Paylaşılan erişim imzaları için süre sonu ilkesi yapılandırma

Azure Depolama hesabınızdaki kaynaklara erişim yetkisi vermek için paylaşılan erişim imzası (SAS) kullanabilirsiniz. SAS belirteci hedeflenen kaynağı, verilen izinleri ve erişime izin verilen aralığı içerir. En iyi yöntemler, güvenliğin aşılması durumunda SAS aralığını sınırlamanızı önerir. Depolama hesaplarınız için bir SAS süre sonu ilkesi ayarlayarak, bir kullanıcı kullanıcı temsil SAS'sini, hizmet SAS'sini veya hesap SAS'sini oluşturduğunda üst süre sonu sınırı (maksimum geçerlilik aralığı) önerebilir veya uygulayabilirsiniz.

Paylaşılan erişim imzaları hakkında daha fazla bilgi için bkz . Paylaşılan erişim imzalarını (SAS) kullanarak Azure Depolama kaynaklarına sınırlı erişim verme.

Önemli

Paylaşılan erişim imzalarının kullanıldığı senaryolar için Microsoft, kullanıcı temsilcisi SAS'sini kullanmanızı önerir. Kullanıcı temsilcisi SAS'sinin güvenliği, üstün güvenlik sağlayan hesap anahtarı yerine Microsoft Entra kimlik bilgileriyle sağlanır.

SAS süre sonu ilkeleri hakkında

Depolama hesabında sas süre sonu ilkesi yapılandırabilirsiniz. SAS süre sonu ilkesi, kullanıcı temsilcisi SAS'sinde, hizmet SAS'sinde veya hesap SAS'sinde geçerlilik aralığı için üst sınırı belirtir. Üst sınır, birleştirilmiş gün, saat, dakika ve saniye sayısı olan bir tarih/saat değeri olarak belirtilir.

SAS için geçerlilik aralığı, imzalı başlangıç alanının tarih/saat değeri imzalı süre sonu alanının tarih/saat değerinden çıkarılarak hesaplanır. Sonuçta elde edilen değer önerilen üst sınırdan küçük veya buna eşitse SAS, SAS süre sonu ilkesiyle uyumlu olur.

Depolama hesabı için bir SAS süre sonu ilkesi etkin olduğunda, imzalı başlangıç alanı her SAS için gereklidir. İmzalı başlangıç alanı SAS'ye dahil değilse ve Azure İzleyici ile günlüğe kaydetme için bir tanılama ayarı yapılandırdıysanız, kullanıcı imzalı başlangıç alanı için bir değer olmadan SAS kullandığında Azure Depolama günlüklerdeki SasExpiryStatus özelliğine bir ileti yazar.

SAS süre sonu ilkesini yapılandırdıktan sonra, önerilen üst sınırı aşan bir aralıkla SAS oluşturan tüm kullanıcılar, önerilen maksimum aralığın yanı sıra bir uyarı görür.

SAS Süre Sonu Eylemini Tanımlama

SAS süre sonu ilkesi iki eylemi destekler:

• [Varsayılan] Günlük: İlke dışı SAS ile yapılan isteklere izin verilir. Azure İzleyici ile günlüğe kaydetme için bir tanılama ayarı yapılandırdıysanız, kullanıcı önerilen aralık sonrasında süresi dolan bir SAS kullandığında Azure Depolama günlüklerdeki SasExpiryStatus özelliğine bir ileti yazar. İleti, SAS'nin geçerlilik aralığının önerilen aralığı aştığını gösterir. Bu seçenek, iş akışlarını kesintiye uğratmadan erişimi izlemek ve denetlemek için önerilir. 

• Blok: İlke dışı SAS ile yapılan istekler reddedilir. Bu, kuruluş gereksinimlerinize uygun erişim denetimlerini zorlamak için en katı seçeneğinizdir. 

İlke dışı SAS, imzalı başlangıç veya geçerlilik aralığı üst sınırdan büyük olmayanlardır.

