Gerenciar chaves de acesso à conta de armazenamento

Quando você cria uma conta de armazenamento, o Azure gera duas chaves de acesso de conta de armazenamento de 512 bits para essa conta. Essas chaves podem ser usadas para autorizar o acesso aos dados em sua conta de armazenamento por meio de autorização de chave compartilhada ou por meio de tokens SAS assinados com a chave compartilhada.

A Microsoft recomenda que utilize o Azure Key Vault para gerir as suas chaves de acesso e que rode e regenere regularmente as suas chaves. Usar o Azure Key Vault facilita a rotação de chaves sem interrupção para seus aplicativos. Também pode rodar manualmente as suas chaves.

Proteja as suas chaves de acesso

As chaves de acesso da conta de armazenamento fornecem acesso total à configuração de uma conta de armazenamento, bem como aos dados. Tenha sempre o cuidado de proteger as suas chaves de acesso. Use o Azure Key Vault para gerenciar e girar suas chaves com segurança. O acesso à chave compartilhada concede ao usuário acesso total à configuração de uma conta de armazenamento e seus dados. O acesso a chaves partilhadas deve ser cuidadosamente limitado e monitorizado. Use tokens SAS com escopo limitado de acesso em cenários onde a autorização baseada em ID do Microsoft Entra não pode ser usada. Evite codificar chaves de acesso ou salvá-las em qualquer lugar em texto simples acessível a outras pessoas. Rode as chaves se acreditar que podem ter sido comprometidas.

Importante

A Microsoft recomenda o uso do Microsoft Entra ID para autorizar solicitações contra dados de blob, fila e tabela, se possível, em vez de usar as chaves de conta (autorização de chave compartilhada). A autorização com o Microsoft Entra ID oferece segurança superior e facilidade de uso em relação à autorização de chave compartilhada. Para obter mais informações sobre como usar a autorização do Microsoft Entra de seus aplicativos, consulte Como autenticar aplicativos .NET com serviços do Azure. Para compartilhamentos de arquivos do Azure SMB, a Microsoft recomenda o uso da integração dos Serviços de Domínio Ative Directory (AD DS) local ou da autenticação Kerberos do Microsoft Entra.

Para impedir que os usuários acessem dados em sua conta de armazenamento com Chave Compartilhada, você pode não permitir a autorização de Chave Compartilhada para a conta de armazenamento. O acesso granular aos dados com o mínimo de privilégios necessários é recomendado como uma prática recomendada de segurança. A autorização baseada em ID do Microsoft Entra deve ser usada para cenários que oferecem suporte a OAuth. Kerberos ou SMTP devem ser usados para Arquivos do Azure sobre SMB. Para Arquivos do Azure sobre REST, os tokens SAS podem ser usados. O acesso à chave partilhada deve ser desativado se não for necessário para impedir a sua utilização inadvertida. Para obter mais informações, consulte Impedir autorização de chave compartilhada para uma conta de armazenamento do Azure.

Para proteger uma conta de Armazenamento do Azure com políticas de Acesso Condicional do Microsoft Entra, você deve não permitir a autorização de Chave Compartilhada para a conta de armazenamento.

Se você desabilitou o acesso à chave compartilhada e está vendo a autorização de Chave Compartilhada relatada nos logs de diagnóstico, isso indica que o acesso confiável está sendo usado para acessar o armazenamento. Para obter mais detalhes, consulte Acesso confiável para recursos registrados em sua assinatura.

Ver chaves de acesso à conta

Você pode exibir e copiar suas chaves de acesso de conta com o portal do Azure, PowerShell ou CLI do Azure. O portal do Azure também fornece uma cadeia de conexão para sua conta de armazenamento que você pode copiar.

Portal

Para exibir e copiar as chaves de acesso ou a cadeia de conexão da conta de armazenamento do portal do Azure:

1. No portal do Azure, vá para sua conta de armazenamento.

2. Em Segurança + rede, selecione Chaves de acesso. As chaves de acesso da conta são apresentadas, bem como a cadeia de ligação completa para cada chave.

3. Selecione Mostrar teclas para mostrar suas teclas de acesso e cadeias de conexão e para habilitar botões para copiar os valores.

4. Em key1, localize o valor da chave . Selecione o botão Copiar para copiar a chave da conta.

5. Como alternativa, você pode copiar toda a cadeia de conexão. Em key1, localize o valor da cadeia de conexão . Selecione o botão Copiar para copiar a cadeia de conexão.

   

PowerShell

Para recuperar as chaves de acesso da sua conta com o PowerShell, chame o comando Get-AzStorageAccountKey .

O exemplo a seguir recupera a primeira chave. Para recuperar a segunda chave, use Value[1] em vez de Value[0]. Lembre-se de substituir os valores de espaço reservado entre colchetes pelos seus próprios valores.

