Udostępnij za pośrednictwem

Zapobieganie autoryzacji opartej na kluczu wspólnym dla konta usługi Azure Storage

  • Artykuł

Każde zabezpieczone żądanie do konta usługi Azure Storage musi być autoryzowane. Domyślnie żądania mogą być autoryzowane przy użyciu poświadczeń usługi Microsoft Entra lub przy użyciu klucza dostępu do konta na potrzeby autoryzacji klucza współdzielonego. Spośród tych dwóch typów autoryzacji identyfikator Entra firmy Microsoft zapewnia lepsze zabezpieczenia i łatwość użycia za pośrednictwem klucza współużytkowanego i jest zalecana przez firmę Microsoft. Aby wymagać od klientów używania identyfikatora Entra firmy Microsoft do autoryzowania żądań, możesz nie zezwalać na żądania do konta magazynu, które są autoryzowane za pomocą klucza wspólnego.

Jeśli nie zezwalasz na autoryzację klucza wspólnego dla konta magazynu, usługa Azure Storage odrzuca wszystkie kolejne żądania do tego konta, które są autoryzowane przy użyciu kluczy dostępu do konta. Zakończą się powodzeniem tylko te zabezpieczone żądania, które są autoryzowane przy użyciu Microsoft Entra ID. Aby uzyskać więcej informacji na temat korzystania z identyfikatora Entra firmy Microsoft, zobacz Autoryzowanie dostępu do danych w usłudze Azure Storage.

Właściwość AllowSharedKeyAccess konta magazynu nie jest ustawiana domyślnie i nie zwraca wartości, dopóki nie ustawisz jej jawnie. Konto magazynu zezwala na żądania autoryzowane za pomocą Klucza wspólnego, gdy wartość właściwości jest null lub true.

W tym artykule opisano, jak korzystać ze struktury DRAG (Detection-Remediation-Audit-Governance) w celu ciągłego zarządzania autoryzacją przy użyciu klucza współdzielonego dla konta magazynu.

Wymagania wstępne

Przed zabronieniem dostępu do klucza współdzielonego na którymkolwiek z Twoich kont magazynu:

Informacje o tym, jak niezezwalanie na klucz współdzielony wpływa na tokeny SAS

Gdy dostęp przy użyciu klucza współdzielonego jest niedozwolony dla konta magazynu, Azure Storage obsługuje tokeny SAS na podstawie rodzaju SAS i usługi, do której kierowane jest żądanie. W poniższej tabeli pokazano, jak każdy typ SAS jest autoryzowany i jak usługa Azure Storage obsłuży tę SAS, gdy właściwość AllowSharedKeyAccess dla konta magazynu jest ustawiona na false.

Typ SAS Typ autoryzacji Zachowanie, gdy parametr AllowSharedKeyAccess ma wartość false
Sygnatura dostępu współdzielonego użytkownika (tylko Blob storage) Microsoft Entra ID Żądanie jest dozwolone. Firma Microsoft zaleca użycie delegowanego SAS (sygnatury dostępu współdzielonego użytkownika), jeśli to możliwe, aby uzyskać lepsze zabezpieczenia.
Usługa SAS Klucz wspólny Żądanie jest odrzucane dla wszystkich usług Azure Storage.
SAS konta Klucz wspólny Żądanie jest odrzucane dla wszystkich usług Azure Storage.

Metryki i rejestrowanie platformy Azure w usłudze Azure Monitor nie rozróżniają różnych typów sygnatur dostępu współdzielonego. Filtr SAS (sygnatury dostępu współdzielonego) w Eksploratorze metryk Azure i pole SAS w dziennikach Azure Storage w Azure Monitor raportują żądania autoryzowane przy użyciu dowolnego typu sygnatury dostępu współdzielonego. Jednak różne typy sygnatur dostępu współdzielonego są autoryzowane inaczej i zachowują się inaczej, gdy dostęp do klucza współdzielonego jest niedozwolony:

  • Token SAS usługi lub token SAS konta jest autoryzowany za pomocą klucza współużytkowanego i nie będzie dopuszczony w żądaniu do usługi Blob Storage, gdy właściwość AllowSharedKeyAccess jest ustawiona na wartość false.
  • Sygnatura dostępu współdzielonego delegowania użytkownika jest autoryzowana przy użyciu identyfikatora Entra firmy Microsoft i będzie dozwolona na żądanie do usługi Blob Storage, gdy właściwość AllowSharedKeyAccess jest ustawiona na wartość false.

