Paylaşılan erişim imzaları için süre sonu ilkesi yapılandırma

Azure Depolama hesabınızdaki kaynaklara erişim yetkisi vermek için paylaşılan erişim imzası (SAS) kullanabilirsiniz. SAS belirteci hedeflenen kaynağı, verilen izinleri ve erişime izin verilen aralığı içerir. En iyi yöntemler, tehlikeye düşmesi durumunda SAS aralığını sınırlamanızı önerir. Depolama hesaplarınız için bir SAS süre sonu ilkesi ayarlayarak, kullanıcı bir hizmet SAS'ı veya hesap SAS'sini oluşturduğunda önerilen bir üst süre sonu sınırı sağlayabilirsiniz.

Paylaşılan erişim imzaları hakkında daha fazla bilgi için bkz. Paylaşılan erişim imzalarını (SAS) kullanarak Azure Depolama kaynaklarına sınırlı erişim verme.

SAS süre sonu ilkeleri hakkında

Depolama hesabında sas süre sonu ilkesi yapılandırabilirsiniz. SAS süre sonu ilkesi, bir hizmet SAS'sinde veya hesap SAS'sinde imzalı süre sonu alanı için önerilen üst sınırı belirtir. Önerilen üst sınır, birleştirilmiş gün, saat, dakika ve saniye sayısı olan bir tarih/saat değeri olarak belirtilir.

SAS için geçerlilik aralığı, imzalı başlangıç alanının tarih/saat değeri imzalı süre sonu alanının tarih/saat değerinden çıkarılarak hesaplanır. Sonuçta elde edilen değer önerilen üst sınırdan küçük veya buna eşitse SAS, SAS süre sonu ilkesiyle uyumlu olur.

SAS süre sonu ilkesini yapılandırdıktan sonra, önerilen üst sınırı aşan bir aralıkla SAS oluşturan bir kullanıcı bir uyarı görür.

SAS süre sonu ilkesi, kullanıcının ilke tarafından önerilen sınırı aşan bir süre sonu ile SAS oluşturmasını engellemez. Kullanıcı ilkeyi ihlal eden bir SAS oluşturduğunda, önerilen maksimum aralıkla birlikte bir uyarı görür. Azure İzleyici ile günlüğe kaydetme için bir tanılama ayarı yapılandırdıysanız, kullanıcı önerilen aralık sonrasında süresi dolan bir SAS oluşturduğunda veya kullandığında Azure Depolama günlüklerdeki SasExpiryStatus özelliğine bir ileti yazar. İleti, SAS'nin geçerlilik aralığının önerilen aralığı aştığını gösterir.

Depolama hesabı için bir SAS süre sonu ilkesi etkin olduğunda, her SAS için imzalı başlangıç alanı gerekir. İmzalı başlangıç alanı SAS'ye dahil değilse ve Azure İzleyici ile günlüğe kaydetmek için bir tanılama ayarı yapılandırdıysanız, kullanıcı imzalı başlangıç alanı için bir değer olmadan sas oluşturduğunda veya kullandığında Azure Depolama günlüklerdeki SasExpiryStatus özelliğine bir ileti yazar.

SAS süre sonu ilkesi yapılandırma

Bir depolama hesabında SAS süre sonu ilkesi yapılandırdığınızda, ilke hesap anahtarıyla imzalanan her SAS türüne uygulanır. Hesap anahtarıyla imzalanan paylaşılan erişim imzalarının türleri hizmet SAS'leri ve hesap SAS'leridir.

Önce hesap erişim anahtarlarını döndürmem gerekiyor mu?

SAS süre sonu ilkesini yapılandırabilmeniz için önce hesap erişim anahtarlarınızın her birini en az bir kez döndürmeniz gerekebilir. Depolama hesabının keyCreationTime özelliği hesap erişim anahtarlarından biri için null değere sahipse (key1 ve key2), bunları döndürmeniz gerekir. keyCreationTime özelliğinin null olup olmadığını belirlemek için bkz. Depolama hesabı için hesap erişim anahtarlarının oluşturma zamanını alma. BIR SAS süre sonu ilkesi yapılandırmayı denerseniz ve anahtarların önce döndürülmesi gerekiyorsa işlem başarısız olur.

