Konfigurieren von kundenseitig verwalteten Schlüsseln im gleichen Mandanten für ein neues Speicherkonto

Azure Storage verschlüsselt alle Daten in einem ruhenden Speicherkonto. Standardmäßig werden Daten mit von Microsoft verwalteten Schlüsseln verschlüsselt. Um zusätzliche Kontrolle über die Verschlüsselungsschlüssel zu erhalten, können Sie eigene Schlüssel verwalten. Kundenseitig verwaltete Schlüssel müssen in Azure Key Vault oder in einem von Azure Key Vault verwalteten Hardware Security Model (HSM) gespeichert werden.

In diesem Artikel erfahren Sie, wie Sie die Verschlüsselung mit kundenseitig verwalteten Schlüsseln konfigurieren, wenn Sie ein neues Speicherkontos erstellen. Die kundenseitig verwalteten Schlüssel werden in einem Schlüsseltresor gespeichert.

Informationen zum Konfigurieren von kundenseitig verwalteten Schlüsseln für ein vorhandenes Speicherkonto finden Sie unter Konfigurieren von kundenseitig verwalteten Schlüsseln in einem Azure-Schlüsseltresor für ein vorhandenes Speicherkonto.

Hinweis

Azure Key Vault und über Azure Key Vault verwaltete HSMs unterstützen dieselben APIs und Verwaltungsschnittstellen für die Konfiguration kundenseitig verwalteter Schlüssel. Jede Aktion, die für Azure Key Vault unterstützt wird, wird auch für ein über Azure Key Vault verwaltetes HSM unterstützt.

Konfigurieren des Schlüsseltresors

Sie können einen neuen oder vorhandenen Schlüsseltresor verwenden, um kundenseitig verwaltete Schlüssel zu speichern. Speicherkonto und Schlüsseltresor können sich in verschiedenen Regionen oder Abonnements im selben Mandanten befinden. Weitere Informationen zu Azure Key Vault finden Sie unter Informationen zu Azure Key Vault und Grundlegende Konzepte von Azure Key Vault.

Bei Verwendung kundenseitig verwalteter Schlüssel mit der Azure Storage-Verschlüsselung muss der Schlüsseltresor vor vorläufigem und endgültigem Löschen geschützt sein. Das vorläufige Löschen ist standardmäßig aktiviert, wenn Sie einen neuen Schlüsseltresor erstellen, und kann nicht deaktiviert werden. Sie können den Löschschutz aktivieren, wenn Sie den Schlüsseltresor erstellen oder nachdem er erstellt wurde.

Azure Key Vault unterstützt die Autorisierung mit Azure RBAC über ein Azure RBAC-Berechtigungsmodell. Microsoft empfiehlt die Verwendung des Azure RBAC-Berechtigungsmodells gegenüber den Zugriffsrichtlinien für Schlüsseltresore. Weitere Informationen finden Sie unter Gewähren der Berechtigung zum Zugreifen auf einen Azure-Schlüsseltresor für Anwendungen mit Azure RBAC.

Azure portal

Informationen zum Erstellen eines Schlüsseltresors über das Azure-Portal finden Sie unter Schnellstart: Erstellen eines Schlüsseltresors über das Azure-Portal. Wenn Sie den Schlüsseltresor erstellen, wählen Sie Löschschutz aktivieren aus, wie in der folgenden Abbildung dargestellt.

Führen Sie die folgenden Schritte aus, um den Löschschutz für einen vorhandenen Schlüsseltresor zu aktivieren:

1. Navigieren Sie im Azure-Portal zu Ihrem Schlüsseltresor.
2. Wählen Sie unter Einstellungen die Option Eigenschaften aus.
3. Wählen Sie im Abschnitt Löschschutz die Option Löschschutz aktivieren aus.

PowerShell

Um einen neuen Schlüsseltresor mit PowerShell zu erstellen, installieren Sie Version 2.0.0 oder höher des PowerShell-Moduls Az.KeyVault. Rufen Sie dann New-AzKeyVault auf, um einen neuen Schlüsseltresor zu erstellen. Ab Version 2.0.0 des Az.KeyVault-Moduls ist das vorläufige Löschen standardmäßig aktiviert, wenn Sie einen neuen Schlüsseltresor erstellen.

