Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Możesz użyć sygnatury dostępu współdzielonego (SAS), aby delegować dostęp do zasobów na koncie usługi Azure Storage. Token sygnatury dostępu współdzielonego obejmuje zasób docelowy, przyznane uprawnienia i interwał, w którym jest dozwolony dostęp. Najlepsze rozwiązania zaleca ograniczenie interwału sygnatury dostępu współdzielonego w przypadku naruszenia zabezpieczeń. Ustawiając zasady wygasania sygnatur dostępu współdzielonego dla kont magazynu, możesz zalecić lub wymusić górny limit wygaśnięcia (maksymalny interwał ważności), gdy użytkownik utworzy sygnaturę dostępu współdzielonego delegowania użytkownika, sygnaturę dostępu współdzielonego usługi lub sygnaturę dostępu współdzielonego konta.
Aby uzyskać więcej informacji na temat sygnatur dostępu współdzielonego, zobacz Udzielanie ograniczonego dostępu do zasobów usługi Azure Storage przy użyciu sygnatur dostępu współdzielonego (SAS).
Ważne
W przypadku scenariuszy, w których są używane sygnatury dostępu współdzielonego, firma Microsoft zaleca używanie sygnatury dostępu współdzielonego delegowania użytkowników. Sygnatura dostępu współdzielonego delegowania użytkownika jest zabezpieczona przy użyciu poświadczeń firmy Microsoft zamiast klucza konta, co zapewnia lepsze zabezpieczenia.
Informacje o zasadach wygasania sygnatury dostępu współdzielonego
Zasady wygasania sygnatur dostępu współdzielonego można skonfigurować na koncie magazynu. Zasady wygasania sygnatury dostępu współdzielonego określają górny limit dla interwału ważności dla sygnatury dostępu współdzielonego delegowania użytkownika, sygnatury dostępu współdzielonego usługi lub sygnatury dostępu współdzielonego konta. Górny limit jest określany jako wartość daty/godziny, która jest łączną liczbą dni, godzin, minut i sekund.
Interwał ważności sygnatury dostępu współdzielonego jest obliczany przez odjęcie wartości daty/godziny podpisanego pola początkowego od wartości daty/godziny pola wygaśnięcia podpisanego. Jeśli wynikowa wartość jest mniejsza lub równa zalecanemu górnemu limitowi, sygnatura dostępu współdzielonego jest niezgodna z zasadami wygasania sygnatury dostępu współdzielonego.
Gdy obowiązują zasady wygasania sygnatury dostępu współdzielonego dla konta magazynu, dla każdego sygnatury dostępu współdzielonego wymagane jest pole rozpoczęcia podpisanej sygnatury dostępu współdzielonego. Jeśli podpisane pole uruchamiania nie jest uwzględnione w sygnaturze dostępu współdzielonego i skonfigurowano ustawienie diagnostyczne do rejestrowania za pomocą usługi Azure Monitor, usługa Azure Storage zapisuje komunikat we właściwości SasExpiryStatus w dziennikach, gdy użytkownik używa sygnatury dostępu współdzielonego bez wartości dla podpisanego pola startowego.
Po skonfigurowaniu zasad wygaśnięcia sygnatury dostępu współdzielonego każdy użytkownik, który tworzy sygnaturę dostępu współdzielonego z interwałem przekraczającym zalecany górny limit, zobaczy ostrzeżenie wraz z zalecanym maksymalnym interwałem.
Definiowanie akcji wygasania sygnatury dostępu współdzielonego
Zasady wygasania sygnatury dostępu współdzielonego obsługują dwie akcje:
[Ustawienie domyślne] Dziennik: Żądania wysyłane przy użyciu sygnatury dostępu współdzielonego poza zasadami są dozwolone. Jeśli skonfigurowano ustawienie diagnostyczne na potrzeby rejestrowania za pomocą usługi Azure Monitor, usługa Azure Storage zapisuje komunikat we właściwości SasExpiryStatus w dziennikach za każdym razem, gdy użytkownik używa sygnatury dostępu współdzielonego, która wygasa po zalecanym interwale. Komunikat wskazuje, że interwał ważności sygnatury dostępu współdzielonego przekracza zalecany interwał. Ta opcja jest zalecana do monitorowania i inspekcji dostępu bez zakłócania przepływów pracy.
Blok: Żądania wysyłane przy użyciu sygnatury dostępu współdzielonego poza zasadami są odrzucane. Jest to najbardziej rygorystyczna opcja wymuszania kontroli dostępu zgodnie z wymaganiami organizacji.
Sygnatura dostępu współdzielonego poza zasadami to te, które nie mają podpisanego początku lub mają interwał ważności większy niż górny limit.