Podczas oceniania ruchu do konta magazynu należy pamiętać, że metryki i dzienniki, jak opisano w temacie Wykrywanie typu autoryzacji używanej przez aplikacje klienckie, mogą obejmować żądania wykonywane przy użyciu sygnatury dostępu współdzielonego delegacji użytkownika.

Aby uzyskać więcej informacji na temat sygnatur dostępu współdzielonego, zobacz Udzielanie ograniczonego dostępu do zasobów usługi Azure Storage przy użyciu sygnatur dostępu współdzielonego (SAS).

Rozważ zgodność z innymi narzędziami i usługami platformy Azure

Wiele usług platformy Azure używa autoryzacji klucza współdzielonego do komunikowania się z usługą Azure Storage. Jeśli nie zezwalasz na autoryzację klucza wspólnego dla konta magazynu, te usługi nie będą mogły uzyskać dostępu do danych na tym koncie, a Twoje aplikacje mogą nie działać zgodnie z oczekiwaniami.

Niektóre narzędzia platformy Azure oferują opcję używania autoryzacji firmy Microsoft Entra w celu uzyskania dostępu do usługi Azure Storage. W poniższej tabeli wymieniono niektóre popularne narzędzia platformy Azure i zauważa, czy mogą używać identyfikatora Entra firmy Microsoft do autoryzowania żądań do usługi Azure Storage.

Narzędzie platformy Azure Autoryzacja Microsoft Entra w usłudze Azure Storage
Azure Portal Wspierane. Aby uzyskać informacje na temat autoryzowania za pomocą konta Microsoft Entra z portalu Azure, zobacz Wybieranie sposobu autoryzowania dostępu do danych obiektów blob w portalu Azure.
AzCopy Obsługiwane dla Blob Storage. Aby uzyskać informacje na temat autoryzowania operacji narzędzia AzCopy, zobacz Wybieranie sposobu podawania poświadczeń autoryzacji w dokumentacji narzędzia AzCopy.
Eksplorator magazynu Azure Obsługiwane w przypadku usług Blob Storage, Queue Storage, Table Storage i Azure Data Lake Storage. Dostęp identyfikatora Entra firmy Microsoft do magazynu plików nie jest obsługiwany. Upewnij się, że wybrano właściwego tenanta Microsoft Entra. Aby uzyskać więcej informacji, zobacz Wprowadzenie do Eksploratora Storage
Azure PowerShell Obsługiwane. Aby uzyskać informacje na temat autoryzacji poleceń programu PowerShell dla operacji obiektów blob lub kolejek przy użyciu Microsoft Entra ID, zobacz Uruchamianie poleceń programu PowerShell przy użyciu poświadczeń Microsoft Entra w celu uzyskania dostępu do danych obiektów blob lub Uruchamianie poleceń programu PowerShell przy użyciu poświadczeń Microsoft Entra w celu uzyskania dostępu do danych kolejki.
Azure CLI Obsługiwane. Aby uzyskać informacje o autoryzowaniu poleceń Azure CLI za pomocą Microsoft Entra ID w celu uzyskania dostępu do danych obiektów blob i kolejek, zobacz Uruchamianie poleceń Azure CLI przy użyciu poświadczeń Microsoft Entra w celu uzyskania dostępu do danych obiektów blob lub kolejek.
Azure IoT Hub Wspierane. Aby uzyskać więcej informacji, zobacz Obsługa usługi IoT Hub dla sieci wirtualnych.
Azure Cloud Shell Usługa Azure Cloud Shell to zintegrowana powłoka w portalu Azure. Platforma Azure Cloud Shell przechowuje pliki w celu trwałości w udziale plików na koncie magazynowym Azure. Te pliki staną się niedostępne, jeśli autoryzacja klucza współdzielonego będzie niedozwolona dla tego konta magazynowania. Aby uzyskać więcej informacji, zobacz Utrwalanie plików w usłudze Azure Cloud Shell.