Geçerli SAS belirteci kullanımınızı gözden geçirerek ve depolama hesaplarınız için uygun bir süre sonu ilkesi ayarlayarak başlayın. İlke ihlallerine karşı tanılama günlüklerinizi izlemek için Günlük eylemiyle başlamanızı öneririz. Sas belirtecinin depolama hesabında ayarlanan süre sonu süresinin geçerliliğini geçtiğinde depolamaya erişimin engellenmesi gerektiğinden emin olmak için Engelle eyleminin kullanılmasını kesinlikle öneririz.

Önemli

SAS Süre Sonu Eylemi, depolanan erişim ilkesine sahip HDFS uç noktası veya hizmet düzeyinde paylaşılan erişim imzaları aracılığıyla kullanıcı temsilcisi SAS için desteklenmez.

SAS süre sonu ilkesi yapılandırma

Depolama hesabında sas süre sonu ilkesi yapılandırdığınızda, ilke her SAS türü için geçerlidir: kullanıcı temsilcisi SAS, hizmet SAS'ı ve hesap SAS'ı. Hizmet SAS ve hesap SAS türleri hesap anahtarıyla, kullanıcı temsilcisi SAS ise Microsoft Entra kimlik bilgileriyle imzalanır.

Kullanıcı temsilcisi SAS'i, Microsoft Entra kimlik bilgileri kullanılarak elde edilen bir kullanıcı temsilcisi anahtarıyla imzalanır. Kullanıcı temsilcisi anahtarının, SAS süre sonu ilkesine tabi olmayan kendi süre sonu aralığı vardır. SAS süre sonu ilkesi, imzalı olduğu kullanıcı temsilcisi anahtarı için değil, yalnızca kullanıcı temsilcisi SAS'sine uygulanır.

Kullanıcı temsilcisi SAS'sinin, SAS süre sonu ilkesinden bağımsız olarak en fazla 7 günlük bir süre sonu aralığı vardır. SAS süre sonu ilkesi 7 günden uzun bir değere ayarlanırsa, ilkenin kullanıcı temsilcisi SAS'sine etkisi olmaz. Kullanıcı temsilcisi anahtarının süresi dolarsa, bu anahtarla imzalanan tüm kullanıcı temsilcisi SAS'leri geçersiz olur ve SAS'yi kullanma girişimleri bir hata döndürür.

Azure Dosya Eşitleme için en az 3 günlük sas süre sonu aralığı gerekir. SAS süre sonu aralığı için üst sınırın 3 günden kısa bir süreyle yapılandırılması, Dosya Eşitleme aracısının SAS belirtecini yenilemesini engeller ve bu da eşitleme ve bulut geri çağırma işlemlerini kesintiye uğratır. Üst sınırı 3 gün veya üzeri olarak ayarlayın.

Önce hesap erişim anahtarlarını döndürmem gerekiyor mu?

Bu bölüm, hesap anahtarıyla imzalanan hizmet SAS'i ve hesap SAS türleri için geçerlidir. SAS süre sonu ilkesi yapılandırabilmeniz için önce hesap erişim anahtarlarınızın her birini en az bir kez döndürmeniz gerekebilir. Depolama hesabının keyCreationTime özelliği hesap erişim anahtarlarından biri (anahtar1 ve anahtar2) için null değere sahipse, bunları döndürmeniz gerekir. keyCreationTime özelliğinin null olup olmadığını belirlemek için bkz. Depolama hesabı için hesap erişim anahtarlarının oluşturma zamanını alma. SAS süre sonu ilkesi yapılandırmayı denerseniz ve anahtarların önce döndürülmesi gerekiyorsa işlem başarısız olur.

SAS süre sonu ilkesi yapılandırma

Azure portalını, PowerShell'i veya Azure CLI'yı kullanarak SAS süre sonu ilkesi yapılandırabilirsiniz.