$storageAccountKey = `
    (Get-AzStorageAccountKey
    -ResourceGroupName <resource-group> `
    -Name <storage-account>).Value[0]

CLI do Azure

Para listar suas chaves de acesso de conta com a CLI do Azure, chame o comando az storage account keys list, conforme mostrado no exemplo a seguir. Lembre-se de substituir os valores de espaço reservado entre colchetes pelos seus próprios valores.

az storage account keys list \
  --resource-group <resource-group> \
  --account-name <storage-account>

Você pode usar qualquer uma das duas chaves para acessar o Armazenamento do Azure, mas, em geral, é uma boa prática usar a primeira chave e reservar o uso da segunda chave para quando estiver girando chaves.

Para exibir ou ler as chaves de acesso de uma conta, o usuário deve ser um Administrador de Serviço ou uma função do Azure que inclua Microsoft.Storage /storageAccounts/listkeys/action. Algumas funções internas do Azure que incluem essa ação são as funções Proprietário, Colaborador e Operador de Chave da Conta de Armazenamento. Para obter mais informações sobre a função de Administrador de Serviços, consulte Funções do Azure, Funções do Microsoft Entra e Funções de administrador de assinatura clássicas. Para obter informações detalhadas sobre funções internas para o Armazenamento do Azure, consulte a seção Armazenamento em Funções internas do Azure para o Azure RBAC.

Usar o Azure Key Vault para gerenciar suas chaves de acesso

A Microsoft recomenda usar o Azure Key Vault para gerenciar e girar suas chaves de acesso. Seu aplicativo pode acessar com segurança suas chaves no Cofre da Chave, para que você possa evitar armazená-las com o código do aplicativo. Para obter mais informações sobre como usar o Key Vault para gerenciamento de chaves, consulte os seguintes artigos:

• Gerenciar chaves de conta de armazenamento com o Azure Key Vault e o PowerShell
• Gerenciar chaves de conta de armazenamento com o Azure Key Vault e a CLI do Azure

Rodar manualmente as teclas de acesso

A Microsoft recomenda que você alterne suas chaves de acesso periodicamente para ajudar a manter sua conta de armazenamento segura. Se possível, use o Azure Key Vault para gerenciar suas chaves de acesso. Se não estiver a utilizar o Cofre da Chave, terá de rodar as chaves manualmente.

Duas chaves de acesso são atribuídas para que você possa girar suas chaves. Ter duas chaves garante que seu aplicativo mantenha o acesso ao Armazenamento do Azure durante todo o processo.

Aviso

Regenerar suas chaves de acesso pode afetar quaisquer aplicativos ou serviços do Azure que dependem da chave da conta de armazenamento. Todos os clientes que usam a chave de conta para acessar a conta de armazenamento devem ser atualizados para usar a nova chave, incluindo serviços de mídia, nuvem, aplicativos móveis e de área de trabalho e aplicativos de interface gráfica do usuário para o Armazenamento do Azure, como o Gerenciador de Armazenamento do Azure.

Além disso, girar ou regenerar chaves de acesso revoga assinaturas de acesso compartilhado (SAS) que são geradas com base nessa chave. Após a rotação da chave de acesso, você deve regenerar os tokens SAS de conta e serviço para evitar interrupções nos aplicativos. Observe que os tokens SAS de delegação de usuário são protegidos com credenciais do Microsoft Entra e não são afetados pela rotação de chaves.

Se planeia rodar manualmente as chaves de acesso, a Microsoft recomenda que defina uma política de expiração de chaves. Para obter mais informações, consulte Criar uma política de expiração de chave.

Depois de criar a política de expiração de chaves, você pode usar a Política do Azure para monitorar se as chaves de uma conta de armazenamento foram giradas dentro do intervalo recomendado. Para obter detalhes, consulte Verificar violações da política de expiração de chaves.

Portal

Para alternar as chaves de acesso da sua conta de armazenamento no portal do Azure:

1. Atualize as cadeias de conexão no código do aplicativo para fazer referência à chave de acesso secundária da conta de armazenamento.
2. Navegue até sua conta de armazenamento no portal do Azure.
3. Em Segurança + rede, selecione Chaves de acesso.
4. Para regenerar a chave de acesso primária da sua conta de armazenamento, selecione o botão Regenerar junto à chave de acesso primária.
5. Atualize as cadeias de ligação no código para fazer referência à nova chave de acesso primária.
6. Regenere a chave de acesso secundária da mesma forma.

PowerShell

Para girar as chaves de acesso da conta de armazenamento com o PowerShell:

1. Atualize as cadeias de conexão no código do aplicativo para fazer referência à chave de acesso secundária da conta de armazenamento.

