Konfigurieren einer Ablaufrichtlinie für Shared Access Signatures

2025-08-15

Sie können eine Shared Access Signature (SAS) verwenden, um den Zugriff auf Ressourcen in Ihrem Azure Storage-Konto zu delegieren. Ein SAS-Token enthält die Zielressource, die gewährten Berechtigungen und das Intervall, über das der Zugriff zulässig ist. Gemäß bewährten Methoden wird empfohlen, das Intervall für eine SAS für den Fall zu beschränken, dass sie kompromittiert wird. Wenn Sie eine SAS-Ablaufrichtlinie für Ihre Speicherkonten festlegen, können Sie ein oberes Ablauflimit (maximale Gültigkeitsintervall) empfehlen oder erzwingen, wenn ein Benutzer eine Sas-Delegierung, ein Dienst-SAS oder ein Konto-SAS erstellt.

Weitere Informationen zu SAS (Shared Access Signatures) finden Sie unter Gewähren von eingeschränktem Zugriff auf Azure Storage-Ressourcen mithilfe von SAS (Shared Access Signature).

Wichtig

Für Szenarien, in denen SAS verwendet werden, empfiehlt Microsoft die Verwendung einer SAS für die Benutzerdelegierung. Eine Benutzerdelegierung-SAS wird mit Microsoft Entra-Anmeldeinformationen anstelle des Kontoschlüssels geschützt, was eine höhere Sicherheit bietet.

Grundlegendes zu SAS-Ablaufrichtlinien

Sie können eine SAS-Ablaufrichtlinie für das Speicherkonto konfigurieren. Die SAS-Ablaufrichtlinie gibt die obere Grenze für das Gültigkeitsintervall für eine Benutzerdelegierung SAS, ein Dienst-SAS oder ein Konto-SAS an. Die obere Grenze wird als Datums-/Uhrzeitwert angegeben, bei dem es sich um eine kombinierte Anzahl von Tagen, Stunden, Minuten und Sekunden handelt.

Das Gültigkeitsintervall für die SAS wird berechnet, indem der Datums-/Uhrzeitwert des Felds zum Gültigkeitsbeginn vom Datums-/Uhrzeitwert des Felds zum Gültigkeitsablauf subtrahiert wird. Wenn der Ergebniswert kleiner oder gleich der empfohlenen Obergrenze ist, dann erfüllt die SAS die SAS-Ablaufrichtlinie.

Wenn eine SAS-Ablaufrichtlinie für das Speicherkonto in Kraft ist, ist das Feld zum Gültigkeitsbeginn für jede SAS erforderlich. Wenn das Feld zum Gültigkeitsbeginn nicht in der SAS enthalten ist und Sie eine Diagnoseeinstellung für die Protokollierung mit Azure Monitor konfiguriert haben, zeichnet Azure Storage eine Meldung in der Eigenschaft SasExpiryStatus in den Protokollen auf, wenn ein Benutzer eine SAS ohne einen Wert für das Feld zum Gültigkeitsbeginn verwendet.

Nachdem Sie die SAS-Ablaufrichtlinie konfiguriert haben, wird jedem Benutzer, der eine SAS mit einem Intervall erstellt, das die empfohlene Obergrenze überschreitet, eine Warnung zusammen mit dem empfohlenen maximalen Intervall angezeigt.

Definieren der SAS-Ablaufaktion

SAS-Ablaufrichtlinie unterstützt zwei Aktionen:

[Standard] Protokoll: Anforderungen, die mit sas außerhalb der Richtlinie vorgenommen wurden, sind zulässig. Wenn Sie eine Diagnoseeinstellung für die Protokollierung mit Azure Monitor konfiguriert haben, zeichnet Azure Storage eine Meldung in der Eigenschaft SasExpiryStatus in den Protokollen auf, wenn ein Benutzer eine SAS verwendet, die nach dem empfohlenen Intervall abläuft. Die Meldung gibt an, dass das Gültigkeitsintervall der SAS das empfohlene Intervall überschreitet. Diese Option wird für die Überwachung und Überwachung des Zugriffs empfohlen, ohne Workflows zu unterbrechen.
Block: Anforderungen, die mit sas außerhalb der Richtlinie vorgenommen wurden, werden verweigert. Dies ist Ihre strengste Option zum Erzwingen von Zugriffskontrollen gemäß den Anforderungen Ihrer Organisation.

Out-of-Policy SAS sind diejenigen, die keinen signierten Start haben oder ein Gültigkeitsintervall haben, das größer als die Obergrenze ist.

