Konfigurace klíčů spravovaných zákazníkem pro Azure Storage šifrování z PowerShelluConfigure customer-managed keys for Azure Storage encryption from PowerShell

Azure Storage podporuje šifrování v klidovém stavu pomocí klíčů spravovaných microsoftem nebo klíče spravované zákazníkem.Azure Storage supports encryption at rest with either Microsoft-managed keys or customer-managed keys. Klíče spravované zákazníkem umožňují vytvořit, otáčení, zakázat a odvolat přístup k ovládacím prvkům.Customer-managed keys enable you to create, rotate, disable, and revoke access controls.

Spravovat klíče a auditovat využití klíčů pomocí Azure Key Vault.Use Azure Key Vault to manage your keys and audit your key usage. Můžete vytvořit vlastní klíče a uložit je do trezoru klíčů, nebo rozhraní API služby Azure Key Vault můžete použít ke generování klíčů.You can either create your own keys and store them in a key vault, or you can use the Azure Key Vault APIs to generate keys. Účet úložiště a trezoru klíčů musí být ve stejné oblasti, ale mohou být v různých předplatných.The storage account and the key vault must be in the same region, but they can be in different subscriptions. Další informace o službě Azure Key Vault najdete v tématu co je Azure Key Vault?For more information about Azure Key Vault, see What is Azure Key Vault?

V tomto článku se dozvíte, jak nakonfigurovat Trezor klíčů pomocí klíčů spravovaných zákazníkem pomocí PowerShellu.This article shows how to configure a key vault with customer-managed keys using PowerShell.

Důležité

Použití klíčů spravovaných zákazníkem se šifrováním Azure Storage vyžaduje, aby Trezor klíčů měl nakonfigurované dvě požadované vlastnosti, obnovitelné odstranění a Nemazat.Using customer-managed keys with Azure Storage encryption requires that the key vault have two required properties configured, Soft Delete and Do Not Purge. Tyto vlastnosti jsou ve výchozím nastavení povolené, když v Azure Portal vytvoříte nový trezor klíčů.These properties are enabled by default when you create a new key vault in the Azure portal. Pokud ale potřebujete tyto vlastnosti v existujícím trezoru klíčů povolit, musíte použít buď PowerShell, nebo rozhraní příkazového řádku Azure CLI.However, if you need to enable these properties on an existing key vault, you must use either PowerShell or Azure CLI. Podporují se jenom klíče RSA a velikost klíče 2048.Only RSA keys and key size 2048 are supported.

Přiřazení identity k účtu úložištěAssign an identity to the storage account

Pokud chcete pro svůj účet úložiště povolit klíče spravované zákazníkem, nejdřív přiřaďte k účtu úložiště spravovanou identitu přiřazenou systémem.To enable customer-managed keys for your storage account, first assign a system-assigned managed identity to the storage account. Pomocí této spravované identity udělíte účtu úložiště oprávnění k přístupu k trezoru klíčů.You'll use this managed identity to grant the storage account permissions to access the key vault.

Chcete-li přiřadit spravovanou identitu pomocí prostředí PowerShell, zavolejte rutinu set-AzStorageAccount.To assign a managed identity using PowerShell, call Set-AzStorageAccount. Nezapomeňte nahradit hodnoty zástupných symbolů v závorkách vlastními hodnotami.Remember to replace the placeholder values in brackets with your own values.

$storageAccount = Set-AzStorageAccount -ResourceGroupName <resource_group> `
    -Name <storage-account> `
    -AssignIdentity

Další informace o konfiguraci spravovaných identit přiřazených systémem pomocí PowerShellu najdete v tématu Konfigurace spravovaných identit pro prostředky Azure na virtuálním počítači Azure pomocí PowerShellu.For more information about configuring system-assigned managed identities with PowerShell, see Configure managed identities for Azure resources on an Azure VM using PowerShell.

Vytvořit nový trezor klíčůCreate a new key vault

Pokud chcete vytvořit nový trezor klíčů pomocí PowerShellu, volejte rutinu New-AzKeyVault.To create a new key vault using PowerShell, call New-AzKeyVault. Trezor klíčů, který použijete k uložení klíčů spravovaných zákazníkem pro Azure Storage šifrování, musí mít povolené dvě nastavení ochrany klíčů, obnovitelné odstranění a nemazatelné.The key vault that you use to store customer-managed keys for Azure Storage encryption must have two key protection settings enabled, Soft Delete and Do Not Purge.