SAS süre sonu ilkesini yapılandırma

sas süre sonu ilkesini Azure portal, PowerShell veya Azure CLI kullanarak yapılandırabilirsiniz.

Azure portalı

Azure portal bir SAS süre sonu ilkesi yapılandırmak için şu adımları izleyin:

1. Azure portalda depolama hesabınıza gidin.

2. Ayarlar bölümünde Yapılandırma‘yı seçin.

3. Paylaşılan erişim imzası (SAS) süre sonu aralığı için önerilen üst sınıra izin ver ayarını bulun ve Etkin olarak ayarlayın.

   Not

   Ayar griyse ve aşağıdaki resimde gösterilen iletiyi görüyorsanız SAS süre sonu aralığı değerleri için Önerilen üst sınırı ayarlayabilmeniz için önce her iki hesap erişim anahtarını da döndürmeniz gerekir:

   

4. Bu depolama hesabındaki kaynaklarda oluşturulan yeni paylaşılan erişim imzaları için önerilen aralık için SAS süre sonu aralığı için önerilen üst sınır altında saat değerlerini belirtin.

   

5. Değişikliklerinizi kaydetmek için Kaydet seçeneğini belirleyin.

PowerShell

SAS süre sonu ilkesini yapılandırmak için Set-AzStorageAccount komutunu kullanın ve ardından parametreyi -SasExpirationPeriod SAS belirtecinin imzalandığı andan itibaren etkin olabileceği gün, saat, dakika ve saniye sayısına ayarlayın. Parametresini -SasExpirationPeriod sağladığınız dize şu biçimi kullanır: <days>.<hours>:<minutes>:<seconds>. Örneğin, SAS'nin süresinin imzalandıktan 1 gün, 12 saat, 5 dakika ve 6 saniye sonra dolacağını istiyorsanız dizesini 1.12:05:06kullanabilirsiniz.

$account = Set-AzStorageAccount -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -SasExpirationPeriod <days>.<hours>:<minutes>:<seconds>

İpucu

New-AzStorageAccount komutunun parametresini ayarlayarak -SasExpirationPeriod depolama hesabı oluştururken SAS süre sonu ilkesini de ayarlayabilirsiniz.

Not

Bir anahtar için oluşturma zamanının ayarlanmadığını belirten bir hata iletisi alırsanız , hesap erişim anahtarlarını döndürün ve yeniden deneyin.

İlkenin uygulandığını doğrulamak için depolama hesabının SasPolicy özelliğini denetleyin.

$account.SasPolicy

SAS sona erme süresi konsol çıkışında görünür.

Azure CLI

SAS süre sonu ilkesini yapılandırmak için az storage account update komutunu kullanın ve ardından parametresini SAS belirtecinin bir SAS imzalandığı andan itibaren etkin olabileceği gün, saat, dakika ve saniye sayısına ayarlayın --key-exp-days . Parametresini --key-exp-days sağladığınız dize şu biçimi kullanır: <days>.<hours>:<minutes>:<seconds>. Örneğin, SAS'nin süresinin imzalandıktan 1 gün, 12 saat, 5 dakika ve 6 saniye sonra dolacağını istiyorsanız dizesini 1.12:05:06kullanabilirsiniz.

az storage account update \
  --name <storage-account> \
  --resource-group <resource-group> \
  --sas-exp <days>.<hours>:<minutes>:<seconds>

İpucu

Az storage account create komutunun parametresini ayarlayarak --key-exp-days depolama hesabı oluştururken SAS süre sonu ilkesini de ayarlayabilirsiniz.

Not

Bir anahtar için oluşturma zamanının ayarlanmadığını belirten bir hata iletisi alırsanız , hesap erişim anahtarlarını döndürün ve yeniden deneyin.