Im folgenden Beispiel wird ein neuer Schlüsseltresor erstellt, der vor vorläufigen und endgültigen Löschvorgängen geschützt ist. Das Berechtigungsmodell des Schlüsseltresors ist auf die Verwendung von Azure RBAC festgelegt. Denken Sie daran, die Platzhalterwerte in den spitzen Klammern durch Ihre eigenen Werte zu ersetzen.

$rgName = "<resource_group>"
$location = "<location>"
$kvName = "<key-vault>"

$keyVault = New-AzKeyVault -Name $kvName `
    -ResourceGroupName $rgName `
    -Location $location `
    -EnablePurgeProtection `
    -EnableRbacAuthorization

Informationen zum Aktivieren des Löschschutzes für einen vorhandenen Schlüsseltresor mit PowerShell finden Sie unter Azure Key Vault-Wiederherstellungsverwaltung mit Schutz durch vorläufiges Löschen und Bereinigungsschutz.

Nachdem Sie den Schlüsseltresor erstellt haben, müssen Sie sich selbst die Rolle Key Vault-Kryptografiebeauftragter zuweisen. Mit dieser Rolle können Sie einen Schlüssel im Schlüsseltresor erstellen. Im folgenden Beispiel wird diese Rolle einem Benutzer zugewiesen, der auf den Bereich des Schlüsseltresors bezogen ist:

New-AzRoleAssignment -SignInName "<user-email>" `
    -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $keyVault.ResourceId

Weitere Informationen zum Zuweisen einer RBAC-Rolle mit PowerShell finden Sie unter Zuweisen von Azure-Rollen mithilfe von Azure PowerShell.

Azure-Befehlszeilenschnittstelle

Rufen Sie az keyvault create auf, um einen neuen Schlüsseltresor mit der Azure CLI zu erstellen. Im folgenden Beispiel wird ein neuer Schlüsseltresor erstellt, der vor vorläufigen und endgültigen Löschvorgängen geschützt ist. Das Berechtigungsmodell des Schlüsseltresors ist auf die Verwendung von Azure RBAC festgelegt. Denken Sie daran, die Platzhalterwerte in den spitzen Klammern durch Ihre eigenen Werte zu ersetzen.

rgName="<resource_group>"
location="<location>"
kvName="<key-vault>"

az keyvault create \
    --name $kvName \
    --resource-group $rgName \
    --location $location \
    --enable-purge-protection \
    --enable-rbac-authorization

Informationen zum Aktivieren des Löschschutzes für einen vorhandenen Schlüsseltresor mit der Azure CLI finden Sie unter Azure Key Vault-Wiederherstellungsverwaltung mit Schutz durch vorläufiges Löschen und Bereinigungsschutz.

Nachdem Sie den Schlüsseltresor erstellt haben, müssen Sie sich selbst die Rolle Key Vault-Kryptografiebeauftragter zuweisen. Mit dieser Rolle können Sie einen Schlüssel im Schlüsseltresor erstellen. Im folgenden Beispiel wird diese Rolle einem Benutzer zugewiesen, der auf den Bereich des Schlüsseltresors bezogen ist:

kvResourceId=$(az keyvault show --resource-group $rgName \
    --name $kvName \
    --query id \
    --output tsv)

az role assignment create --assignee "<user-email>" \
    --role "Key Vault Crypto Officer" \
    --scope $kvResourceId

Weitere Informationen zum Zuweisen einer RBAC-Rolle mit der Azure CLI finden Sie unter Zuweisen von Azure-Rollen mithilfe der Azure CLI.

Hinzufügen eines Schlüssels

Als Nächstes fügen Sie im Schlüsseltresor einen Schlüssel hinzu. Bevor Sie den Schlüssel hinzufügen, stellen Sie sicher, dass Sie sich selbst die Rolle Key Vault-Kryptografiebeauftragter zugewiesen haben.

Die Azure Storage-Verschlüsselung unterstützt RSA- und RSA-HSM-Schlüssel mit einer Größe von 2.048, 3.072 und 4.096 Bit. Weitere Informationen zu unterstützten Schlüsseltypen finden Sie unter Informationen zu Schlüsseln.

Azure portal

Informationen zum Hinzufügen eines Schlüssels über das Azure-Portal finden Sie unter Schnellstart: Festlegen und Abrufen eines Schlüssels aus Azure Key Vault mit dem Azure-Portal.

