Zarządzanie kluczami dostępu do konta magazynu

Z tego artykułu dowiesz się, jak wyświetlać, zarządzać i zmieniać klucze dostępu do konta przechowywania. Podczas tworzenia konta magazynu Azure generuje dwa 512-bitowe klucze dostępu do konta magazynu. Za pomocą tych kluczy można autoryzować dostęp do danych na koncie magazynowym za pośrednictwem autoryzacji klucza współużytkowanego lub tokenów SAS podpisanych przy użyciu tego klucza.

Microsoft zaleca używanie Azure Key Vault do zarządzania kluczami dostępu oraz regularne obracanie i ponowne generowanie kluczy. Użycie Azure Key Vault ułatwia obracanie kluczy bez zakłóceń w aplikacjach. Możesz również ręcznie obrócić klucze.

Ważne

Aby uzyskać optymalne zabezpieczenia, Microsoft zaleca używanie Microsoft Entra ID z tożsamościami zarządzanymi przez system w celu autoryzowania żądań względem danych obiektów blob, kolejek i tabel, kiedy to możliwe. Autoryzacja przy użyciu Microsoft Entra ID i tożsamości zarządzanych zapewnia doskonałe zabezpieczenia i łatwość użycia w przypadku autoryzacji klucza współdzielonego. Aby dowiedzieć się więcej o tożsamościach zarządzanych, zobacz Czym są tożsamości zarządzane dla zasobów Azure. Aby zapoznać się z przykładem włączania i używania tożsamości zarządzanej dla aplikacji .NET, zobacz Uwierzytelnianie aplikacji hostowanych przez Azure do zasobów Azure za pomocą .NET.

W przypadku zasobów hostowanych poza Azure, takich jak aplikacje lokalne, można używać tożsamości zarządzanych za pośrednictwem Azure Arc. Na przykład aplikacje uruchomione na serwerach z obsługą Azure Arc mogą używać tożsamości zarządzanych do łączenia się z usługami Azure. Aby dowiedzieć się więcej, zobacz Uwierzytelnianie wobec zasobów Azure za pomocą serwerów z włączonym Azure Arc.

W przypadku scenariuszy, w których są używane sygnatury dostępu współdzielonego (SAS), Microsoft zaleca użycie sygnatury delegacji użytkownika SAS. Podpis delegowanego dostępu użytkownika SAS jest zabezpieczony przy użyciu poświadczeń Microsoft Entra zamiast klucza konta. Aby dowiedzieć się więcej o sygnaturach dostępu współdzielonego, zobacz Udzielanie ograniczonego dostępu do danych za pomocą sygnatur dostępu współdzielonego. Aby zapoznać się z przykładem tworzenia i używania sygnatury dostępu współdzielonego użytkownika z .NET, zobacz Utwórz sygnaturę dostępu współdzielonego użytkownika dla obiektu blob z .NET.

Ochrona kluczy dostępu

Klucze dostępu do konta magazynu zapewniają pełny dostęp do danych konta magazynu i możliwość generowania tokenów SAS. Zawsze należy zachować ostrożność, aby chronić klucze dostępu. Użyj Azure Key Vault, aby bezpiecznie zarządzać kluczami i obracać je. Dostęp do klucza współużytkowanego daje użytkownikowi pełny dostęp do danych konta przechowywania. Dostęp do kluczy udostępnionych powinien być starannie ograniczony i monitorowany. Używaj tokenów SAS do delegowania dostępu użytkowników z ograniczonym zakresem w scenariuszach, w których nie można używać autoryzacji opartej na Microsoft Entra ID. Unikaj kodowania twardych kluczy dostępu lub zapisywania ich w dowolnym miejscu w postaci zwykłego tekstu, który jest dostępny dla innych osób. Obróć swoje klucze, jeśli uważasz, że mogły zostać skompromitowane.

Ważne

Aby uniemożliwić użytkownikom dostęp do danych na koncie magazynu przy użyciu klucza współużytkowanego, możesz uniemożliwić autoryzację klucza współdzielonego dla konta magazynu. Najlepszym rozwiązaniem w zakresie zabezpieczeń jest szczegółowy dostęp do danych z najmniejszymi uprawnieniami wymaganymi. Należy używać autoryzacji opartej na Microsoft Entra ID przy użyciu tożsamości zarządzanych w scenariuszach obsługujących protokół OAuth. Protokół Kerberos powinien być używany do Azure Files za pośrednictwem protokołu SMB. W przypadku Azure Files za pośrednictwem REST można używać tokenów SAS. Dostęp do klucza współużytkowanego powinien być wyłączony, jeśli nie jest wymagany, aby zapobiec jego nieumyślnemu użyciu. Aby uzyskać więcej informacji, zobacz Zapobieganie autoryzacji klucza współużytkowanego dla konta Azure Storage.

