Configurar uma política de expiração para assinaturas de acesso compartilhado

Você pode usar uma assinatura de acesso compartilhado (SAS) para delegar acesso a recursos em sua conta de Armazenamento do Azure. Um token SAS inclui o recurso de destino, as permissões concedidas e o intervalo durante o qual o acesso é permitido. As práticas recomendadas recomendam que você limite o intervalo para uma SAS caso ela seja comprometida. Ao definir uma política de expiração SAS para suas contas de armazenamento, você pode recomendar ou impor um limite de expiração superior (intervalo máximo de validade) quando um usuário cria uma SAS de delegação de usuário, uma SAS de serviço ou uma SAS de conta.

Para obter mais informações sobre assinaturas de acesso compartilhado, consulte Conceder acesso limitado aos recursos do Armazenamento do Azure usando assinaturas de acesso compartilhado (SAS).

Sobre as políticas de expiração do SAS

Você pode configurar uma política de expiração SAS na conta de armazenamento. A política de expiração SAS especifica o limite superior para o intervalo de validade em uma SAS de delegação de usuário, uma SAS de serviço ou uma SAS de conta. O limite superior é especificado como um valor de data/hora que é um número combinado de dias, horas, minutos e segundos.

O intervalo de validade para o SAS é calculado subtraindo o valor de data/hora do campo de início assinado do valor de data/hora do campo de expiração assinado. Se o valor resultante for menor ou igual ao limite superior recomendado, o SAS estará em conformidade com a política de expiração do SAS.

Quando uma política de expiração SAS está em vigor para a conta de armazenamento, o campo de início assinado é necessário para cada SAS. Se o campo de início assinado não estiver incluído na SAS e você tiver configurado uma configuração de diagnóstico para registrar em log com o Azure Monitor, o Armazenamento do Azure gravará uma mensagem na propriedade SasExpiryStatus nos logs sempre que um usuário usar uma SAS sem um valor para o campo de início assinado.

Depois de configurar a política de expiração SAS, qualquer usuário que criar uma SAS com um intervalo que exceda o limite superior recomendado verá um aviso, juntamente com o intervalo máximo recomendado.

Definir a ação de expiração do SAS

A política de expiração do SAS suporta duas ações:

• [Padrão] Log: Solicitações feitas com SAS fora da política são permitidas. Se você tiver configurado uma configuração de diagnóstico para registrar em log com o Azure Monitor, o Armazenamento do Azure gravará uma mensagem na propriedade SasExpiryStatus nos logs sempre que um usuário usar uma SAS que expira após o intervalo recomendado. A mensagem indica que o intervalo de validade do SAS excede o intervalo recomendado. Essa opção é recomendada para monitorar e auditar o acesso sem interromper os fluxos de trabalho. 

• Bloco: Solicitações feitas com SAS fora da política são negadas. Esta é a sua opção mais rigorosa para impor controles de acesso de acordo com seus requisitos organizacionais. 

SAS fora da política são aqueles que não têm um início assinado ou têm um intervalo de validade maior do que o limite superior.

Comece analisando o uso atual do token SAS e definindo uma política de expiração apropriada para suas contas de armazenamento. Recomendamos começar com a ação Log para monitorar seus logs de diagnóstico em busca de violações de política. É altamente recomendável usar a ação Bloquear para garantir que, se um token SAS tiver passado a validade do período de expiração definido na conta de armazenamento, o acesso ao armazenamento deverá ser bloqueado.

Configurar uma política de expiração SAS

Quando você configura uma política de expiração SAS em uma conta de armazenamento, a política se aplica a cada tipo de SAS: SAS de delegação de usuário, SAS de serviço e SAS de conta. Os tipos SAS de serviço e SAS de conta são assinados com a chave de conta, enquanto a SAS de delegação de usuário é assinada com credenciais do Microsoft Entra.

Uma SAS de delegação de usuário é assinada com uma chave de delegação de usuário, que é obtida usando credenciais do Microsoft Entra. A chave de delegação do usuário tem seu próprio intervalo de expiração que não está sujeito à política de expiração SAS. A política de expiração SAS aplica-se apenas à SAS de delegação de utilizador, não à chave de delegação de utilizador com a qual está assinada.

Uma SAS de delegação de usuário tem um intervalo de expiração máximo de 7 dias, independentemente da política de expiração do SAS. Se a política de expiração SAS estiver definida para um valor superior a 7 dias, a política não terá efeito para uma SAS de delegação de usuário. Se a chave de delegação do usuário expirar, qualquer SAS de delegação de usuário assinada com essa chave será inválida e qualquer tentativa de usar a SAS retornará um erro.