PowerShell

Um einen Schlüssel mit PowerShell hinzuzufügen, rufen Sie Add-AzKeyVaultKey auf. Denken Sie daran, die Platzhalterwerte in Klammern durch Ihre eigenen Werte zu ersetzen und die in den vorherigen Beispielen definierten Variablen zu verwenden.

$keyName = "<key-name>"

$key = Add-AzKeyVaultKey -VaultName $keyVault.VaultName `
    -Name $keyName `
    -Destination 'Software'

Azure-Befehlszeilenschnittstelle

Um einen Schlüssel mit der Azure CLI hinzuzufügen, rufen Sie az keyvault key create auf. Denken Sie daran, die Platzhalterwerte in den spitzen Klammern durch Ihre eigenen Werte zu ersetzen.

keyName="<key-name>"

az keyvault key create \
    --name $keyName \
    --vault-name $kvName

Verwenden einer benutzerseitig zugewiesenen verwalteten Identität zum Autorisieren des Zugriffs auf den Schlüsseltresor

Wenn Sie kundenseitig verwaltete Schlüssel für ein neues Speicherkonto aktivieren, müssen Sie eine benutzerseitig zugewiesene verwaltete Identität angeben. Ein vorhandenes Speicherkonto unterstützt entweder eine benutzerseitig zugewiesene verwaltete Identität oder eine systemseitig zugewiesene verwaltete Identität zur Konfiguration kundenseitig verwalteter Schlüssel.

Wenn Sie kundenseitig verwaltete Schlüssel mit einer benutzerseitig zugewiesenen verwalteten Identität konfigurieren, wird die benutzerseitig zugewiesene verwaltete Identität verwendet, um den Zugriff auf den Schlüsseltresor zu autorisieren, der den Schlüssel enthält. Sie müssen die benutzerseitig zugewiesene Identität erstellen, bevor Sie kundenseitig verwaltete Schlüssel konfigurieren.

Eine benutzerseitig zugewiesene verwaltete Identität ist eine eigenständige Azure-Ressource. Weitere Informationen zu benutzerseitig zugewiesenen verwalteten Identitäten finden Sie unter Arten von verwalteten Identitäten. Informationen zum Erstellen und Verwalten einer benutzerseitig zugewiesenen verwalteten Identität finden Sie unter Benutzerseitig zugewiesene verwaltete Identitäten verwalten.

Die benutzerseitig zugewiesene verwaltete Identität muss über Berechtigungen für den Zugriff auf den Schlüssel in dem Schlüsseltresor verfügen. Weisen Sie der benutzerseitig zugewiesenen verwalteten Identität im Bereich des Schlüsseltresors die Rolle Key Vault Crypto Service Encryption-Benutzer zu, um diese Berechtigungen zu gewähren.

Azure portal

Bevor Sie kundenseitig verwaltete Schlüssel mit einer benutzerseitig zugewiesenen verwalteten Identität konfigurieren können, müssen Sie der benutzerseitig zugewiesenen verwalteten Identität die Rolle Key Vault Crypto Service Encryption-Benutzer zuweisen, die auf den Bereich des Schlüsseltresors bezogen ist. Mit dieser Rolle werden der benutzerseitig zugewiesenen verwalteten Identität Berechtigungen für den Zugriff auf den Schlüssel im Schlüsseltresor gewährt. Weitere Informationen zum Zuweisen von Azure RBAC-Rollen im Azure-Portal finden Sie unter Zuweisen von Azure-Rollen über das Azure-Portal.

Wenn Sie kundenseitig verwaltete Schlüssel über das Azure-Portal konfigurieren, können Sie über die Portalbenutzeroberfläche eine vorhandene benutzerseitig zugewiesene Identität auswählen.

