Configurare un criterio di scadenza per le firme di accesso condiviso

È possibile usare una firma di accesso condiviso per delegare l'accesso alle risorse nell'account di archiviazione di Azure. Un token di firma di accesso condiviso include la risorsa di destinazione, le autorizzazioni concesse e l'intervallo in cui è consentito l'accesso. Le procedure consigliate suggeriscono di limitare l'intervallo per una firma di accesso condiviso in caso di compromissione. Impostando un criterio di scadenza della firma di accesso condiviso per gli account di archiviazione, è possibile fornire un limite di scadenza superiore consigliato quando un utente crea una firma di accesso condiviso di delega utente, una firma di accesso condiviso del servizio o una firma di accesso condiviso dell'account.

Per altre informazioni sulle firme di accesso condiviso, vedere Concedere accesso limitato alle risorse di archiviazione di Azure tramite firme di accesso condiviso.

Importante

Per gli scenari in cui vengono usate le firme di accesso condiviso, Microsoft consiglia di usare una firma di accesso condiviso di delega utente. Una firma di accesso condiviso di delega utente è protetta con le credenziali di Microsoft Entra e non con la chiave dell'account, in quanto offre una sicurezza superiore.

Informazioni sui criteri di scadenza della firma di accesso condiviso

È possibile configurare criteri di scadenza della firma di accesso condiviso nell'account di archiviazione. Il criterio di scadenza della firma di accesso condiviso specifica il limite superiore consigliato per il campo di scadenza firmato in una firma di accesso condiviso di delega utente, in una firma di accesso condiviso del servizio o in una firma di accesso condiviso dell'account. Il limite massimo consigliato viene specificato come valore di data/ora, ovvero un numero combinato di giorni, ore, minuti e secondi.

L'intervallo di validità per la firma di accesso condiviso viene calcolato sottraendo il valore di data/ora del campo di inizio firmato dal valore di data/ora del campo di scadenza firmato. Se il valore risultante è minore o uguale al limite superiore consigliato, la firma di accesso condiviso è conforme ai criteri di scadenza della firma di accesso condiviso.

Dopo aver configurato i criteri di scadenza della firma di accesso condiviso, a qualsiasi utente che crea una firma di accesso condiviso con un intervallo che supera il limite massimo consigliato verrà visualizzato un avviso.

Un criterio di scadenza della firma di accesso condiviso non impedisce a un utente di creare una firma di accesso condiviso con una scadenza che supera il limite consigliato dai criteri. Quando un utente crea una firma di accesso condiviso che viola i criteri, viene visualizzato un avviso, insieme all'intervallo massimo consigliato. Se è stata configurata un'impostazione di diagnostica per la registrazione con Monitoraggio di Azure, Archiviazione di Azure scrive un messaggio nella proprietà SasExpiryStatus nei log ogni volta che un utente usa una firma di accesso condiviso che scade dopo l'intervallo consigliato. Il messaggio indica che l'intervallo di validità della firma di accesso condiviso supera l'intervallo consigliato.

Quando un criterio di scadenza della firma di accesso condiviso è attivo per l'account di archiviazione, il campo iniziale firmato è necessario per ogni firma di accesso condiviso. Se il campo iniziale firmato non è incluso nella firma di accesso condiviso ed è stata configurata un'impostazione di diagnostica per la registrazione con Monitoraggio di Azure, Archiviazione di Azure scrive un messaggio nella proprietà SasExpiryStatus nei log ogni volta che un utente usa una firma di accesso condiviso senza un valore per il campo iniziale firmato.

Configurare un criterio di scadenza della firma di accesso condiviso

Quando si configura un criterio di scadenza della firma di accesso condiviso in un account di archiviazione, il criterio si applica a ogni tipo di firma di accesso condiviso: firma di accesso condiviso di delega utente, firma di accesso condiviso del servizio e firma di accesso condiviso dell'account. La firma di accesso condiviso del servizio e la firma di accesso condiviso dell'account vengono firmate con la chiave dell'account, mentre la firma di accesso condiviso di delega utente viene firmata con le credenziali di Microsoft Entra.

Nota

Una firma di accesso condiviso di delega utente viene firmata con una chiave di delega utente, ottenuta usando le credenziali di Microsoft Entra. La chiave di delega utente ha un proprio intervallo di scadenza che non è soggetto ai criteri di scadenza della firma di accesso condiviso. I criteri di scadenza della firma di accesso condiviso si applicano solo alla firma di accesso condiviso di delega utente e non alla chiave di delega utente con cui è firmata.

Una firma di accesso condiviso di delega utente ha un intervallo di scadenza massimo di 7 giorni, indipendentemente dai criteri di scadenza della firma di accesso condiviso. Se i criteri di scadenza della firma di accesso condiviso sono impostati su un valore maggiore di 7 giorni, il criterio non ha alcun effetto per una firma di accesso condiviso di delega utente. Se la chiave di delega utente scade, qualsiasi firma di accesso condiviso di delega utente firmata con tale chiave non è valida e qualsiasi tentativo di usare la firma di accesso condiviso restituisce un errore.

È prima necessario ruotare le chiavi di accesso dell'account?

