Sdílet prostřednictvím


Konfigurace zásad vypršení platnosti pro sdílené přístupové podpisy

Pomocí sdíleného přístupového podpisu (SAS) můžete delegovat přístup k prostředkům ve vašem účtu Azure Storage. Token SAS zahrnuje cílový prostředek, udělená oprávnění a interval povolení přístupu. Osvědčené postupy doporučují omezit interval sdíleného přístupového podpisu v případě ohrožení zabezpečení. Nastavením zásad vypršení platnosti SAS pro účty úložiště můžete zadat doporučený horní limit vypršení platnosti, když uživatel vytvoří SAS delegování uživatele, SAS služby nebo SAS účtu.

Další informace o sdílených přístupových podpisech najdete v tématu Udělení omezeného přístupu k prostředkům Azure Storage pomocí sdílených přístupových podpisů (SAS).

Důležité

Ve scénářích, ve kterých se používají sdílené přístupové podpisy, microsoft doporučuje používat SAS delegování uživatele. Sas delegování uživatele je zabezpečený pomocí přihlašovacích údajů Microsoft Entra místo klíče účtu, který poskytuje vynikající zabezpečení.

Informace o zásadách vypršení platnosti SAS

V účtu úložiště můžete nakonfigurovat zásady vypršení platnosti SAS. Zásady vypršení platnosti SAS určují doporučený horní limit pro pole podepsaného vypršení platnosti sas delegování uživatele, SAS služby nebo SAS účtu. Doporučený horní limit je určen jako hodnota data a času, která představuje kombinovaný počet dní, hodin, minut a sekund.

Interval platnosti sas se vypočítá odečtením hodnoty data a času podepsaného počátečního pole od hodnoty data a času podepsaného pole vypršení platnosti. Pokud je výsledná hodnota menší nebo rovna doporučenému hornímu limitu, je SAS v souladu se zásadami vypršení platnosti SAS.

Po nakonfigurování zásady vypršení platnosti SAS se všem uživatelům, kteří vytvoří SAS s intervalem, který překročí doporučený horní limit, zobrazí upozornění.

Zásady vypršení platnosti SAS nezabrání uživateli v vytvoření sdíleného přístupového podpisu s vypršením platnosti, který překračuje limit doporučený zásadou. Když uživatel vytvoří SAS, který zásadu porušuje, zobrazí se mu upozornění spolu s doporučeným maximálním intervalem. Pokud jste nakonfigurovali nastavení diagnostiky pro protokolování pomocí služby Azure Monitor, azure Storage zapíše do protokolu zprávu do vlastnosti SasExpiryStatus pokaždé, když uživatel použije SAS, jehož platnost vyprší po doporučeném intervalu. Zpráva označuje, že interval platnosti sdíleného přístupového podpisu překračuje doporučený interval.

Pokud platí zásada vypršení platnosti SAS pro účet úložiště, vyžaduje se pro každý sdílený přístupový podpis pole se podepsaným počátečním polem. Pokud není podepsané počáteční pole součástí sdíleného přístupového podpisu a nakonfigurovali jste nastavení diagnostiky pro protokolování pomocí služby Azure Monitor, azure Storage do protokolu zapíše zprávu do vlastnosti SasExpiryStatus pokaždé, když uživatel použije SAS bez hodnoty pro pole pro zahájení podpisu.

Konfigurace zásad vypršení platnosti SAS

Když nakonfigurujete zásadu vypršení platnosti SAS pro účet úložiště, platí tato zásada pro každý typ SAS: SAS delegování uživatele, SAS služby a SAS účtu. Typy SAS a SAS účtu služby jsou podepsané klíčem účtu, zatímco SAS delegování uživatele je podepsaný pomocí přihlašovacích údajů Microsoft Entra.

Poznámka:

Sas delegování uživatele je podepsaný klíčem delegování uživatele, který se získá pomocí přihlašovacích údajů Microsoft Entra. Klíč delegování uživatele má vlastní interval vypršení platnosti, který podléhá zásadám vypršení platnosti SAS. Zásada vypršení platnosti SAS se vztahuje pouze na SAS delegování uživatele, nikoli na klíč delegování uživatele, ke kterým je přihlášený.

Sas delegování uživatele má maximální interval vypršení platnosti 7 dnů bez ohledu na zásady vypršení platnosti SAS. Pokud je zásada vypršení platnosti SAS nastavená na hodnotu větší než 7 dnů, zásady nemají žádný vliv na SAS delegování uživatele. Pokud vyprší platnost klíče delegování uživatele, znamená to, že jakýkoli SAS delegování uživatele podepsaný tímto klíčem je neplatný a jakýkoli pokus o použití SAS vrátí chybu.

Musím nejdřív otočit přístupové klíče účtu?

Tato část se týká typů SAS služby a SAS účtu, které jsou podepsané pomocí klíče účtu. Než budete moct nakonfigurovat zásady vypršení platnosti SAS, budete možná muset obměnět všechny přístupové klíče účtu alespoň jednou. Pokud má vlastnost keyCreationTime účtu úložiště hodnotu null pro některý z přístupových klíčů účtu (klíč1 a klíč2), budete je muset otočit. Pokud chcete zjistit, jestli má vlastnost keyCreationTime hodnotu null, přečtěte si téma Získání času vytvoření přístupových klíčů účtu pro účet úložiště. Pokud se pokusíte nakonfigurovat zásadu vypršení platnosti SAS a klíče je potřeba nejprve otočit, operace selže.