Aby chronić konto Azure Storage przy użyciu zasad Dostęp warunkowy usługi Microsoft Entra, musisz zablokować autoryzowanie klucza współdzielonego dla konta magazynu.

Jeśli wyłączono dostęp do klucza współużytkowanego i w dziennikach diagnostycznych jest widoczna autoryzacja klucza współużytkowanego, oznacza to, że zaufany dostęp jest używany do uzyskiwania dostępu do magazynu. Aby uzyskać więcej informacji, zobacz Trusted access for resources registered in your Microsoft Entra tenant (Dostęp do zasobów zarejestrowanych w dzierżawie Microsoft Entra.

Wyświetlanie kluczy dostępu do konta

Klucze dostępu do konta można wyświetlać i kopiować za pomocą portalu Azure, programu PowerShell lub Azure CLI. Portal Azure udostępnia również ciąg połączenia dla konta przechowywania, który można skopiować.

Aby wyświetlić i skopiować klucze dostępu lub łańcuch połączenia do konta pamięci z portalu Azure:

W portalu Azure przejdź do swojego konta magazynowego.
W menu zasobów w obszarze Zabezpieczenia i sieć wybierz pozycję Klucze dostępu. Klucze dostępu do konta są wyświetlane, a także kompletne łańcuchy połączeń dla każdego klucza.
Wybierz pozycję Pokaż klucze, aby wyświetlić klucze dostępu i parametry połączenia oraz włączyć przyciski kopiowania wartości.
Pod key1, znajdź wartość klucz. Wybierz przycisk Kopiuj, aby skopiować klucz konta.
Alternatywnie, możesz skopiować cały ciąg połączenia. W obszarze key1 znajdź wartość ciągu połączenia. Wybierz przycisk Copy aby skopiować parametry połączenia.

Aby pobrać klucze dostępu do konta za pomocą programu PowerShell, wywołaj polecenie Get-AzStorageAccountKey .

Poniższy przykład pobiera pierwszy klucz. Aby pobrać drugi klucz, użyj polecenia Value[1] zamiast Value[0]. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami.

$storageAccountKey = `
    (Get-AzStorageAccountKey
    -ResourceGroupName <resource-group> `
    -Name <storage-account>).Value[0]

Aby wyświetlić listę kluczy dostępu do konta za pomocą Azure CLI, wywołaj az storage account keys list polecenia, jak pokazano w poniższym przykładzie. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami.

az storage account keys list \
  --resource-group <resource-group> \
  --account-name <storage-account>

Aby uzyskać dostęp do Azure Storage, można użyć jednego z dwóch kluczy, ale ogólnie dobrym rozwiązaniem jest użycie pierwszego klucza i zarezerwowanie użycia drugiego klucza podczas rotacji kluczy.

Aby wyświetlić lub odczytać klucze dostępu konta, użytkownik musi być administratorem usługi lub musi mieć przypisaną rolę Azure obejmującą Microsoft. Storage/storageAccounts/listkeys/action. Niektóre wbudowane role Azure, które obejmują tę akcję, to Owner, Contributor i Operator klucza konta w usłudze. Aby uzyskać więcej informacji o roli Administratora Usługi, zobacz role Azure, role Microsoft Entra i klasyczne role administratora subskrypcji. Aby uzyskać szczegółowe informacje o wbudowanych rolach dla Azure Storage, zobacz sekcję Storage w wbudowanych rolach dla Azure w ramach RBAC w Azure.

Zarządzanie kluczami dostępu przy użyciu Azure Key Vault

Microsoft zaleca używanie tożsamości Microsoft Entra ID i tożsamości zarządzanych w celu autoryzowania dostępu do Azure Storage. Jeśli musisz używać kluczy dostępu, przechowuj je w Azure Key Vault i regularnie obracaj je. Aby uzyskać więcej informacji, zobacz następujący artykuł:

Autoryzuj dostęp do danych w Azure Storage

Ręczne obracanie kluczy dostępu

Microsoft zaleca okresową rotację kluczy dostępu dla zapewnienia bezpieczeństwa konta magazynu. Jeśli to możliwe, użyj Azure Key Vault do zarządzania kluczami dostępu. Jeśli nie używasz Key Vault, musisz ręcznie obrócić klucze.