Überprüfen Sie zunächst Ihre aktuelle SAS-Tokenverwendung, und legen Sie eine entsprechende Ablaufrichtlinie für Ihre Speicherkonten fest. Es wird empfohlen, mit der Protokollaktion zu beginnen, um Ihre Diagnoseprotokolle auf Richtlinienverstöße zu überwachen. Es wird dringend empfohlen, die Blockaktion zu verwenden, um sicherzustellen, dass, wenn ein SAS-Token die Gültigkeit des für das Speicherkonto festgelegten Ablaufzeitraums überschritten hat, dann muss der Zugriff auf den Speicher blockiert werden.

Wichtig

SAS-Ablaufaktion wird für die Benutzerdelegierung SAS über den HDFS-Endpunkt oder gemeinsame Zugriffssignaturen auf Dienstebene mit einer gespeicherten Zugriffsrichtlinie nicht unterstützt.

Konfigurieren einer Richtlinie für den SAS-Ablauf

Wenn Sie eine SAS-Ablaufrichtlinie für ein Speicherkonto konfigurieren, gilt die Richtlinie für jeden SAS-Typ: Benutzerdelegierung-SAS, Dienst-SAS und Konto-SAS. Dienst-SAS- und Konto-SAS-Typen werden mit dem Kontoschlüssel signiert, während die SAS für die Benutzerdelegierung mit Microsoft Entra-Anmeldeinformationen signiert wird.

Hinweis

Eine Benutzerdelegierung-SAS wird mit einem Benutzerdelegierungsschlüssel signiert, der mit Microsoft Entra-Anmeldeinformationen abgerufen wird. Der Benutzerdelegierungsschlüssel verfügt über ein eigenes Ablaufintervall, für das die SAS-Ablaufrichtlinie nicht gilt. Die SAS-Ablaufrichtlinie gilt nur für die SAS für die Benutzerdelegierung, nicht für den Benutzerdelegierungsschlüssel, mit dem diese signiert ist.

Eine Benutzerdelegierung-SAS hat unabhängig von der SAS-Ablaufrichtlinie ein maximales Ablaufintervall von 7 Tagen. Wenn die SAS-Ablaufrichtlinie auf einen Wert festgelegt ist, der größer als 7 Tage ist, hat die Richtlinie keine Auswirkungen auf eine Benutzerdelegierung-SAS. Wenn der Benutzerdelegierungsschlüssel abläuft, ist jede mit diesem Schlüssel signierte Benutzerdelegierung-SAS ungültig, und jeder Versuch, die SAS zu verwenden, resultiert in einem Fehler.

Muss ich zuerst die Kontozugriffsschlüssel rotieren?

Dieser Abschnitt bezieht sich auf Dienst-SAS- und Konto-SAS-Typen, die mit dem Kontoschlüssel signiert sind. Damit Sie eine Richtlinie für den SAS-Ablauf konfigurieren können, müssen möglicherweise alle Kontozugriffsschlüssel mindestens einmal rotiert werden. Wenn die Eigenschaft keyCreationTime des Speicherkontos einen NULL-Wert für einen der Kontozugriffsschlüssel (key1 und key2) aufweist, müssen Sie diese rotieren. Informationen zum Ermitteln, ob die Eigenschaft keyCreationTime NULL ist, finden Sie unter Abrufen der Erstellungszeit der Kontozugriffsschlüssel für ein Speicherkonto. Wenn Sie versuchen, eine SAS-Ablaufrichtlinie zu konfigurieren, und die Schlüssel zuerst rotiert werden müssen, schlägt der Vorgang fehl.

Konfigurieren einer SAS-Ablaufrichtlinie

Sie können eine SAS-Ablaufrichtlinie über das Azure-Portal, PowerShell oder die Azure CLI konfigurieren.

Führen Sie die folgenden Schritte aus, um eine SAS-Ablaufrichtlinie im Azure-Portal zu konfigurieren:

Navigieren Sie zum Speicherkonto im Azure-Portal.
Klicken Sie unter Einstellungen auf Konfiguration.
Suchen Sie die Einstellung für die Ablaufrichtlinie für freigegebene Zugriffssignatur (SAS), und legen Sie sie auf "Aktiviert" fest.

