Opis kluczy kont magazynu

  • 5 min

Większość danych w firmie Contoso jest generowana lub używana przez aplikacje niestandardowe. Aplikacje są napisane w różnych językach.

Konta usługi Azure Storage umożliwiają tworzenie autoryzowanych aplikacji w usłudze Active Directory, które pozwalają kontrolować dostęp do danych w obiektach blob i kolejkach. Taki sposób uwierzytelniania jest najlepszym rozwiązaniem w przypadku aplikacji korzystających z usługi Blob Storage lub Queue Storage.

W przypadku innych modeli magazynowania klienci mogą używać klucza wspólnego lub wspólnego wpisu tajnego. Ta opcja uwierzytelniania jest jedną z najłatwiejszych do użycia oraz obsługuje obiekty blob, pliki, kolejki i tabele. Klient osadza klucz wspólny w nagłówku Authorization protokołu HTTP w każdym żądaniu, a konto usługi Storage weryfikuje ten klucz.

Na przykład aplikacja może wysłać żądanie GET dotyczące zasobu obiektu blob:

GET http://myaccount.blob.core.windows.net/?restype=service&comp=stats

Nagłówki HTTP pozwalają kontrolować wersję interfejsu API REST, datę i zakodowany klucz wspólny:

x-ms-version: 2018-03-28  
Date: Wed, 23 Oct 2018 21:00:44 GMT  
Authorization: SharedKey myaccount:CY1OP3O3jGFpYFbTCBimLn0Xov0vt0khH/E5Gy0fXvg=

Klucze kont magazynu

Klucze wspólne na kontach usługi Azure Storage są nazywane kluczami kont magazynu. Platforma Azure tworzy dwa klucze (podstawowy i pomocniczy) dla każdego tworzonego konta magazynu. Klucze umożliwiają dostęp do wszystkich elementów na koncie.

Klucze kont magazynu można znaleźć w widoku konta magazynu w witrynie Azure Portal. W okienku menu po lewej stronie konta magazynu wybierz pozycję Zabezpieczenia i klucze dostępu do sieci>.

Zrzut ekranu przedstawiający klucze dostępu w witrynie Azure Portal.

Ochrona kluczy udostępnionych

Konto magazynu ma tylko dwa klucze. Dają one pełny dostęp do konta. Ze względu na zapewniane przez nie możliwości należy ich używać tylko w zaufanych aplikacjach wewnętrznych, nad którymi ma się pełną kontrolę.

Jeśli bezpieczeństwo kluczy zostanie naruszone, ich wartości można zmienić w witrynie Azure Portal. Oto kilka przyczyn ponownego generowania kluczy kont magazynu:

  • Klucze mogą być okresowo generowane ponownie ze względów bezpieczeństwa.
  • Jeśli ktoś włamie się do aplikacji i uzyska klucz, który został zawarty w jej kodzie albo zapisany w pliku konfiguracji, należy ponownie wygenerować klucz. Utracony klucz daje hakerowi pełny dostęp do Twojego konta magazynu.
  • Jeśli Twój zespół używa aplikacji do eksplorowania magazynu, która przechowuje klucz konta magazynu, i ktoś odejdzie z tego zespołu, należy ponownie wygenerować klucz. W przeciwnym razie aplikacja będzie nadal działać, zapewniając byłemu członkowi zespołu dostęp do konta magazynu.

Aby odświeżyć klucze:

  • Przełącz każdą zaufaną aplikację na korzystanie z klucza pomocniczego.
  • Odśwież klucz podstawowy w witrynie Azure Portal. Będzie to nowa wartość klucza pomocniczego.

Ważne

Po odświeżeniu kluczy każdy klient, który spróbuje użyć starej wartości klucza, spotka się z odmową dostępu. Upewnij się, że zidentyfikowasz wszystkich klientów, którzy używają klucza współużytkowanego, i zaktualizuj je, aby zachować ich działanie.