Verwalten von Speicherkonto-Zugriffsschlüsseln

In diesem Artikel erfahren Sie, wie Sie Zugriffsschlüssel für Speicherkonten anzeigen, verwalten und rotieren. Wenn Sie ein Speicherkonto erstellen, generiert Azure zwei 512-Bit-Speicherkontozugriffsschlüssel für das Konto. Diese Schlüssel können verwendet werden, um den Zugriff auf Daten in Ihrem Speicherkonto über die Autorisierung mit gemeinsam genutztem Schlüssel oder über SAS-Token zu autorisieren, die mit dem freigegebenen Schlüssel signiert sind.

Microsoft empfiehlt, ihre Zugriffstasten mithilfe von Azure Key Vault zu verwalten und ihre Schlüssel regelmäßig zu drehen und neu zu generieren. Die Verwendung von Azure Key Vault erleichtert es, Ihre Schlüssel zu rotieren, ohne Ihre Anwendungen zu unterbrechen. Sie können Ihre Schlüssel auch manuell rotieren.

Wichtig

Um optimale Sicherheit zu gewährleisten, empfiehlt Microsoft, Microsoft Entra ID mit verwalteten Identitäten zu verwenden, um Anforderungen für Blob-, Warteschlangen- und Tabellendaten zu autorisieren, wenn möglich. Die Autorisierung mit Microsoft Entra ID und verwalteten Identitäten bietet eine überlegene Sicherheit und Benutzerfreundlichkeit gegenüber der Shared Key-Autorisierung. Weitere Informationen zu verwalteten Identitäten finden Sie unter What are managed identities for Azure resources. Ein Beispiel zum Aktivieren und Verwenden einer verwalteten Identität für eine .NET Anwendung finden Sie unter Authenticating Azure-hosted apps to Azure resources with .NET.

Für Ressourcen, die außerhalb von Azure gehostet werden, z. B. lokale Anwendungen, können Sie verwaltete Identitäten über Azure Arc verwenden. Beispielsweise können Apps, die auf Azure Arc-fähigen Servern ausgeführt werden, verwaltete Identitäten verwenden, um eine Verbindung mit Azure Diensten herzustellen. Weitere Informationen finden Sie unter Authentifizierung bei Azure-Ressourcen durch Azure Arc-fähige Server.

Für Szenarien, in denen freigegebene Zugriffssignaturen (SAS) verwendet werden, empfiehlt Microsoft die Verwendung einer Benutzerdelegierungs-SAS. Eine Benutzerdelegierungs-SAS wird mit Microsoft Entra-Anmeldeinformationen und nicht mithilfe des Kontoschlüssels geschützt. Informationen zu Shared Access Signatures finden Sie unter Eingeschränkten Datenzugriff mit Shared Access Signatures gewähren. Ein Beispiel zum Erstellen und Verwenden einer Benutzerdelegierungs-SAS mit .NET finden Sie unter Create a user delegation SAS for a blob with .NET.

Schützen Sie Ihre Zugriffsschlüssel

Zugriffsschlüssel für Speicherkonten bieten Vollzugriff auf die Daten des Speicherkontos und die Möglichkeit, SAS-Token zu generieren. Achten Sie darauf, die Zugriffsschlüssel immer gut zu schützen. Verwenden Sie Azure Key Vault, um Ihre Schlüssel sicher zu verwalten und zu drehen. Der Zugriff auf den gemeinsam verwendeten Schlüssel gewährt einem Benutzer Vollzugriff auf die Daten eines Speicherkontos. Der Zugriff auf den gemeinsam verwendeten Schlüssel sollte sorgfältig eingeschränkt und überwacht werden. Verwenden Sie SAS-Token der Benutzerdelegierung mit eingeschränktem Zugriffsbereich in Szenarien, in denen Microsoft Entra ID basierte Autorisierung nicht verwendet werden kann. Vermeiden Sie die Hartcodierung von Zugriffsschlüsseln, und speichern Sie die Schlüssel nicht irgendwo im Klartext, wo sie für andere zugänglich sind. Rotieren Sie die Schlüssel, wenn Sie glauben, dass sie gefährdet sind.