Konfigurace zásad vypršení platnosti SAS

Zásady vypršení platnosti SAS můžete nakonfigurovat pomocí webu Azure Portal, PowerShellu nebo Azure CLI.

Pokud chcete nakonfigurovat zásady vypršení platnosti SAS na webu Azure Portal, postupujte takto:

  1. Na webu Azure Portal přejděte na svůj účet úložiště.

  2. V části Nastavení vyberte Konfigurace.

  3. Vyhledejte nastavení Povolit doporučený horní limit pro interval vypršení platnosti sdíleného přístupového podpisu (SAS) a nastavte ho na Povoleno.

    Poznámka:

    Pokud je nastavení neaktivní a zobrazí se zpráva zobrazená na následujícím obrázku, budete muset před nastavením doporučeného horního limitu pro hodnoty intervalu vypršení platnosti SAS otočit oba přístupové klíče účtu:

    Snímek obrazovky znázorňující možnost konfigurace zásad vypršení platnosti SAS se na webu Azure Portal zobrazuje šedě.

  4. Zadejte časové hodnoty v rámci doporučeného horního limitu pro interval vypršení platnosti SAS pro doporučený interval pro všechny nové sdílené přístupové podpisy vytvořené u prostředků v tomto účtu úložiště.

    Snímek obrazovky znázorňující, jak nakonfigurovat zásady vypršení platnosti SAS na webu Azure Portal

  5. Výběrem možnosti Uložit uložte změny.

Dotazování protokolů na porušení zásad

Pokud chcete protokolovat použití sdíleného přístupového podpisu platného po delším intervalu, než doporučuje zásada vypršení platnosti SAS, vytvořte nejprve nastavení diagnostiky, které odesílá protokoly do pracovního prostoru služby Azure Log Analytics. Další informace najdete v tématu Odesílání protokolů do Azure Log Analytics.

Dále pomocí dotazu protokolu služby Azure Monitor monitor monitorujte, jestli nedošlo k porušení zásad. V pracovním prostoru služby Log Analytics vytvořte nový dotaz, přidejte následující text dotazu a stiskněte Spustit.

StorageBlobLogs 
| where SasExpiryStatus startswith "Policy violated"
| summarize count() by AccountName, SasExpiryStatus

Použití předdefinovaných zásad k monitorování dodržování předpisů

Pomocí služby Azure Policy můžete monitorovat účty úložiště a zajistit tak, aby účty úložiště ve vašem předplatném nakonfigurovaly zásady vypršení platnosti SAS. Azure Storage poskytuje předdefinované zásady pro zajištění, že účty mají toto nastavení nakonfigurované. Další informace o předdefinovaných zásadách najdete v tématu Účty úložiště by měly mít nakonfigurované zásady sdíleného přístupového podpisu (SAS) v seznamu předdefinovaných definic zásad.

Přiřazení předdefinovaných zásad pro obor prostředků

Pomocí těchto kroků přiřaďte předdefinované zásady k příslušnému oboru na webu Azure Portal:

  1. Na webu Azure Portal vyhledejte zásady pro zobrazení řídicího panelu Azure Policy.

  2. V části Vytváření obsahu vyberte Zadání.

  3. Zvolte Přiřadit zásadu.

  4. Na kartě Základy na stránce Přiřadit zásadu v části Obor zadejte obor přiřazení zásady. Výběrem tlačítka Další zvolte předplatné a volitelnou skupinu prostředků.

  5. V poli Definice zásady vyberte tlačítko Další a do vyhledávacího pole zadejte klíče účtu úložiště. Vyberte definici zásady s názvem Klíče účtu úložiště, jejichž platnost by neměla vypršena.

    Snímek obrazovky znázorňující, jak vybrat předdefinované zásady pro monitorování intervalů platnosti sdílených přístupových podpisů pro účty úložiště

  6. Výběrem možnosti Zkontrolovat a vytvořit přiřaďte definici zásady k zadanému oboru.

    Snímek obrazovky znázorňující, jak vytvořit přiřazení zásady

Monitorování dodržování zásad vypršení platnosti klíče

Pokud chcete monitorovat účty úložiště kvůli dodržování zásad vypršení platnosti klíče, postupujte takto:

  1. Na řídicím panelu Azure Policy vyhledejte předdefinovanou definici zásad pro obor, který jste zadali v přiřazení zásad. Do vyhledávacího pole můžete vyhledat Storage accounts should have shared access signature (SAS) policies configured filtr předdefinovaných zásad.

  2. Vyberte název zásady s požadovaným oborem.

  3. Na stránce Přiřazení zásad pro předdefinované zásady vyberte Zobrazit dodržování předpisů. Všechny účty úložiště v zadaném předplatném a skupině prostředků, které nesplňují požadavky zásad, se zobrazí v sestavě dodržování předpisů.

    Snímek obrazovky znázorňující, jak zobrazit sestavu dodržování předpisů pro předdefinované zásady vypršení platnosti SAS

Pokud chcete, aby byl účet úložiště v souladu s předpisy, nakonfigurujte pro tento účet zásady vypršení platnosti SAS, jak je popsáno v tématu Konfigurace zásad vypršení platnosti SAS.

Viz také