Przypisane są dwa klucze dostępu, dzięki czemu można obracać klucze. Posiadanie dwóch kluczy gwarantuje, że aplikacja zachowuje dostęp do Azure Storage w całym procesie.

Ostrzeżenie

Ponowne generowanie kluczy dostępu może mieć wpływ na wszystkie aplikacje i usługi Azure, które są zależne od klucza dostępu do konta magazynu. Każdy klient korzystający z klucza konta do uzyskania dostępu do konta magazynu musi zostać zaktualizowany, aby używać nowego klucza, w tym usług multimedialnych, aplikacji chmurowych, komputerowych i mobilnych oraz graficznych aplikacji interfejsu użytkownika dla Azure Storage, takich jak Eksplorator usługi Azure Storage.

Ponadto rotacja lub ponowne generowanie kluczy dostępu powoduje odwołanie sygnatur dostępu współdzielonego wygenerowanych na podstawie tego klucza. Po rotacji kluczy dostępu należy ponownie wygenerować tokeny SAS konta i usługi, aby uniknąć zakłóceń w aplikacjach. Należy pamiętać, że tokeny SAS delegowania użytkownika są zabezpieczone przy użyciu poświadczeń Microsoft Entra i nie mają wpływu na rotację kluczy.

Jeśli planujesz ręczne obracanie kluczy dostępu, Microsoft zaleca ustawienie zasad wygasania kluczy. Aby uzyskać więcej informacji, zobacz Tworzenie zasad wygasania kluczy.

Po utworzeniu zasad wygasania kluczy można użyć Azure Policy do monitorowania, czy klucze konta magazynu zostały obrócone w zalecanym interwale. Aby uzyskać szczegółowe informacje, zobacz Sprawdzanie naruszeń zasad wygasania kluczy.

Aby obrócić klucze dostępu do konta magazynu w portalu Azure:

Zaktualizuj parametry połączenia w kodzie aplikacji, aby odwoływać się do klucza dostępu pomocniczego dla konta magazynowego.
Przejdź do konta magazynowego w portalu Azure.
W obszarze Zabezpieczenia i sieć wybierz pozycję Klucze dostępu.
Aby wygenerować ponownie podstawowy klucz dostępu dla konta magazynu, wybierz przycisk Ponownie wygeneruj obok podstawowego klucza dostępu.
Zaktualizuj parametry połączenia w kodzie za pomocą odwołania do nowego podstawowego klucza dostępu.
W ten sam sposób wygeneruj ponownie pomocniczy klucz dostępu.

Aby obrócić klucze dostępu do konta magazynu za pomocą programu PowerShell:

Zaktualizuj parametry połączenia w kodzie aplikacji, aby odwoływać się do klucza pomocniczego dla konta magazynowego.
Wywołaj polecenie New-AzStorageAccountKey , aby wygenerować ponownie podstawowy klucz dostępu, jak pokazano w poniższym przykładzie:
```
New-AzStorageAccountKey -ResourceGroupName <resource-group> `
  -Name <storage-account> `
  -KeyName key1
```
Zaktualizuj parametry połączenia w kodzie za pomocą odwołania do nowego podstawowego klucza dostępu.
W ten sam sposób wygeneruj ponownie pomocniczy klucz dostępu. Aby ponownie wygenerować klucz pomocniczy, użyj key2 jako nazwy klucza zamiast key1.

Aby rotować klucze dostępu do konta magazynu przy użyciu Azure CLI:

Zaktualizuj parametry połączenia w kodzie aplikacji, aby odwoływać się do klucza pomocniczego dla konta magazynowego.
Wywołaj polecenie az storage account keys renew, aby ponownie wygenerować podstawowy klucz dostępu, jak pokazano w poniższym przykładzie:
```
az storage account keys renew \
  --resource-group <resource-group> \
  --account-name <storage-account> \
  --key primary
```
Zaktualizuj parametry połączenia w kodzie za pomocą odwołania do nowego podstawowego klucza dostępu.
W ten sam sposób wygeneruj ponownie pomocniczy klucz dostępu. Aby ponownie wygenerować klucz pomocniczy, użyj secondary jako nazwy klucza zamiast primary.

Uwaga

Microsoft zaleca używanie tylko jednego z kluczy we wszystkich aplikacjach w tym samym czasie. Jeśli używasz klucza 1 w niektórych miejscach i klucza 2 w innych, nie będzie można obracać kluczy bez utraty dostępu przez aplikację.

