Depolama hesabı anahtarlarını anlama

  • 5 dakika

Contoso'nun verilerinin çoğu, özel uygulamalar tarafından oluşturulmakta veya kullanılmaktadır. Uygulamalar farklı dillerde yazılmıştır.

Azure Depolama hesapları bloblar ve kuyruklar içindeki verilere erişimi denetlemek için Active Directory içinde yetkili uygulamalar oluşturabilir. Bu kimlik doğrulama yaklaşımı, Blob depolama veya Kuyruk depolama alanı kullanan uygulamalar için en iyi çözümdür.

Diğer depolama modelleri için istemciler paylaşılan anahtar veya paylaşılan gizli dizi kullanılabilir. Bu kimlik doğrulama seçeneği kullanımı en kolay olan yöntemdir ve blob, dosya, kuyruk ve tabloları destekler. İstemci paylaşılan anahtarı her isteğin HTTP Authorization üst bilgisine ekler ve Depolama hesabı anahtarı doğrular.

Örneğin, bir uygulama bir blob kaynağına karşı GET isteği oluşturabilir:

GET http://myaccount.blob.core.windows.net/?restype=service&comp=stats

REST API sürümünü, tarihi ve kodlanmış paylaşılan anahtarı HTTP üst bilgileri denetler:

x-ms-version: 2018-03-28  
Date: Wed, 23 Oct 2018 21:00:44 GMT  
Authorization: SharedKey myaccount:CY1OP3O3jGFpYFbTCBimLn0Xov0vt0khH/E5Gy0fXvg=

Depolama hesabı anahtarları

Azure Depolama hesaplarında paylaşılan anahtarlar, depolama hesabı anahtarları olarak adlandırılır. Azure, oluşturduğunuz her depolama hesabı için bu anahtarlardan iki tane (birincil ve ikincil) oluşturur. Anahtarlar hesaptaki her şeye erişim sağlar.

Depolama hesabı anahtarlarına depolama hesabının Azure portalı görünümünden erişebilirsiniz. Depolama hesabınızın sol menü bölmesinde Güvenlik + ağ Erişim anahtarları'nı> seçin.

Screenshot showing the access keys in the Azure portal.

Paylaşılan anahtarları koruma

Depolama hesabında yalnızca iki anahtar vardır ve bu anahtarlar hesaba tam erişim sağlar. Bu anahtarlar güçlü olduğu için yalnızca tam denetime sahip olduğunuz güvenilir şirket içi uygulamalar ile kullanmanız gerekir.

Anahtarlar tehlikeye girerse anahtar değerlerini Azure portalından değiştirin. Depolama hesabı anahtarlarınızı yeniden oluşturmak birkaç neden daha vardır:

  • Güvenlik nedeniyle anahtarları belirli aralıklarla yeniden oluşturabilirsiniz.
  • Bir uygulamaya yetkisiz erişim sağlanıp koda eklenmiş veya yapılandırma dosyasına kaydedilmiş anahtarın ele geçirilmesi halinde ilgili anahtarı yeniden oluşturun. Anahtarı ele geçiren kişi depolama hesabınıza tam erişim elde edebilir.
  • Ekibiniz depolama hesabı anahtarını saklayan bir Depolama Gezgini uygulaması kullanıyorsa ekip üyelerinden biri ayrıldığında anahtarı yeniden oluşturun. Aksi takdirde uygulama çalışmaya devam eder ve eski ekip üyesi depolama hesabınıza erişebilir.

Anahtarları yenilemek için:

  • Her güvenilen uygulamayı ikincil anahtarı kullanacak şekilde değiştirin.
  • Azure portalındaki birincil anahtarı yenileyin. Bu, yeni ikincil anahtar değeri olacaktır.

Önemli

Anahtarlarınızı yeniledikten sonra eski anahtar değerini kullanma girişiminde bulunan istemciler reddedilecektir. Paylaşılan anahtarı kullanan tüm istemcileri tanımladığınızdan ve bunları çalışır durumda tutmak için güncelleştirdiğinizden emin olun.