Wichtig

Wenn Sie verhindern möchten, dass Benutzer mit einem gemeinsam verwendeten Schlüssel auf Daten in Ihrem Speicherkonto zugreifen, können Sie die Autorisierung mit einem gemeinsam verwendeten Schlüssel für das Speicherkonto verweigern. Empfohlen wird als bewährte Sicherheitsmethode ein granularer Zugriff auf Daten mit den geringsten erforderlichen Berechtigungen. Microsoft Entra ID basierende Autorisierung mit verwalteten Identitäten sollte für Szenarien verwendet werden, die OAuth unterstützen. Kerberos sollte für Azure Files über SMB verwendet werden. Für Azure Files über REST können SAS-Token verwendet werden. Der Zugriff auf gemeinsam verwendete Schlüssel sollte deaktiviert werden, wenn er nicht erforderlich ist, um die unbeabsichtigte Verwendung zu verhindern. Weitere Informationen finden Sie unter Verhindern Sie die Autorisierung durch Shared Key für ein Azure Storage-Konto.

Um ein Azure Storage Konto mit Microsoft Entra Conditional Access-Richtlinien zu schützen, müssen Sie die Autorisierung für gemeinsam genutzte Schlüssel für das Speicherkonto nicht zulassen.

Wenn Sie den Zugriff über Shared Key deaktiviert haben und die Autorisierung von Shared Key in den Diagnoseprotokollen angezeigt wird, bedeutet dies, dass ein vertrauenswürdiger Zugriff für den Zugriff auf den Speicher genutzt wird. Weitere Informationen finden Sie unter Vertrauenswürdiger Zugriff für in Ihrem Microsoft Entra-Mandanten registrierte Ressourcen.

Anzeigen von Kontozugriffsschlüsseln

Sie können Ihre Kontozugriffsschlüssel mit dem Azure Portal, PowerShell oder Azure CLI anzeigen und kopieren. Das Azure-Portal bietet auch eine Verbindungszeichenfolge für Ihr Speicherkonto, das Sie kopieren können.

Führen Sie folgende Schritte durch, um die Zugriffsschlüssel oder Verbindungszeichenfolge Ihres Speicherkontos aus dem Azure-Portal anzuzeigen oder zu kopieren:

Wechseln Sie im portal Azure zu Ihrem Speicherkonto.
Wählen Sie im Ressourcenmenü unter Sicherheit und Netzwerk die Option Zugriffsschlüssel aus. Ihre Kontozugriffsschlüssel sowie die vollständige Verbindungszeichenfolge für jeden Schlüssel werden angezeigt.
Wählen Sie Schlüssel anzeigen aus, um Ihre Zugriffsschlüssel und Verbindungszeichenfolgen anzuzeigen und Schaltflächen zum Kopieren der Werte zu aktivieren.
Suchen Sie unter key1 nach dem Wert für Schlüssel. Wählen Sie die Schaltfläche Kopieren aus, um den Kontoschlüssel zu kopieren.
Alternativ können Sie die gesamte Verbindungszeichenfolge kopieren. Suchen Sie unter key1 nach dem Wert für Verbindungszeichenfolge. Wählen Sie die Schaltfläche Copy aus, um die Verbindungszeichenfolge zu kopieren.

Rufen Sie den Befehl Get-AzStorageAccountKey auf, um Ihre Kontozugriffsschlüssel mit PowerShell abzurufen.

Im folgenden Beispiel wird der erste Schlüssel abgerufen. Verwenden Sie Value[1] anstelle von Value[0], um den zweiten Schlüssel abzurufen. Denken Sie daran, die Platzhalterwerte in den spitzen Klammern durch Ihre eigenen Werte zu ersetzen.

$storageAccountKey = `
    (Get-AzStorageAccountKey
    -ResourceGroupName <resource-group> `
    -Name <storage-account>).Value[0]

Rufen Sie zum Auflisten ihrer Kontozugriffsschlüssel mit Azure CLI den Befehl az storage account keys list auf, wie im folgenden Beispiel gezeigt. Denken Sie daran, die Platzhalterwerte in den spitzen Klammern durch Ihre eigenen Werte zu ersetzen.

az storage account keys list \
  --resource-group <resource-group> \
  --account-name <storage-account>

Sie können eine der beiden Tasten verwenden, um auf Azure Storage zuzugreifen. Im Allgemeinen empfiehlt es sich jedoch, den ersten Schlüssel zu verwenden und die Verwendung des zweiten Schlüssels zu reservieren, wenn Sie Die Tasten drehen.

