Delen via


Toegangssleutels voor opslagaccounts beheren

In dit artikel leert u hoe u toegangssleutels voor opslagaccounts kunt weergeven, beheren en draaien. Wanneer u een opslagaccount maakt, genereert Azure twee 512-bits toegangssleutels voor het opslagaccount voor het account. Deze sleutels kunnen worden gebruikt om toegang tot gegevens in uw opslagaccount te autoriseren via autorisatie voor gedeelde sleutels of via SAS-tokens die zijn ondertekend met de gedeelde sleutel.

Microsoft raadt u aan Azure Key Vault te gebruiken om uw toegangssleutels te beheren en dat u uw sleutels regelmatig roteert en opnieuw genereert. Met Behulp van Azure Key Vault kunt u uw sleutels eenvoudig roteren zonder onderbreking van uw toepassingen. U kunt uw sleutels ook handmatig draaien.

Belangrijk

Voor optimale beveiliging raadt Microsoft aan om Microsoft Entra ID met beheerde identiteiten te gebruiken om aanvragen te autoriseren voor blob-, wachtrij- en tabelgegevens, indien mogelijk. Autorisatie met Microsoft Entra ID en beheerde identiteiten biedt superieure beveiliging en gebruiksgemak ten opzichte van autorisatie van gedeelde sleutels. Zie Wat zijn beheerde identiteiten voor Azure-resources voor meer informatie over beheerde identiteiten. Voor een voorbeeld van het inschakelen en gebruiken van een beheerde identiteit voor een .NET-toepassing raadpleegt u Verificatie van door Azure gehoste apps naar Azure-resources met .NET.

Voor resources die buiten Azure worden gehost, zoals on-premises toepassingen, kunt u beheerde identiteiten gebruiken via Azure Arc. Apps die worden uitgevoerd op servers met Azure Arc kunnen bijvoorbeeld beheerde identiteiten gebruiken om verbinding te maken met Azure-services. Zie Verifiëren bij Azure-resources met servers met Azure Arc voor meer informatie.

Voor scenario's waarin SHARED Access Signatures (SAS) worden gebruikt, raadt Microsoft aan een SAS voor gebruikersdelegering te gebruiken. Een SAS voor gebruikersdelegering wordt beveiligd met Microsoft Entra-referenties in plaats van de accountsleutel. Zie Beperkte toegang verlenen tot gegevens met handtekeningen voor gedeelde toegang voor meer informatie over handtekeningen voor gedeelde toegang. Zie Een SAS voor gebruikersdelegering maken en gebruiken met .NET voor een voorbeeld van het maken en gebruiken van een SAS voor gebruikersdelegatie voor een blob met .NET.

Uw toegangssleutels beveiligen

Toegangssleutels voor opslagaccounts bieden volledige toegang tot de opslagaccountgegevens en de mogelijkheid om SAS-tokens te genereren. Wees altijd voorzichtig met het beveiligen van uw toegangssleutels. Gebruik Azure Key Vault om uw sleutels veilig te beheren en te roteren. Toegang tot de gedeelde sleutel verleent een gebruiker volledige toegang tot de gegevens van een opslagaccount. De toegang tot gedeelde sleutels moet zorgvuldig worden beperkt en bewaakt. Gebruik SAS-tokens voor gebruikersdelegatie met een beperkt toegangsbereik in scenario's waarin autorisatie op basis van Microsoft Entra-id niet kan worden gebruikt. Vermijd hardcoderingstoegangssleutels of slaat ze ergens op in tekst zonder opmaak die toegankelijk is voor anderen. Draai uw sleutels als u denkt dat ze mogelijk zijn aangetast.