PowerShell

Im folgenden Beispiel wird gezeigt, wie Sie die benutzerseitig zugewiesene verwaltete Identität abrufen und ihr die erforderliche RBAC-Rolle zuweisen, die auf den Bereich des Schlüsseltresors bezogen ist. Denken Sie daran, die Platzhalterwerte in Klammern durch Ihre eigenen Werte zu ersetzen und die in den vorherigen Beispielen definierten Variablen zu verwenden:

$userIdentity = Get-AzUserAssignedIdentity -Name <user-assigned-identity> `
    -ResourceGroupName $rgName

$principalId = $userIdentity.PrincipalId

New-AzRoleAssignment -ObjectId $principalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

Azure-Befehlszeilenschnittstelle

Im folgenden Beispiel wird gezeigt, wie Sie die benutzerseitig zugewiesene verwaltete Identität abrufen und ihr die erforderliche RBAC-Rolle zuweisen, die auf den Bereich des Schlüsseltresors bezogen ist. Denken Sie daran, die Platzhalterwerte in Klammern durch Ihre eigenen Werte zu ersetzen und die in den vorherigen Beispielen definierten Variablen zu verwenden:

identityResourceId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query id \
    --output tsv)

principalId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query principalId \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId \
    --assignee-principal-type ServicePrincipal

Konfigurieren von kundenseitig verwalteten Schlüsseln für ein neues Speicherkonto

Beim Konfigurieren der Verschlüsselung mit kundenseitig verwalteten Schlüsseln für ein neues Speicherkonto können Sie festlegen, dass die für die Azure Storage-Verschlüsselung verwendete Schlüsselversion automatisch aktualisiert wird, wenn im zugeordneten Schlüsseltresor eine neue Version verfügbar ist. Alternativ können Sie explizit eine Schlüsselversion angeben, die für die Verschlüsselung verwendet werden soll, bis die Schlüsselversion manuell aktualisiert wird.

Sie müssen eine vorhandene benutzerseitig zugewiesene verwaltete Identität verwenden, um den Zugriff auf den Schlüsseltresor zu autorisieren, wenn Sie beim Erstellen des Speicherkontos kundenseitig verwaltete Schlüssel konfigurieren. Die benutzerseitig zugewiesene verwaltete Identität muss über entsprechende Berechtigungen für den Zugriff auf den Schlüsseltresor verfügen. Weitere Informationen finden Sie auf der Seite Authentifizieren bei Azure Key Vault.

Konfigurieren der Verschlüsselung für die automatische Aktualisierung von Schlüsselversionen

Azure Storage kann den kundenseitig verwalteten Schlüssel, der für die Verschlüsselung verwendet wird, automatisch aktualisieren, um die neueste Schlüsselversion aus dem Schlüsseltresor zu verwenden. Azure Storage überprüft den Schlüsseltresor täglich auf eine neue Version des Schlüssels. Sobald eine neue Version verfügbar ist, beginnt Azure Storage automatisch mit der Verwendung der neuesten Version des Schlüssels für die Verschlüsselung.

Wichtig

Azure Storage überprüft den Schlüsseltresor nur einmal täglich auf eine neue Schlüsselversion. Wenn Sie einen Schlüssel drehen, warten Sie 24 Stunden, bevor Sie die ältere Version deaktivieren.

Azure portal

Führen Sie die folgenden Schritte aus, um kundenseitig verwaltete Schlüssel für ein neues Speicherkonto mit automatischer Aktualisierung der Schlüsselversion zu konfigurieren:

1. Navigieren Sie im Azure-Portal zur Seite Speicherkonten, und wählen Sie die Schaltfläche Erstellen aus, um ein neues Konto zu erstellen.

2. Führen Sie die Schritte unter Speicherkonto erstellen aus, um die Felder auf den Registerkarten Grundlagen, Erweitert, Netzwerk und Datenschutz auszufüllen.

3. Geben Sie auf der Registerkarte Verschlüsselung im Feld Unterstützung für kundenseitig verwaltete Schlüssel aktivieren an, für welche Dienste Sie die Unterstützung für kundenseitig verwaltete Schlüssel aktivieren möchten.

4. Wählen Sie im Feld Verschlüsselungstyp die Option Kundenseitig verwaltete Schlüssel (Customer managed keys, CMK) aus.

5. Wählen Sie im Feld Verschlüsselungsschlüssel die Option Key Vault und Schlüssel auswählen aus, und geben Sie den Schlüsseltresor und den Schlüssel an.

6. Wählen Sie für das Feld Benutzerseitig zugewiesene Identität eine vorhandene benutzerseitig zugewiesene verwaltete Identität aus.

   

7. Wählen Sie die Schaltfläche Überprüfung aus, um das Konto zu überprüfen und zu erstellen.

Sie können auch kundenseitig verwaltete Schlüssel mit manueller Aktualisierung der Schlüsselversion konfigurieren, wenn Sie ein neues Speicherkonto erstellen. Führen Sie die Schritte unter Konfigurieren der Verschlüsselung für die manuelle Aktualisierung von Schlüsselversionen aus.

