Toegangssleutels voor accounts beheren - Azure Storage (2023)

Table of Contents
In dit artikel Uw toegangssleutels beveiligen Toegangssleutels voor accounts weergeven Azure Key Vault gebruiken om uw toegangssleutels te beheren Toegangssleutels handmatig draaien Een beleid voor het verlopen van sleutels maken Controleren op schendingen van het verloopbeleid voor sleutels Het ingebouwde beleid toewijzen voor een resourcebereik Naleving van het verloopbeleid voor sleutels bewaken Volgende stappen Videos
  • Artikel
  • 12 minuten om te lezen

Wanneer u een opslagaccount maakt, genereert Azure twee 512-bits toegangssleutels voor het opslagaccount voor dat account. Deze sleutels kunnen worden gebruikt voor het autoriseren van toegang tot gegevens in uw opslagaccount via gedeelde sleutelautorisatie.

Microsoft raadt u aan Azure Key Vault te gebruiken om uw toegangssleutels te beheren en regelmatig uw sleutels te roteren en opnieuw te genereren. Met Behulp van Azure Key Vault kunt u uw sleutels eenvoudig roteren zonder onderbreking van uw toepassingen. U kunt uw sleutels ook handmatig draaien.

Uw toegangssleutels beveiligen

De toegangssleutels van uw opslagaccount zijn vergelijkbaar met een hoofdwachtwoord voor uw opslagaccount. Wees altijd voorzichtig met het beveiligen van uw toegangssleutels. Gebruik Azure Key Vault om uw sleutels veilig te beheren en te roteren. Vermijd het distribueren van toegangssleutels naar andere gebruikers, deze hard te coderen of ze ergens op te slaan in tekst zonder opmaak die toegankelijk is voor anderen. Roteer uw sleutels als u denkt dat ze mogelijk zijn gecompromitteerd.

Belangrijk

Microsoft raadt aan azure Active Directory (Azure AD) te gebruiken om aanvragen te autoriseren voor blob-, wachtrij- en tabelgegevens, indien mogelijk, in plaats van de accountsleutels (autorisatie van gedeelde sleutels). Autorisatie met Azure AD biedt superieure beveiliging en gebruiksgemak ten opzichte van autorisatie van gedeelde sleutels.

Als u een Azure Storage-account wilt beveiligen met Azure AD beleid voor voorwaardelijke toegang, moet u autorisatie van gedeelde sleutels voor het opslagaccount niet toestaan. Zie Autorisatie van gedeelde sleutels voorkomen voor een Azure Storage-account voor meer informatie over het weigeren van autorisatie van gedeelde sleutels.

Toegangssleutels voor accounts weergeven

U kunt uw accounttoegangssleutels weergeven en kopiëren met de Azure Portal, PowerShell of Azure CLI. De Azure Portal biedt ook een connection string voor uw opslagaccount dat u kunt kopiëren.

  • Portal
  • PowerShell
  • Azure-CLI

Toegangssleutels of connection string van uw opslagaccount weergeven en kopiëren vanuit de Azure Portal:

  1. Ga in de Azure Portal naar uw opslagaccount.

  2. Selecteer onder Beveiliging en netwerkende optie Toegangssleutels. De toegangssleutels van uw account worden weergegeven, evenals de volledige verbindingsreeks voor elke sleutel.

    See Also
    Free Microsoft Office 365 Product Key [100% Working] » TechMainaWindows 10 Licentie Key Kopen – Onlinekeys.nl

  3. Selecteer Sleutels weergeven om uw toegangssleutels en verbindingsreeksen weer te geven en knoppen in te schakelen om de waarden te kopiëren.

  4. Zoek onder sleutel1 de waarde Sleutel . Selecteer de knop Kopiëren om de accountsleutel te kopiëren.

  5. U kunt ook de hele connection string kopiëren. Zoek onder sleutel1 de waarde van de verbindingsreeks . Selecteer de knop Kopiëren om de connection string te kopiëren.

    Toegangssleutels voor accounts beheren - Azure Storage (1)

(Video) Azure Landing Zones | Architectural Blueprint, Tooling & Best Practices

U kunt een van de twee sleutels gebruiken om toegang te krijgen tot Azure Storage, maar over het algemeen is het een goede gewoonte om de eerste sleutel te gebruiken en het gebruik van de tweede sleutel te reserveren voor wanneer u sleutels roteert.

Als u de toegangssleutels van een account wilt weergeven of lezen, moet de gebruiker een servicebeheerder zijn of moet een Azure-rol zijn toegewezen die de actie Microsoft.Storage/storageAccounts/listkeys/bevat. Sommige ingebouwde Azure-rollen die deze actie bevatten, zijn de servicerollen Eigenaar, Inzender en Sleuteloperator van opslagaccount . Zie Klassieke abonnementsbeheerdersrollen, Azure-rollen en Azure AD rollen voor meer informatie over de rol Servicebeheerder. Zie de sectie Storage in Ingebouwde Azure-rollen voor Azure RBAC voor gedetailleerde informatie over ingebouwde rollen voor Azure Storage.

