为共享访问签名配置过期策略

可以使用共享访问签名 (SAS) 来委托对 Azure 存储帐户中资源的访问权限。 SAS 令牌包括目标资源、授予的权限以及允许的访问间隔。 最佳做法建议你限制 SAS 的间隔,以防 SAS 泄露。 通过为存储帐户设置 SAS 过期策略,可以在用户创建服务 SAS 或帐户 SAS 时提供建议的过期时间上限。

有关共享访问签名的详细信息,请参阅使用共享访问签名 (SAS) 授予对 Azure 存储资源的有限访问权限

关于 SAS 过期策略

可以在存储帐户上配置 SAS 过期策略。 SAS 过期策略为服务 SAS 或帐户 SAS 的已签名过期字段指定了建议的上限。 建议将上限指定为一个日期/时间值,它是天数、小时数、分钟数和秒数的组合。

SAS 的有效性间隔是通过将已签名的过期字段的日期/时间值减去已签名的开始字段的日期/时间值来计算的。 如果得出的值小于或等于建议的上限,表明 SAS 符合 SAS 过期策略。

配置 SAS 过期策略后,创建了时间间隔超过建议上限的服务 SAS 或帐户 SAS 的用户将看到一条警告。

SAS 过期策略不会阻止用户创建过期时间超过策略所建议的限制的 SAS。 当用户创建违反策略的 SAS 时,他们会看到警告以及建议的最大间隔。 如果使用 Azure Monitor 为日志记录配置了诊断设置,每当用户使用在建议的间隔后过期的 SAS 时,Azure 存储就会向日志中的 SasExpiryStatus 属性写入一条消息。 此消息指出 SAS 的有效性间隔超出了建议的间隔。

当存储帐户的 SAS 过期策略生效时,每个 SAS 都需要已签名的开始字段。 如果 SAS 上不包含已签名的开始字段,并且你已经使用 Azure Monitor 为日志记录配置了诊断设置,每当用户使用没有已签名的开始字段值的 SAS 时,Azure 存储就会向日志中的 SasExpiryStatus 属性写入一条消息。

配置 SAS 到期策略

在存储帐户上配置 SAS 过期策略时,该策略适用于使用帐户密钥签名的每一种 SAS。 使用帐户密钥签名的共享访问签名的类型是服务 SAS 和帐户 SAS。

是否需要先轮换帐户访问密钥?

在配置 SAS 过期策略之前,可能需要至少轮换一次每个帐户访问密钥。 如果存储帐户的 keyCreationTime 属性有任一帐户访问密钥(key1 和 key2)为 null,将需要进行轮换。 若要确定 keyCreationTime 属性是否为 null,请参阅获取存储帐户的帐户访问密钥的创建时间。 如果尝试配置 SAS 过期策略,并且需要先轮换密钥,则该操作将失败。

如何配置 SAS 过期策略

可以使用 Azure 门户、PowerShell 或 Azure CLI 配置 SAS 过期策略。

若要在 Azure 门户中配置 SAS 过期策略,请执行以下步骤:

  1. 导航到 Azure 门户中的存储帐户。

  2. 在“设置”下,选择“配置”。

  3. 找到“允许对共享访问签名(SAS)过期间隔使用建议的上限”设置,将其设置为“已启用” 。

    注意

    如果设置灰显,并且你看到下图中显示的消息,则需要轮换两个帐户访问密钥,然后才能设置“建议的 SAS 到期间隔上限”值:

    Screenshot showing the option to configure a SAS expiration policy is grayed out in the Azure portal.

  4. 在“建议的 SAS 到期间隔上限”下指定在此存储帐户中的资源上创建的任何新共享访问签名的建议间隔的时间值。

    Screenshot showing how to configure a SAS expiration policy in the Azure portal.

  5. 选择“保存” 以保存更改。

查询日志以获取策略违规信息

若要记录其有效期比 SAS 过期策略建议的间隔更长的 SAS 的使用操作,请先创建一个诊断设置,用于将日志发送到 Azure Log Analytics 工作区。 有关详细信息,请参阅将日志发送到 Azure Log Analytics

接下来,使用 Azure Monitor 日志查询来监视是否违反了策略。 在 Log Analytics 工作区中创建新查询,添加以下查询文本,然后按“运行”。

StorageBlobLogs 
| where SasExpiryStatus startswith "Policy violated"
| summarize count() by AccountName, SasExpiryStatus

使用内置策略监视合规性

可以使用 Azure Policy 监视存储帐户,确保订阅中的存储帐户已配置 SAS 过期策略。 Azure 存储提供了一个内置策略,用于确保帐户已配置此设置。 有关内置策略的详细信息,请参阅内置策略定义列表中的“应为存储帐户配置共享访问签名(SAS)策略”。

为资源范围分配内置策略

按照以下步骤在 Azure 门户将内置策略分配到适当的范围:

  1. 在 Azure 门户中,搜索 Policy 以显示 Azure Policy 仪表板。

  2. 在“创作”部分,选择“分配” 。

  3. 选择“分配策略”。

  4. 在“分配策略”页的“基本信息”选项卡上,在“范围”部分指定策略分配的范围 。 选择“更多”按钮以选择订阅和可选资源组。

  5. 对于“策略定义”字段,选择“更多”按钮,然后在“搜索”字段输入“存储帐户密钥” 。 选择名为“存储帐户密钥不应过期”的策略定义。

    Screenshot showing how to select the built-in policy to monitor validity intervals for shared access signatures for your storage accounts

  6. 选择“查看 + 创建”以将策略定义分配到指定范围。

    Screenshot showing how to create the policy assignment

监视密钥过期策略的合规性

若要监视存储帐户是否符合密钥过期策略,请执行以下步骤:

  1. 在 Azure Policy 仪表板上,找到在策略分配中指定的范围内的内置策略定义。 可以在“搜索”框中搜索 Storage accounts should have shared access signature (SAS) policies configured,筛选内置策略。

  2. 选择具有所需范围的策略名称。

  3. 在内置策略的“策略分配”页上,选择“查看合规性” 。 不满足策略要求的指定订阅和资源组中的任何存储帐户都会显示在合规性报告中。

    Screenshot showing how to view the compliance report for the SAS expiration built-in policy

若要使某个存储帐户合规,请根据创建 SAS 过期策略中所述,为该帐户配置 SAS 过期策略。

另请参阅