Aby uruchomić polecenia w usłudze Azure Cloud Shell w celu zarządzania kontami przechowywania, dla których dostęp z użyciem klucza współdzielonego jest zabroniony, najpierw upewnij się, że udzielono ci niezbędnych uprawnień do tych kont za pośrednictwem Azure RBAC. Aby uzyskać więcej informacji, zobacz Co to jest kontrola dostępu oparta na rolach platformy Azure (Azure RBAC)?.

Nie zezwalaj na autoryzację klucza współdzielonego do korzystania z dostępu warunkowego firmy Microsoft

Aby chronić konto usługi Azure Storage przy użyciu zasad dostępu warunkowego firmy Microsoft Entra, musisz nie zezwalać na autoryzację klucza współdzielonego dla konta magazynu.

Autoryzowanie dostępu do danych plików lub przenoszenie obciążeń usługi Azure Files

Usługa Azure Storage obsługuje autoryzację Microsoft Entra dla żądań wysyłanych do usług Azure Files, Blob Storage, Queue Storage i Table Storage. Jednak domyślnie witryna Azure Portal używa autoryzacji klucza współdzielonego do uzyskiwania dostępu do udziałów plików platformy Azure. Jeśli zakazujesz uwierzytelniania przy użyciu Klucza Współdzielonego dla konta magazynu, które nie jest skonfigurowane z odpowiednimi przypisaniami RBAC, żądania do usługi Azure Files zakończą się niepowodzeniem i nie będzie można uzyskać dostępu do udziałów plików Azure w portalu Azure.

Aby temu zapobiec, zalecamy zastosowanie jednego z trzech podejść:

  1. Wykonaj następujące kroki , aby autoryzować dostęp do danych plików przy użyciu konta Microsoft Entra lub
  2. Migruj wszelkie dane usługi Azure Files do oddzielnego konta magazynu zanim uniemożliwisz dostęp do konta przez klucz współużytkowany, lub
  3. Nie stosuj tego ustawienia do kont magazynu, które obsługują obciążenia usługi Azure Files.

Identyfikować konta przechowywania, które zezwalają na dostęp do klucza współdzielonego

Istnieją dwa sposoby identyfikowania kont magazynu, które umożliwiają dostęp do klucza współdzielonego:

Sprawdź ustawienie dostępu do klucza współdzielonego dla wielu kont

Aby sprawdzić ustawienie dostępu do klucza współużytkowanego dla zestawu kont magazynu o optymalnej wydajności, możesz użyć Eksploratora usługi Azure Resource Graph w witrynie Azure Portal. Aby dowiedzieć się więcej na temat korzystania z Eksploratora usługi Resource Graph, zobacz Szybki start: uruchamianie pierwszego zapytania usługi Resource Graph przy użyciu Eksploratora usługi Azure Resource Graph.