İlkenin uygulandığını doğrulamak için az storage account show komutunu çağırın ve parametresinin dizesini {SasPolicy:sasPolicy}-query kullanın.

az storage account show \
  --name <storage-account> \
  --resource-group <resource-group> \
  --query "{SasPolicy:sasPolicy}"

SAS sona erme süresi konsol çıkışında görünür.

{
  "SasPolicy": {
    "expirationAction": "Log",
    "sasExpirationPeriod": "1.12:05:06"
  }
}

İlke ihlalleri için sorgu günlükleri

SAS süre sonu ilkesinin önerdiğinden daha uzun bir süre boyunca geçerli olan bir SAS oluşturma işlemini günlüğe kaydetmek için, önce Azure Log Analytics çalışma alanına günlük gönderen bir tanılama ayarı oluşturun. Daha fazla bilgi için bkz. Günlükleri Azure Log Analytics'e gönderme.

Ardından, ilkenin ihlal edilip edilmediğini izlemek için bir Azure İzleyici günlük sorgusu kullanın. Log Analytics çalışma alanınızda yeni bir sorgu oluşturun, aşağıdaki sorgu metnini ekleyin ve Çalıştır'a basın.

StorageBlobLogs 
| where SasExpiryStatus startswith "Policy violated"
| summarize count() by AccountName, SasExpiryStatus

Uyumluluğu izlemek için yerleşik ilke kullanma

Aboneliğinizdeki depolama hesaplarının SAS süre sonu ilkelerini yapılandırdığından emin olmak için depolama hesaplarınızı Azure İlkesi ile izleyebilirsiniz. Azure Depolama, hesaplarda bu ayarın yapılandırıldığından emin olmak için yerleşik bir ilke sağlar. Yerleşik ilke hakkında daha fazla bilgi için Bkz. Yerleşik ilke tanımları listesi bölümünde Depolama hesaplarının yapılandırılmış paylaşılan erişim imzası (SAS) ilkeleri olmalıdır.

Kaynak kapsamı için yerleşik ilke atama

Yerleşik ilkeyi Azure portal uygun kapsama atamak için şu adımları izleyin:

1. Azure portal Azure İlkesi panosunu görüntülemek için İlke'yi arayın.

2. Yazma bölümünde Atamalar'ı seçin.

3. İlke ata'yı seçin.

4. İlke ata sayfasının Temel bilgiler sekmesinde, Kapsam bölümünde ilke atamasının kapsamını belirtin. Aboneliği ve isteğe bağlı kaynak grubunu seçmek için Diğer düğmesini seçin.

5. İlke tanımı alanı için Diğer düğmesini seçin ve Arama alanına depolama hesabı anahtarlarını girin. Depolama hesabı anahtarlarının süresi dolmamalıdır adlı ilke tanımını seçin.

   

6. İlke tanımını belirtilen kapsama atamak için Gözden geçir + oluştur'u seçin.

   

Anahtar süre sonu ilkesiyle uyumluluğu izleme

Depolama hesaplarınızın anahtar süre sonu ilkesiyle uyumluluğunu izlemek için şu adımları izleyin:

1. Azure İlkesi panosunda, ilke atamasında belirttiğiniz kapsamın yerleşik ilke tanımını bulun. Yerleşik ilkeyi filtrelemek için Arama kutusunda arama Storage accounts should have shared access signature (SAS) policies configured yapabilirsiniz.

2. İstenen kapsama sahip ilke adını seçin.

3. Yerleşik ilkenin İlke atama sayfasında Uyumluluğu görüntüle'yi seçin. Belirtilen abonelik ve kaynak grubundaki ilke gereksinimlerini karşılamayan tüm depolama hesapları uyumluluk raporunda görünür.

   

Bir depolama hesabını uyumlu hale getirmek için, SAS süre sonu ilkesini yapılandırma başlığında açıklandığı gibi bu hesap için bir SAS süre sonu ilkesi yapılandırın.

Ayrıca bkz.

• Paylaşılan erişim imzaları (SAS) kullanarak Azure Depolama kaynaklarına sınırlı erişim izni verme
• Hizmet SAS’si oluşturma
• Hesap SAS’si oluşturma