SAS-verloopperiode wordt weergegeven in de console-uitvoer.

{
  "SasPolicy": {
    "expirationAction": "Log",
    "sasExpirationPeriod": "1.12:05:06"
  }
}

Querylogboeken uitvoeren op beleidsschendingen

Als u het gebruik van een SAS wilt vastleggen dat langer duurt dan het SAS-verloopbeleid aanbeveelt, maakt u eerst een diagnostische instelling waarmee logboeken worden verzonden naar een Azure Log Analytics-werkruimte. Zie Logboeken verzenden naar Azure Log Analytics voor meer informatie.

Gebruik vervolgens een Azure Monitor-logboekquery om te controleren of het beleid is geschonden. Maak een nieuwe query in uw Log Analytics-werkruimte, voeg de volgende querytekst toe en druk op Uitvoeren.

StorageBlobLogs 
| where SasExpiryStatus startswith "Policy violated"
| summarize count() by AccountName, SasExpiryStatus

Een ingebouwd beleid gebruiken om naleving te bewaken

U kunt uw opslagaccounts bewaken met Azure Policy om ervoor te zorgen dat opslagaccounts in uw abonnement SAS-verloopbeleid hebben geconfigureerd. Azure Storage biedt een ingebouwd beleid om ervoor te zorgen dat deze instelling is geconfigureerd voor accounts. Zie Opslagaccounts moeten sas-beleidsregels (Shared Access Signature) hebben geconfigureerd in lijst met ingebouwde beleidsdefinities voor meer informatie over het ingebouwde beleid.

Het ingebouwde beleid toewijzen voor een resourcebereik

Volg deze stappen om het ingebouwde beleid toe te wijzen aan het juiste bereik in Azure Portal:

1. Zoek in Azure Portal naar Beleid om het Azure Policy-dashboard weer te geven.

2. Selecteer Opdrachten in de sectie Ontwerpen.

3. Kies Beleid toewijzen.

4. Geef op het tabblad Basisbeginselen van de pagina Beleid toewijzen in de sectie Bereik het bereik voor de beleidstoewijzing op. Selecteer de knop Meer om het abonnement en de optionele resourcegroep te kiezen.

5. Selecteer voor het veld Beleidsdefinitie de knop Meer en voer opslagaccountsleutels in het veld Zoeken in. Selecteer de beleidsdefinitie met de naam Opslagaccountsleutels mag niet verlopen zijn.

   

6. Selecteer Beoordelen en maken om de beleidsdefinitie toe te wijzen aan het opgegeven bereik.

   

Naleving controleren van het verloopbeleid voor sleutels

Volg deze stappen om uw opslagaccounts te controleren op naleving van het verloopbeleid voor sleutels:

1. Zoek op het Dashboard van Azure Policy de ingebouwde beleidsdefinitie voor het bereik dat u hebt opgegeven in de beleidstoewijzing. U kunt zoeken Storage accounts should have shared access signature (SAS) policies configured in het zoekvak om te filteren op het ingebouwde beleid.

2. Selecteer de beleidsnaam met het gewenste bereik.

3. Selecteer Op de pagina Beleidstoewijzing voor het ingebouwde beleid de optie Naleving weergeven. Opslagaccounts in het opgegeven abonnement en de resourcegroep die niet voldoen aan de beleidsvereisten, worden weergegeven in het nalevingsrapport.

   

Als u een opslagaccount in overeenstemming wilt brengen, configureert u een SAS-verloopbeleid voor dat account, zoals beschreven in Een SAS-verloopbeleid configureren.

Zie ook

• Beperkte toegang verlenen tot Azure Storage-resources door middel van een SAS
• Een service-SAS maken
• Een account-SAS maken