Azure Key Vault gebruiken om uw toegangssleutels te beheren

Microsoft raadt aan Azure Key Vault te gebruiken om uw toegangssleutels te beheren en te roteren. Uw toepassing heeft veilig toegang tot uw sleutels in Key Vault, zodat u kunt voorkomen dat ze worden opgeslagen met uw toepassingscode. Zie de volgende artikelen voor meer informatie over het gebruik van Key Vault voor sleutelbeheer:

  • Opslagaccountsleutels beheren met Azure Key Vault en PowerShell
  • Sleutels voor opslagaccounts beheren met Azure Key Vault en de Azure CLI

Toegangssleutels handmatig draaien

Microsoft raadt u aan uw toegangssleutels regelmatig te roteren om uw opslagaccount veilig te houden. Gebruik indien mogelijk Azure Key Vault om uw toegangssleutels te beheren. Als u Key Vault niet gebruikt, moet u de sleutels handmatig roteren.

(Video) Back up & Recover Your Data with Synology C2 Backup | Synology Webinar

Er worden twee toegangssleutels toegewezen, zodat u uw sleutels kunt roteren. Als u twee sleutels hebt, zorgt u ervoor dat uw toepassing gedurende het hele proces toegang tot Azure Storage behoudt.

Waarschuwing

Het opnieuw genereren van uw toegangssleutels kan van invloed zijn op alle toepassingen of Azure-services die afhankelijk zijn van de opslagaccountsleutel. Clients die de accountsleutel gebruiken om toegang te krijgen tot het opslagaccount, moeten worden bijgewerkt om de nieuwe sleutel te gebruiken, waaronder mediaservices, cloud-, desktop- en mobiele toepassingen en grafische gebruikersinterfacetoepassingen voor Azure Storage, zoals Azure Storage Explorer.

Als u van plan bent om toegangssleutels handmatig te roteren, raadt Microsoft u aan een verloopbeleid voor sleutels in te stellen. Zie Een verloopbeleid voor sleutels maken voor meer informatie.

Nadat u het verloopbeleid voor sleutels hebt gemaakt, kunt u Azure Policy gebruiken om te controleren of de sleutels van een opslagaccount binnen het aanbevolen interval zijn geroteerd. Zie Controleren op schendingen van het verloopbeleid voor sleutels voor meer informatie.

  • Portal
  • PowerShell
  • Azure-CLI

Ga als volgende te werk om de toegangssleutels van uw opslagaccount in de Azure Portal te roteren:

  1. Werk de verbindingsreeksen in uw toepassingscode bij om te verwijzen naar de secundaire toegangssleutel voor het opslagaccount.
  2. Navigeer naar uw opslagaccount in de Azure Portal.
  3. Selecteer onder Beveiliging en netwerkende optie Toegangssleutels.
  4. Als u de primaire toegangssleutel voor uw opslagaccount opnieuw wilt genereren, selecteert u de knop Opnieuw genereren naast de primaire toegangssleutel.
  5. Werk de verbindingsreeksen in uw code bij, zodat deze verwijzen naar de nieuwe primaire toegangssleutel.
  6. Genereer de secundaire toegangssleutel op dezelfde manier opnieuw.

Waarschuwing

Microsoft raadt aan om slechts één van de sleutels in al uw toepassingen tegelijkertijd te gebruiken. Als u sleutel 1 op sommige plaatsen en sleutel 2 op andere plaatsen gebruikt, kunt u uw sleutels niet draaien zonder dat een toepassing de toegang verliest.

(Video) Cyberworkout #01 - Cloud Hacking

Als u de toegangssleutels van een account wilt roteren, moet de gebruiker een servicebeheerder zijn of moet een Azure-rol zijn toegewezen die de actie Microsoft.Storage/storageAccounts/regeneratekey/action bevat. Sommige ingebouwde Azure-rollen die deze actie bevatten, zijn de servicerollen Eigenaar, Inzender en Sleuteloperator van opslagaccount . Zie Klassieke abonnementsbeheerdersrollen, Azure-rollen en Azure AD rollen voor meer informatie over de rol Servicebeheerder. Zie de sectie Storage in Ingebouwde Azure-rollen voor Azure RBAC voor gedetailleerde informatie over ingebouwde Azure-rollen voor Azure Storage.

Een beleid voor het verlopen van sleutels maken

Met een verloopbeleid voor sleutels kunt u een herinnering instellen voor de rotatie van de toegangssleutels van het account. De herinnering wordt weergegeven als het opgegeven interval is verstreken en de sleutels nog niet zijn gedraaid. Nadat u een verloopbeleid voor sleutels hebt gemaakt, kunt u uw opslagaccounts controleren op naleving om ervoor te zorgen dat de toegangssleutels van het account regelmatig worden geroteerd.

Notitie

Voordat u een verloopbeleid voor sleutels kunt maken, moet u mogelijk elk van uw accounttoegangssleutels ten minste één keer roteren.