Nezapomeňte nahradit hodnoty zástupných symbolů v závorkách vlastními hodnotami.Remember to replace the placeholder values in brackets with your own values.

$keyVault = New-AzKeyVault -Name <key-vault> `
    -ResourceGroupName <resource_group> `
    -Location <location> `
    -EnableSoftDelete `
    -EnablePurgeProtection

Konfigurace zásad přístupu trezoru klíčůConfigure the key vault access policy

Dále nakonfigurujte zásady přístupu pro Trezor klíčů, aby měl účet úložiště oprávnění k přístupu.Next, configure the access policy for the key vault so that the storage account has permissions to access it. V tomto kroku použijete spravovanou identitu, kterou jste dříve přiřadili k účtu úložiště.In this step, you'll use the managed identity that you previously assigned to the storage account.

Pro nastavení zásad přístupu pro Trezor klíčů volejte set-AzKeyVaultAccessPolicy.To set the access policy for the key vault, call Set-AzKeyVaultAccessPolicy. Nezapomeňte nahradit hodnoty zástupných symbolů v závorkách vlastními hodnotami a použít proměnné definované v předchozích příkladech.Remember to replace the placeholder values in brackets with your own values and to use the variables defined in the previous examples.

Set-AzKeyVaultAccessPolicy `
    -VaultName $keyVault.VaultName `
    -ObjectId $storageAccount.Identity.PrincipalId `
    -PermissionsToKeys wrapkey,unwrapkey,get,recover

Vytvořit nový klíčCreate a new key

V dalším kroku vytvořte nový klíč v trezoru klíčů.Next, create a new key in the key vault. Chcete-li vytvořit nový klíč, zavolejte Add-AzKeyVaultKey.To create a new key, call Add-AzKeyVaultKey. Nezapomeňte nahradit hodnoty zástupných symbolů v závorkách vlastními hodnotami a použít proměnné definované v předchozích příkladech.Remember to replace the placeholder values in brackets with your own values and to use the variables defined in the previous examples.

$key = Add-AzKeyVaultKey -VaultName $keyVault.VaultName -Name <key> -Destination 'Software'

Konfigurace šifrování pomocí klíčů spravovaných zákazníkemConfigure encryption with customer-managed keys

Ve výchozím nastavení používá Azure Storage šifrování klíče spravované společností Microsoft.By default, Azure Storage encryption uses Microsoft-managed keys. V tomto kroku nakonfigurujte Azure Storage účet pro použití klíčů spravovaných zákazníkem a zadejte klíč, který chcete přidružit k účtu úložiště.In this step, configure your Azure Storage account to use customer-managed keys and specify the key to associate with the storage account.

Voláním set-AzStorageAccount aktualizujte nastavení šifrování účtu úložiště.Call Set-AzStorageAccount to update the storage account's encryption settings. Nezapomeňte nahradit hodnoty zástupných symbolů v závorkách vlastními hodnotami a použít proměnné definované v předchozích příkladech.Remember to replace the placeholder values in brackets with your own values and to use the variables defined in the previous examples.

Set-AzStorageAccount -ResourceGroupName $storageAccount.ResourceGroupName `
    -AccountName $storageAccount.StorageAccountName `
    -KeyvaultEncryption `
    -KeyName $key.Name `
    -KeyVersion $key.Version `
    -KeyVaultUri $keyVault.VaultUri

Aktualizace verze klíčeUpdate the key version

Když vytváříte novou verzi klíče, budete muset aktualizovat účet úložiště, aby používal novou verzi.When you create a new version of a key, you'll need to update the storage account to use the new version. Nejdřív zavolejte Get-AzKeyVaultKey , abyste získali nejnovější verzi klíče.First, call Get-AzKeyVaultKey to get the latest version of the key. Pak zavolejte set-AzStorageAccount a aktualizujte nastavení šifrování účtu úložiště tak, aby používala novou verzi klíče, jak je znázorněno v předchozí části.Then call Set-AzStorageAccount to update the storage account's encryption settings to use the new version of the key, as shown in the previous section.

Další krokyNext steps