Questa sezione si applica alla firma di accesso condiviso del servizio e alla firma di accesso condiviso dell'account, firmati con la chiave dell'account. Prima di poter configurare un criterio di scadenza della firma di accesso condiviso, potrebbe essere necessario ruotare ognuna delle chiavi di accesso dell'account almeno una volta. Se la proprietà keyCreationTime dell'account di archiviazione ha un valore null per una delle chiavi di accesso dell'account (key1 e key2), è necessario ruotarle. Per determinare se la proprietà keyCreationTime è null, vedere Ottenere l'ora di creazione delle chiavi di accesso dell'account per un account di archiviazione. Se si tenta di configurare un criterio di scadenza della firma di accesso condiviso e le chiavi devono prima essere ruotate, l'operazione non riesce.

Come configurare un criterio di scadenza della firma di accesso condiviso

È possibile configurare un criterio di scadenza della firma di accesso condiviso usando il portale di Azure, PowerShell o l'interfaccia della riga di comando di Azure.

Per configurare i criteri di scadenza della firma di accesso condiviso nel portale di Azure, seguire questa procedura:

  1. Passare all'account di archiviazione nel portale di Azure.

  2. In Impostazioni selezionare Configurazione.

  3. Individuare l'impostazione Consentire limite superiore consigliato per l'intervallo di scadenza della firma di accesso condiviso e impostarlo su Abilitato.

    Nota

    Se l'impostazione è disattivata e appare il messaggio visualizzato nell'immagine seguente, sarà necessario ruotare entrambe le chiavi di accesso dell'account prima di poter impostare i valori di Limite superiore consigliato per l'intervallo di scadenza della firma di accesso condiviso:

    Screenshot che mostra l'opzione per configurare un criterio di scadenza della firma di accesso condiviso disattivata nel portale di Azure.

  4. Specificare i valori dell'ora in Limite superiore consigliato per l'intervallo di scadenza della firma di accesso condiviso per l'intervallo consigliato per le nuove firme di accesso condiviso create nelle risorse in questo account di archiviazione.

    Screenshot che mostra come configurare un criterio di scadenza della firma di accesso condiviso nel portale di Azure.

  5. Seleziona Salva per salvare le modifiche.

Log di query per le violazioni dei criteri

Per registrare l'utilizzo di una firma di accesso condiviso valida per un intervallo più lungo rispetto ai relativi criteri di scadenza, creare prima di tutto un'impostazione di diagnostica che invia i log a un'area di lavoro Log Analytics di Azure. Per altre informazioni, vedere Inviare log ad Azure Log Analytics.

Usare quindi una query di log di Monitoraggio di Azure per monitorare se i criteri sono stati violati. Creare una nuova query nell'area di lavoro Log Analytics, aggiungere il testo della query seguente e premere Esegui.

StorageBlobLogs 
| where SasExpiryStatus startswith "Policy violated"
| summarize count() by AccountName, SasExpiryStatus

Usare un criterio predefinito per monitorare la conformità

È possibile monitorare gli account di archiviazione con Criteri di Azure per assicurarsi che gli account di archiviazione nella sottoscrizione abbiano configurato i criteri di scadenza della firma di accesso condiviso. Archiviazione di Azure fornisce criteri predefiniti per garantire che gli account abbiano questa impostazione configurata. Per altre informazioni sui criteri predefiniti, vedere Gli account di archiviazione devono avere criteri di firma di accesso condiviso configurati in Elenco di definizioni di criteri predefiniti.

Assegnare il criterio predefinito per un ambito della risorsa

Eseguire i passaggi seguenti per assegnare il criterio predefinito all'ambito appropriato nel portale di Azure:

  1. Nel Portale di Azure, cercare Criteri per visualizzare il dashboard di Criteri di Azure.

  2. Nella sezione Creazione, selezionare Assegnazioni.

  3. Scegliere Assegna criterio.

  4. Nella scheda Dati principali della pagina Assegna criterio, all’interno della sezione Ambito, specificare l'ambito per l'assegnazione del criterio. Selezionare il pulsante Altro per scegliere la sottoscrizione e il gruppo di risorse facoltativo.

  5. Per il campo Definizione criterio, selezionare il pulsante Altro e immettere le chiavi dell'account di archiviazione nel campo Cerca. Selezionare la definizione del criterio denominata Le chiavi dell'account di archiviazione non devono essere scadute.

    Screenshot che mostra come selezionare i criteri predefiniti per monitorare gli intervalli di validità per le firme di accesso condiviso per gli account di archiviazione

  6. Selezionare Rivedi e crea per assegnare la definizione del criterio all'ambito specificato.

    Screenshot che illustra come creare un'assegnazione di criteri

Monitorare la conformità al criterio di scadenza della chiave

Per monitorare la conformità degli account di archiviazione al criterio di scadenza della chiave, eseguire i passaggi seguenti:

  1. Nel dashboard di Criteri di Azure, individuare la definizione del criterio predefinito per l'ambito specificato nell'assegnazione del criterio. È possibile cercare Storage accounts should have shared access signature (SAS) policies configured nella casella Cerca per filtrare i criteri predefiniti.

  2. Selezionare il nome del criterio con l'ambito desiderato.

  3. Nella pagina Assegnazione del criterio per il criterio predefinito selezionare Visualizza conformità. Tutti gli account di archiviazione nella sottoscrizione e nel gruppo di risorse specificati che non soddisfano i requisiti dei criteri vengono visualizzati nel report di conformità.

    Screenshot che mostra come visualizzare il report di conformità per i criteri predefiniti per la scadenza della firma di accesso condiviso

Per rendere conforme un account di archiviazione, configurare un criterio di scadenza della firma di accesso condiviso per tale account, come descritto in Configurare un criterio di scadenza della firma di accesso condiviso.

Vedi anche