Um die Zugriffsschlüssel eines Kontos anzuzeigen oder zu lesen, muss der Benutzer entweder ein Serviceadministrator sein oder einer Azure-Rolle zugewiesen sein, die das Microsoft.Storage/storageAccounts/listkeys/action enthält. Einige Azure integrierten Rollen, die diese Aktion enthalten, sind die Rollen Owner, Contributor und Storage Account Key Operator Service Role. Weitere Informationen zur Rolle "Dienstadministrator" finden Sie unter Azure Rollen, Microsoft Entra Rollen und klassische Abonnementadministratorrollen. Ausführliche Informationen zu integrierten Rollen für Azure Storage finden Sie im Storage-Abschnitt in Azure integrierte Rollen für Azure RBAC.

Verwenden von Azure Key Vault zum Verwalten Ihrer Zugriffstasten

Microsoft empfiehlt die Verwendung von Microsoft Entra ID und verwalteten Identitäten, um den Zugriff auf Azure Storage zu autorisieren. Wenn Sie Zugriffstasten verwenden müssen, speichern Sie sie in Azure Key Vault, und drehen Sie sie regelmäßig. Weitere Informationen finden Sie im folgenden Artikel:

Zugriff auf Daten in Azure Storage autorisieren

Manuelles Rotieren von Zugriffsschlüsseln

Microsoft empfiehlt, Ihre Zugriffstasten regelmäßig zu drehen, um Die Sicherheit Ihres Speicherkontos zu gewährleisten. Verwenden Sie nach Möglichkeit Azure Key Vault, um Ihre Zugriffstasten zu verwalten. Wenn Sie Key Vault nicht verwenden, müssen Sie die Tasten manuell drehen.

Es werden zwei Zugriffsschlüssel zugewiesen, sodass Sie Ihre Schlüssel rotieren können. Durch die Verwendung von zwei Schlüsseln wird sichergestellt, dass Ihre Anwendung während des gesamten Prozesses auf Azure Storage zugreifen kann.

Warnung

Die Neugenerierung Ihrer Zugriffsschlüssel kann sich auf Anwendungen oder Azure-Dienste auswirken, die vom Speicherkonto-Schlüssel abhängig sind. Alle Clients, die den Kontoschlüssel für den Zugriff auf das Speicherkonto verwenden, müssen aktualisiert werden, um den neuen Schlüssel zu verwenden, einschließlich Mediendienste, Cloud-, Desktop- und mobilen Anwendungen sowie grafische Benutzeroberflächenanwendungen für Azure Storage, z. B. Azure Storage-Explorer.

Zusätzlich widerruft das Wechseln oder Neu-Generieren von Zugriffsschlüsseln die basierend auf diesem Schlüssel erzeugten Shared Access Signatures (SAS). Nach der Rotation des Zugriffsschlüssels müssen Sie SAS-Token auf Konto- und Dienstebene neu generieren, um Unterbrechungen von Anwendungen zu vermeiden. Beachten Sie, dass SAS-Token für die Benutzerdelegierung mit Microsoft Entra-Anmeldeinformationen geschützt werden und nicht von der Schlüsselrotation betroffen sind.

Wenn Sie beabsichtigen, Zugriffstasten manuell zu drehen, empfiehlt Microsoft, eine Ablaufrichtlinie für Schlüssel festzulegen. Weitere Informationen finden Sie im Artikel zum Erstellen einer Ablaufrichtlinie für Schlüssel.

Nachdem Sie die Schlüsselablaufrichtlinie erstellt haben, können Sie Azure Policy verwenden, um zu überwachen, ob die Schlüssel eines Speicherkontos innerhalb des empfohlenen Intervalls gedreht wurden. Einzelheiten finden Sie unter Prüfen auf Verstöße gegen die Schlüsselablaufrichtlinie.

So wechseln Sie im Azure-Portal die Zugriffsschlüssel für Ihr Speicherkonto:

Aktualisieren Sie die Verbindungszeichenfolgen im Anwendungscode, sodass sie auf den sekundären Zugriffsschlüssel des Speicherkontos verweisen.
Navigieren Sie im portal Azure zu Ihrem Speicherkonto.
Wählen Sie unter Sicherheit + Netzwerk die Option Zugriffsschlüssel aus.
Klicken Sie auf die Schaltfläche Neu generieren neben dem primären Zugriffsschlüssel, um den primären Zugriffsschlüssel für Ihr Speicherkonto neu zu generieren.
Aktualisieren Sie die Verbindungszeichenfolgen in Ihrem Code, um auf den neuen primären Zugriffsschlüssel zu verweisen.
Generieren Sie den sekundären Zugriffsschlüssel auf die gleiche Weise erneut.