Azure portalı

Azure portalında sas süre sonu ilkesi yapılandırmak için şu adımları izleyin:

1. Azure portalda depolama hesabınıza gidin.

2. Ayarlar bölümünde Yapılandırma‘yı seçin.

3. Paylaşılan erişim imzası (SAS) süre sonu ilkesi ayarını bulun ve Etkin olarak ayarlayın.

   Not

   Ayar griyse, süre sonu ilkesi ayarlayabilmeniz için önce her iki hesap erişim anahtarını da döndürmeniz gerekebilir .

4. Bu depolama hesabındaki kaynaklarda oluşturulan yeni paylaşılan erişim imzaları için istenen maksimum aralık için SAS süre sonu aralığı üst sınırı altında bir zaman değeri belirtin.

5. [İsteğe bağlı] Süre sonu eylemini tanımlayın. Varsayılan Günlük eylemi, kullanıcıları kesintiye uğratmadan eğilimleri algılamanıza ve erişimi araştırmanıza yardımcı olurken Engelle eylemi, ilke dışı SAS belirteçleri için sıfır tolerans uygulamanıza olanak tanır.

6. Yaptığınız değişiklikleri kaydetmek için Kaydet'i seçin.

PowerShell

SAS süre sonu ilkesini yapılandırmak için Set-AzStorageAccount komutunu kullanın ve ardından parametreyi -SasExpirationPeriod SAS belirtecinin imzalandığı zamandan itibaren etkin olabileceği gün, saat, dakika ve saniye sayısına ayarlayın. Parametresini -SasExpirationPeriod sağladığınız dize şu biçimi kullanır: <days>.<hours>:<minutes>:<seconds>. Örneğin, SAS'nin süresinin imzalandıktan 1 gün, 12 saat, 5 dakika ve 6 saniye sonra dolacağını istiyorsanız dizesini 1.12:05:06kullanırsınız.

[İsteğe bağlı] parametresini -SasExpirationAction , ilke dışı SAS için istenen eyleme ayarlayın. Kabul edilebilir değerler Günlük veya Engelle değerlerini içerir.

$account = Set-AzStorageAccount -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -SasExpirationPeriod <days>.<hours>:<minutes>:<seconds>
	-SasExpirationAction <action>

İpucu

New-AzStorageAccount-SasExpirationPeriodayarlayarak depolama hesabı oluştururken SAS süre sonu ilkesini de ayarlayabilirsiniz.

Not

Bir anahtar için oluşturma zamanının ayarlanmadığını belirten bir hata iletisi alırsanız, hesap erişim anahtarlarını döndürün ve yeniden deneyin.

İlkenin uygulandığını doğrulamak için depolama hesabının SasPolicy özelliğini denetleyin.

$account.SasPolicy

SAS süre sonu, konsol çıkışında görünür.

Azure CLI

SAS süre sonu ilkesi yapılandırmak için az storage account update komutunu kullanın Parametresini --key-exp-days sağladığınız dize şu biçimi kullanır: <days>.<hours>:<minutes>:<seconds>. Örneğin, SAS'nin süresinin imzalandıktan 1 gün, 12 saat, 5 dakika ve 6 saniye sonra dolacağını istiyorsanız dizesini 1.12:05:06kullanırsınız.

[İsteğe bağlı] parametresini --sas-expiration-action , ilke dışı SAS için istenen eyleme ayarlayın. Kabul edilebilir değerler Günlük veya Engelle değerlerini içerir.

az storage account update \
  --name <storage-account> \
  --resource-group <resource-group> \
  --sas-exp <days>.<hours>:<minutes>:<seconds>
  --sas-expiration-action <action>

İpucu

Ayrıca, az storage account create komutunun parametresini ayarlayarak --key-exp-days depolama hesabı oluştururken SAS süre sonu ilkesini de ayarlayabilirsiniz.

Not

Bir anahtar için oluşturma zamanının ayarlanmadığını belirten bir hata iletisi alırsanız, hesap erişim anahtarlarını döndürün ve yeniden deneyin.

İlkenin uygulandığını doğrulamak için az storage account show komutunu çağırın ve parametresinin dizesini {SasPolicy:sasPolicy}-query kullanın.

az storage account show \
  --name <storage-account> \
  --resource-group <resource-group> \
  --query "{SasPolicy:sasPolicy}"

SAS süre sonu, konsol çıkışında görünür.