Belangrijk

Als u wilt voorkomen dat gebruikers toegang hebben tot gegevens in uw opslagaccount met gedeelde sleutel, kunt u autorisatie van gedeelde sleutels voor het opslagaccount niet toestaan. Gedetailleerde toegang tot gegevens met minimale bevoegdheden die nodig zijn, wordt aanbevolen als best practice voor beveiliging. Autorisatie op basis van Microsoft Entra-id's met beheerde identiteiten moet worden gebruikt voor scenario's die OAuth ondersteunen. Kerberos of SMTP moet worden gebruikt voor Azure Files via SMB. Voor Azure Files via REST kunnen SAS-tokens worden gebruikt. Gedeelde sleuteltoegang moet worden uitgeschakeld als dit niet nodig is om onbedoeld gebruik te voorkomen. Zie Autorisatie van gedeelde sleutels voorkomen voor een Azure Storage-account voor meer informatie.

Als u een Azure Storage-account wilt beveiligen met beleid voor voorwaardelijke toegang van Microsoft Entra, moet u autorisatie van gedeelde sleutels voor het opslagaccount niet weigeren.

Als u de toegang tot gedeelde sleutels hebt uitgeschakeld en u de autorisatie voor gedeelde sleutels in de diagnostische logboeken ziet, geeft dit aan dat vertrouwde toegang wordt gebruikt voor toegang tot opslag. Zie Vertrouwde toegang voor resources die zijn geregistreerd in uw Microsoft Entra-tenant voor meer informatie.

Accounttoegangssleutels weergeven

U kunt uw accounttoegangssleutels weergeven en kopiëren met Azure Portal, PowerShell of Azure CLI. Azure Portal biedt ook een verbindingsreeks voor uw opslagaccount dat u kunt kopiëren.

Toegangssleutels of verbindingsreeks van uw opslagaccount weergeven en kopiëren vanuit Azure Portal:

  1. Ga in Azure Portal naar uw opslagaccount.

  2. Selecteer toegangssleutels in het resourcemenu onder Beveiliging en netwerken. De toegangssleutels van uw account worden weergegeven, evenals de volledige verbindingsreeks voor elke sleutel.

  3. Selecteer Sleutels weergeven om uw toegangssleutels en verbindingsreeks s weer te geven en knoppen in te schakelen om de waarden te kopiëren.

  4. Zoek onder key1 de sleutelwaarde . Selecteer de knop Kopiëren om de accountsleutel te kopiëren.

  5. U kunt ook de hele verbindingsreeks kopiëren. Zoek onder key1 de waarde van de verbindingsreeks . Selecteer de knop Kopiëren om de verbindingsreeks te kopiëren.

    Schermopname van het weergeven van toegangssleutels in Azure Portal

U kunt een van de twee sleutels gebruiken voor toegang tot Azure Storage, maar over het algemeen is het een goed idee om de eerste sleutel te gebruiken en het gebruik van de tweede sleutel te reserveren voor wanneer u sleutels roteert.

Als u de toegangssleutels van een account wilt weergeven of lezen, moet de gebruiker een servicebeheerder zijn of moet een Azure-rol zijn toegewezen die de Microsoft.Storage/storageAccounts/listkeys/action bevat. Sommige ingebouwde Azure-rollen die deze actie omvatten, zijn de rollen Eigenaar, Inzender en Sleuteloperatorservice voor opslagaccounts. Zie Azure-rollen, Microsoft Entra-rollen en klassieke abonnementsbeheerdersrollen voor meer informatie over de rol Servicebeheerder. Zie de sectie Storage in ingebouwde Azure-rollen voor Azure RBAC voor gedetailleerde informatie over ingebouwde rollen van Azure Storage.

Azure Key Vault gebruiken om uw toegangssleutels te beheren

Microsoft raadt u aan Azure Key Vault te gebruiken om uw toegangssleutels te beheren en te roteren. Uw toepassing heeft veilig toegang tot uw sleutels in Key Vault, zodat u ze niet kunt opslaan met uw toepassingscode. Zie de volgende artikelen voor meer informatie over het gebruik van Key Vault voor sleutelbeheer:

Toegangssleutels handmatig draaien

Microsoft raadt u aan uw toegangssleutels periodiek te roteren om uw opslagaccount veilig te houden. Gebruik indien mogelijk Azure Key Vault om uw toegangssleutels te beheren. Als u Key Vault niet gebruikt, moet u uw sleutels handmatig draaien.

Er worden twee toegangssleutels toegewezen, zodat u uw sleutels kunt draaien. Als u twee sleutels hebt, zorgt u ervoor dat uw toepassing gedurende het hele proces toegang tot Azure Storage behoudt.

Waarschuwing

Het opnieuw genereren van uw toegangssleutels kan van invloed zijn op toepassingen of Azure-services die afhankelijk zijn van de sleutel van het opslagaccount. Clients die gebruikmaken van de accountsleutel voor toegang tot het opslagaccount, moeten worden bijgewerkt om de nieuwe sleutel te gebruiken, waaronder mediaservices, cloud-, desktop- en mobiele toepassingen en grafische gebruikersinterfacetoepassingen voor Azure Storage, zoals Azure Storage Explorer.

Daarnaast trekt het roteren of opnieuw genereren van toegangssleutels gedeelde toegangshandtekeningen (SAS) in die op basis van die sleutel worden gegenereerd. Na rotatie van toegangssleutels moet u account- en service-SAS-tokens opnieuw genereren om onderbrekingen in toepassingen te voorkomen. Sas-tokens voor gebruikersdelegatie worden beveiligd met Microsoft Entra-referenties en worden niet beïnvloed door sleutelrotatie.

Als u van plan bent om toegangssleutels handmatig te roteren, raadt Microsoft u aan een verloopbeleid voor sleutels in te stellen. Zie Een verloopbeleid voor sleutels maken voor meer informatie.

Nadat u het verloopbeleid voor sleutels hebt gemaakt, kunt u Azure Policy gebruiken om te controleren of de sleutels van een opslagaccount binnen het aanbevolen interval zijn geroteerd. Zie Controleren op schendingen van het sleutelverloopbeleid voor meer informatie.

Toegangssleutels voor uw opslagaccount roteren in Azure Portal:

  1. Werk de verbindingsreeks s in uw toepassingscode bij om te verwijzen naar de secundaire toegangssleutel voor het opslagaccount.
  2. Navigeer naar uw opslagaccount in Azure Portal.
  3. Selecteer Toegangssleutels onder Beveiliging en netwerken.
  4. Als u de primaire toegangssleutel voor uw opslagaccount opnieuw wilt genereren, selecteert u de knop Opnieuw genereren naast de primaire toegangssleutel.
  5. Werk de verbindingsreeksen in uw code bij, zodat deze verwijzen naar de nieuwe primaire toegangssleutel.
  6. Genereer de secundaire toegangssleutel op dezelfde manier opnieuw.

Let op

Microsoft raadt aan slechts één van de sleutels in al uw toepassingen tegelijk te gebruiken. Als u Sleutel 1 op sommige plaatsen gebruikt en Sleutel 2 op andere plaatsen, kunt u uw sleutels niet draaien zonder dat bepaalde toepassingen de toegang verliezen.

Als u de toegangssleutels van een account wilt roteren, moet de gebruiker een servicebeheerder zijn of moet een Azure-rol worden toegewezen die de Microsoft.Storage/storageAccounts/regeneratekey/action bevat. Sommige ingebouwde Azure-rollen die deze actie omvatten, zijn de rollen Eigenaar, Inzender en Sleuteloperatorservice voor opslagaccounts. Zie Azure-rollen, Microsoft Entra-rollen en klassieke abonnementsbeheerdersrollen voor meer informatie over de rol Servicebeheerder. Zie de sectie Storage in ingebouwde Azure-rollen voor Azure RBAC voor gedetailleerde informatie over ingebouwde Azure-rollen voor Azure Storage.

Een verloopbeleid voor sleutels maken

Met een verloopbeleid voor sleutels kunt u een herinnering instellen voor de rotatie van de toegangssleutels voor het account. De herinnering wordt weergegeven als het opgegeven interval is verstreken en de sleutels nog niet zijn geroteerd. Nadat u een verloopbeleid voor sleutels hebt gemaakt, kunt u uw opslagaccounts controleren op naleving om ervoor te zorgen dat de toegangssleutels van het account regelmatig worden geroteerd.

Notitie

Voordat u een verloopbeleid voor sleutels kunt maken, moet u mogelijk minstens één keer de toegangssleutels van uw account roteren.

Een verloopbeleid voor sleutels maken in Azure Portal:

  1. Ga in Azure Portal naar uw opslagaccount.
  2. Selecteer Toegangssleutels onder Beveiliging en netwerken. De toegangssleutels van uw account worden weergegeven, evenals de volledige verbindingsreeks voor elke sleutel.
  3. Selecteer de knop Wisselherinnering instellen. Als de knop Wisselherinnering instellen grijs wordt weergegeven, moet u elk van uw sleutels draaien. Volg de stappen die worden beschreven in Handmatige draaitoegangssleutels om de sleutels te draaien.
  4. Schakel in Een herinnering instellen voor het roteren van toegangssleutels het selectievakje Herinneringen voor sleutelrotatie inschakelen in en stel een frequentie in voor de herinnering.
  5. Selecteer Opslaan.

Schermopname die laat zien hoe u een verloopbeleid voor sleutels maakt in Azure Portal

Controleren op schendingen van het verloopbeleid voor sleutels

U kunt uw opslagaccounts bewaken met Azure Policy om ervoor te zorgen dat accounttoegangssleutels binnen de aanbevolen periode zijn geroteerd. Azure Storage biedt een ingebouwd beleid om ervoor te zorgen dat de toegangssleutels van het opslagaccount niet verlopen zijn. Zie Opslagaccountsleutels mogen niet verlopen in de lijst met ingebouwde beleidsdefinities voor meer informatie over het ingebouwde beleid.

Het ingebouwde beleid toewijzen voor een resourcebereik

Volg deze stappen om het ingebouwde beleid toe te wijzen aan het juiste bereik in Azure Portal:

  1. Zoek in Azure Portal naar Beleid om het Azure Policy-dashboard weer te geven.

  2. Selecteer Opdrachten in de sectie Ontwerpen.

  3. Kies Beleid toewijzen.

  4. Geef op het tabblad Basisbeginselen van de pagina Beleid toewijzen in de sectie Bereik het bereik voor de beleidstoewijzing op. Selecteer de knop Meer om het abonnement en de optionele resourcegroep te kiezen.

  5. Selecteer voor het veld Beleidsdefinitie de knop Meer en voer opslagaccountsleutels in het veld Zoeken in. Selecteer de beleidsdefinitie met de naam Opslagaccountsleutels mag niet verlopen zijn.

    Schermopname die laat zien hoe u het ingebouwde beleid selecteert om de intervallen voor sleutelrotatie voor uw opslagaccounts te bewaken

  6. Selecteer Beoordelen en maken om de beleidsdefinitie toe te wijzen aan het opgegeven bereik.

    Schermopname van het maken van de beleidstoewijzing

Naleving controleren van het verloopbeleid voor sleutels

Volg deze stappen om uw opslagaccounts te controleren op naleving van het verloopbeleid voor sleutels:

  1. Zoek op het Dashboard van Azure Policy de ingebouwde beleidsdefinitie voor het bereik dat u hebt opgegeven in de beleidstoewijzing. U kunt zoeken naar opslagaccountsleutels mogen niet verlopen zijn in het zoekvak om te filteren op het ingebouwde beleid.

  2. Selecteer de beleidsnaam met het gewenste bereik.

  3. Selecteer Op de pagina Beleidstoewijzing voor het ingebouwde beleid de optie Naleving weergeven. Opslagaccounts in het opgegeven abonnement en de opgegeven resourcegroep die niet voldoen aan de beleidsvereisten, worden weergegeven in het nalevingsrapport.

    Schermopname van het weergeven van het nalevingsrapport voor het ingebouwde beleid voor het verlopen van sleutels

Als u een opslagaccount in overeenstemming wilt brengen, roteert u de toegangssleutels van het account.

Volgende stappen