Lejárati szabályzat konfigurálása közös hozzáférésű jogosultságkódokhoz
Közös hozzáférésű jogosultságkód (SAS) használatával delegálhatja az Azure Storage-fiókjában lévő erőforrásokhoz való hozzáférést. Az SAS-jogkivonat tartalmazza a célzott erőforrást, a megadott engedélyeket és a hozzáférés engedélyezésének időtartamát. Az ajánlott eljárások azt javasolják, hogy korlátozza az SAS-hez tartozó időközt, ha az sérült. A tárfiókok SAS-lejárati szabályzatának beállításával megadhat egy ajánlott felső lejárati korlátot, amikor egy felhasználó létrehoz egy felhasználói delegálási SAS-t, egy szolgáltatás SAS-t vagy egy fiók SAS-t.
A megosztott hozzáférésű jogosultságkódokkal kapcsolatos további információkért lásd : Korlátozott hozzáférés biztosítása az Azure Storage-erőforrásokhoz közös hozzáférésű jogosultságkódok (SAS) használatával.
Fontos
Megosztott hozzáférésű jogosultságkódok használata esetén a Microsoft a felhasználói delegálási SAS használatát javasolja. A felhasználói delegálási SAS-t a fiókkulcs helyett a Microsoft Entra hitelesítő adatai védik, ami kiváló biztonságot nyújt.
Tudnivalók az SAS lejárati szabályzatairól
A tárfiókon sas-lejárati szabályzatot konfigurálhat. Az SAS lejárati szabályzata meghatározza a felhasználói delegálási SAS, szolgáltatás SAS vagy fiók SAS aláírt lejárati mezőjének ajánlott felső korlátját. Az ajánlott felső korlát dátum/idő értékként van megadva, amely a napok, órák, percek és másodpercek együttes száma.
Az SAS érvényességi időközét úgy számítjuk ki, hogy kivonjuk az aláírt kezdő mező dátum/idő értékét az aláírt lejárati mező dátum/idő értékéből. Ha az eredményként kapott érték kisebb vagy egyenlő az ajánlott felső korlátnál, akkor az SAS megfelel az SAS lejárati szabályzatának.
Az SAS lejárati szabályzatának konfigurálása után minden olyan felhasználó, aki az ajánlott felső korlátot meghaladó időközzel hoz létre SAS-t, figyelmeztetés jelenik meg.
Az SAS lejárati szabályzata nem akadályozza meg, hogy a felhasználó olyan SAS-t hozzon létre, amely lejárati ideje meghaladja a szabályzat által javasolt korlátot. Amikor egy felhasználó olyan SAS-t hoz létre, amely megsérti a szabályzatot, figyelmeztetés jelenik meg a javasolt maximális időközzel együtt. Ha diagnosztikai beállítást konfigurált a naplózáshoz az Azure Monitorral, akkor az Azure Storage üzenetet ír a naplók SasExpiryStatus tulajdonságának, amikor egy felhasználó olyan SAS-t használ , amely az ajánlott időköz után lejár. Az üzenet azt jelzi, hogy az SAS érvényességi időköze meghaladja az ajánlott időközt.
Ha sas-lejárati szabályzat van érvényben a tárfiókra vonatkozóan, az aláírt kezdő mező minden SAS-hez kötelező. Ha az aláírt kezdő mező nem szerepel az SAS-ben, és beállított egy diagnosztikai beállítást a naplózáshoz az Azure Monitorral, akkor az Azure Storage üzenetet ír a naplók SasExpiryStatus tulajdonságába, amikor egy felhasználó az aláírt kezdő mező értéke nélkül használ SAS-t.
SAS-lejárati szabályzat konfigurálása
Amikor sas-lejárati szabályzatot konfigurál egy tárfiókon, a szabályzat az SAS minden típusára vonatkozik: a felhasználói delegálási SAS-ra, a szolgáltatás SAS-jára és a fiók SAS-jára. A szolgáltatás SAS- és fiók SAS-típusai a fiókkulcsmal vannak aláírva, míg a felhasználói delegálási SAS a Microsoft Entra hitelesítő adataival van aláírva.
Feljegyzés
A felhasználói delegálási SAS egy felhasználói delegálási kulccsal van aláírva, amelyet a Microsoft Entra hitelesítő adataival szerezhet be. A felhasználói delegálási kulcs saját lejárati intervallummal rendelkezik, amely nem vonatkozik az SAS lejárati szabályzatára. Az SAS lejárati szabályzata csak a felhasználói delegálási SAS-ra vonatkozik, nem pedig arra a felhasználódelegálási kulcsra, amellyel alá van írva.
A felhasználói delegálási SAS maximális lejárati időköze 7 nap, függetlenül az SAS lejárati szabályzatától. Ha az SAS lejárati szabályzata 7 napnál nagyobb értékre van beállítva, akkor a szabályzatnak nincs hatása a felhasználói delegálási SAS-ra. Ha a felhasználói delegálási kulcs lejár, akkor az ezzel a kulccsal aláírt felhasználói delegálási SAS érvénytelen, és az SAS használatára tett minden kísérlet hibát ad vissza.
Először el kell forgatnom a fiók hozzáférési kulcsait?
