Configuración del cifrado con claves administradas por el cliente almacenadas en Azure Key Vault

Artículo
07/27/2022
Tiempo de lectura: 22 minutos

Azure Storage cifra todos los datos de las cuentas de almacenamiento en reposo. De manera predeterminada, los datos se cifran con claves administradas por Microsoft. Para tener un mayor control sobre las claves de cifrado, puede administrar sus propias claves. Las claves administradas por el cliente deben estar almacenadas en Azure Key Vault o en el modelo de seguridad de hardware (HSM) administrado de Azure Key Vault.

En este artículo se muestra cómo configurar el cifrado con claves administradas por el cliente almacenadas en un almacén de claves mediante Azure Portal, PowerShell o la CLI de Azure. Para obtener información sobre cómo configurar el cifrado con las claves administradas por el cliente almacenadas en un HSM administrado, consulte Configuración del cifrado con claves administradas por el cliente almacenadas en HSM administrado de Azure Key Vault.

Nota:

Azure Key Vault y HSM administrado de Azure Key Vault admiten las mismas API e interfaces de administración para la configuración.

Configuración de un almacén de claves

Puede usar un almacén de claves nuevo o existente para almacenar las claves administradas por el cliente. La cuenta de almacenamiento y el almacén de claves pueden estar en distintas regiones o suscripciones del mismo inquilino. Para más información sobre Azure Key Vault, consulte Introducción a Azure Key Vault y ¿Qué es Azure Key Vault?

El uso de claves administradas del cliente con el cifrado de Azure Storage requiere la eliminación temporal y la protección de purga estén habilitadas en el almacén de claves. La eliminación temporal está habilitada de manera predeterminada al crear un almacén de claves y no se puede deshabilitar. Puede habilitar la protección de purga cuando cree el almacén de claves o después de crearlo.

Para obtener información sobre cómo crear un almacén de claves con Azure Portal, consulte Inicio rápido: Creación de un almacén de claves mediante Azure Portal. Al crear el almacén de claves, seleccione Habilitar protección de purga, como se muestra en la siguiente imagen.

Screenshot showing how to enable purge protection when creating a key vault

Para habilitar la protección de purga en un almacén de claves existente, siga estos pasos:

Vaya al almacén de claves en Azure Portal.
En Configuración, elija Propiedades.
En la sección Protección de purga, elija Habilitar protección de purga.

Para crear un nuevo almacén de claves con PowerShell, instale la versión 2.0.0 o posterior del módulo Az.KeyVault de PowerShell. Luego llame a New-AzKeyVault para crear un nuevo almacén de claves. Con la versión 2.0.0 y posteriores del módulo Az.KeyVault, la eliminación temporal está habilitada de forma predeterminada cuando se crea un nuevo almacén de claves.

En el ejemplo siguiente se crea un nuevo almacén de claves con la eliminación temporal y la protección de purga habilitadas. No olvide reemplazar los valores del marcador de posición entre corchetes con sus propios valores.

$keyVault = New-AzKeyVault -Name <key-vault> `
    -ResourceGroupName <resource_group> `
    -Location <location> `
    -EnablePurgeProtection

Para más información sobre cómo habilitar la protección de purga en un almacén de claves existente con PowerShell, consulte Introducción a la recuperación de Azure Key Vault.

Para crear un nuevo almacén de claves con la CLI de Azure, llame al comando az keyvault create. No olvide reemplazar los valores del marcador de posición entre corchetes con sus propios valores:

az keyvault create \
    --name <key-vault> \
    --resource-group <resource_group> \
    --location <region> \
    --enable-purge-protection

Para más información sobre cómo habilitar la protección de purga en un almacén de claves existente con la CLI de Azure, consulte Introducción a la recuperación de Azure Key Vault.

Adición de una clave

A continuación, agregue una clave al almacén de claves.

El cifrado de Azure Storage admite claves RSA y RSA-HSM de los tamaños 2048, 3072 y 4096. Para más información sobre los tipos de clave admitidos, consulte Acerca de las claves.

Para obtener información sobre cómo agregar una clave con Azure Portal, consulte Inicio rápido: Establecimiento y recuperación de una clave de Azure Key Vault mediante Azure Portal.