2. Chame o comando New-AzStorageAccountKey para regenerar a chave de acesso primária, conforme mostrado no exemplo a seguir:

   New-AzStorageAccountKey -ResourceGroupName <resource-group> `
     -Name <storage-account> `
     -KeyName key1
   

3. Atualize as cadeias de ligação no código para fazer referência à nova chave de acesso primária.

4. Regenere a chave de acesso secundária da mesma forma. Para regenerar a chave secundária, use key2 como o nome da chave em vez de key1.

CLI do Azure

Para girar as chaves de acesso da conta de armazenamento com a CLI do Azure:

1. Atualize as cadeias de conexão no código do aplicativo para fazer referência à chave de acesso secundária da conta de armazenamento.

2. Chame o comando az storage account keys renew para regenerar a chave de acesso primária, conforme mostrado no exemplo a seguir:

   az storage account keys renew \
     --resource-group <resource-group> \
     --account-name <storage-account> \
     --key primary
   

3. Atualize as cadeias de ligação no código para fazer referência à nova chave de acesso primária.

4. Regenere a chave de acesso secundária da mesma forma. Para regenerar a chave secundária, use secondary como o nome da chave em vez de primary.

Atenção

A Microsoft recomenda usar apenas uma das chaves em todos os seus aplicativos ao mesmo tempo. Se você usar a Chave 1 em alguns lugares e a Chave 2 em outros, não será possível girar suas chaves sem que algum aplicativo perca o acesso.

Para alternar as chaves de acesso de uma conta, o usuário deve ser um Administrador de Serviço ou uma função do Azure que inclua Microsoft.Storage /storageAccounts/regeneratekey/action. Algumas funções internas do Azure que incluem essa ação são as funções Proprietário, Colaborador e Operador de Chave da Conta de Armazenamento. Para obter mais informações sobre a função de Administrador de Serviços, consulte Funções do Azure, Funções do Microsoft Entra e Funções de administrador de assinatura clássicas. Para obter informações detalhadas sobre as funções internas do Azure para o Armazenamento do Azure, consulte a seção Armazenamento em Funções internas do Azure para o Azure RBAC.

Criar uma política de expiração de chave

Uma política de expiração de chave permite definir um lembrete para a rotação das chaves de acesso da conta. O lembrete é exibido se o intervalo especificado tiver decorrido e as teclas ainda não tiverem sido giradas. Depois de criar uma política de expiração de chaves, você pode monitorar a conformidade de suas contas de armazenamento para garantir que as chaves de acesso à conta sejam alternadas regularmente.

Nota

Antes de criar uma política de expiração de chaves, talvez seja necessário alternar cada uma das chaves de acesso da conta pelo menos uma vez.

Portal

Para criar uma política de expiração de chave no portal do Azure:

1. No portal do Azure, vá para sua conta de armazenamento.
2. Em Segurança + rede, selecione Chaves de acesso. As chaves de acesso da conta são apresentadas, bem como a cadeia de ligação completa para cada chave.
3. Selecione o botão Definir lembrete de rotação. Se o botão Definir lembrete de rotação estiver acinzentado, você precisará girar cada uma das chaves. Siga os passos descritos em Rodar manualmente as teclas de acesso para rodar as chaves.
4. Em Definir um lembrete para girar as teclas de acesso, marque a caixa de seleção Ativar lembretes de rotação de teclas e defina uma frequência para o lembrete.
5. Selecione Guardar.

PowerShell

Para criar uma política de expiração de chave com o PowerShell, use o comando Set-AzStorageAccount e defina o parâmetro para o -KeyExpirationPeriodInDay intervalo em dias até que a chave de acesso seja girada.

A KeyCreationTime propriedade indica quando as chaves de acesso da conta foram criadas ou giradas pela última vez. Contas mais antigas podem ter um valor nulo para a KeyCreationTime propriedade porque ela ainda não foi definida. Se a KeyCreationTime propriedade for null, você não poderá criar uma política de expiração de chave até girar as chaves. Por esse motivo, é uma boa ideia verificar a propriedade da conta de armazenamento antes de tentar definir a KeyCreationTime política de expiração de chave.

O exemplo a seguir verifica se a KeyCreationTime propriedade foi definida para cada chave. Se a propriedade tiver um valor, uma política de expiração de chave será criada para a KeyCreationTime conta de armazenamento. Lembre-se de substituir os valores de espaço reservado entre colchetes pelos seus próprios valores.

$rgName = "<resource-group>"
$accountName = "<account-name>"

$account = Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName

# Check whether the KeyCreationTime property has a value for each key 
# before creating the key expiration policy.
if ($account.KeyCreationTime.Key1 -eq $null -or $account.KeyCreationTime.Key2 -eq $null)
{
    Write-Host("You must regenerate both keys at least once before setting expiration policy")
}
else
{
    $account = Set-AzStorageAccount -ResourceGroupName $rgName -Name `
        $accountName  -KeyExpirationPeriodInDay 60
}

Você também pode definir a política de expiração de chave ao criar uma conta de armazenamento definindo o -KeyExpirationPeriodInDay parâmetro do comando New-AzStorageAccount .

