Paylaşılan erişim imzaları için süre sonu ilkesi yapılandırma

Azure Depolama hesabınızdaki kaynaklara erişim yetkisi vermek için paylaşılan erişim imzası (SAS) kullanabilirsiniz. SAS belirteci hedeflenen kaynağı, verilen izinleri ve erişime izin verilen aralığı içerir. En iyi yöntemler, güvenliğin aşılması durumunda SAS aralığını sınırlamanızı önerir. Depolama hesaplarınız için bir SAS süre sonu ilkesi ayarlayarak, kullanıcı bir hizmet SAS'ı veya hesap SAS'ı oluşturduğunda önerilen bir üst süre sonu sınırı sağlayabilirsiniz.

Paylaşılan erişim imzaları hakkında daha fazla bilgi için bkz. Paylaşılan erişim imzalarını (SAS) kullanarak Azure Depolama kaynaklarına sınırlı erişim verme.

SAS süre sonu ilkeleri hakkında

Depolama hesabında sas süre sonu ilkesi yapılandırabilirsiniz. SAS süre sonu ilkesi, bir hizmet SAS'sinde veya hesap SAS'sinde imzalanan süre sonu alanı için önerilen üst sınırı belirtir. Önerilen üst sınır, birleştirilmiş gün, saat, dakika ve saniye sayısı olan bir tarih/saat değeri olarak belirtilir.

SAS için geçerlilik aralığı, imzalı başlangıç alanının tarih/saat değeri imzalı süre sonu alanının tarih/saat değerinden çıkarılarak hesaplanır. Sonuçta elde edilen değer önerilen üst sınırdan küçük veya buna eşitse SAS, SAS süre sonu ilkesiyle uyumlu olur.

SAS süre sonu ilkesini yapılandırdıktan sonra, önerilen üst sınırı aşan bir aralıkla hizmet SAS'i veya hesap SAS'sini oluşturan tüm kullanıcılar bir uyarı görür.

SAS süre sonu ilkesi, kullanıcının ilke tarafından önerilen sınırı aşan bir süre sonu ile SAS oluşturmasını engellemez. Kullanıcı ilkeyi ihlal eden bir SAS oluşturduğunda, önerilen maksimum aralığın yanı sıra bir uyarı görür. Azure İzleyici ile günlüğe kaydetme için bir tanılama ayarı yapılandırdıysanız Azure Depolama, kullanıcı önerilen aralık sonrasında süresi dolan bir SAS kullandığında günlüklerdeki SasExpiryStatus özelliğine bir ileti yazar. İleti, SAS'nin geçerlilik aralığının önerilen aralığı aştığını gösterir.

Depolama hesabı için bir SAS süre sonu ilkesi etkin olduğunda, imzalı başlangıç alanı her SAS için gereklidir. İmzalı başlangıç alanı SAS'ye dahil değilse ve Azure İzleyici ile günlüğe kaydetme için bir tanılama ayarı yapılandırdıysanız, kullanıcı imzalı başlangıç alanı için bir değer olmadan SAS kullandığında Azure Depolama günlüklerdeki SasExpiryStatus özelliğine bir ileti yazar.

SAS süre sonu ilkesi yapılandırma

Depolama hesabında sas süre sonu ilkesi yapılandırdığınızda, ilke hesap anahtarıyla imzalanan her SAS türü için geçerlidir. Hesap anahtarıyla imzalanan paylaşılan erişim imzalarının türleri hizmet SAS'leri ve hesap SAS'leridir.

Önce hesap erişim anahtarlarını döndürmem gerekiyor mu?

SAS süre sonu ilkesi yapılandırabilmeniz için önce hesap erişim anahtarlarınızın her birini en az bir kez döndürmeniz gerekebilir. Depolama hesabının keyCreationTime özelliği hesap erişim anahtarlarından biri (anahtar1 ve anahtar2) için null değere sahipse, bunları döndürmeniz gerekir. keyCreationTime özelliğinin null olup olmadığını belirlemek için bkz. Depolama hesabı için hesap erişim anahtarlarının oluşturma zamanını alma. SAS süre sonu ilkesi yapılandırmayı denerseniz ve anahtarların önce döndürülmesi gerekiyorsa işlem başarısız olur.