Para agregar una clave con PowerShell, llame a Add-AzKeyVaultKey. Recuerde reemplazar los valores de marcador de posición entre corchetes por sus propios valores y usar las variables definidas en los ejemplos anteriores.

$key = Add-AzKeyVaultKey -VaultName $keyVault.VaultName `
    -Name <key> `
    -Destination 'Software'

Para agregar una clave con la CLI de Azure, llame a az keyvault key create. No olvide reemplazar los valores del marcador de posición entre corchetes con sus propios valores.

az keyvault key create \
    --name <key> \
    --vault-name <key-vault>

Elección de una identidad administrada para autorizar el acceso al almacén de claves

Al habilitar las claves administradas por el cliente para una cuenta de almacenamiento, debe especificar una identidad administrada que se usará para autorizar el acceso al almacén de claves que contiene la clave. La identidad administrada debe tener permisos para acceder a la clave del almacén de claves.

La identidad administrada que autoriza el acceso al almacén de claves puede ser una identidad administrada asignada por el usuario o por el sistema, en función de su escenario:

Si configura claves administradas por el cliente cuando crea una cuenta de almacenamiento, debe especificar una identidad administrada asignada por el usuario.
Si configura claves administradas por el cliente en una cuenta de almacenamiento existente, puede especificar una identidad administrada asignada por el usuario o una asignada por el sistema.

Para más información sobre los tipos de identidad administrada asignada por el sistema y asignada por el usuario, consulte Tipos de identidad administrada.

Uso de una identidad administrada asignada por el usuario para autorizar el acceso

Una identidad administrada asignada por el usuario es un recurso de Azure independiente. Para más información sobre cómo crear y administrar una identidad administrada asignada por el usuario, consulte Administración de identidades administradas asignadas por el usuario.

Tanto las cuentas de almacenamiento nuevas como las existentes pueden usar una identidad asignada por el usuario para autorizar el acceso al almacén de claves. Debe crear la identidad asignada por el usuario antes de configurar las claves administradas por el cliente.

Al configurar las claves administradas por el cliente con Azure Portal, puede seleccionar una identidad asignada por el usuario existente mediante la interfaz de usuario del portal. Para obtener información detallada, consulte una de las secciones siguientes:

Configuración de claves administradas por el cliente para una nueva cuenta
Configuración de claves administradas por el cliente para una cuenta existente

Para autorizar el acceso al almacén de claves con una identidad administrada asignada por el usuario, necesitará el identificador de recurso y el de entidad de seguridad de la identidad administrada asignada por el usuario. Llame a Get-AzUserAssignedIdentity para obtener la identidad administrada asignada por el usuario y, después, guarde el identificador de recurso y el de entidad de seguridad en variables. Necesitará estos valores en los pasos siguientes:

$userIdentityId = Get-AzUserAssignedIdentity -Name <user-assigned-identity> -ResourceGroupName <resource-group>
$principalId = $userIdentity.PrincipalId

Para autorizar el acceso al almacén de claves con una identidad administrada asignada por el usuario, necesitará el identificador de recurso y el de entidad de seguridad de la identidad administrada asignada por el usuario. Llame al comando az identity show para obtener la identidad administrada asignada por el usuario y, después, guarde el identificador de recurso y el de entidad de seguridad en variables. Necesitará estos valores en los pasos siguientes:

userIdentityId=$(az identity show --name sample-user-assigned-identity --resource-group storagesamples-rg --query id)
principalId=$(az identity show --name sample-user-assigned-identity --resource-group storagesamples-rg --query principalId)

Uso de una identidad administrada asignada por el sistema para autorizar el acceso

Una identidad administrada asignada por el sistema está asociada a una instancia de un servicio de Azure, en este caso una cuenta de Azure Storage. Debe asignar explícitamente una identidad administrada asignada por el sistema a una cuenta de almacenamiento para poder usar la identidad administrada asignada por el sistema para autorizar el acceso al almacén de claves que contiene la clave administrada por el cliente.

Solo las cuentas de almacenamiento existentes pueden usar una identidad asignada por el sistema para autorizar el acceso al almacén de claves. Las nuevas cuentas de almacenamiento deben usar una identidad asignada por el usuario si las claves administradas por el cliente se configuran durante la creación de las cuentas.