Uruchomienie następującego zapytania w Eksploratorze zasobów Resource Graph zwraca listę kont magazynu i pokazuje ustawienie dostępu za pomocą klucza współdzielonego dla każdego konta.

resources
| where type =~ 'Microsoft.Storage/storageAccounts'
| extend allowSharedKeyAccess = parse_json(properties).allowSharedKeyAccess
| project subscriptionId, resourceGroup, name, allowSharedKeyAccess

Skonfiguruj zasady Azure Policy pod kątem dostępu do klucza współdzielonego w trybie inspekcji

Azure Policy Storage konta powinny uniemożliwiać dostęp za pomocą klucza współdzielonego, aby nie pozwalać użytkownikom z odpowiednimi uprawnieniami na konfigurowanie nowych lub istniejących kont magazynu, które umożliwiają autoryzację klucza współdzielonego. Skonfiguruj te zasady w trybie inspekcji, aby zidentyfikować konta magazynu, na których jest dozwolona autoryzacja klucza współdzielonego. Po zmianie aplikacji tak, aby korzystały z usługi Microsoft Entra, a nie klucza współużytkowanego do autoryzacji, można zaktualizować zasady, aby zapobiec zezwalaniu na dostęp do klucza współdzielonego.

Aby uzyskać więcej informacji na temat wbudowanych zasad, zobacz Konta magazynowe powinny uniemożliwiać dostęp za pomocą współdzielonego klucza w części Lista wbudowanych definicji zasad.

Przypisywanie wbudowanych zasad dla zakresu zasobów

Wykonaj następujące kroki, aby przypisać wbudowane zasady dla odpowiedniego zakresu w portalu Azure.

  1. W witrynie Azure Portal wyszukaj pozycję Zasady , aby wyświetlić pulpit nawigacyjny usługi Azure Policy.

  2. W sekcji Autorstwo wybierz pozycję Zadania.

  3. Wybierz Przypisz politykę.

  4. Na karcie Podstawowe na stronie Przypisywanie zasad, w sekcji Zakres, określ zakres przypisania zasad. Wybierz przycisk Więcej (...), aby wybrać subskrypcję i opcjonalną grupę zasobów.

  5. W polu Definicja zasad wybierz przycisk Więcej (...) i wprowadź dostęp współdzielonego klucza w polu Wyszukaj. Wybierz definicję zasad o nazwie Konta magazynu powinny uniemożliwiać dostęp przy użyciu współdzielonego klucza.

    Zrzut ekranu przedstawiający sposób wybierania wbudowanej zasady, aby zablokować dostęp do współdzielonego klucza dla konta magazynu

  6. Wybierz Przejrzyj i utwórz.

  7. Na karcie Przeglądanie + tworzenie przejrzyj przypisanie zasad, a następnie wybierz pozycję Utwórz, aby przypisać definicję zasad do określonego zakresu.

Monitorowanie zgodności z zasadami

Aby monitorować konty magazynowe pod kątem zgodności z polityką dostępu do klucza współdzielonego, wykonaj następujące kroki:

  1. Na pulpicie nawigacyjnym usługi Azure Policy w obszarze Tworzenie wybierz pozycję Przypisania.

  2. Znajdź i wybierz przypisanie zasad utworzone w poprzedniej sekcji.

  3. Wybierz kartę Wyświetl zgodność.

  4. Jakiekolwiek konta magazynu objęte przypisaniem zasad, które nie spełniają wymagań polityki, są wyświetlane w raporcie zgodności.

    Zrzut ekranu przedstawiający sposób wyświetlania raportu zgodności dla wbudowanych zasad dostępu klucza współdzielonego.

Aby uzyskać więcej informacji o tym, dlaczego konto magazynu jest niezgodne, wybierz pozycję Szczegóły w obszarze Przyczyna niezgodności.

Wykrywanie typu autoryzacji używanej przez aplikacje klienckie

Aby zrozumieć, jak uniemożliwienie autoryzacji klucza wspólnego może mieć wpływ na aplikacje klienckie przed wprowadzeniem tej zmiany, włącz rejestrowanie i metryki dla konta magazynowego. Następnie możesz analizować wzorce żądań na koncie w danym okresie, aby określić, w jaki sposób żądania są autoryzowane.

Użyj metryk, aby określić liczbę żądań odbieranych przez konto magazynu, które są autoryzowane za pomocą klucza współużytkowanego lub sygnatury dostępu współdzielonego (SAS). Użyj dzienników, aby określić, którzy klienci wysyłają te żądania.