SAS süre sonu ilkesi yapılandırma

Azure portalını, PowerShell'i veya Azure CLI'yı kullanarak SAS süre sonu ilkesi yapılandırabilirsiniz.

Azure portalı

Azure portalında sas süre sonu ilkesi yapılandırmak için şu adımları izleyin:

1. Azure portalda depolama hesabınıza gidin.

2. Ayarlar bölümünde Yapılandırma‘yı seçin.

3. Paylaşılan erişim imzası (SAS) süre sonu aralığı için önerilen üst sınıra izin ver ayarını bulun ve Etkin olarak ayarlayın.

   Dekont

   Ayar griyse ve aşağıdaki resimde gösterilen iletiyi görüyorsanız SAS süre sonu aralığı değerleri için Önerilen üst sınırı ayarlayabilmeniz için önce her iki hesap erişim anahtarını da döndürmeniz gerekir:

   

4. Bu depolama hesabındaki kaynaklarda oluşturulan yeni paylaşılan erişim imzaları için önerilen aralık için SAS süre sonu aralığı için önerilen üst sınır altında saat değerlerini belirtin.

   

5. Yaptığınız değişiklikleri kaydetmek için Kaydet'i seçin.

PowerShell

SAS süre sonu ilkesi yapılandırmak için Set-Az Depolama Account komutunu kullanın ve ardından parametresini SAS belirtecinin bir SAS imzalandığı zamandan itibaren etkin olabileceği gün, saat, dakika ve saniye sayısına ayarlayın-SasExpirationPeriod. Parametresini -SasExpirationPeriod sağladığınız dize şu biçimi kullanır: <days>.<hours>:<minutes>:<seconds>. Örneğin, SAS'nin süresinin imzalandıktan 1 gün, 12 saat, 5 dakika ve 6 saniye sonra dolacağını istiyorsanız dizesini 1.12:05:06kullanırsınız.

$account = Set-AzStorageAccount -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -SasExpirationPeriod <days>.<hours>:<minutes>:<seconds>

Bahşiş

New-Az Depolama Account komutunun parametresini ayarlayarak -SasExpirationPeriod depolama hesabı oluştururken SAS süre sonu ilkesini de ayarlayabilirsiniz.

Dekont

Bir anahtar için oluşturma zamanının ayarlanmadığını belirten bir hata iletisi alırsanız, hesap erişim anahtarlarını döndürün ve yeniden deneyin.

İlkenin uygulandığını doğrulamak için depolama hesabının SasPolicy özelliğini denetleyin.

$account.SasPolicy

SAS süre sonu, konsol çıkışında görünür.

Azure CLI

SAS süre sonu ilkesi yapılandırmak için az storage account update komutunu kullanın ve ardından parametresini sas belirtecinin sas imzalandığı zamandan itibaren etkin olabileceği gün, saat, dakika ve saniye sayısına ayarlayın--key-exp-days. Parametresini --key-exp-days sağladığınız dize şu biçimi kullanır: <days>.<hours>:<minutes>:<seconds>. Örneğin, SAS'nin süresinin imzalandıktan 1 gün, 12 saat, 5 dakika ve 6 saniye sonra dolacağını istiyorsanız dizesini 1.12:05:06kullanırsınız.

az storage account update \
  --name <storage-account> \
  --resource-group <resource-group> \
  --sas-exp <days>.<hours>:<minutes>:<seconds>

Bahşiş

Ayrıca, az storage account create komutunun parametresini ayarlayarak --key-exp-days depolama hesabı oluştururken SAS süre sonu ilkesini de ayarlayabilirsiniz.

Dekont

Bir anahtar için oluşturma zamanının ayarlanmadığını belirten bir hata iletisi alırsanız, hesap erişim anahtarlarını döndürün ve yeniden deneyin.