Cuando configura claves administradas por el cliente con Azure Portal con una identidad administrada asignada por el sistema, esta se asigna en segundo plano a la cuenta de almacenamiento. Para más información, consulte Configuración de claves administradas por el cliente para una cuenta existente.

Para asignar una identidad administrada asignada por el sistema a la cuenta de almacenamiento, llame a Set-AzStorageAccount:

$storageAccount = Set-AzStorageAccount -ResourceGroupName <resource_group> `
    -Name <storage-account> `
    -AssignIdentity

A continuación, obtenga el identificador de entidad de seguridad de la identidad administrada asignada por el sistema y guárdelo en una variable. Necesitará este valor en el paso siguiente para crear la directiva de acceso al almacén de claves:

$principalId = $storageAccount.Identity.PrincipalId

Para autenticar el acceso al almacén de claves con una identidad administrada asignada por el sistema, asigne esta identidad a la cuenta de almacenamiento mediante una llamada a az storage account update:

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --assign-identity

principalId = $(az storage account show --name <storage-account> --resource-group <resource_group> --query identity.principalId)

Configuración de la directiva de acceso del almacén de claves

El siguiente paso es configurar la directiva de acceso al almacén de claves. La directiva de acceso al almacén de claves concede permisos a la identidad administrada que se usará para autorizar el acceso al almacén de claves. Para más información sobre las directivas de acceso al almacén de claves, consulte Introducción a Azure Key Vault e Introducción a la seguridad de Azure Key Vault.

Para aprender a configurar la directiva de acceso al almacén de claves con Azure Portal, consulte Asignación de una directiva de acceso de Azure Key Vault.

Para configurar la directiva de acceso al almacén de claves con PowerShell, llame a Set-AzKeyVaultAccessPolicy, proporcionando la variable para el identificador de la entidad de seguridad que ha recuperado anteriormente para la identidad administrada.

Set-AzKeyVaultAccessPolicy `
    -VaultName $keyVault.VaultName `
    -ObjectId $principalId `
    -PermissionsToKeys wrapkey,unwrapkey,get

Para más información sobre cómo asignar la directiva de acceso al almacén de claves con PowerShell, consulte Asignación de una directiva de acceso de Azure Key Vault.

Para configurar la directiva de acceso al almacén de claves con PowerShell, llame a az keyvault set-policy, proporcionando la variable para el identificador de la entidad de seguridad que ha recuperado anteriormente para la identidad administrada.

az keyvault set-policy \
    --name <key-vault> \
    --resource-group <resource_group>
    --object-id $principalId \
    --key-permissions get unwrapKey wrapKey

Para más información sobre cómo asignar la directiva de acceso al almacén de claves con la CLI de Azure, consulte Asignación de una directiva de acceso de Azure Key Vault.

Configuración de claves administradas por el cliente para una nueva cuenta

Al configurar el cifrado con claves administradas por el cliente para una nueva cuenta de almacenamiento, puede optar por actualizar automáticamente la versión de la clave que se usa para el cifrado de Azure Storage siempre que haya disponible una versión nueva en el almacén de claves asociado. Como alternativa, puede especificar explícitamente la versión de la clave que se usará para el cifrado hasta que la versión de la clave se actualice manualmente.

Debe usar una identidad administrada asignada por el usuario existente para autorizar el acceso al almacén de claves al configurar las claves administradas por el cliente cuando crea la cuenta de almacenamiento. La identidad administrada asignada por el usuario debe tener los permisos adecuados para acceder al almacén de claves.

Para configurar las claves administradas por el cliente de una nueva cuenta de almacenamiento con la actualización automática de la versión de clave, siga estos pasos:

En Azure Portal, vaya a la página Cuentas de almacenamiento y seleccione el botón Crear para crear una cuenta.
Siga los pasos descritos en Crear una cuenta de almacenamiento para rellenar los campos de las pestañas Conceptos básicos, Opciones avanzadas, Redes y Protección de datos.
En la pestaña Cifrado, indique para qué servicios desea habilitar la compatibilidad con las claves administradas por el cliente en el campo Enable support for customer-managed keys (Habilitar la compatibilidad con claves administradas por el cliente).
En el campo Tipo de cifrado, seleccione Claves administradas por el cliente (CMK).
En el campo Clave de cifrado, elija Seleccionar una clave y un almacén de claves, y especifique la clave y el almacén de claves.
En el campo Identidad asignada por el usuario, seleccione una identidad administrada asignada por el usuario existente.
Seleccione Revisar y crear para validar y crear la cuenta.