Sygnatura dostępu współdzielonego (SAS) może być autoryzowana za pomocą wspólnego klucza lub Microsoft Entra ID. Aby uzyskać więcej informacji na temat interpretowania żądań wysyłanych za pomocą sygnatury dostępu współdzielonego, zobacz Opis sposobu, w jaki niezezwalanie na klucz współużytkowany wpływa na tokeny SAS.

Określanie liczby i częstotliwości żądań autoryzowanych za pomocą klucza wspólnego

Aby śledzić, jak żądania do konta magazynu są autoryzowane, użyj Eksploratora metryk platformy Azure w witrynie Azure Portal. Aby uzyskać więcej informacji na temat Eksploratora metryk, zobacz Analizowanie metryk za pomocą Eksploratora metryk usługi Azure Monitor.

Wykonaj następujące kroki, aby utworzyć metrykę, która śledzi żądania wysyłane za pomocą Klucza Współdzielonego lub SAS:

  1. Przejdź do swojego konta magazynowego w portalu Azure. W sekcji Monitorowanie wybierz pozycję Metryki.

  2. Powinno zostać wyświetlone nowe pole metryki:

    Zrzut ekranu przedstawiający okno dialogowe nowej metryki.

    Jeśli tak nie jest, wybierz pozycję Dodaj metryki.

  3. W oknie dialogowym Metryka określ następujące wartości:

    1. Pozostaw pole Zakres ustawione na nazwę konta przechowywania.
    2. Ustaw przestrzeń nazw metryki na Konto. Ta metryka będzie raportować wszystkie żądania dotyczące konta magazynowania.
    3. Ustaw pole Metryka na Transakcje.
    4. W polu Agregacja ustaw wartość Suma.

    Nowa metryka wyświetli sumę liczby transakcji względem konta magazynu w danym przedziale czasu. Wynikowa metryka zostanie wyświetlona, jak pokazano na poniższej ilustracji:

    Zrzut ekranu pokazujący jak skonfigurować metrykę do podsumowania transakcji realizowanych przy użyciu klucza współdzielonego lub SAS (sygnatury współdzielonego dostępu).

  4. Następnie wybierz przycisk Dodaj filtr , aby utworzyć filtr dla metryki dla typu autoryzacji.

  5. W oknie dialogowym Filtr określ następujące wartości:

    1. Ustaw wartość Właściwość na Uwierzytelnianie.
    2. Ustaw pole Operator na znak równości (=).
    3. W polu Wartości wybierz Klucz konta i sygnatura SAS.

  6. W prawym górnym rogu wybierz zakres czasu, dla którego chcesz wyświetlić metryki. Możesz również wskazać stopień szczegółowości agregacji żądań, określając interwały w dowolnym miejscu od 1 minuty do 1 miesiąca. Na przykład ustaw zakres czasu na 30 dni, a stopień szczegółowości czasu na 1 dzień, aby zobaczyć żądania zagregowane według dnia w ciągu ostatnich 30 dni.

Po skonfigurowaniu metryki, na wykresie zaczną pojawiać się żądania do konta magazynu. Na poniższej ilustracji przedstawiono żądania autoryzowane za pomocą klucza współużytkowanego lub wykonane przy użyciu tokenu SAS. Żądania są agregowane dziennie w ciągu ostatnich trzydziestu dni.

Zrzut ekranu przedstawiający zagregowane żądania autoryzowane za pomocą klucza wspólnego.

Możesz również skonfigurować regułę alertu, aby powiadomić Cię, kiedy na Twoim koncie magazynu zostanie wykonana określona liczba żądań autoryzowanych za pomocą Klucza Udostępnionego. Aby uzyskać więcej informacji, zobacz Tworzenie, wyświetlanie alertów metryk i zarządzanie nimi przy użyciu usługi Azure Monitor.