PowerShell

Rufen Sie New-AzStorageAccount wie im folgenden Beispiel gezeigt auf, um kundenseitig verwaltete Schlüssel für ein neues Speicherkonto mit automatischer Aktualisierung der Schlüsselversion zu konfigurieren. Verwenden Sie für die benutzerseitig zugewiesene verwaltete Identität die zuvor erstellte Variable für die Ressourcen-ID. Außerdem benötigen Sie den Schlüsseltresor-URI und den Schlüsselnamen:

$accountName = "<storage-account>"

New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Kind StorageV2 `
    -SkuName Standard_LRS `
    -Location $location `
    -AllowBlobPublicAccess $false `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

Azure-Befehlszeilenschnittstelle

Rufen Sie az storage account create wie im folgenden Beispiel gezeigt auf, um kundenseitig verwaltete Schlüssel für ein neues Speicherkonto mit automatischer Aktualisierung der Schlüsselversion zu konfigurieren. Verwenden Sie für die benutzerseitig zugewiesene verwaltete Identität die zuvor erstellte Variable für die Ressourcen-ID. Außerdem benötigen Sie den Schlüsseltresor-URI und den Schlüsselnamen:

accountName="<storage-account>"

az storage account create \
    --name $accountName \
    --resource-group $rgName \
    --location $location \
    --sku Standard_LRS \
    --kind StorageV2 \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-vault <key-vault-uri> \
    --encryption-key-name $keyName \
    --encryption-key-source Microsoft.Keyvault \
    --key-vault-user-identity-id $identityResourceId

Konfigurieren der Verschlüsselung für die manuelle Aktualisierung von Schlüsselversionen

Wenn Sie die Schlüsselversion manuell aktualisieren möchten, geben Sie beim Erstellen des Speicherkontos die Version explizit an, wenn Sie die Verschlüsselung mit kundenseitig verwalteten Schlüsseln konfigurieren. In diesem Fall aktualisiert Azure Storage die Schlüsselversion nicht automatisch, wenn eine neue Version im Schlüsseltresor erstellt wird. Um eine neue Schlüsselversion zu verwenden, müssen Sie die für die Azure Storage-Verschlüsselung verwendete Version manuell aktualisieren.

Sie müssen eine vorhandene benutzerseitig zugewiesene verwaltete Identität verwenden, um den Zugriff auf den Schlüsseltresor zu autorisieren, wenn Sie beim Erstellen des Speicherkontos kundenseitig verwaltete Schlüssel konfigurieren. Die benutzerseitig zugewiesene verwaltete Identität muss über entsprechende Berechtigungen für den Zugriff auf den Schlüsseltresor verfügen. Weitere Informationen finden Sie auf der Seite Authentifizieren bei Azure Key Vault.

Azure portal

Um kundenseitig verwaltete Schlüssel mit der manuellen Aktualisierung der Schlüsselversion im Azure-Portal zu konfigurieren, geben Sie beim Erstellen des Speicherkontos den Schlüssel-URI einschließlich der Version an. Gehen Sie wie folgt vor, um einen Schlüssel als URI anzugeben:

1. Navigieren Sie im Azure-Portal zur Seite Speicherkonten, und wählen Sie die Schaltfläche Erstellen aus, um ein neues Konto zu erstellen.

2. Führen Sie die Schritte unter Speicherkonto erstellen aus, um die Felder auf den Registerkarten Grundlagen, Erweitert, Netzwerk und Datenschutz auszufüllen.

3. Geben Sie auf der Registerkarte Verschlüsselung im Feld Unterstützung für kundenseitig verwaltete Schlüssel aktivieren an, für welche Dienste Sie die Unterstützung für kundenseitig verwaltete Schlüssel aktivieren möchten.

4. Wählen Sie im Feld Verschlüsselungstyp die Option Kundenseitig verwaltete Schlüssel (Customer managed keys, CMK) aus.

5. Um den Schlüssel-URI im Azure-Portal anzuzeigen, navigieren Sie zu Ihrem Schlüsseltresor, und wählen die Einstellung Schlüssel aus. Wählen Sie den gewünschten Schlüssel aus, und klicken Sie darauf, um dessen Versionen anzuzeigen. Wählen Sie eine Schlüsselversion aus, um die Einstellungen für diese Version anzuzeigen.