También puede configurar las claves administradas por el cliente con la actualización manual de las versiones de la clave cuando crea una cuenta de almacenamiento. Siga los pasos que se indican en Configuración del cifrado para la actualización manual de las versiones de la clave.

Para configurar las claves administradas por el cliente para una nueva cuenta de almacenamiento con la actualización automática de las versiones de la clave, llame a New-AzStorageAccount, como se muestra en el ejemplo siguiente. Use la variable que creó anteriormente para el identificador de recurso de la identidad administrada asignada por el usuario. También necesitará el URI del almacén de claves y el nombre de la clave:

New-AzStorageAccount -ResourceGroupName <resource-group> `
    -Name <storage-account> `
    -Kind StorageV2 `
    -SkuName Standard_LRS `
    -Location $location `
    -IdentityType SystemAssignedUserAssigned `
    -UserIdentityId $userIdentityId `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVaultUserAssignedIdentityId $userIdentityId

Para configurar las claves administradas por el cliente para una nueva cuenta de almacenamiento con la actualización automática de las versiones de la clave, llame a az storage account create, como se muestra en el ejemplo siguiente. Use la variable que creó anteriormente para el identificador de recurso de la identidad administrada asignada por el usuario. También necesitará el URI del almacén de claves y el nombre de la clave:

az storage account create \
    --name <storage-account> \
    --resource-group <resource-group> \
    --location <location> \
    --sku Standard_LRS \
    --kind StorageV2 \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id <user-assigned-managed-identity> \
    --encryption-key-vault <key-vault-uri> \
    --encryption-key-name <key-name> \
    --encryption-key-source Microsoft.Keyvault \
    --key-vault-user-identity-id <user-assigned-managed-identity>

Configuración de claves administradas por el cliente para una cuenta existente

Al configurar el cifrado con claves administradas por el cliente para una cuenta de almacenamiento existente, puede optar por actualizar automáticamente la versión de la clave que se usa para el cifrado de Azure Storage siempre que haya disponible una versión nueva en el almacén de claves asociado. Como alternativa, puede especificar explícitamente la versión de la clave que se usará para el cifrado hasta que la versión de la clave se actualice manualmente.

Puede usar una identidad administrada asignada por el sistema o por el usuario para autorizar el acceso al almacén de claves al configurar las claves administradas por el cliente para una cuenta de almacenamiento existente.

Nota:

Para rotar una clave, cree una nueva versión de la misma en Azure Key Vault. Azure Storage no controla la rotación de claves, por lo que deberá administrar la rotación de la clave en el almacén de claves. Puede configurar la rotación automática de claves en Azure Key Vault o rotar la clave de forma manual.

Configuración del cifrado para la actualización automática de las versiones de clave

Azure Storage puede actualizar automáticamente la clave administrada por el cliente que se usa para el cifrado, de modo que se use la versión más reciente de esta del almacén de claves. Azure Storage comprueba el almacén de claves diariamente para obtener una nueva versión de la clave. Cuando hay disponible una versión nueva, Azure Storage empieza automáticamente a usar la versión más reciente de la clave para el cifrado.

Importante

Azure Storage comprueba solo una vez al día el almacén de claves para obtener una nueva versión de la clave. Al girar una clave, asegúrese de esperar 24 horas antes de deshabilitar la versión anterior.

Para configurar las claves administradas por el cliente para una cuenta existente con la actualización automática de las versiones de la clave en Azure Portal, siga estos pasos:

Vaya a la cuenta de almacenamiento.
En la hoja Configuración de la cuenta de almacenamiento, haga clic en Cifrado. De forma predeterminada, la administración de claves está establecida en Claves administradas de Microsoft, como se muestra en la siguiente imagen.
Seleccione la opción Claves administradas de cliente.
Elija la opción Select from Key Vault (Seleccionar desde almacén de claves).
Elija Seleccione un almacén de claves y una clave.
Seleccione el almacén de claves que contiene la clave que desea usar. También puede crear un almacén de claves.
Seleccione la clave en el almacén de claves. También puede crear una clave.
Seleccione el tipo de identidad que desea usar para autenticar el acceso al almacén de claves. