Aracılığıyla paylaş

Azure Uygulaması Yapılandırma örneği için erişim anahtarı kimlik doğrulamasını yönetme

Azure Uygulaması Yapılandırma kaynağına yapılan her isteğin kimliği doğrulanmalıdır. Varsayılan olarak, isteklerin kimliği Microsoft Entra kimlik bilgileriyle veya erişim anahtarı kullanılarak doğrulanabilir. Bu iki kimlik doğrulama düzeni türünden Microsoft Entra ID, erişim anahtarları üzerinde üstün güvenlik ve kullanım kolaylığı sağlar ve Microsoft tarafından önerilir. İstemcilerin isteklerin kimliğini doğrulamak için Microsoft Entra Id kullanmasını istemek için, Azure Uygulaması Yapılandırma kaynağı için erişim anahtarlarının kullanımını devre dışı bırakabilirsiniz. İsteğin kimliğini doğrulamak için erişim anahtarlarını kullanmak istiyorsanız, güvenliği artırmak için erişim anahtarlarını düzenli aralıklarla döndürmeniz önerilir. Daha fazla bilgi edinmek için uygulama gizli dizilerini korumaya yönelik önerilere bakın.

Erişim anahtarı kimlik doğrulamasını etkinleştirme

Erişim anahtarı varsayılan olarak etkindir; isteklerin kimliğini doğrulamak için kodunuzdaki erişim anahtarlarını kullanabilirsiniz.

Azure portalında Azure Uygulaması Yapılandırma kaynağı için erişim anahtarı kimlik doğrulamasına izin vermek için şu adımları izleyin:

  1. Azure portalında Azure Uygulaması Yapılandırma kaynağınıza gidin.

  2. Ayarlar'ın altında Erişim ayarları ayarını bulun.

    Azure Uygulaması Yapılandırma kaynakları erişim anahtarı dikey penceresine erişmeyi gösteren ekran görüntüsü.

  3. Erişim tuşlarını etkinleştir iki durumlu düğmesini Etkin olarak ayarlayın.

    Azure Uygulaması Yapılandırması için erişim anahtarı kimlik doğrulamasını etkinleştirmeyi gösteren ekran görüntüsü.

Erişim anahtarı kimlik doğrulamasının etkinleştirildiğini doğrulama

Erişim anahtarı kimlik doğrulamasının etkinleştirilip etkinleştirilmediğini doğrulamak için salt okunur ve okuma-yazma erişim anahtarlarının listesini alıp alamayacağınızı denetleyin. Bu liste yalnızca erişim anahtarı kimlik doğrulaması etkinleştirildiğinde bulunur.

Azure portalında Azure Uygulaması Yapılandırma kaynağı için erişim anahtarı kimlik doğrulamasının etkinleştirilip etkinleştirilmediğini denetlemek için şu adımları izleyin:

  1. Azure portalında Azure Uygulaması Yapılandırma kaynağınıza gidin.

  2. Ayarlar'ın altında Erişim ayarları ayarını bulun.

    Azure Uygulaması Yapılandırma kaynakları erişim anahtarı dikey penceresine erişmeyi gösteren ekran görüntüsü.

  3. Görüntülenen erişim anahtarları olup olmadığını ve Erişim anahtarlarını etkinleştir'in iki durumlu durumunun etkinleştirilip etkinleştirilmediğini denetleyin.

    Azure Uygulaması Yapılandırma kaynağının erişim anahtarlarını gösteren ekran görüntüsü.

Erişim anahtarı kimlik doğrulamayı devre dışı bırakma

Erişim anahtarı kimlik doğrulamasını devre dışı bırakmak tüm erişim anahtarlarını siler. Çalışan uygulamalar kimlik doğrulaması için erişim anahtarları kullanıyorsa, erişim anahtarı kimlik doğrulaması devre dışı bırakıldıktan sonra bu uygulamalar başarısız olur. Yalnızca Microsoft Entra Id kullanılarak kimliği doğrulanan istekler başarılı olur. Microsoft Entra Kimliğini kullanma hakkında daha fazla bilgi için bkz. Microsoft Entra Id kullanarak Azure Uygulaması Yapılandırmasına erişimi yetkilendirme. Erişim anahtarı kimlik doğrulamasının yeniden etkinleştirilmesi yeni bir erişim anahtarları kümesi oluşturur ve eski erişim anahtarlarını kullanmaya çalışan tüm uygulamalar yine başarısız olur.