6. Kopieren Sie den Wert im Feld Schlüsselbezeichner, das den URI enthält.

   

7. Wählen Sie in den Einstellungen für den Verschlüsselungsschlüssel für Ihr Speicherkonto die Option Schlüssel-URI eingeben aus.

8. Fügen Sie den kopierten URI in das Feld Schlüssel-URI ein. Schließen Sie die Schlüsselversion in den URI ein, um die manuelle Aktualisierung der Schlüsselversion zu konfigurieren.

9. Geben Sie eine benutzerseitig zugewiesene verwaltete Identität an, indem Sie den Link Identität auswählen auswählen.

   

10. Wählen Sie die Schaltfläche Überprüfung aus, um das Konto zu überprüfen und zu erstellen.

PowerShell

Um kundenseitig verwaltete Schlüssel mit der manuellen Aktualisierung der Schlüsselversion zu konfigurieren, geben Sie die Schlüsselversion explizit an, wenn Sie beim Erstellen des Speicherkontos die Verschlüsselung konfigurieren. Rufen Sie Set-AzStorageAccount auf, um die Verschlüsselungseinstellungen des Speicherkontos zu aktualisieren, wie im folgenden Beispiel gezeigt, und fügen Sie die Option -KeyvaultEncryption ein, um kundenseitig verwaltete Schlüssel für das Speicherkonto zu aktivieren.

Denken Sie daran, die Platzhalterwerte in Klammern durch Ihre eigenen Werte zu ersetzen und die in den vorherigen Beispielen definierten Variablen zu verwenden.

$accountName = "<storage-account>"

New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Kind StorageV2 `
    -SkuName Standard_LRS `
    -Location $location `
    -AllowBlobPublicAccess $false `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

Wenn Sie die Schlüsselversion manuell aktualisieren, müssen Sie die Verschlüsselungseinstellungen des Speicherkontos aktualisieren, damit die neue Version verwendet wird. Rufen Sie zunächst Get-AzKeyVaultKey auf, um die neueste Version des Schlüssels abzurufen. Rufen Sie dann Set-AzStorageAccount auf, um die Verschlüsselungseinstellungen des Speicherkontos zu aktualisieren, damit wie im vorherigen Beispiel gezeigt die neue Version des Schlüssels verwendet wird.

Azure-Befehlszeilenschnittstelle

Um kundenseitig verwaltete Schlüssel mit der manuellen Aktualisierung der Schlüsselversion zu konfigurieren, geben Sie die Schlüsselversion explizit an, wenn Sie beim Erstellen des Speicherkontos die Verschlüsselung konfigurieren. Rufen Sie az storage account update wie im folgenden Beispiel gezeigt auf, um die Verschlüsselungseinstellungen des Speicherkontos zu aktualisieren. Fügen Sie den Parameter --encryption-key-source ein, und legen Sie ihn auf Microsoft.Keyvault fest, um kundenseitig verwaltete Schlüssel für das Speicherkonto zu aktivieren.

Denken Sie daran, die Platzhalterwerte in den spitzen Klammern durch Ihre eigenen Werte zu ersetzen.

accountName="<storage-account>"

key_vault_uri=$(az keyvault show \
    --name <key-vault> \
    --resource-group <resource_group> \
    --query properties.vaultUri \
    --output tsv)

key_version=$(az keyvault key list-versions \
    --name <key> \
    --vault-name <key-vault> \
    --query [-1].kid \
    --output tsv | cut -d '/' -f 6)

az storage account create \
    --name $accountName \
    --resource-group $rgName \
    --location $location \
    --sku Standard_LRS \
    --kind StorageV2 \
    --allow-blob-public-access false \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-vault $keyVaultUri \
    --encryption-key-name $keyName \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-version $keyVersion \
    --key-vault-user-identity-id $identityResourceId

Wenn Sie die Schlüsselversion manuell aktualisieren, müssen Sie die Verschlüsselungseinstellungen des Speicherkontos aktualisieren, damit die neue Version verwendet wird. Rufen Sie zunächst az keyvault show zum Abfragen des Schlüsseltresor-URIs und az keyvault key list-versions zum Abfragen der Schlüsselversion auf. Rufen Sie dann az storage account update auf, um die Verschlüsselungseinstellungen des Speicherkontos zu aktualisieren, damit wie im vorherigen Beispiel gezeigt die neue Version des Schlüssels verwendet wird.

