Vytvoření účtu, který podporuje klíče spravované zákazníkem pro tabulky a fronty

Azure Storage šifruje všechna neaktivní uložená data v účtu úložiště. Ve výchozím nastavení se ve službě Queue Storage a Table Storage používá klíč, který je vymezený na službu a spravuje ho Microsoft. Můžete se také rozhodnout použít klíče spravované zákazníkem k šifrování dat front nebo tabulek. Pokud chcete používat klíče spravované zákazníkem s frontami a tabulkami, musíte nejprve vytvořit účet úložiště, který používá šifrovací klíč, který je vymezený na účet, a ne na službu. Po vytvoření účtu, který používá šifrovací klíč účtu pro data front a tabulek, můžete pro tento účet úložiště nakonfigurovat klíče spravované zákazníkem.

Tento článek popisuje, jak vytvořit účet úložiště, který závisí na klíči, který je vymezený na účet. Při prvním vytvoření účtu použije Microsoft klíč účtu k šifrování dat v účtu a microsoft tento klíč spravuje. Následně můžete pro účet nakonfigurovat klíče spravované zákazníkem, aby tyto výhody využívaly, včetně možnosti poskytovat vlastní klíče, aktualizovat verzi klíče, klíče obměňovat a odvolávat řízení přístupu.

Vytvoření účtu, který používá šifrovací klíč účtu

Musíte nakonfigurovat nový účet úložiště tak, aby používal šifrovací klíč účtu pro fronty a tabulky v době vytvoření účtu úložiště. Rozsah šifrovacího klíče nelze po vytvoření účtu změnit.

Účet úložiště musí být typu pro obecné účely v2. Účet úložiště můžete vytvořit a nakonfigurovat tak, aby závisel na šifrovacím klíči účtu pomocí Azure Portal, PowerShellu, Azure CLI nebo šablony Azure Resource Manager.

Další informace o vytvoření účtu úložiště najdete v tématu Vytvoření účtu úložiště.

Poznámka

K šifrování dat pomocí šifrovacího klíče účtu je možné při vytvoření účtu volitelně nakonfigurovat pouze služby Queue a Table Storage. Úložiště objektů blob a Azure Files k šifrování dat vždy používat šifrovací klíč účtu.

Azure Portal

Pokud chcete vytvořit účet úložiště, který spoléhá na šifrovací klíč účtu s Azure Portal, postupujte takto:

1. V nabídce levého portálu vyberte Účty úložiště a zobrazte seznam účtů úložiště.

2. Na stránce Účty úložiště vyberte Nový.

3. Vyplňte pole na kartě Základy .

4. Na kartě Upřesnit vyhledejte část Tabulky a fronty a vyberte Povolit podporu pro klíče spravované zákazníkem.

   

PowerShell

Pokud chcete použít PowerShell k vytvoření účtu úložiště, který závisí na šifrovacím klíči účtu, ujistěte se, že máte nainstalovaný modul Azure PowerShell verze 3.4.0 nebo novější. Další informace najdete v tématu Instalace modulu Azure PowerShell.

Dále vytvořte účet úložiště pro obecné účely v2 zavoláním příkazu New-AzStorageAccount s příslušnými parametry:

• -EncryptionKeyTypeForQueue Zahrňte možnost a nastavte její hodnotu na Account , aby se k šifrování dat ve službě Queue Storage použil šifrovací klíč účtu.
• Zahrňte -EncryptionKeyTypeForTable možnost a nastavte její hodnotu na Account , aby se k šifrování dat ve službě Table Storage použil šifrovací klíč účtu.

Následující příklad ukazuje, jak vytvořit účet úložiště pro obecné účely verze 2, který je nakonfigurovaný pro geograficky redundantní úložiště jen pro čtení (RA-GRS) a který používá šifrovací klíč účtu k šifrování dat pro službu Queue i Table Storage. Nezapomeňte nahradit zástupné hodnoty v hranatých závorkách vlastními hodnotami:

New-AzStorageAccount -ResourceGroupName <resource_group> `
    -AccountName <storage-account> `
    -Location <location> `
    -SkuName "Standard_RAGRS" `
    -Kind StorageV2 `
    -EncryptionKeyTypeForTable Account `
    -EncryptionKeyTypeForQueue Account

Azure CLI

Pokud chcete použít Azure CLI k vytvoření účtu úložiště, který závisí na šifrovacím klíči účtu, ujistěte se, že jste nainstalovali Azure CLI verze 2.0.80 nebo novější. Další informace najdete v tématu Instalace Azure CLI.

Dále vytvořte účet úložiště pro obecné účely v2 zavoláním příkazu az storage account create s příslušnými parametry:

• --encryption-key-type-for-queue Zahrňte možnost a nastavte její hodnotu na Account , aby se k šifrování dat ve službě Queue Storage použil šifrovací klíč účtu.
• Zahrňte --encryption-key-type-for-table možnost a nastavte její hodnotu na Account , aby se k šifrování dat ve službě Table Storage použil šifrovací klíč účtu.

