Configurare un criterio di scadenza per le firme di accesso condiviso

È possibile usare una firma di accesso condiviso per delegare l'accesso alle risorse nell'account di archiviazione di Azure. Un token di firma di accesso condiviso include la risorsa di destinazione, le autorizzazioni concesse e l'intervallo in cui è consentito l'accesso. Le procedure consigliate suggeriscono di limitare l'intervallo per una firma di accesso condiviso in caso di compromissione. Impostando un criterio di scadenza della firma di accesso condiviso per gli account di archiviazione, è possibile fornire un limite di scadenza superiore consigliato quando un utente crea una firma di accesso condiviso di delega utente, una firma di accesso condiviso del servizio o una firma di accesso condiviso dell'account.

Per altre informazioni sulle firme di accesso condiviso, vedere Concedere accesso limitato alle risorse di archiviazione di Azure tramite firme di accesso condiviso.

Informazioni sui criteri di scadenza della firma di accesso condiviso

È possibile configurare criteri di scadenza della firma di accesso condiviso nell'account di archiviazione. Il criterio di scadenza della firma di accesso condiviso specifica il limite superiore consigliato per il campo di scadenza firmato in una firma di accesso condiviso di delega utente, in una firma di accesso condiviso del servizio o in una firma di accesso condiviso dell'account. Il limite massimo consigliato viene specificato come valore di data/ora, ovvero un numero combinato di giorni, ore, minuti e secondi.

L'intervallo di validità per la firma di accesso condiviso viene calcolato sottraendo il valore di data/ora del campo di inizio firmato dal valore di data/ora del campo di scadenza firmato. Se il valore risultante è minore o uguale al limite superiore consigliato, la firma di accesso condiviso è conforme ai criteri di scadenza della firma di accesso condiviso.

Dopo aver configurato i criteri di scadenza della firma di accesso condiviso, a qualsiasi utente che crea una firma di accesso condiviso con un intervallo che supera il limite massimo consigliato verrà visualizzato un avviso.

Un criterio di scadenza della firma di accesso condiviso non impedisce a un utente di creare una firma di accesso condiviso con una scadenza che supera il limite consigliato dai criteri. Quando un utente crea una firma di accesso condiviso che viola i criteri, viene visualizzato un avviso, insieme all'intervallo massimo consigliato. Se è stata configurata un'impostazione di diagnostica per la registrazione con Monitoraggio di Azure, Archiviazione di Azure scrive un messaggio nella proprietà SasExpiryStatus nei log ogni volta che un utente usa una firma di accesso condiviso che scade dopo l'intervallo consigliato. Il messaggio indica che l'intervallo di validità della firma di accesso condiviso supera l'intervallo consigliato.

Quando un criterio di scadenza della firma di accesso condiviso è attivo per l'account di archiviazione, il campo iniziale firmato è necessario per ogni firma di accesso condiviso. Se il campo iniziale firmato non è incluso nella firma di accesso condiviso ed è stata configurata un'impostazione di diagnostica per la registrazione con Monitoraggio di Azure, Archiviazione di Azure scrive un messaggio nella proprietà SasExpiryStatus nei log ogni volta che un utente usa una firma di accesso condiviso senza un valore per il campo iniziale firmato.

Configurare un criterio di scadenza della firma di accesso condiviso

Quando si configura un criterio di scadenza della firma di accesso condiviso in un account di archiviazione, il criterio si applica a ogni tipo di firma di accesso condiviso: firma di accesso condiviso di delega utente, firma di accesso condiviso del servizio e firma di accesso condiviso dell'account. La firma di accesso condiviso del servizio e la firma di accesso condiviso dell'account vengono firmate con la chiave dell'account, mentre la firma di accesso condiviso di delega utente viene firmata con le credenziali di Microsoft Entra.

È prima necessario ruotare le chiavi di accesso dell'account?

Questa sezione si applica alla firma di accesso condiviso del servizio e alla firma di accesso condiviso dell'account, firmati con la chiave dell'account. Prima di poter configurare un criterio di scadenza della firma di accesso condiviso, potrebbe essere necessario ruotare ognuna delle chiavi di accesso dell'account almeno una volta. Se la proprietà keyCreationTime dell'account di archiviazione ha un valore null per una delle chiavi di accesso dell'account (key1 e key2), è necessario ruotarle. Per determinare se la proprietà keyCreationTime è null, vedere Ottenere l'ora di creazione delle chiavi di accesso dell'account per un account di archiviazione. Se si tenta di configurare un criterio di scadenza della firma di accesso condiviso e le chiavi devono prima essere ruotate, l'operazione non riesce.