Ändern des Schlüssels

Sie können den Schlüssel, den Sie für die Azure Storage-Verschlüsselung verwenden, jederzeit ändern.

Hinweis

Wenn Sie den Schlüssel oder die Schlüsselversion ändern, ändert sich der Schutz des Stammverschlüsselungsschlüssels, die Daten in Ihrem Azure Storage-Konto bleiben jedoch zu jedem Zeitpunkt verschlüsselt. Es sind keine zusätzlichen Maßnahmen Ihrerseits erforderlich, um sicherzustellen, dass Ihre Daten geschützt sind. Das Ändern des Schlüssels oder das Rotieren der Schlüsselversion wirkt sich nicht auf die Leistung aus. Mit dem Ändern des Schlüssels oder dem Rotieren der Schlüsselversion ist keine Downtime verbunden.

Azure portal

Führen Sie die folgenden Schritte aus, um den Schlüssel im Azure-Portal zu ändern:

1. Navigieren Sie zu Ihrem Speicherkonto, und zeigen Sie die Einstellungen zur Verschlüsselung an.
2. Wählen Sie den Schlüsseltresor und dann einen neuen Schlüssel aus.
3. Speichern Sie die Änderungen.

PowerShell

Um den Schlüssel mit PowerShell zu ändern, rufen Sie Set-AzStorageAccount auf, und geben Sie den neuen Schlüsselnamen und die neue Version an. Wenn sich der neue Schlüssel in einem anderen Schlüsseltresor befindet, müssen Sie auch den Schlüsseltresor-URI aktualisieren.

Azure-Befehlszeilenschnittstelle

Um den Schlüssel mit der Azure CLI zu ändern, rufen Sie az storage account update auf, und geben Sie den neuen Schlüsselnamen und die neue Version an. Wenn sich der neue Schlüssel in einem anderen Schlüsseltresor befindet, müssen Sie auch den Schlüsseltresor-URI aktualisieren.

Wenn sich der neue Schlüssel in einem anderen Schlüsseltresor befindet, müssen Sie der verwalteten Identität Zugriff auf den Schlüssel im neuen Tresor gewähren. Wenn Sie manuelle Aktualisierung der Schlüsselversion auswählen, müssen Sie auch den Schlüsseltresor-URI aktualisieren.

Widerrufen des Zugriffs auf ein Speicherkonto, das kundenseitig verwaltete Schlüssel verwendet

Wenn Sie den Zugriff auf ein Speicherkonto, das kundenseitig verwaltete Schlüssel verwendet, vorübergehend widerrufen möchten, deaktivieren Sie den Schlüssel, der zurzeit im Schlüsseltresor verwendet wird. Das Deaktivieren und erneute Aktivieren des Schlüssels hat keine Auswirkungen auf die Leistung und verursacht keine Downtime.

Nachdem der Schlüssel deaktiviert wurde, können Clients keine Vorgänge mehr aufrufen, bei denen Lese- oder Schreibvorgänge für ein Blob oder die zugehörigen Metadaten durchgeführt werden. Informationen dazu, welche Vorgänge nicht erfolgreich ausgeführt werden, finden Sie unter Widerrufen des Zugriffs auf ein Speicherkonto, das kundenseitig verwaltete Schlüssel verwendet.

Achtung

Wenn Sie den Schlüssel im Schlüsseltresor deaktivieren, bleiben die Daten in Ihrem Azure Storage-Konto verschlüsselt, sind jedoch nicht zugänglich, bis Sie den Schlüssel erneut aktivieren.

Azure portal

Führen Sie zum Deaktivieren eines kundenseitig verwalteten Schlüssels über das Azure-Portal die folgenden Schritte aus:

1. Navigieren Sie zu dem Schlüsseltresor, der den Schlüssel enthält.

2. Wählen Sie unter Objekte die Option Schlüssel aus.

3. Klicken Sie mit der rechten Maustaste auf den Schlüssel, und wählen Sie Deaktivieren aus.

   

PowerShell

Zum Widerrufen eines kundenseitig verwalteten Schlüssels mit PowerShell rufen Sie den Befehl Update-AzKeyVaultKey auf, wie im folgenden Beispiel gezeigt wird. Denken Sie daran, zum Definieren der Variablen die Platzhalterwerte in Klammern durch Ihre eigenen Werte zu ersetzen, oder verwenden Sie die in den vorhergehenden Beispielen definierten Variablen.