Uyarı

Erişim anahtarlarıyla Azure Uygulaması Yapılandırma kaynağınızdaki verilere erişen istemciler varsa, Microsoft erişim anahtarı kimlik doğrulamasını devre dışı bırakmadan önce bu istemcileri Microsoft Entra Id'ye geçirmenizi önerir.

Azure portalında Azure Uygulaması Yapılandırma kaynağı için erişim anahtarı kimlik doğrulamasına izin vermek için şu adımları izleyin:

  1. Azure portalında Azure Uygulaması Yapılandırma kaynağınıza gidin.

  2. Ayarlar'ın altında Erişim ayarları ayarını bulun.

    Azure Uygulaması Yapılandırma kaynakları erişim anahtarı dikey penceresine erişmeyi gösteren ekran görüntüsü.

  3. Erişim tuşlarını etkinleştir iki durumlu düğmesini Devre Dışı olarak ayarlayın.

    Azure Uygulaması Yapılandırması için erişim anahtarı kimlik doğrulamasını devre dışı bırakma işlemini gösteren ekran görüntüsü

Erişim anahtarı kimlik doğrulamasının devre dışı bırakıldığını doğrulayın

Erişim anahtarı kimlik doğrulamasına artık izin verilmediğini doğrulamak için, Azure Uygulaması Yapılandırma kaynağının erişim anahtarlarını listelemek üzere bir istekte bulunulabilir. Erişim anahtarı kimlik doğrulaması devre dışı bırakılırsa, erişim anahtarı olmaz ve liste işlemi boş bir liste döndürür.

Azure portalında Azure Uygulaması Yapılandırma kaynağı için erişim anahtarı kimlik doğrulamasının devre dışı bırakılmıştır doğrulamak için şu adımları izleyin:

  1. Azure portalında Azure Uygulaması Yapılandırma kaynağınıza gidin.

  2. Ayarlar'ın altında Erişim ayarları ayarını bulun.

    Azure Uygulaması Yapılandırma kaynakları erişim anahtarı dikey penceresine erişmeyi gösteren ekran görüntüsü.

  3. Görüntülenen erişim anahtarı olmadığından ve Erişim tuşlarını etkinleştir'in iki durumlu durumunun kapalı olup olmadığını denetleyin.

    Azure Uygulaması Yapılandırma kaynağı için erişim anahtarlarının devre dışı bırakıldığını gösteren ekran görüntüsü

Erişim anahtarı kimlik doğrulamasına izin verme veya izin verme izinleri

Azure Uygulaması Yapılandırma kaynağı için erişim anahtarı kimlik doğrulamasının durumunu değiştirmek için, kullanıcının Azure Uygulaması Yapılandırma kaynaklarını oluşturma ve yönetme izinlerine sahip olması gerekir. Bu izinleri sağlayan Azure rol tabanlı erişim denetimi (Azure RBAC) rolleri Microsoft.AppConfiguration/configurationStores/write veya Microsoft.AppConfiguration/configurationStores/* eylemini içerir. Bu eyleme sahip yerleşik roller şunlardır:

Bu roller, Microsoft Entra Id aracılığıyla Azure Uygulaması Yapılandırma kaynağındaki verilere erişim sağlamaz. Ancak, kaynağın erişim anahtarlarına erişim izni veren Microsoft.AppConfiguration/configurationStores/listKeys/action eylemi iznini içerir. Bu izinle, kullanıcı kaynaktaki tüm verilere erişmek için erişim anahtarlarını kullanabilir.

Bir kullanıcının kaynak için erişim anahtarı kimlik doğrulamasına izin vermesine veya izin vermesine izin vermek için rol atamalarının kapsamı Azure Uygulaması Yapılandırma kaynağının düzeyine veya daha yüksek bir düzeye çıkarılmalıdır. Rol kapsamı hakkında daha fazla bilgi için bkz . Azure RBAC kapsamını anlama.