Ez a szakasz a szolgáltatás SAS- és fiók SAS-típusaira vonatkozik, amelyek a fiókkulcsmal vannak aláírva. Mielőtt konfigurálhatná az SAS lejárati szabályzatát, előfordulhat, hogy legalább egyszer el kell forgatnia az egyes fiókhozzáférés-kulcsokat. Ha a tárfiók keyCreationTime tulajdonsága null értékkel rendelkezik a fiók egyik hozzáférési kulcsához (key1 és key2), el kell forgatnia őket. Annak megállapításához, hogy a keyCreationTime tulajdonság null értékű-e, tekintse meg a tárfiók fiókhozzáférési kulcsainak létrehozási idejét. Ha sas-lejárati szabályzatot próbál konfigurálni, és a kulcsokat először el kell forgatni, a művelet meghiúsul.
SAS-lejárati szabályzat konfigurálása
Sas-lejárati szabályzatot az Azure Portal, a PowerShell vagy az Azure CLI használatával konfigurálhat.
Sas-lejárati szabályzat azure portalon való konfigurálásához kövesse az alábbi lépéseket:
Navigáljon az Azure portálon a címen a tárolófiókjához.
A Beállítások területen válassza a Konfiguráció elemet.
Keresse meg a közös hozzáférésű jogosultságkód (SAS) lejárati időközének ajánlott felső korlátjának engedélyezése beállítást, és állítsa be engedélyezve értékre.
Feljegyzés
Ha a beállítás szürkítve jelenik meg, és az alábbi képen látható üzenet jelenik meg, akkor mindkét fiók hozzáférési kulcsát el kell forgatnia, mielőtt beállíthatja az SAS lejárati időközi értékeinek javasolt felső korlátját:
Adja meg az SAS lejárati időközének ajánlott felső korlátja alatt megadott időértékeket a tárfiók erőforrásain létrehozott új közös hozzáférésű jogosultságkódok javasolt időközéhez.
Válassza a Mentés lehetőséget a módosítások mentéséhez.
Szabályzatsértések lekérdezési naplói
Ha az SAS lejárati szabályzata által javasoltnál hosszabb időközönként érvényes SAS használatát szeretné naplózni, először hozzon létre egy diagnosztikai beállítást, amely naplókat küld egy Azure Log Analytics-munkaterületre. További információ: Naplók küldése az Azure Log Analyticsbe.
Ezután egy Azure Monitor-napló lekérdezés használatával figyelje meg, hogy megsértették-e a szabályzatot. Hozzon létre egy új lekérdezést a Log Analytics-munkaterületen, adja hozzá a következő lekérdezési szöveget, és nyomja le a Futtatás billentyűt.
StorageBlobLogs
| where SasExpiryStatus startswith "Policy violated"
| summarize count() by AccountName, SasExpiryStatus
A megfelelőség monitorozása beépített szabályzat használatával
A tárfiókokat az Azure Policy használatával figyelheti, hogy az előfizetés tárfiókja konfigurálta-e az SAS lejárati szabályzatait. Az Azure Storage beépített szabályzatot biztosít annak biztosítására, hogy a fiókok konfigurálják ezt a beállítást. A beépített szabályzattal kapcsolatos további információkért lásd: A tárfiókoknak a beépített szabályzatdefiníciók listájában konfigurált közös hozzáférésű jogosultságkóddal (SAS) kell rendelkezniük.
Erőforrás-hatókör beépített szabályzatának hozzárendelése
Az alábbi lépéseket követve rendelje hozzá a beépített szabályzatot a megfelelő hatókörhöz az Azure Portalon:
Az Azure Portalon keresse meg a Szabályzatot az Azure Policy irányítópult megjelenítéséhez.
A Szerzői szakaszban válassza a Hozzárendelések lehetőséget.
Válassza a Szabályzat hozzárendelése lehetőséget.
A Szabályzat hozzárendelése lap Alapismeretek lapján, a Hatókör szakaszban adja meg a szabályzat-hozzárendelés hatókörét. Válassza a Továbbiak gombot az előfizetés és az opcionális erőforráscsoport kiválasztásához.
A Szabályzatdefiníció mezőnél válassza az Egyebek gombot, és írja be a tárfiókkulcsokat a Keresés mezőbe. Válassza ki a Tárfiókkulcsok nevű szabályzatdefiníciót.
Válassza a Véleményezés + létrehozás lehetőséget a szabályzatdefiníciónak a megadott hatókörhöz való hozzárendeléséhez.
A kulcs lejárati szabályzatának megfelelőségének figyelése
A tárfiókok a kulcs lejárati szabályzatának való megfelelés figyeléséhez kövesse az alábbi lépéseket:
Az Azure Policy irányítópultján keresse meg a szabályzat-hozzárendelésben megadott hatókör beépített szabályzatdefinícióját.
Storage accounts should have shared access signature (SAS) policies configured
A keresőmezőben kereshet a beépített szabályzat szűréséhez.Válassza ki a kívánt hatókörrel rendelkező szabályzatnevet.
A beépített szabályzat Szabályzat-hozzárendelés lapján válassza a Megfelelőség megtekintése lehetőséget. A megadott előfizetésben és erőforráscsoportban található olyan tárfiókok, amelyek nem felelnek meg a szabályzatkövetelményeknek, megjelennek a megfelelőségi jelentésben.
A tárfiók megfelelőségének biztosításához konfiguráljon egy SAS-lejárati szabályzatot az adott fiókhoz, az SAS lejárati szabályzatának konfigurálása című szakaszban leírtak szerint.