Come configurare un criterio di scadenza della firma di accesso condiviso

È possibile configurare un criterio di scadenza della firma di accesso condiviso usando il portale di Azure, PowerShell o l'interfaccia della riga di comando di Azure.

$account = Set-AzStorageAccount -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -SasExpirationPeriod <days>.<hours>:<minutes>:<seconds>

$account.SasPolicy

az storage account update \
  --name <storage-account> \
  --resource-group <resource-group> \
  --sas-exp <days>.<hours>:<minutes>:<seconds>

az storage account show \
  --name <storage-account> \
  --resource-group <resource-group> \
  --query "{SasPolicy:sasPolicy}"

{
  "SasPolicy": {
    "expirationAction": "Log",
    "sasExpirationPeriod": "1.12:05:06"
  }
}

Log di query per le violazioni dei criteri

Per registrare l'utilizzo di una firma di accesso condiviso valida per un intervallo più lungo rispetto ai relativi criteri di scadenza, creare prima di tutto un'impostazione di diagnostica che invia i log a un'area di lavoro Log Analytics di Azure. Per altre informazioni, vedere Inviare log ad Azure Log Analytics.

Usare quindi una query di log di Monitoraggio di Azure per monitorare se i criteri sono stati violati. Creare una nuova query nell'area di lavoro Log Analytics, aggiungere il testo della query seguente e premere Esegui.

StorageBlobLogs 
| where SasExpiryStatus startswith "Policy violated"
| summarize count() by AccountName, SasExpiryStatus

Usare un criterio predefinito per monitorare la conformità

È possibile monitorare gli account di archiviazione con Criteri di Azure per assicurarsi che gli account di archiviazione nella sottoscrizione abbiano configurato i criteri di scadenza della firma di accesso condiviso. Archiviazione di Azure fornisce criteri predefiniti per garantire che gli account abbiano questa impostazione configurata. Per altre informazioni sui criteri predefiniti, vedere Gli account di archiviazione devono avere criteri di firma di accesso condiviso configurati in Elenco di definizioni di criteri predefiniti.

Assegnare il criterio predefinito per un ambito della risorsa

Eseguire i passaggi seguenti per assegnare il criterio predefinito all'ambito appropriato nel portale di Azure:

1. Nel Portale di Azure, cercare Criteri per visualizzare il dashboard di Criteri di Azure.

2. Nella sezione Creazione, selezionare Assegnazioni.

3. Scegliere Assegna criterio.

4. Nella scheda Dati principali della pagina Assegna criterio, all’interno della sezione Ambito, specificare l'ambito per l'assegnazione del criterio. Selezionare il pulsante Altro per scegliere la sottoscrizione e il gruppo di risorse facoltativo.

5. Per il campo Definizione criterio, selezionare il pulsante Altro e immettere le chiavi dell'account di archiviazione nel campo Cerca. Selezionare la definizione del criterio denominata Le chiavi dell'account di archiviazione non devono essere scadute.

   

6. Selezionare Rivedi e crea per assegnare la definizione del criterio all'ambito specificato.

   

Monitorare la conformità al criterio di scadenza della chiave

Per monitorare la conformità degli account di archiviazione al criterio di scadenza della chiave, eseguire i passaggi seguenti:

1. Nel dashboard di Criteri di Azure, individuare la definizione del criterio predefinito per l'ambito specificato nell'assegnazione del criterio. È possibile cercare Storage accounts should have shared access signature (SAS) policies configured nella casella Cerca per filtrare i criteri predefiniti.

2. Selezionare il nome del criterio con l'ambito desiderato.

3. Nella pagina Assegnazione del criterio per il criterio predefinito selezionare Visualizza conformità. Tutti gli account di archiviazione nella sottoscrizione e nel gruppo di risorse specificati che non soddisfano i requisiti dei criteri vengono visualizzati nel report di conformità.

   

Per rendere conforme un account di archiviazione, configurare un criterio di scadenza della firma di accesso condiviso per tale account, come descritto in Configurare un criterio di scadenza della firma di accesso condiviso.

Vedi anche

• Concedere accesso limitato alle risorse di Archiviazione di Azure tramite firme di accesso condiviso
• Creare un SAS di servizio
• Creare un SAS dell'account