Analizowanie logów w celu identyfikowania klientów, którzy autoryzują żądania za pomocą klucza współdzielonego lub sygnatury dostępu współdzielonego

Dzienniki usługi Azure Storage rejestrują szczegóły dotyczące żądań w odniesieniu do konta przechowywania, w tym informacje o sposobie autoryzacji żądania. Dzienniki można analizować, aby określić, którzy klienci zatwierdzają żądania za pomocą klucza współdzielonego lub tokenu sygnatury dostępu współdzielonego.

Aby rejestrować żądania do konta usługi Azure Storage, aby ocenić, jak są autoryzowane, możesz użyć rejestrowania usługi Azure Storage w usłudze Azure Monitor. Aby uzyskać więcej informacji, zobacz Monitorowanie usługi Azure Storage.

Rejestrowanie usługi Azure Storage w usłudze Azure Monitor obsługuje używanie zapytań dzienników do analizowania danych dziennika. Aby wykonywać zapytania dotyczące dzienników, możesz użyć obszaru roboczego usługi Azure Log Analytics. Aby dowiedzieć się więcej na temat zapytań dzienników, zobacz Samouczek: rozpoczynanie pracy z zapytaniami Log Analytics.

Tworzenie ustawienia diagnostycznego w witrynie Azure Portal

Aby rejestrować dane usługi Azure Storage za pomocą usługi Azure Monitor i analizować je za pomocą usługi Azure Log Analytics, należy najpierw utworzyć ustawienie diagnostyczne wskazujące typy żądań i usługi magazynu, dla których chcesz rejestrować dane. Po skonfigurowaniu rejestrowania dla konta do przechowywania, dzienniki będą dostępne w obszarze roboczym usługi Log Analytics. Aby utworzyć obszar roboczy, zobacz Tworzenie obszaru roboczego usługi Log Analytics w witrynie Azure Portal.

Aby dowiedzieć się, jak utworzyć ustawienie diagnostyczne w witrynie Azure Portal, zobacz Tworzenie ustawień diagnostycznych w usłudze Azure Monitor.

Aby uzyskać informacje o polach dostępnych w dziennikach usługi Azure Storage w usłudze Azure Monitor, zobacz Dzienniki zasobów.

Logi zapytań żądań z użyciem klucza współużytkowanego lub sygnatury dostępu współdzielonego

Dzienniki usługi Azure Storage w usłudze Azure Monitor obejmują typ autoryzacji, który został użyty do wykonania żądania dotyczącego konta magazynowego. Aby pobrać dzienniki żądań wykonanych w ciągu ostatnich siedmiu dni, które zostały autoryzowane za pomocą klucza współużytkowanego lub sygnatury dostępu współdzielonego, otwórz obszar roboczy usługi Log Analytics. Następnie wklej następujące zapytanie do nowego zapytania dziennika i uruchom je. To zapytanie wyświetla dziesięć adresów IP, które najczęściej wysyłały żądania autoryzowane za pomocą klucza współdzielonego lub sygnatury dostępu współdzielonego:

StorageBlobLogs
| where AuthenticationType in ("AccountKey", "SAS") and TimeGenerated > ago(7d)
| summarize count() by CallerIpAddress, UserAgentHeader, AccountName
| top 10 by count_ desc

Możesz również skonfigurować regułę alertu na podstawie tego zapytania, aby otrzymywać powiadomienia o żądaniach autoryzowanych za pomocą Klucza współdzielonego lub podpisu dostępu współdzielonego. Aby uzyskać więcej informacji, zobacz Tworzenie, wyświetlanie alertów dzienników i zarządzanie nimi przy użyciu usługi Azure Monitor.

