Förstå lagringskontonycklar

  • 5 minuter

En stor del av Contosos data genereras eller används av anpassade program. Programmen är skrivna på olika språk.

Azure Storage-konton kan skapa auktoriserade appar i Active Directory för att styra åtkomsten till data i blobar och köer. Den här autentiseringsmetoden är den bästa lösningen för appar som använder Blob Storage eller Queue Storage.

I andra lagringsmodeller kan klienterna använda en delad nyckel eller en delad hemlighet. Det här autentiseringsalternativet är ett av de enklaste att använda och det stöder blobar, filer, köer och tabeller. Klienten bäddar in den delade nyckeln i HTTP:ns Authorization-huvud för varje begäran, och Storage-kontot validerar nyckeln.

Till exempel kan ett program utfärda en GET-begäran mot en blobresurs:

GET http://myaccount.blob.core.windows.net/?restype=service&comp=stats

HTTP-huvudena kontrollerar versionen för REST-API:et, datumet och den kodade delade nyckeln:

x-ms-version: 2018-03-28  
Date: Wed, 23 Oct 2018 21:00:44 GMT  
Authorization: SharedKey myaccount:CY1OP3O3jGFpYFbTCBimLn0Xov0vt0khH/E5Gy0fXvg=

Lagringskontonycklar

Delade nycklar på Azure Storage-konton kallas lagringskontonycklar. Azure skapar två av dessa nycklar (primär och sekundär) för varje lagringskonto du skapar. Nycklarna ger åtkomst till allt i kontot.

Lagringskontonycklarna finns i Azure-portalens vy för lagringskontot. I det vänstra menyfönstret i ditt lagringskonto väljer du Åtkomstnycklar för säkerhet och nätverk>.

Screenshot showing the access keys in the Azure portal.

Skydda delade nycklar

Lagringskontot har bara två nycklar och de ger fullständig åtkomst till kontot. Eftersom de här nycklarna är så kraftfulla, bör du enbart använda dem med betrodda interna program som du har fullständig kontroll över.

Om nycklarna komprometteras kan du ändra nyckelvärdena i Azure-portalen. Det finns flera andra skäl till att du kan vilja återskapa lagringskontonycklarna:

  • Av säkerhetsskäl kanske du vill återskapa nycklarna regelbundet.
  • Om någon hackar sig in i ett program och får tag på den nyckel som har hårdkodats eller sparats i en konfigurationsfil, bör du återskapa nyckeln. Den komprometterade nyckeln kan ge hackaren fullständig åtkomst till ditt lagringskonto.
  • Om ditt team använder ett Storage Explorer-program som sparar lagringskontonyckeln och en av medlemmarna lämnar teamet, bör du återskapa nyckeln. Programmet skulle annars fortsätta fungera och personen skulle ha åtkomst till lagringskontot efter att ha slutat.

Så här uppdaterar du nycklar:

  • Ändra varje betrodd app så att den använder den sekundära nyckeln.
  • Uppdatera primärnyckeln i Azure-portalen. Det här är det nya sekundära nyckelvärdet.

Viktigt!

När nycklarna har uppdaterats kommer alla klienter som försöker använda det gamla nyckelvärdet att avvisas. Se till att du identifierar alla klienter som använder den delade nyckeln och uppdaterar dem för att hålla dem i drift.