Gehen Sie wie folgt vor, um Ihre Speicherkonto-Zugriffsschlüssel mit PowerShell zu rotieren:

Aktualisieren Sie die Verbindungszeichenfolgen im Anwendungscode, sodass sie auf den sekundären Zugriffsschlüssel des Speicherkontos verweisen.
Rufen Sie den Befehl New-AzStorageAccountKey auf, um den primären Zugriffsschlüssel neu zu generieren, wie im folgenden Beispiel zu sehen:
```
New-AzStorageAccountKey -ResourceGroupName <resource-group> `
  -Name <storage-account> `
  -KeyName key1
```
Aktualisieren Sie die Verbindungszeichenfolgen in Ihrem Code, um auf den neuen primären Zugriffsschlüssel zu verweisen.
Generieren Sie den sekundären Zugriffsschlüssel auf die gleiche Weise erneut. Verwenden Sie key2 anstelle von key1 als Schlüsselnamen, um den sekundären Schlüssel neu zu generieren.

So wechseln Sie die Zugriffsschlüssel Ihres Speicherkontos mithilfe der Azure CLI:

Aktualisieren Sie die Verbindungszeichenfolgen im Anwendungscode, sodass sie auf den sekundären Zugriffsschlüssel des Speicherkontos verweisen.
Rufen Sie den Befehl az storage account keys renew auf, um den primären Zugriffsschlüssel neu zu generieren, wie im folgenden Beispiel zu sehen:
```
az storage account keys renew \
  --resource-group <resource-group> \
  --account-name <storage-account> \
  --key primary
```
Aktualisieren Sie die Verbindungszeichenfolgen in Ihrem Code, um auf den neuen primären Zugriffsschlüssel zu verweisen.
Generieren Sie den sekundären Zugriffsschlüssel auf die gleiche Weise erneut. Verwenden Sie secondary anstelle von primary als Schlüsselnamen, um den sekundären Schlüssel neu zu generieren.

Achtung

Microsoft empfiehlt, nur einen der Schlüssel in allen Anwendungen gleichzeitig zu verwenden. Wenn Sie „Key 1“ an einigen Stellen und „Key 2“ an anderen verwenden, können Sie die Verwendung der Schlüssel nicht wechseln, ohne dass einige Anwendungen den Zugriff verlieren.

Zum Rotieren der Zugriffsschlüssel eines Kontos muss der Benutzer entweder ein Dienstadministrator sein oder ihm muss eine Azure-Rolle zugewiesen sein, die Microsoft.Storage/storageAccounts/regeneratekey/action enthält. Einige Azure integrierten Rollen, die diese Aktion enthalten, sind die Rollen Owner, Contributor und Storage Account Key Operator Service Role. Weitere Informationen zur Rolle "Dienstadministrator" finden Sie unter Azure Rollen, Microsoft Entra Rollen und klassische Abonnementadministratorrollen. Ausführliche Informationen zu Azure integrierten Rollen für Azure Storage finden Sie im Abschnitt Storage in Azure integrierten Rollen für Azure RBAC.

Erstellen einer Richtlinie für den Schlüsselablauf

Mit einer Richtlinie für den Schlüsselablauf können Sie eine Erinnerung für die Rotation der Kontozugriffsschlüssel festlegen. Die Erinnerung wird angezeigt, wenn das angegebene Intervall abgelaufen ist und noch keine Schlüsselrotation durchgeführt wurde. Nachdem Sie eine Richtlinie für den Schlüsselablauf erstellt haben, können Sie Ihre Speicherkonten auf Einhaltung der Richtlinie überwachen, um sicherzustellen, dass die Kontozugriffsschlüssel regelmäßig rotiert werden.

Hinweis

Bevor Sie eine Richtlinie für den Schlüsselablauf erstellen können, müssen Sie möglicherweise jeden Ihrer Kontozugriffsschlüssel mindestens einmal rotieren.

So erstellen Sie eine Schlüsselablaufrichtlinie im Azure-Portal:

Wechseln Sie im portal Azure zu Ihrem Speicherkonto.
Wählen Sie unter Sicherheit + Netzwerk die Option Zugriffsschlüssel aus. Ihre Kontozugriffsschlüssel sowie die vollständige Verbindungszeichenfolge für jeden Schlüssel werden angezeigt.
Wählen Sie die Schaltfläche Rotationserinnerung festlegen aus. Wenn die Schaltfläche Rotationserinnerung festlegen abgeblendet ist, müssen Sie jeden Ihrer Schlüssel rotieren. Führen Sie die unter Manuelles Rotieren von Zugriffsschlüsseln beschriebenen Schritte aus, um die Schlüssel zu rotieren.
Aktivieren Sie unter Eine Erinnerung an die Zugriffsschlüsselrotation festlegen das Kontrollkästchen Die Erinnerung an die Schlüsselrotation aktivieren, und legen Sie eine Häufigkeit für die Erinnerung fest.
Wählen Sie Speichern aus.