Hinweis

Wenn die Einstellung ausgegraut ist, müssen Sie möglicherweise beide Kontozugriffsschlüssel drehen , bevor Sie eine Ablaufrichtlinie festlegen können.
Geben Sie einen Zeitwert unter "Obergrenze" für das SAS-Ablaufintervall für das gewünschte maximale Intervall für neue freigegebene Zugriffssignaturen an, die für Ressourcen in diesem Speicherkonto erstellt werden.
[Optional] Definieren Sie die Ablaufaktion. Die Standardaktion "Protokoll" hilft Ihnen, Trends zu erkennen und den Zugriff zu untersuchen, ohne Benutzer zu stören. Mit der Blockierungsaktion können Sie keine Toleranz für SAS-Token außerhalb von Richtlinien erzwingen.
Wählen Sie Speichern, um Ihre Änderungen zu speichern.

Verwenden Sie zum Konfigurieren einer SAS-Ablaufrichtlinie den Befehl Set-AzStorageAccount, und legen Sie dann den -SasExpirationPeriod-Parameter auf die Anzahl von Tagen, Stunden, Minuten und Sekunden fest, die ein SAS-Token ab dem Zeitpunkt der SAS-Signatur aktiv sein kann. Die Zeichenfolge, die Sie für den Parameter -SasExpirationPeriod angeben, verwendet das folgende Format: <days>.<hours>:<minutes>:<seconds>. Wenn die SAS beispielsweise 1 Tag, 12 Stunden, 5 Minuten und 6 Sekunden nach der Signatur ablaufen soll, verwenden Sie die Zeichenfolge 1.12:05:06.

[Optional] Legen Sie den -SasExpirationAction Parameter auf die gewünschte Aktion für out-of-policy SAS fest. Zulässige Werte sind "Protokoll" oder "Block".

$account = Set-AzStorageAccount -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -SasExpirationPeriod <days>.<hours>:<minutes>:<seconds>
	-SasExpirationAction <action>

Tipp

Sie können die SAS-Ablaufrichtlinie auch beim Erstellen eines Speicherkontos festlegen, indem Sie den Parameter -SasExpirationPeriod des Befehls New-AzStorageAccount festlegen.

Hinweis

Wenn Sie durch eine Fehlermeldung darauf hingewiesen werden, dass für einen Schlüssel keine Erstellungszeit festgelegt wurde, rotieren Sie die Kontozugriffsschlüssel, und versuchen Sie es noch mal.

Überprüfen Sie die Eigenschaft „SasPolicy“ des Speicherkontos, um zu verifizieren, dass die Richtlinie angewendet wurde.

$account.SasPolicy

Der SAS-Ablaufzeitraum wird in der Konsolenausgabe angezeigt.

SAS-Ablaufzeitraum

Verwenden Sie zum Konfigurieren einer SAS-Ablaufrichtlinie den Befehl az storage account update, und legen Sie dann den --key-exp-days-Parameter auf die Anzahl von Tagen, Stunden, Minuten und Sekunden fest, die ein SAS-Token ab dem Zeitpunkt der SAS-Signatur aktiv sein kann. Die Zeichenfolge, die Sie für den Parameter --key-exp-days angeben, verwendet das folgende Format: <days>.<hours>:<minutes>:<seconds>. Wenn die SAS beispielsweise 1 Tag, 12 Stunden, 5 Minuten und 6 Sekunden nach der Signatur ablaufen soll, verwenden Sie die Zeichenfolge 1.12:05:06.

[Optional] Legen Sie den --sas-expiration-action Parameter auf die gewünschte Aktion für out-of-policy SAS fest. Zulässige Werte sind "Protokoll" oder "Block".

az storage account update \
  --name <storage-account> \
  --resource-group <resource-group> \
  --sas-exp <days>.<hours>:<minutes>:<seconds>
  --sas-expiration-action <action>

Tipp

Sie können die SAS-Ablaufrichtlinie auch beim Erstellen eines Speicherkontos festlegen, indem Sie den Parameter --key-exp-days des Befehls az storage account create festlegen.

Hinweis

Um zu überprüfen, ob die Richtlinie angewendet wurde, rufen Sie den Befehl az storage account show auf, und verwenden Sie die Zeichenfolge {SasPolicy:sasPolicy} für den Parameter -query.

az storage account show \
  --name <storage-account> \
  --resource-group <resource-group> \
  --query "{SasPolicy:sasPolicy}"

Der SAS-Ablaufzeitraum wird in der Konsolenausgabe angezeigt.

{
  "SasPolicy": {
    "expirationAction": "Log",
    "sasExpirationPeriod": "1.12:05:06"
  }
}

Abfrageprotokolle für Richtlinienverstöße

Erstellen Sie zunächst eine Diagnoseeinstellung, die Protokolle an einen Azure Log Analytics-Arbeitsbereich sendet, um die Verwendung einer SAS zu protokollieren, die über ein längeres Intervall gültig ist, als von der SAS-Ablaufrichtlinie empfohlen. Weitere Informationen finden Sie unter Senden von Protokollen an Azure Log Analytics.