Zacznij od przejrzenia bieżącego użycia tokenu SAS i ustawienia odpowiednich zasad wygasania dla kont magazynu. Zalecamy rozpoczęcie od akcji Dziennik , aby monitorować dzienniki diagnostyczne pod kątem naruszeń zasad. Zdecydowanie zalecamy użycie akcji Blokuj , aby upewnić się, że jeśli token SAS przeszedł ważność okresu wygaśnięcia ustawionego na koncie magazynu, dostęp do magazynu musi zostać zablokowany.
Ważne
Akcja wygaśnięcia sygnatury dostępu współdzielonego sygnatury dostępu współdzielonego sygnatur dostępu współdzielonego na poziomie usługi nie jest obsługiwana w przypadku sygnatur dostępu współdzielonego delegowania użytkownika za pomocą przechowywanych zasad dostępu.
Konfigurowanie zasad wygasania sygnatury dostępu współdzielonego
Podczas konfigurowania zasad wygasania sygnatury dostępu współdzielonego na koncie magazynu zasady dotyczą każdego typu sygnatury dostępu współdzielonego: sygnatury dostępu współdzielonego delegowania użytkownika, sygnatury dostępu współdzielonego usługi i sygnatury dostępu współdzielonego konta. Sygnatura dostępu współdzielonego usługi i typy sygnatur dostępu współdzielonego konta są podpisane przy użyciu klucza konta, podczas gdy sygnatura dostępu współdzielonego delegowania użytkownika jest podpisana przy użyciu poświadczeń usługi Microsoft Entra.
Sygnatura dostępu współdzielonego delegowania użytkownika jest podpisana przy użyciu klucza delegowania użytkownika, który jest uzyskiwany przy użyciu poświadczeń firmy Microsoft Entra. Klucz delegowania użytkownika ma własny interwał wygaśnięcia, który nie podlega zasadom wygasania sygnatury dostępu współdzielonego. Zasady wygasania sygnatury dostępu współdzielonego mają zastosowanie tylko do sygnatury dostępu współdzielonego delegowania użytkownika, a nie klucza delegowania użytkownika, za pomocą których jest podpisany.
Sygnatura dostępu współdzielonego delegowania użytkownika ma maksymalny interwał wygaśnięcia wynoszący 7 dni niezależnie od zasad wygasania sygnatury dostępu współdzielonego. Jeśli zasady wygasania sygnatury dostępu współdzielonego są ustawione na wartość większą niż 7 dni, zasady nie mają wpływu na sygnaturę dostępu współdzielonego delegowania użytkownika. Jeśli klucz delegowania użytkownika wygaśnie, wszelkie sygnatury dostępu współdzielonego delegowania użytkownika podpisane za pomocą tego klucza są nieprawidłowe i każda próba użycia sygnatury dostępu współdzielonego zwróci błąd.
Usługa Azure File Sync wymaga minimalnego interwału wygaśnięcia sygnatury dostępu współdzielonego wynoszącego 3 dni. Skonfigurowanie górnego limitu dla interwału wygaśnięcia sygnatury dostępu współdzielonego (SAS) do mniej niż 3 dni uniemożliwia agentowi usługi File Sync próby odnowienia tokenu SAS, co przerywa synchronizację oraz przywracanie danych z chmury. Ustaw górny limit na 3 dni lub więcej.
Czy muszę najpierw obrócić klucze dostępu do konta?
Ta sekcja dotyczy typów sygnatur dostępu współdzielonego usługi i kont, które są podpisane przy użyciu klucza konta. Przed skonfigurowaniem zasad wygasania sygnatury dostępu współdzielonego może być konieczne obracanie każdego z kluczy dostępu do konta co najmniej raz. Jeśli właściwość keyCreationTime konta magazynu ma wartość null dla jednego z kluczy dostępu do konta (klucz1 i klucz2), należy je obrócić. Aby określić, czy właściwość keyCreationTime ma wartość null, zobacz Pobieranie czasu tworzenia kluczy dostępu konta dla konta magazynu. Jeśli spróbujesz skonfigurować zasady wygasania sygnatury dostępu współdzielonego, a klucze muszą zostać najpierw obrócone, operacja zakończy się niepowodzeniem.
Jak skonfigurować zasady wygasania sygnatury dostępu współdzielonego
Zasady wygasania sygnatury dostępu współdzielonego można skonfigurować przy użyciu witryny Azure Portal, programu PowerShell lub interfejsu wiersza polecenia platformy Azure.
Aby skonfigurować zasady wygasania sygnatury dostępu współdzielonego w witrynie Azure Portal, wykonaj następujące kroki:
W witrynie Azure Portal przejdź do swojego konta magazynu.