  • Portal
  • PowerShell
  • Azure-CLI

Een verloopbeleid voor sleutels maken in de Azure Portal:

  1. Ga in de Azure Portal naar uw opslagaccount.
  2. Selecteer onder Beveiliging en netwerkende optie Toegangssleutels. De toegangssleutels van uw account worden weergegeven, evenals de volledige verbindingsreeks voor elke sleutel.
  3. Selecteer de knop Draaiherinnering instellen . Als de knop Herinnering voor rotatie instellen grijs wordt weergegeven, moet u elk van de toetsen draaien. Volg de stappen die worden beschreven in Toegangssleutels handmatig roteren om de sleutels te draaien.
  4. Schakel in Een herinnering instellen voor het roteren van toegangssleutels het selectievakje Herinneringen voor sleutelrotatie inschakelen in en stel een frequentie in voor de herinnering.
  5. Selecteer Opslaan.

Toegangssleutels voor accounts beheren - Azure Storage (2)

Controleren op schendingen van het verloopbeleid voor sleutels

U kunt uw opslagaccounts bewaken met Azure Policy om ervoor te zorgen dat de toegangssleutels voor accounts binnen de aanbevolen periode zijn geroteerd. Azure Storage biedt een ingebouwd beleid om ervoor te zorgen dat toegangssleutels voor opslagaccounts niet verlopen zijn. Zie Opslagaccountsleutels moeten niet verlopen in Lijst met ingebouwde beleidsdefinities voor meer informatie over het ingebouwde beleid.

Het ingebouwde beleid toewijzen voor een resourcebereik

Volg deze stappen om het ingebouwde beleid toe te wijzen aan het juiste bereik in de Azure Portal:

  1. Zoek in de Azure Portal naar Beleid om het Azure Policy dashboard weer te geven.

    (Video) Microsoft 365 Apps

  2. Selecteer Toewijzingen in de sectie Ontwerpen.

  3. Kies Beleid toewijzen.

  4. Geef op het tabblad Basisbeginselen van de pagina Beleid toewijzen in de sectie Bereik het bereik op voor de beleidstoewijzing. Selecteer de knop Meer om het abonnement en de optionele resourcegroep te kiezen.

  5. Selecteer voor het veld Beleidsdefinitie de knop Meer en voer opslagaccountsleutels in het veld Zoeken in. Selecteer de beleidsdefinitie met de naam Opslagaccountsleutels mag niet verlopen zijn.

    Toegangssleutels voor accounts beheren - Azure Storage (3)

  6. Selecteer Beoordelen en maken om de beleidsdefinitie toe te wijzen aan het opgegeven bereik.

    Toegangssleutels voor accounts beheren - Azure Storage (4)

Naleving van het verloopbeleid voor sleutels bewaken

Voer de volgende stappen uit om uw opslagaccounts te controleren op naleving van het verloopbeleid voor sleutels:

  1. Zoek op het dashboard Azure Policy de ingebouwde beleidsdefinitie voor het bereik dat u hebt opgegeven in de beleidstoewijzing. U kunt zoeken naar opslagaccountsleutels mogen niet zijn verlopenin het zoekvak om te filteren op het ingebouwde beleid.

  2. Selecteer de beleidsnaam met het gewenste bereik.

  3. Selecteer op de pagina Beleidstoewijzing voor het ingebouwde beleid de optie Naleving weergeven. Opslagaccounts in het opgegeven abonnement en de opgegeven resourcegroep die niet voldoen aan de beleidsvereisten, worden weergegeven in het nalevingsrapport.

    (Video) Protect your Microsoft 365 data with Synology | Synology Webinar

    Toegangssleutels voor accounts beheren - Azure Storage (5)

Als u een opslagaccount in overeenstemming wilt brengen, roteert u de toegangssleutels voor het account.

Volgende stappen

  • Overzicht van Azure Storage-accounts
  • Een opslagaccount maken
  • Autorisatie van gedeelde sleutels voorkomen voor een Azure Storage-account

Videos

1. Synology Virtual Workshop 2022 Recap
(Synology)
2. Scriptcase - Cloud files storage with Amazon S3 & Dropbox 1/2
(Scriptcase Official)
3. Big Data Storage in Azure webinar for Microsoft
(Mark Farragher)
4. Big Data Storage and Analytics in Azure
(Mark Farragher)
5. 30 Ultimate Windows 10 Tips and Tricks for 2020
(Sele Training)
6. Comparing Windows 11 vs Windows Server 2022
(TechsavvyProductions)
Top Articles
Latest Posts
Article information

Author: Edmund Hettinger DC

Last Updated: 04/03/2023

Views: 5622

Rating: 4.8 / 5 (58 voted)

Reviews: 89% of readers found this page helpful

Author information

Name: Edmund Hettinger DC

Birthday: 1994-08-17

Address: 2033 Gerhold Pine, Port Jocelyn, VA 12101-5654

Phone: +8524399971620

Job: Central Manufacturing Supervisor

Hobby: Jogging, Metalworking, Tai chi, Shopping, Puzzles, Rock climbing, Crocheting

Introduction: My name is Edmund Hettinger DC, I am a adventurous, colorful, gifted, determined, precious, open, colorful person who loves writing and wants to share my knowledge and understanding with you.