Ensure that Shared Access Signature Tokens Expire Within an Hour
Dlaczego to jest ważne
Tokeny sygnatury dostępu współdzielonego (SAS) przyznają delegowany dostęp do zasobów Azure Storage bez ujawniania klucza konta. Jeśli token SAS ma nadmiernie długi okres ważności, zwiększa to ryzyko nieautoryzowanego dostępu w przypadku wycieku lub przechwycenia tokena. Ograniczenie wygasania tokenów SAS do jednej godziny minimalizuje okno ekspozycji i jest zgodne z najlepszymi praktykami bezpieczeństwa dotyczącymi tymczasowego delegowania dostępu.
Co sprawdza Aether365
Aether365 weryfikuje, czy tokeny sygnatury dostępu współdzielonego są skonfigurowane tak, aby wygasały w ciągu jednej godziny od momentu rozpoczęcia. To sprawdzenie pojawia się na pulpicie nawigacyjnym Aether365 w kategorii azure-storage-accounts.
Jak naprawić
Wykonaj następujące kroki, aby skonfigurować tokeny SAS z czasem wygaśnięcia wynoszącym jedną godzinę lub krócej:
- W Azure Portal przejdź do Storage Accounts.
- Wybierz konto magazynu, dla którego chcesz wygenerować token SAS.
- W sekcji Security + networking wybierz Shared access signature.
- Wybierz odpowiednie Allowed resource types zgodnie z wymaganiami.
- Ustaw pola daty i godziny Start oraz Expiry tak, aby czas trwania nie przekraczał jednej godziny.
- Kliknij Generate SAS and connection string, aby utworzyć token.
Zgodność
- CIS Microsoft Azure Foundations 3.0.0 (4.5, Level 1)
- Microsoft Azure Security Benchmark