Verwenden Sie als Nächstes eine Azure Monitor-Protokollabfrage, um zu überwachen, ob die Richtlinie verletzt wurde. Erstellen Sie eine neue Abfrage in Ihrem Log Analytics-Arbeitsbereich, fügen Sie den folgenden Abfragetext hinzu, und klicken Sie auf Ausführen.

StorageBlobLogs 
| where SasExpiryStatus startswith "Policy violated"
| summarize count() by AccountName, SasExpiryStatus

Verwenden einer integrierten Richtlinie zum Überwachen auf Einhaltung

Sie können Ihre Speicherkonten mit Azure Policy überwachen, um sicherzustellen, dass für Speicherkonten in Ihrem Abonnement SAS-Ablaufrichtlinien konfiguriert wurden. Azure Storage bietet eine integrierte Richtlinie, mit der Sie sicherstellen können, dass diese Einstellung für Konten konfiguriert ist. Weitere Informationen zur integrierten Richtlinie finden Sie unter Für Storage-Konten sollten SAS-Richtlinien (Shared Access Signature) konfiguriert sein in der Liste der integrierten Richtliniendefinitionen.

Zuweisen der integrierten Richtlinie für einen Ressourcenbereich

Führen Sie die folgenden Schritte aus, um die integrierte Richtlinie dem entsprechenden Bereich im Azure-Portal zuzuweisen:

Suchen Sie im Azure-Portal nach Richtlinie, um das Azure Policy-Dashboard anzuzeigen.
Wählen Sie im Abschnitt Erstellen die Option Zuweisungen aus.
Wählen Sie Richtlinie zuweisen aus.
Geben Sie auf der Registerkarte Allgemeine Informationen der Seite Richtlinie zuweisen im Abschnitt Bereich den Bereich für die Richtlinienzuweisung an. Wählen Sie die Schaltfläche Mehr aus, um das Abonnement und ggf. die Ressourcengruppe auszuwählen.
Wählen Sie für das Feld Richtliniendefinition die Schaltfläche Mehr aus, und geben Sie Speicherkontoschlüssel in das Feld Suchen ein. Wählen Sie die Richtliniendefinition namens Speicherkontoschlüssel sollten nicht abgelaufen sein aus.
Wählen Sie Überprüfen + erstellen aus, um die Richtliniendefinition dem angegebenen Bereich zuzuweisen.

Überwachen der Einhaltung der Schlüsselablaufrichtlinie

Führen Sie die folgenden Schritte aus, um Ihre Speicherkonten auf die Einhaltung der Schlüsselablaufrichtlinie zu überwachen:

Suchen Sie im Azure Policy-Dashboard die Definition der integrierten Richtlinie für den Bereich, den Sie in der Richtlinienzuweisung angegeben haben. Sie können nach Storage accounts should have shared access signature (SAS) policies configured im Suchfeld suchen, um nach der integrierten Richtlinie zu filtern.
Wählen Sie den Namen der Richtlinie mit dem gewünschten Bereich aus.
Wählen Sie auf der Seite Richtlinienzuweisung für die integrierte Richtlinie die Option Konformität anzeigen aus. Alle Speicherkonten im angegebenen Abonnement und in der Ressourcengruppe, welche die Richtlinienanforderungen nicht erfüllen, werden im Konformitätsbericht angezeigt.

Um Compliance für ein Speicherkonto bereitzustellen, konfigurieren Sie eine SAS-Ablaufrichtlinie für dieses Konto, wie unter Konfigurieren einer Richtlinie für den SAS-Ablauf beschrieben.

Freigeben über

Konfigurieren einer Ablaufrichtlinie für Shared Access Signatures

Grundlegendes zu SAS-Ablaufrichtlinien

Definieren der SAS-Ablaufaktion

Konfigurieren einer Richtlinie für den SAS-Ablauf

Muss ich zuerst die Kontozugriffsschlüssel rotieren?

Konfigurieren einer SAS-Ablaufrichtlinie

Abfrageprotokolle für Richtlinienverstöße

Verwenden einer integrierten Richtlinie zum Überwachen auf Einhaltung

Zuweisen der integrierten Richtlinie für einen Ressourcenbereich

Überwachen der Einhaltung der Schlüsselablaufrichtlinie

Weitere Informationen

Feedback

Zusätzliche Ressourcen