İlkenin uygulandığını doğrulamak için az storage account show komutunu çağırın ve parametresinin dizesini {SasPolicy:sasPolicy}-query kullanın.

az storage account show \
  --name <storage-account> \
  --resource-group <resource-group> \
  --query "{SasPolicy:sasPolicy}"

SAS süre sonu, konsol çıkışında görünür.

{
  "SasPolicy": {
    "expirationAction": "Log",
    "sasExpirationPeriod": "1.12:05:06"
  }
}

İlke ihlalleri için sorgu günlükleri

SAS süre sonu ilkesinin önerdiğinden daha uzun bir süre boyunca geçerli olan bir SAS'nin kullanımını günlüğe kaydetmek için, önce Azure Log Analytics çalışma alanına günlük gönderen bir tanılama ayarı oluşturun. Daha fazla bilgi için bkz . Günlükleri Azure Log Analytics'e gönderme.

Ardından, ilkenin ihlal edilip edilmediğini izlemek için bir Azure İzleyici günlük sorgusu kullanın. Log Analytics çalışma alanınızda yeni bir sorgu oluşturun, aşağıdaki sorgu metnini ekleyin ve Çalıştır'a basın.

StorageBlobLogs 
| where SasExpiryStatus startswith "Policy violated"
| summarize count() by AccountName, SasExpiryStatus

Uyumluluğu izlemek için yerleşik ilke kullanma

Aboneliğinizdeki depolama hesaplarının SAS süre sonu ilkelerini yapılandırdığından emin olmak için depolama hesaplarınızı Azure İlkesi ile izleyebilirsiniz. Azure Depolama, hesapların bu ayarın yapılandırıldığından emin olmak için yerleşik bir ilke sağlar. Yerleşik ilke hakkında daha fazla bilgi için bkz. yerleşik ilke tanımları listesi bölümünde Depolama hesaplarda paylaşılan erişim imzası (SAS) ilkeleri yapılandırılmış olmalıdır.

Kaynak kapsamı için yerleşik ilkeyi atama

Yerleşik ilkeyi Azure portalında uygun kapsama atamak için şu adımları izleyin:

1. Azure portalında, Azure İlkesi panosunu görüntülemek için İlke'yi arayın.

2. Yazma bölümünde Atamalar'ı seçin.

3. İlke ata'yı seçin.

4. İlke ata sayfasının Temel Bilgiler sekmesinde, Kapsam bölümünde ilke atamasının kapsamını belirtin. Aboneliği ve isteğe bağlı kaynak grubunu seçmek için Diğer düğmesini seçin.

5. İlke tanımı alanı için Diğer düğmesini seçin ve Arama alanına depolama hesabı anahtarlarınıgirin. Depolama hesap anahtarlarının süresi dolmamalıdır adlı ilke tanımını seçin.

   

6. İlke tanımını belirtilen kapsama atamak için Gözden geçir + oluştur'u seçin.

   

Anahtar süre sonu ilkesiyle uyumluluğu izleme

Depolama hesaplarınızın anahtar süre sonu ilkesiyle uyumluluğunu izlemek için şu adımları izleyin:

1. Azure İlkesi panosunda, ilke atamasında belirttiğiniz kapsam için yerleşik ilke tanımını bulun. Yerleşik ilkeyi Storage accounts should have shared access signature (SAS) policies configuredfiltrelemek için Arama kutusunda arama yapabilirsiniz.

2. İstenen kapsama sahip ilke adını seçin.

3. Yerleşik ilkenin İlke atama sayfasında Uyumluluğu görüntüle'yi seçin. Belirtilen abonelik ve kaynak grubundaki ilke gereksinimlerini karşılamayen tüm depolama hesapları uyumluluk raporunda görünür.

   

Depolama hesabını uyumlu hale getirmek için, SAS süre sonu ilkesini yapılandırma bölümünde açıklandığı gibi bu hesap için bir SAS süre sonu ilkesi yapılandırın.

Ayrıca bkz.

• Paylaşılan erişim imzaları (SAS) kullanarak Azure Depolama kaynaklarına sınırlı erişim izni verme
• Hizmet SAS’si oluşturma
• Hesap SAS’si oluşturma