Bu rollerin atamasını yalnızca Uygulama Yapılandırması kaynağı oluşturma veya özelliklerini güncelleştirme yeteneğine ihtiyaç duyan kullanıcılarla kısıtlamaya dikkat edin. Kullanıcıların görevlerini gerçekleştirmek için ihtiyaç duydukları en az izinlere sahip olduğundan emin olmak için en az ayrıcalık ilkesini kullanın. Azure RBAC ile erişimi yönetme hakkında daha fazla bilgi için bkz . Azure RBAC için en iyi yöntemler.

Not

Klasik abonelik yöneticisi rolleri Hizmet Yöneticisi ve Ortak Yönetici, Azure Resource Manager Sahip rolünün eşdeğerini içerir. Sahip rolü tüm eylemleri içerdiğinden, bu yönetim rollerinden birine sahip bir kullanıcı da Uygulama Yapılandırması kaynakları oluşturabilir ve yönetebilir. Daha fazla bilgi için bkz . Azure rolleri, Microsoft Entra rolleri ve klasik abonelik yöneticisi rolleri.

Not

Erişim anahtarı kimlik doğrulaması devre dışı bırakıldığında ve Uygulama Yapılandırması deposunun ARM kimlik doğrulama modu yerel olduğunda, ARM şablonundaki anahtar değerlerini okuma/yazma özelliği de devre dışı bırakılır. Bunun nedeni ARM şablonlarında kullanılan Microsoft.AppConfiguration/configurationStores/keyValues kaynağına erişimin yerel ARM kimlik doğrulama moduyla erişim anahtarı kimlik doğrulaması gerektirmesidir. Doğrudan ARM kimlik doğrulama modunu kullanmanız önerilir. Daha fazla bilgi için bkz . Dağıtıma genel bakış.

Erişim anahtarı döndürme

Microsoft, sızdırılan gizli dizilerden gelen saldırı vektörleri riskini azaltmak için erişim anahtarlarının düzenli olarak dönmesini önerir. Her Azure Uygulaması Yapılandırma kaynağı, sorunsuz gizli dizi döndürmeyi kolaylaştırmak için birincil ve ikincil anahtar olarak belirlenen iki salt okunur erişim anahtarı ve iki okuma-yazma erişim anahtarı içerir. Bu kurulum, kapalı kalma süresine neden olmadan uygulamalarınızdaki anahtarlara alternatif erişim olanağı sağlar.

Aşağıdaki yordamı kullanarak anahtarları döndürebilirsiniz:

  1. Üretimde her iki anahtarı da kullanıyorsanız kodunuzu yalnızca bir erişim anahtarının kullanılabilmesi için değiştirin. Bu örnekte, mağazanızın birincil anahtarını kullanmaya devam ettiğinizi varsayalım. İkincil anahtarınızı yeniden oluşturduğunuzda bu anahtarın eski sürümü hemen çalışmayı durduracağından, eski anahtarı kullanan istemcilerin 401 erişim reddedildi hataları almasına neden olacağı için kodunuzda yalnızca bir anahtar olmalıdır.

  2. Birincil anahtar kullanımdaki tek anahtar olduğunda, ikincil anahtarı yeniden oluşturabilirsiniz.

    Azure portalında kaynağınızın sayfasına gidin, Ayarlar>Erişim ayarları menüsünü açın ve İkincil anahtar altında Yeniden Oluştur'u seçin.

    İkincil anahtarı yeniden oluşturma işlemini gösteren ekran görüntüsü.

  3. Ardından kodunuzu yeni oluşturulan ikincil anahtarı kullanacak şekilde güncelleştirin. Bir sonraki adıma geçmeden önce, uygulamanızın tüm örneklerinin birincil anahtarı kullanmaktan ikincil anahtara geçtiğini onaylamak için uygulama günlüklerinizi gözden geçirmeniz önerilir.

  4. Son olarak, birincil anahtarları yeniden oluşturarak geçersiz hale getirebilirsiniz. Bir dahaki sefere, aynı işlemi kullanarak ikincil ve birincil anahtarlar arasında erişim anahtarlarını değiştirebilirsiniz.

Sonraki adımlar

  • Last updated on