W obszarze Ustawienia wybierz pozycję Konfiguracja.
Znajdź ustawienie zasad wygasania sygnatury dostępu współdzielonego (SAS) i ustaw je na Wartość Włączone.
Uwaga
Jeśli ustawienie jest wyszarane, może być konieczne obracanie obu kluczy dostępu do konta przed ustawieniem zasad wygasania.
Określ wartość czasu w obszarze Górny limit dla interwału wygaśnięcia sygnatury dostępu współdzielonego dla żądanego maksymalnego interwału dla nowych sygnatur dostępu współdzielonego utworzonych na zasobach na tym koncie magazynu.
[Opcjonalnie] Zdefiniuj akcję wygaśnięcia. Domyślna akcja dziennika pomaga wykrywać trendy i badać dostęp bez zakłócania działania użytkowników, a akcja Blokuj umożliwia wymuszanie zerowej tolerancji dla tokenów SAS poza zasadami.
Wybierz Zapisz, aby zapisać zmiany.
Wykonywanie zapytań dotyczących dzienników pod kątem naruszeń zasad
Aby zarejestrować użycie sygnatury dostępu współdzielonego, która jest ważna w dłuższym przedziale czasu, niż zaleca zasady wygasania sygnatur dostępu współdzielonego, należy najpierw utworzyć ustawienie diagnostyczne wysyłające dzienniki do obszaru roboczego usługi Azure Log Analytics. Aby uzyskać więcej informacji, zobacz Wysyłanie dzienników do usługi Azure Log Analytics.
Następnie użyj zapytania dziennika usługi Azure Monitor, aby monitorować, czy zasady zostały naruszone. Utwórz nowe zapytanie w obszarze roboczym usługi Log Analytics, dodaj następujący tekst zapytania i naciśnij przycisk Uruchom.
StorageBlobLogs
| where SasExpiryStatus startswith "Policy violated"
| summarize count() by AccountName, SasExpiryStatus
Monitorowanie zgodności przy użyciu wbudowanych zasad
Możesz monitorować konta magazynu za pomocą usługi Azure Policy, aby upewnić się, że konta magazynu w ramach subskrypcji skonfigurowały zasady wygasania sygnatur dostępu współdzielonego. Usługa Azure Storage udostępnia wbudowane zasady zapewniające, że konta mają skonfigurowane to ustawienie. Aby uzyskać więcej informacji na temat wbudowanych zasad, zobacz Konta magazynu powinny mieć zasady sygnatury dostępu współdzielonego skonfigurowane w temacie Lista wbudowanych definicji zasad.
Przypisywanie wbudowanych zasad dla zakresu zasobów
Wykonaj następujące kroki, aby przypisać wbudowane zasady do odpowiedniego zakresu w witrynie Azure Portal:
W witrynie Azure Portal wyszukaj pozycję Zasady , aby wyświetlić pulpit nawigacyjny usługi Azure Policy.
W sekcji Tworzenie wybierz pozycję Przypisania.
Wybierz pozycję Przypisz zasady.
Na karcie Podstawowe na stronie Przypisywanie zasad w sekcji Zakres określ zakres przypisania zasad. Wybierz przycisk Więcej, aby wybrać subskrypcję i opcjonalną grupę zasobów.
W polu Definicja zasad wybierz przycisk Więcej i wprowadź klucze konta magazynu w polu Wyszukaj. Wybierz definicję zasad o nazwie Klucze konta magazynu nie powinny być wygasłe.
Wybierz pozycję Przejrzyj i utwórz , aby przypisać definicję zasad do określonego zakresu.
Monitorowanie zgodności z zasadami wygasania kluczy
Aby monitorować konta magazynu pod kątem zgodności z zasadami wygasania kluczy, wykonaj następujące kroki:
Na pulpicie nawigacyjnym usługi Azure Policy znajdź wbudowaną definicję zasad dla zakresu określonego w przypisaniu zasad. Możesz wyszukać
Storage accounts should have shared access signature (SAS) policies configuredw polu Wyszukiwania , aby filtrować wbudowane zasady.Wybierz nazwę zasad z żądanym zakresem.
Na stronie Przypisywanie zasad dla wbudowanych zasad wybierz pozycję Wyświetl zgodność. Wszystkie konta magazynu w określonej subskrypcji i grupie zasobów, które nie spełniają wymagań zasad, są wyświetlane w raporcie zgodności.
Aby zapewnić zgodność konta magazynu, skonfiguruj zasady wygasania sygnatur dostępu współdzielonego dla tego konta zgodnie z opisem w temacie Konfigurowanie zasad wygasania sygnatury dostępu współdzielonego.