Následující příklad ukazuje, jak vytvořit účet úložiště pro obecné účely verze 2, který je nakonfigurovaný pro geograficky redundantní úložiště jen pro čtení (RA-GRS) a který používá šifrovací klíč účtu k šifrování dat pro službu Queue i Table Storage. Nezapomeňte nahradit zástupné hodnoty v hranatých závorkách vlastními hodnotami:

az storage account create \
    --name <storage-account> \
    --resource-group <resource-group> \
    --location <location> \
    --sku Standard_RAGRS \
    --kind StorageV2 \
    --encryption-key-type-for-table Account \
    --encryption-key-type-for-queue Account

Šablona

Následující příklad JSON vytvoří účet úložiště pro obecné účely verze 2, který je nakonfigurovaný pro geograficky redundantní úložiště jen pro čtení (RA-GRS) a který používá šifrovací klíč účtu k šifrování dat ve službě Queue i Table Storage. Nezapomeňte nahradit zástupné hodnoty v lomené závorce vlastními hodnotami:

"resources": [
    {
        "type": "Microsoft.Storage/storageAccounts",
        "apiVersion": "2019-06-01",
        "name": "[parameters('<storage-account>')]",
        "location": "[parameters('<location>')]",
        "dependsOn": [],
        "tags": {},
        "sku": {
            "name": "[parameters('Standard_RAGRS')]"
        },
        "kind": "[parameters('StorageV2')]",
        "properties": {
            "accessTier": "[parameters('<accessTier>')]",
            "supportsHttpsTrafficOnly": "[parameters('supportsHttpsTrafficOnly')]",
            "largeFileSharesState": "[parameters('<largeFileSharesState>')]",
            "encryption": {
                "services": {
                    "queue": {
                        "keyType": "Account"
                    },
                    "table": {
                        "keyType": "Account"
                    }
                },
                "keySource": "Microsoft.Storage"
            }
        }
    }
],

Po vytvoření účtu, který závisí na šifrovacím klíči účtu, můžete nakonfigurovat klíče spravované zákazníkem, které jsou uložené v Azure Key Vault nebo ve spravovaném modelu hardwarového zabezpečení (HSM) Key Vault. Informace o tom, jak ukládat klíče spravované zákazníkem do trezoru klíčů, najdete v tématu Konfigurace šifrování pomocí klíčů spravovaných zákazníkem uložených v Azure Key Vault. Informace o tom, jak ukládat klíče spravované zákazníkem ve spravovaném HSM, najdete v tématu Konfigurace šifrování pomocí klíčů spravovaných zákazníkem uložených v Azure Key Vault Managed HSM.

Ověření šifrovacího klíče účtu

Po vytvoření účtu můžete ověřit, že účet úložiště používá šifrovací klíč, který je vymezený na účet, pomocí Azure Portal, PowerShellu nebo Azure CLI.

Azure Portal

Pokud chcete ověřit, že služba v účtu úložiště používá šifrovací klíč, který je vymezený na účet s Azure Portal, postupujte takto:

1. Na webu Azure Portal přejděte k novému účtu úložiště.

2. V části Zabezpečení a sítě vyberte Šifrování.

3. Pokud byl účet úložiště vytvořený tak, aby se spoléhal na šifrovací klíč účtu, uvidíte na kartě Šifrování , že klíče spravované zákazníkem je možné povolit pro všechny čtyři služby Azure Storage: objekty blob, soubory, tabulky a fronty.

   

PowerShell

Pokud chcete ověřit, že služba v účtu úložiště používá šifrovací klíč účtu s PowerShellem, zavolejte příkaz Get-AzStorageAccount . Tento příkaz vrátí sadu vlastností účtu úložiště a jejich hodnoty. Vyhledejte KeyType pole pro každou službu v rámci Encryption vlastnosti a ověřte, že je nastavené na Accounthodnotu .

$account = Get-AzStorageAccount -ResourceGroupName <resource-group> `
    -StorageAccountName <storage-account>
$account.Encryption.Services.Queue
$account.Encryption.Services.Table

Azure CLI

Pokud chcete ověřit, že služba v účtu úložiště používá šifrovací klíč účtu pomocí Azure CLI, zavolejte příkaz az storage account show . Tento příkaz vrátí sadu vlastností účtu úložiště a jejich hodnoty. Vyhledejte keyType pole pro každou službu v rámci vlastnosti šifrování a ověřte, že je nastavené na Accounthodnotu .

az storage account show \
    --name <storage-account> \
    --resource-group <resource-group>

Šablona

–

Jakmile ověříte, že účet úložiště používá šifrovací klíč, který je vymezený na účet, můžete pro tento účet povolit klíče spravované zákazníkem. Všechny čtyři služby Azure Storage – objekty blob, soubory, tabulky a fronty – pak k šifrování použijí klíč spravovaný zákazníkem.

Ceny a fakturace

Za účet úložiště, který je vytvořený pro použití šifrovacího klíče vymezeného na účet, se účtuje kapacita úložiště table a transakce s jinou sazbou než účet, který používá výchozí klíč v rozsahu služby. Podrobnosti najdete v tématu Ceny služby Azure Table Storage.

Další kroky

• Šifrování služby Azure Storage pro neaktivní uložená data
• Klíče spravované zákazníkem pro šifrování služby Azure Storage
• Konfigurace šifrování s použitím klíčů spravovaných zákazníkem uložených v Azure Key Vault
• Konfigurace šifrování s využitím klíčů spravovaných zákazníkem uložených ve službě Azure Key Vault Managed HSM