Aby zregenerować klucze dostępu do konta, użytkownik musi być Administratorem Usług lub mieć przypisaną rolę Azure, która obejmuje Microsoft.Storage/storageAccounts/regeneratekey/action. Niektóre wbudowane role Azure, które obejmują tę akcję, to Owner, Contributor i Operator klucza konta w usłudze. Aby uzyskać więcej informacji o roli Administratora Usługi, zobacz role Azure, role Microsoft Entra i klasyczne role administratora subskrypcji. Aby uzyskać szczegółowe informacje o wbudowanych rolach platformy Azure dla Azure Storage, zobacz sekcję Storage w Wbudowane role platformy Azure dla kontroli dostępu opartej na rolach (RBAC).

Tworzenie zasad wygasania kluczy

Zasady wygasania kluczy umożliwiają ustawienie przypomnienia dotyczącego rotacji kluczy dostępu do konta. Przypomnienie jest wyświetlane, jeśli określony interwał upłynął, a klucze nie zostały jeszcze obrócone. Po utworzeniu zasad wygasania kluczy można monitorować konta magazynu pod kątem zgodności, aby upewnić się, że klucze dostępu do konta są regularnie obracane.

Uwaga

Przed utworzeniem zasad wygasania kluczy może być konieczne obracanie co najmniej raz poszczególnych kluczy dostępu do konta.

Aby utworzyć zasady wygasania kluczy w portalu Azure:

W portalu Azure przejdź do swojego konta magazynowego.
W obszarze Zabezpieczenia i sieć wybierz pozycję Klucze dostępu. Klucze dostępu do konta są wyświetlane, a także kompletne łańcuchy połączeń dla każdego klucza.
Wybierz przycisk Ustaw przypomnienie o rotacji. Jeśli przycisk Ustaw przypomnienie o rotacji jest wyszarzony, należy odnowić każdy z kluczy. Wykonaj kroki opisane w temacie Ręczne obracanie kluczy dostępu, aby obrócić klucze.
W Ustaw przypomnienie o rotacji kluczy dostępu zaznacz pole Włącz przypomnienia o rotacji kluczy dostępu i ustaw częstotliwość przypomnienia.
Wybierz pozycję Zapisz.

Screenshot przedstawiający sposób tworzenia zasad wygasania kluczy w portalu Azure

Aby utworzyć zasady wygasania kluczy za pomocą programu PowerShell, użyj polecenia Set-AzStorageAccount i ustaw -KeyExpirationPeriodInDay parametr na interwał w dniach do momentu rotacji klucza dostępu.

Właściwość KeyCreationTime wskazuje, kiedy klucze dostępu do konta zostały utworzone lub ostatnio obracane. Starsze konta mogą mieć wartość null dla KeyCreationTime właściwości, ponieważ jeszcze jej nie ustawiono. KeyCreationTime Jeśli właściwość ma wartość null, nie można utworzyć zasad wygasania kluczy do momentu rotacji kluczy. Z tego powodu warto sprawdzić KeyCreationTime właściwość konta magazynu przed podjęciem próby ustawienia zasad wygasania kluczy.

Poniższy przykład sprawdza, czy KeyCreationTime właściwość została ustawiona dla każdego klucza. KeyCreationTime Jeśli właściwość ma wartość, zostanie utworzona zasada wygasania klucza dla konta magazynu. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami.

$rgName = "<resource-group>"
$accountName = "<account-name>"

$account = Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName

# Check whether the KeyCreationTime property has a value for each key 
# before creating the key expiration policy.
if ($account.KeyCreationTime.Key1 -eq $null -or $account.KeyCreationTime.Key2 -eq $null)
{
    Write-Host("You must regenerate both keys at least once before setting expiration policy")
}
else
{
    $account = Set-AzStorageAccount -ResourceGroupName $rgName -Name `
        $accountName  -KeyExpirationPeriodInDay 60
}

Zasady wygasania kluczy można również ustawić, ustawiając parametr -KeyExpirationPeriodInDay polecenia New-AzStorageAccount podczas tworzenia konta magazynowego.

Aby sprawdzić, czy zasady zostały zastosowane, sprawdź atrybut konta magazynowania KeyPolicy.

$account.KeyPolicy

Aby utworzyć zasady wygasania kluczy za pomocą Azure CLI, użyj polecenia az storage account update i ustaw parametr --key-exp-days na okres w dniach, po którym klucz dostępu powinien zostać zrotowany.

