Princip klíčů účtu úložiště

  • 5 min

Velkou část dat společnosti Contoso generují nebo využívají vlastní aplikace. Tyto aplikace jsou napsané v různých jazycích.

Účty Azure Storage můžou ve službě Active Directory vytvářet autorizované aplikace pro řízení přístupu k datům v objektech blob a frontách. Tento přístup ověřování představuje nejlepší řešení pro aplikace používající službu Blob Storage nebo Queue Storage.

U jiných modelů úložiště můžou klienti používat sdílený klíč nebo sdílený tajný kód. Tato možnost ověřování je jednou z těch, jejichž použití je nejjednodušší, a podporuje objekty blob, soubory, fronty a tabulky. Klient vloží sdílený klíč do hlavičky protokolu HTTP Authorization každého požadavku a účet Storage ověří jeho platnost.

Aplikace například může odeslat prostředku objektu blob tento požadavek GET:

GET http://myaccount.blob.core.windows.net/?restype=service&comp=stats

Hlavičky protokolu HTTP řídí verzi rozhraní REST API, datum a zakódovaný sdílený klíč:

x-ms-version: 2018-03-28  
Date: Wed, 23 Oct 2018 21:00:44 GMT  
Authorization: SharedKey myaccount:CY1OP3O3jGFpYFbTCBimLn0Xov0vt0khH/E5Gy0fXvg=

Klíče účtu úložiště

Sdílené klíče v účtech Azure Storage se nazývají klíče účtu úložiště. Azure vytvoří dva z těchto klíčů (primární a sekundární) pro každý vámi vytvořený účet úložiště. Klíče umožňují přístup ke všemu v účtu.

Klíče účtu úložiště najdete v zobrazení účtu úložiště na webu Azure Portal. V levém podokně nabídek účtu úložiště vyberte Zabezpečení a síťové přístupové>klíče.

Snímek obrazovky znázorňující přístupové klíče na webu Azure Portal

Ochrana sdílených klíčů

Účet úložiště má jenom dva klíče, které poskytují úplný přístup k účtu. Tyto klíče jsou velmi účinné, a proto je používejte jenom s důvěryhodnými interními aplikacemi, nad nimiž máte plnou kontrolu.

Pokud dojde k ohrožení zabezpečení klíčů, změňte jejich hodnoty na webu Azure Portal. Tady je několik důvodů k opětovnému vygenerování klíčů účtu úložiště:

  • Z bezpečnostních důvodů můžete klíče obnovovat pravidelně.
  • Pokud někdo neoprávněně pronikne do aplikace a získá klíč, který byl pevně zakódovaný nebo uložený v konfiguračním souboru, vygenerujte klíč znovu. Získaný klíč totiž umožňuje útočníkovi úplný přístup k vašemu účtu úložiště.
  • Pokud váš tým používá aplikaci Průzkumník služby Storage, která uchovává klíč účtu úložiště, a jeden ze členů tým opustí, vygenerujte klíč znovu. Jinak bude aplikace pokračovat v práci a umožňovat bývalému členu týmu přístup k vašemu účtu úložiště.

Postup pro aktualizaci klíčů:

  • Změňte všechny důvěryhodné aplikace tak, aby používaly sekundární klíč.
  • Aktualizujte primární klíč na webu Azure Portal. Bude to nová hodnota sekundárního klíče.

Důležité

Po aktualizaci klíčů bude každému klientovi, který se pokusí použít hodnotu starého klíče, zamítnut přístup. Ujistěte se, že identifikujete všechny klienty, kteří používají sdílený klíč, a aktualizujte je, aby byly funkční.