Para verificar se a política foi aplicada, verifique a propriedade da conta de KeyPolicy armazenamento.

$account.KeyPolicy

CLI do Azure

Para criar uma política de expiração de chave com a CLI do Azure, use o comando az storage account update e defina o parâmetro para o --key-exp-days intervalo em dias até que a chave de acesso seja girada.

A keyCreationTime propriedade indica quando as chaves de acesso da conta foram criadas ou giradas pela última vez. Contas mais antigas podem ter um valor nulo para a keyCreationTime propriedade porque ela ainda não foi definida. Se a keyCreationTime propriedade for null, você não poderá criar uma política de expiração de chave até girar as chaves. Por esse motivo, é uma boa ideia verificar a propriedade da conta de armazenamento antes de tentar definir a keyCreationTime política de expiração de chave.

O exemplo a seguir verifica se a keyCreationTime propriedade foi definida para cada chave. Se a propriedade tiver um valor, uma política de expiração de chave será criada para a keyCreationTime conta de armazenamento. Lembre-se de substituir os valores de espaço reservado entre colchetes pelos seus próprios valores.

key1_create_time=$(az storage account show \
    --name <storage-account> \
    --resource-group <resource-group> \
    --query 'keyCreationTime.key1' \
    --output tsv)
key2_create_time=$(az storage account show \
    --name <storage-account> \
    --resource-group <resource-group> \
    --query 'keyCreationTime.key2' \
    --output tsv)

if [ -z "$key1_create_time" ] || [ -z "$key2_create_time" ]; 
then
    echo "You must regenerate both keys at least once before setting expiration policy"
else
    az storage account update \
        --name <storage-account> \
        --resource-group <resource-group> \
        --key-exp-days 60
fi

Você também pode definir a política de expiração de chave ao criar uma conta de armazenamento definindo o --key-exp-days parâmetro do comando az storage account create .

Para verificar se a política foi aplicada, chame o comando az storage account show e use a cadeia de caracteres {KeyPolicy:keyPolicy} para o -query parâmetro.

az storage account show \
  -n <storage-account-name> \
  -g <resource-group-name> \
  --query "{KeyPolicy:keyPolicy}"

O período de expiração da chave aparece na saída do console.

{
  "KeyPolicy": {
    "enableAutoRotation": false,
    "keyExpirationPeriodInDays": 60
  }
}

Verificar se há violações da política de expiração de chaves

Você pode monitorar suas contas de armazenamento com o Azure Policy para garantir que as chaves de acesso da conta tenham sido alternadas dentro do período recomendado. O Armazenamento do Azure fornece uma política interna para garantir que as chaves de acesso da conta de armazenamento não tenham expirado. Para obter mais informações sobre a política interna, consulte As chaves de conta de armazenamento não devem expirar em Lista de definições de política internas.

Atribuir a política interna para um escopo de recurso

Siga estas etapas para atribuir a política interna ao escopo apropriado no portal do Azure:

1. No portal do Azure, procure Política para exibir o painel Política do Azure.

2. Na seção Criação, selecione Atribuições.

3. Escolha Atribuir política.

4. Na guia Noções básicas da página Atribuir política, na seção Escopo, especifique o escopo da atribuição de política. Selecione o botão Mais para escolher a assinatura e o grupo de recursos opcionais.

5. Para o campo Definição de política, selecione o botão Mais e insira as chaves da conta de armazenamento no campo Pesquisar. Selecione a definição de política chamada As chaves de conta de armazenamento não devem expirar.

   

6. Selecione Rever + criar para atribuir a definição de política ao âmbito especificado.

   

Monitorar a conformidade com a política de expiração de chaves

Para monitorar suas contas de armazenamento quanto à conformidade com a política de expiração de chaves, siga estas etapas:

1. No painel Política do Azure, localize a definição de política interna para o escopo especificado na atribuição de política. Você pode pesquisar por As chaves de conta de armazenamento não devem ter expiradona caixa Pesquisar para filtrar a política interna.

2. Selecione o nome da política com o escopo desejado.

3. Na página Atribuição de políticas para a política interna, selecione Exibir conformidade. Todas as contas de armazenamento na assinatura especificada e no grupo de recursos que não atendem aos requisitos de política aparecem no relatório de conformidade.

   

Para colocar uma conta de armazenamento em conformidade, gire as chaves de acesso da conta.

Próximos passos

• Visão geral da conta de armazenamento do Azure
• Criar uma conta de armazenamento
• Impedir a autorização de Chave Compartilhada para uma conta de Armazenamento do Azure