Korygowanie autoryzacji za pomocą klucza wspólnego

Po przeanalizowaniu, jak żądania do konta magazynu są autoryzowane, możesz podjąć działania, aby zapobiec dostępowi za pośrednictwem klucza współdzielonego. Najpierw należy jednak zaktualizować wszystkie aplikacje korzystające z autoryzacji klucza współdzielonego, aby zamiast tego korzystały z identyfikatora Entra firmy Microsoft. Dzienniki i metryki można monitorować zgodnie z opisem w artykule Wykrywanie typu autoryzacji używanej przez aplikacje klienckie do śledzenia przejścia. Aby uzyskać więcej informacji na temat uzyskiwania dostępu do danych na koncie magazynu przy użyciu identyfikatora Entra firmy Microsoft, zobacz Autoryzowanie dostępu do danych w usłudze Azure Storage.

Jeśli masz pewność, że możesz bezpiecznie odrzucić żądania autoryzowane za pomocą klucza współużytkowanego, możesz ustawić właściwość AllowSharedKeyAccess dla konta magazynu na wartość false.

Ostrzeżenie

Jeśli klienci uzyskują obecnie dostęp do danych na koncie magazynu przy użyciu klucza współużytkowanego, firma Microsoft zaleca przeprowadzenie migracji tych klientów do identyfikatora Entra firmy Microsoft przed zezwoleniem na dostęp klucza współdzielonego do konta magazynu.

Uprawnienia do zezwalania lub zabraniania dostępu z użyciem klucza współdzielonego

Aby ustawić właściwość AllowSharedKeyAccess dla konta magazynu, użytkownik musi mieć uprawnienia do tworzenia kont magazynu i zarządzania nimi. Role kontroli dostępu opartej na rolach (RBAC) platformy Azure, które zapewniają te uprawnienia, obejmują akcję Microsoft.Storage/storageAccounts/write lub Microsoft.Storage/storageAccounts/* . Wbudowane role z tą akcją obejmują:

Te role nie zapewniają dostępu do danych na koncie magazynu za pośrednictwem Microsoft Entra ID. Obejmują one jednak usługę Microsoft.Storage/storageAccounts/listkeys/action, która udziela dostępu do kluczy dostępu do konta. Za pomocą tego uprawnienia użytkownik może użyć kluczy dostępu do konta, aby uzyskać dostęp do wszystkich danych w koncie magazynowym.

Przypisania ról muszą być określone na poziomie konta magazynu lub wyższym, aby umożliwić użytkownikowi zezwolenie lub odmowę dostępu za pomocą Klucza Współdzielonego do konta magazynu. Aby uzyskać więcej informacji na temat zakresu ról, zobacz Zrozumienie zakresu dla Azure RBAC.

Zachowaj ostrożność, aby ograniczyć przypisywanie tych ról wyłącznie tym, którzy wymagają możliwości utworzenia konta magazynu lub zaktualizowania jego właściwości. Użyj zasady najniższych uprawnień, aby upewnić się, że użytkownicy mają najmniejsze uprawnienia, których potrzebują do wykonania swoich zadań. Aby uzyskać więcej informacji na temat zarządzania dostępem za pomocą kontroli dostępu opartej na rolach platformy Azure, zobacz Najlepsze rozwiązania dotyczące kontroli dostępu opartej na rolach platformy Azure.

Uwaga

Role klasycznego administratora subskrypcji Administrator usługi i Współadministrator obejmują odpowiednik roli właściciela usługi Azure Resource Manager. Rola Właściciel zawiera wszystkie akcje, więc użytkownik z jedną z tych ról administracyjnych może również tworzyć konta magazynu i zarządzać nimi. Aby uzyskać więcej informacji, zobacz Role platformy Azure, Role firmy Microsoft Entra i klasyczne role administratora subskrypcji.

Wyłączanie autoryzacji klucza współużytkowanego

Korzystając z konta z niezbędnymi uprawnieniami, wyłącz autoryzację klucza wspólnego w witrynie Azure Portal przy użyciu programu PowerShell lub interfejsu wiersza polecenia platformy Azure.