$kvName  = "<key-vault-name>"
$keyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it

# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $keyName -VaultName $kvName

# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $kvName -Name $keyName -Enable $enabled

Azure-Befehlszeilenschnittstelle

Zum Widerrufen eines kundenseitig verwalteten Schlüssels mit der Azure CLI rufen Sie den Befehl az keyvault key set-attributes auf, wie im folgenden Beispiel gezeigt wird. Denken Sie daran, zum Definieren der Variablen die Platzhalterwerte in Klammern durch Ihre eigenen Werte zu ersetzen, oder verwenden Sie die in den vorhergehenden Beispielen definierten Variablen.

kvName="<key-vault-name>"
keyName="<key-name>"
enabled="false"
# "false" to disable the key / "true" to enable it:

# Check the current state of the key (before and after enabling/disabling it)
az keyvault key show \
    --vault-name $kvName \
    --name $keyName

# Disable (or enable) the key
az keyvault key set-attributes \
    --vault-name $kvName \
    --name $keyName \
    --enabled $enabled

Das Deaktivieren des Schlüssels führt dazu, dass Zugriffsversuche auf Daten im Speicherkonto mit dem Fehlercode 403 (Unzulässig) fehlschlagen. Eine Liste der Speicherkontovorgänge, die von einer Deaktivierung des Schlüssels betroffen sind, finden Sie unter Widerrufen des Zugriffs auf ein Speicherkonto, das kundenseitig verwaltete Schlüssel verwendet.

Zurückwechseln zu von Microsoft verwalteten Schlüsseln

Sie können jederzeit über das Azure-Portal, mit PowerShell oder der Azure CLI von kundenseitig verwalteten Schlüsseln zu von Microsoft verwalteten Schlüsseln zurückwechseln.

Azure portal

Führen Sie die folgenden Schritte aus, um im Azure-Portal von kundenseitig verwalteten Schlüsseln zu von Microsoft verwalteten Schlüsseln zurückzuwechseln:

1. Navigieren Sie zum Speicherkonto.

2. Wählen Sie unter Sicherheit + Netzwerk die Option Verschlüsselung aus.

3. Ändern Sie den Verschlüsselungstyp in von Microsoft verwaltete Schlüssel.

   

PowerShell

Wenn Sie mit PowerShell von kundenseitig verwalteten Schlüsseln zu von Microsoft verwalteten Schlüsseln zurückwechseln möchten, rufen Sie Set-AzStorageAccount mit der Option -StorageEncryption auf, wie im folgenden Beispiel gezeigt wird. Denken Sie daran, die Platzhalterwerte in Klammern durch Ihre eigenen Werte zu ersetzen und die in den vorherigen Beispielen definierten Variablen zu verwenden.

Set-AzStorageAccount -ResourceGroupName $storageAccount.ResourceGroupName `
    -AccountName $storageAccount.StorageAccountName `
    -StorageEncryption  

Azure-Befehlszeilenschnittstelle

Wenn Sie mit Azure CLI von kundenseitig verwalteten Schlüsseln zu von Microsoft verwalteten Schlüsseln zurückwechseln möchten, rufen Sie az storage account update auf, und legen Sie --encryption-key-source parameter auf Microsoft.Storage fest, wie im folgenden Beispiel gezeigt wird. Denken Sie daran, die Platzhalterwerte in Klammern durch Ihre eigenen Werte zu ersetzen und die in den vorherigen Beispielen definierten Variablen zu verwenden.

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-source Microsoft.Storage

Nächste Schritte

• Azure Storage encryption for data at rest (Azure Storage-Verschlüsselung für ruhende Daten)
• Kundenseitig verwaltete Schlüssel für die Azure Storage-Verschlüsselung
• Konfigurieren von kundenseitig verwalteten Schlüsseln in einem Azure-Schlüsseltresor für ein vorhandenes Speicherkonto
• Konfigurieren der Verschlüsselung mit kundenseitig verwalteten Schlüsseln, die in Azure Key Vault Managed HSM (Vorschau) gespeichert sind