Ensure that Shared Access Signature Tokens Expire Within an Hour

Pourquoi cela est important

Les jetons de signature d'accès partagé accordent un accès délégué aux ressources Azure Storage sans exposer la clé du compte. Si un jeton SAS a une période d'expiration excessivement longue, cela augmente le risque d'accès non autorisé en cas de fuite ou d'interception du jeton. Limiter l'expiration des jetons SAS à une heure minimise la fenêtre d'exposition et s'aligne sur les bonnes pratiques de sécurité pour la délégation d'accès temporaire.

Ce que Aether365 vérifie

Aether365 vérifie que les jetons de signature d'accès partagé sont configurés pour expirer dans un délai d'une heure à compter de leur heure de début. Cette vérification apparaît dans le tableau de bord Aether365 sous la catégorie azure-storage-accounts.

Comment corriger

Suivez ces étapes pour configurer les jetons SAS avec un délai d'expiration d'une heure ou moins :

1. Dans le Azure Portal, accédez à Storage Accounts.
2. Sélectionnez le compte de stockage pour lequel vous devez générer un jeton SAS.
3. Sous Security + networking, choisissez Shared access signature.
4. Sélectionnez les Allowed resource types appropriés en fonction de vos besoins.
5. Définissez les champs Start et Expiry date et heure de sorte que la durée soit inférieure à une heure.
6. Cliquez sur Generate SAS and connection string pour créer le jeton.

Conformité

• CIS Microsoft Azure Foundations 3.0.0 (4.5, Niveau 1)
• Microsoft Azure Security Benchmark

Ressources associées

• Délégation d'accès avec une signature d'accès partagé
• Vue d'ensemble des signatures d'accès partagé Azure Storage

Microsoft references

• Delegating access with a shared access signature
• Storage sas overview