Aby uniemożliwić autoryzację klucza współdzielonego dla konta magazynu w portalu Azure, wykonaj następujące kroki:

  1. W portalu Azure nawiguj do swojego konta magazynu.

  2. Znajdź ustawienie „Konfiguracja” w obszarze Ustawienia.

  3. Ustaw Zezwalaj na dostęp do konta magazynu za pomocą klucza na Wyłączone.

    Zrzut ekranu przedstawiający, jak zabronić dostępu do klucza współdzielonego dla konta magazynu.

Po uniemożliwieniu autoryzacji klucza współdzielonego, żądanie do konta przechowywania z autoryzacją klucza współdzielonego zostanie odrzucone z kodem błędu 403 (Zabronione). Usługa Azure Storage zwraca błąd wskazujący, że autoryzacja oparta na kluczach nie jest dozwolona dla danego konta magazynu.

Właściwość AllowSharedKeyAccess jest obsługiwana w przypadku kont magazynu korzystających tylko z modelu wdrażania usługi Azure Resource Manager. Aby uzyskać informacje o tym, które konta magazynu korzystają z modelu wdrażania usługi Azure Resource Manager, zobacz Typy kont magazynu.

Sprawdź, czy dostęp do klucza współdzielonego jest niedozwolony

Aby sprawdzić, czy autoryzacja klucza współdzielonego nie jest już dozwolona, możesz wykonać zapytanie dotyczące ustawień konta usługi Azure Storage za pomocą następującego polecenia. Zastąp wartości symboli zastępczych w nawiasach własnymi wartościami.

az storage account show \
    --name <storage-account-name> \
    --resource-group <resource-group-name> \
    --query "allowSharedKeyAccess"

Polecenie zwraca wartość false, jeśli autoryzacja klucza współdzielonego jest niedozwolona dla konta przechowywania.

Uwaga

Żądania anonimowe nie są autoryzowane i będą kontynuowane, jeśli skonfigurowano konto magazynu i kontener na potrzeby anonimowego dostępu do odczytu. Aby uzyskać więcej informacji, zobacz Konfigurowanie anonimowego dostępu do odczytu dla kontenerów i obiektów blob.

Monitorowanie usługi Azure Policy pod kątem zgodności

Po uniemożliwieniu dostępu do klucza współdzielonego na wymaganych kontach magazynu kontynuuj monitorowanie zasad utworzonych wcześniej w celu zapewnienia ciągłej zgodności. Na podstawie wyników monitorowania podejmij odpowiednie działania w razie potrzeby, w tym zmianę zakresu zasad, uniemożliwienie dostępu do klucza współdzielonego na większej liczbie kont lub zezwolenie na korzystanie z kont, w których potrzebny jest więcej czasu na korygowanie.

Zaktualizuj usługę Azure Policy, aby uniemożliwić dostęp do klucza współdzielonego

Aby rozpocząć wymuszanie przypisania zasady Azure Policy, którą wcześniej utworzyłeś dla zasady Storage accounts should prevent shared key access, zmień Efekt przypisania zasady na Odmów, aby uniemożliwić autoryzowanym użytkownikom zezwalanie na dostęp do klucza współdzielonego na kontach magazynowych. Aby zmienić efekt zasad, wykonaj następujące kroki:

  1. Na pulpicie usługi Azure Policy znajdź i wybierz przypisanie zasad, które utworzyłeś wcześniej.

  2. Wybierz Edytuj przypisanie.

  3. Przejdź do zakładki Parametry.

  4. Usuń zaznaczenie pola wyboru Pokaż tylko parametry, które wymagają wprowadzania lub przeglądania .

  5. Na liście rozwijanej Efekt zmień pozycję Inspekcja na Odmów, a następnie wybierz pozycję Przejrzyj i zapisz.

  6. Na karcie Przeglądanie i zapisywanie przejrzyj zmiany, a następnie wybierz pozycję Zapisz.

Uwaga

Zastosowanie zmiany zasad może potrwać do 30 minut.

Następne kroki