O Azure File Sync exige um intervalo mínimo de expiração SAS de 3 dias. Configurar o limite superior para o intervalo de expiração do SAS para menos de 3 dias impede que o agente de Sincronização de Ficheiros renove o seu token SAS, o que interrompe as operações de sincronização e recuperação na cloud. Defina o limite superior para 3 dias ou mais.

Preciso de rodar primeiro as chaves de acesso à conta?

Esta seção se aplica aos tipos SAS de serviço e SAS de conta, que são assinados com a chave de conta. Antes de configurar uma política de expiração SAS, talvez seja necessário alternar cada uma das chaves de acesso da conta pelo menos uma vez. Se a propriedade keyCreationTime da conta de armazenamento tiver um valor nulo para qualquer uma das chaves de acesso da conta (key1 e key2), você precisará girá-las. Para determinar se a propriedade keyCreationTime é nula, consulte Obter o tempo de criação das chaves de acesso da conta para uma conta de armazenamento. Se você tentar configurar uma política de expiração SAS e as chaves precisarem ser giradas primeiro, a operação falhará.

Como configurar uma política de expiração SAS

Você pode configurar uma política de expiração SAS usando o portal do Azure, o PowerShell ou a CLI do Azure.

$account = Set-AzStorageAccount -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -SasExpirationPeriod <days>.<hours>:<minutes>:<seconds>
	-SasExpirationAction <action>

$account.SasPolicy

az storage account update \
  --name <storage-account> \
  --resource-group <resource-group> \
  --sas-exp <days>.<hours>:<minutes>:<seconds>
  --sas-expiration-action <action>

az storage account show \
  --name <storage-account> \
  --resource-group <resource-group> \
  --query "{SasPolicy:sasPolicy}"

{
  "SasPolicy": {
    "expirationAction": "Log",
    "sasExpirationPeriod": "1.12:05:06"
  }
}

Logs de consulta para violações de política

Para registrar o uso de uma SAS válida em um intervalo maior do que a política de expiração SAS recomenda, primeiro crie uma configuração de diagnóstico que envie logs para um espaço de trabalho do Azure Log Analytics. Para obter mais informações, consulte Enviar logs para o Azure Log Analytics.

Em seguida, use uma consulta de log do Azure Monitor para monitorar se a política foi violada. Crie uma nova consulta no espaço de trabalho do Log Analytics, adicione o seguinte texto de consulta e pressione Executar.

StorageBlobLogs 
| where SasExpiryStatus startswith "Policy violated"
| summarize count() by AccountName, SasExpiryStatus

Usar uma política interna para monitorar a conformidade

Você pode monitorar suas contas de armazenamento com o Azure Policy para garantir que as contas de armazenamento em sua assinatura tenham configurado políticas de expiração SAS. O Armazenamento do Azure fornece uma política interna para garantir que as contas tenham essa configuração configurada. Para obter mais informações sobre a política interna, consulte Contas de armazenamento devem ter políticas de assinatura de acesso compartilhado (SAS) configuradas em Lista de definições de política internas.

Atribuir a política interna para um escopo de recurso

Siga estas etapas para atribuir a política interna ao escopo apropriado no portal do Azure:

1. No portal do Azure, procure Política para exibir o painel Política do Azure.

2. Na seção Criação, selecione Atribuições.

3. Escolha Atribuir política.

4. Na guia Noções básicas da página Atribuir política, na seção Escopo, especifique o escopo da atribuição de política. Selecione o botão Mais para escolher a assinatura e o grupo de recursos opcionais.

5. Para o campo Definição de política , selecione o botão Mais e insira as chaves da conta de armazenamento no campo Pesquisar . Selecione a definição de política chamada As chaves de conta de armazenamento não devem expirar.

   

6. Selecione Rever + criar para atribuir a definição de política ao âmbito especificado.

   

Monitorar a conformidade com a política de expiração de chaves

Para monitorar suas contas de armazenamento quanto à conformidade com a política de expiração de chaves, siga estas etapas:

1. No painel Política do Azure, localize a definição de política interna para o escopo especificado na atribuição de política. Você pode pesquisar Storage accounts should have shared access signature (SAS) policies configured na caixa Pesquisar para filtrar a política interna.

2. Selecione o nome da política com o escopo desejado.

3. Na página Atribuição de políticas para a política interna, selecione Exibir conformidade. Todas as contas de armazenamento na assinatura especificada e no grupo de recursos que não atendem aos requisitos de política aparecem no relatório de conformidade.

   

Para colocar uma conta de armazenamento em conformidade, configure uma política de expiração SAS para essa conta, conforme descrito em Configurar uma política de expiração SAS.

Consulte também

• Conceder acesso limitado aos recursos do Armazenamento do Azure com assinaturas de acesso partilhado (SAS)
• Create a service SAS (Criar uma SAS de serviço)
• Create an account SAS (Criar uma SAS de conta)