Screenshot zeigt, wie sie eine Schlüsselablaufrichtlinie im Azure Portal erstellen

Verwenden Sie zum Erstellen einer Richtlinie für den Schlüsselablauf mit PowerShell den Befehl Set-AzStorageAccount, und legen Sie den Parameter -KeyExpirationPeriodInDay auf das Intervall in Tagen fest, nach dem der Zugriffsschlüssel rotiert werden muss.

Die KeyCreationTime-Eigenschaft gibt an, wann die Kontozugriffsschlüssel erstellt oder zuletzt rotiert wurden. Ältere Konten weisen möglicherweise einen NULL-Wert für die KeyCreationTime-Eigenschaft auf, weil sie noch nicht festgelegt wurde. Wenn die KeyCreationTime-Eigenschaft NULL ist, können Sie erst dann eine Schlüsselablaufrichtlinie erstellen, wenn Sie die Schlüssel rotieren. Aus diesem Grund ist es eine gute Idee, die KeyCreationTime-Eigenschaft für das Speicherkonto zu überprüfen, bevor Sie versuchen, die Ablaufrichtlinie für den Schlüssel festzulegen.

Im folgenden Beispiel wird überprüft, ob die KeyCreationTime-Eigenschaft für jeden Schlüssel festgelegt wurde. Wenn die KeyCreationTime-Eigenschaft einen Wert aufweist, wird eine Ablaufrichtlinie für den Schlüssel für das Speicherkonto erstellt. Denken Sie daran, die Platzhalterwerte in den spitzen Klammern durch Ihre eigenen Werte zu ersetzen.

$rgName = "<resource-group>"
$accountName = "<account-name>"

$account = Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName

# Check whether the KeyCreationTime property has a value for each key 
# before creating the key expiration policy.
if ($account.KeyCreationTime.Key1 -eq $null -or $account.KeyCreationTime.Key2 -eq $null)
{
    Write-Host("You must regenerate both keys at least once before setting expiration policy")
}
else
{
    $account = Set-AzStorageAccount -ResourceGroupName $rgName -Name `
        $accountName  -KeyExpirationPeriodInDay 60
}

Sie können die Schlüsselablaufrichtlinie auch beim Erstellen eines Speicherkontos festlegen, indem Sie den Parameter -KeyExpirationPeriodInDay des Befehls New-AzStorageAccount festlegen.

Überprüfen Sie die KeyPolicy-Eigenschaft des Speicherkontos, um zu überprüfen, ob die Richtlinie angewendet wurde.

$account.KeyPolicy

Verwenden Sie zum Erstellen einer Schlüsselablaufrichtlinie mit Azure CLI den Befehl az storage account update und legen Sie den Parameter --key-exp-days auf das Intervall in Tagen fest, bis die Zugriffstaste gedreht werden soll.

Die keyCreationTime-Eigenschaft gibt an, wann die Kontozugriffsschlüssel erstellt oder zuletzt rotiert wurden. Ältere Konten weisen möglicherweise einen NULL-Wert für die keyCreationTime-Eigenschaft auf, weil sie noch nicht festgelegt wurde. Wenn die keyCreationTime-Eigenschaft NULL ist, können Sie erst dann eine Schlüsselablaufrichtlinie erstellen, wenn Sie die Schlüssel rotieren. Aus diesem Grund ist es eine gute Idee, die keyCreationTime-Eigenschaft für das Speicherkonto zu überprüfen, bevor Sie versuchen, die Ablaufrichtlinie für den Schlüssel festzulegen.