{
  "SasPolicy": {
    "expirationAction": "Log",
    "sasExpirationPeriod": "1.12:05:06"
  }
}

İlke ihlalleri için sorgu günlükleri

SAS süre sonu ilkesinin önerdiğinden daha uzun bir süre boyunca geçerli olan bir SAS'nin kullanımını günlüğe kaydetmek için, önce Azure Log Analytics çalışma alanına günlük gönderen bir tanılama ayarı oluşturun. Daha fazla bilgi için bkz . Günlükleri Azure Log Analytics'e gönderme.

Ardından, ilkenin ihlal edilip edilmediğini izlemek için bir Azure İzleyici günlük sorgusu kullanın. Log Analytics çalışma alanınızda yeni bir sorgu oluşturun, aşağıdaki sorgu metnini ekleyin ve Çalıştır'a basın.

StorageBlobLogs 
| where SasExpiryStatus startswith "Policy violated"
| summarize count() by AccountName, SasExpiryStatus

Uyumluluğu izlemek için yerleşik ilke kullanma

Aboneliğinizdeki depolama hesaplarının SAS süre sonu ilkelerini yapılandırdığından emin olmak için depolama hesaplarınızı Azure İlkesi ile izleyebilirsiniz. Azure Depolama, hesapların bu ayarın yapılandırıldığından emin olmak için yerleşik bir ilke sağlar. Yerleşik ilke hakkında daha fazla bilgi için bkz. Yerleşik ilke tanımları listesi bölümünde Depolama hesaplarının yapılandırılmış paylaşılan erişim imzası (SAS) ilkeleri olmalıdır.

Kaynak kapsamı için yerleşik ilkeyi atama

Yerleşik ilkeyi Azure portalında uygun kapsama atamak için şu adımları izleyin:

1. Azure portalında, Azure İlkesi panosunu görüntülemek için İlke'yi arayın.

2. Yazma bölümünde Atamalar'ı seçin.

3. İlke ata'yı seçin.

4. İlke ata sayfasının Temel Bilgiler sekmesinde, Kapsam bölümünde ilke atamasının kapsamını belirtin. Aboneliği ve isteğe bağlı kaynak grubunu seçmek için Diğer düğmesini seçin.

5. İlke tanımı alanı için Diğer düğmesini seçin ve Arama alanına depolama hesabı anahtarlarınıgirin. Depolama hesabı anahtarlarının süresi dolmamalıdır adlı ilke tanımını seçin.

   

6. İlke tanımını belirtilen kapsama atamak için Gözden geçir + oluştur'u seçin.

   

Anahtar süre sonu ilkesiyle uyumluluğu izleme

Depolama hesaplarınızın anahtar süre sonu ilkesiyle uyumluluğunu izlemek için şu adımları izleyin:

1. Azure İlkesi panosunda, ilke atamasında belirttiğiniz kapsam için yerleşik ilke tanımını bulun. Yerleşik ilkeyi Storage accounts should have shared access signature (SAS) policies configuredfiltrelemek için Arama kutusunda arama yapabilirsiniz.

2. İstenen kapsama sahip ilke adını seçin.

3. Yerleşik ilkenin İlke atama sayfasında Uyumluluğu görüntüle'yi seçin. Belirtilen abonelik ve kaynak grubundaki ilke gereksinimlerini karşılamayen tüm depolama hesapları uyumluluk raporunda görünür.

   

Depolama hesabını uyumlu hale getirmek için, SAS süre sonu ilkesini yapılandırma bölümünde açıklandığı gibi bu hesap için bir SAS süre sonu ilkesi yapılandırın.

Ayrıca bkz.

• Paylaşılan erişim imzaları (SAS) kullanarak Azure Depolama kaynaklarına sınırlı erişim izni verme
• Hizmet SAS’si oluşturma
• Hesap SAS’si oluşturma