Właściwość keyCreationTime wskazuje, kiedy klucze dostępu do konta zostały utworzone lub ostatnio obracane. Starsze konta mogą mieć wartość null dla właściwości keyCreationTime, ponieważ jeszcze nie została ustawiona. keyCreationTime Jeśli właściwość ma wartość null, nie można utworzyć zasad wygasania kluczy do momentu rotacji kluczy. Z tego powodu warto sprawdzić keyCreationTime właściwość konta magazynu przed podjęciem próby ustawienia zasad wygasania kluczy.

Poniższy przykład sprawdza, czy keyCreationTime właściwość została ustawiona dla każdego klucza. keyCreationTime Jeśli właściwość ma wartość, zostanie utworzona zasada wygasania klucza dla konta magazynu. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami.

key1_create_time=$(az storage account show \
    --name <storage-account> \
    --resource-group <resource-group> \
    --query 'keyCreationTime.key1' \
    --output tsv)
key2_create_time=$(az storage account show \
    --name <storage-account> \
    --resource-group <resource-group> \
    --query 'keyCreationTime.key2' \
    --output tsv)

if [ -z "$key1_create_time" ] || [ -z "$key2_create_time" ]; 
then
    echo "You must regenerate both keys at least once before setting expiration policy"
else
    az storage account update \
        --name <storage-account> \
        --resource-group <resource-group> \
        --key-exp-days 60
fi

Możesz również ustawić zasady wygasania kluczy podczas tworzenia konta magazynowego, ustawiając parametr --key-exp-days polecenia az storage account create.

Aby sprawdzić, czy polityka została zastosowana, wywołaj polecenie az storage account show i użyj ciągu {KeyPolicy:keyPolicy} dla parametru -query.

az storage account show \
  -n <storage-account-name> \
  -g <resource-group-name> \
  --query "{KeyPolicy:keyPolicy}"

Okres wygaśnięcia klucza jest wyświetlany w danych wyjściowych konsoli.

{
  "KeyPolicy": {
    "enableAutoRotation": false,
    "keyExpirationPeriodInDays": 60
  }
}

Sprawdzanie naruszeń zasad wygasania kluczy

Konta magazynowe można monitorować za pomocą Azure Policy, aby upewnić się, że klucze dostępu do konta zostały wymienione w zalecanym okresie. Azure Storage zapewnia wbudowaną politykę, która zapobiega przedawnieniu kluczy dostępu do konta magazynu. Aby uzyskać więcej informacji na temat wbudowanych zasad, zobacz Klucze konta magazynu nie powinny wygasać w liście wbudowanych definicji zasad.

Przypisz wbudowaną politykę do zakresu zasobów

Wykonaj następujące kroki, aby przypisać wbudowane zasady do odpowiedniego zakresu w portalu Azure:

W portalu Azure wyszukaj Policy aby wyświetlić pulpit nawigacyjny Azure Policy.
W sekcji Tworzenie wybierz pozycję Zadania.
Wybierz Przypisz zasady.
Na karcie Podstawowe strony Przypisywanie zasad, w sekcji Zakres, określ zakres przypisania zasad. Wybierz przycisk Więcej, aby wybrać subskrypcję i opcjonalną grupę zasobów.
W polu Definicja polityki wybierz przycisk Więcej i wprowadź klucze konta magazynowego w polu Wyszukaj. Wybierz definicję zasad o nazwie Klucze konta magazynu nie powinny być wygasłe.
Wybierz pozycję Przejrzyj i utwórz , aby przypisać definicję zasad do określonego zakresu.

Monitorowanie zgodności z zasadami wygasania kluczy

Aby monitorować konta przechowywania pod kątem zgodności z polityką wygasania kluczy, wykonaj następujące kroki:

Na pulpicie nawigacyjnym Azure Policy znajdź wbudowaną definicję zasad dla zakresu określonego w przypisaniu zasad. Możesz wyszukać klucze konta magazynu, które nie są przeterminowane w polu wyszukiwania, aby filtrować wbudowane zasady.
Wybierz nazwę zasad z żądanym zakresem.
Na stronie Przypisywanie zasad dla wbudowanych zasad wybierz Wyświetl zgodność. Wszystkie konta magazynowe w danej subskrypcji i grupie zasobów, które nie spełniają wymagań polityki, są wyświetlane w raporcie zgodności.

Aby zapewnić zgodność konta magazynu, obróć klucze dostępu do konta.

Następne kroki

omówienie konta przechowywania Azure
Tworzenie konta magazynu
Zapobieganie autoryzacji klucza współużytkowanego dla konta Azure Storage

Opinia

Czy ta strona była pomocna?

Last updated on 2026-04-09