Im folgenden Beispiel wird überprüft, ob die keyCreationTime-Eigenschaft für jeden Schlüssel festgelegt wurde. Wenn die keyCreationTime-Eigenschaft einen Wert aufweist, wird eine Ablaufrichtlinie für den Schlüssel für das Speicherkonto erstellt. Denken Sie daran, die Platzhalterwerte in den spitzen Klammern durch Ihre eigenen Werte zu ersetzen.

key1_create_time=$(az storage account show \
    --name <storage-account> \
    --resource-group <resource-group> \
    --query 'keyCreationTime.key1' \
    --output tsv)
key2_create_time=$(az storage account show \
    --name <storage-account> \
    --resource-group <resource-group> \
    --query 'keyCreationTime.key2' \
    --output tsv)

if [ -z "$key1_create_time" ] || [ -z "$key2_create_time" ]; 
then
    echo "You must regenerate both keys at least once before setting expiration policy"
else
    az storage account update \
        --name <storage-account> \
        --resource-group <resource-group> \
        --key-exp-days 60
fi

Sie können die Schlüsselablaufrichtlinie auch beim Erstellen eines Speicherkontos festlegen, indem Sie den Parameter --key-exp-days des Befehls az storage account create festlegen.

Um zu überprüfen, ob die Richtlinie angewendet wurde, rufen Sie den Befehl az storage account show auf, und verwenden Sie die Zeichenfolge {KeyPolicy:keyPolicy} für den Parameter -query.

az storage account show \
  -n <storage-account-name> \
  -g <resource-group-name> \
  --query "{KeyPolicy:keyPolicy}"

Der Ablaufzeitraum des Schlüssels wird in der Konsolenausgabe angezeigt.

{
  "KeyPolicy": {
    "enableAutoRotation": false,
    "keyExpirationPeriodInDays": 60
  }
}

Prüfen auf Verletzungen von Schlüsselablaufrichtlinien

Sie können Ihre Speicherkonten mit Azure Policy überwachen, um sicherzustellen, dass die Kontozugriffsschlüssel innerhalb des empfohlenen Zeitraums gedreht wurden. Azure Storage bietet eine integrierte Richtlinie, um sicherzustellen, dass die Zugriffsschlüssel für Speicherkonten nicht abgelaufen sind. Weitere Informationen zur integrierten Richtlinie finden Sie unter Speicherkontoschlüssel sollten nicht abgelaufen sein und Liste der integrierten Richtliniendefinitionen.

Zuweisen der integrierten Richtlinie für einen Ressourcenbereich

Führen Sie die folgenden Schritte aus, um die integrierte Richtlinie dem entsprechenden Bereich im Azure Portal zuzuweisen:

Suchen Sie im Azure-Portal nach Policy, um das Azure Policy-Dashboard anzuzeigen.
Wählen Sie im Abschnitt Erstellen die Option Zuweisungen aus.
Wählen Sie Richtlinie zuweisen aus.
Geben Sie auf der Registerkarte Grundlagen der Seite Richtlinie zuweisen im Abschnitt Anwendungsbereich den Anwendungsbereich für die Richtlinienzuweisung an. Wählen Sie die Schaltfläche Mehr aus, um das Abonnement und ggf. die Ressourcengruppe auszuwählen.
Wählen Sie für das Feld Richtliniendefinition die Schaltfläche Mehr aus, und geben Sie Speicherkontoschlüssel in das Feld Suchen ein. Wählen Sie die Richtliniendefinition namens Speicherkontoschlüssel sollten nicht abgelaufen sein aus.
Wählen Sie Überprüfen + erstellen aus, um die Richtliniendefinition dem angegebenen Bereich zuzuweisen.

Überwachen der Compliance mit der Schlüsselablaufrichtlinie

Führen Sie die folgenden Schritte aus, um Ihre Speicherkonten auf die Einhaltung der Schlüsselablaufrichtlinie zu überwachen:

Suchen Sie im dashboard Azure Policy die integrierte Richtliniendefinition für den Bereich, den Sie in der Richtlinienzuweisung angegeben haben. Sie können im Suchfeld nach Speicherkontoschlüssel sollten nicht abgelaufen sein suchen, um nach der integrierten Richtlinie zu filtern.
Wählen Sie den Namen der Richtlinie mit dem gewünschten Bereich aus.
Wählen Sie auf der Seite Richtlinienzuweisung für die integrierte Richtlinie die Option Konformität anzeigen aus. Alle Speicherkonten im angegebenen Abonnement und in der Ressourcengruppe, die die Richtlinienanforderungen nicht erfüllen, werden im Konformitätsbericht angezeigt.

Rotieren Sie die Kontozugriffsschlüssel, damit ein Speicherkonto die Richtlinie einhält.

Nächste Schritte

Übersicht über Azure Speicherkonto
Erstellen eines Speicherkontos
Verhindern der Shared Key-Autorisierung für ein Azure-Speicherkonto

Feedback

War diese Seite hilfreich?

Last updated on 2026-04-09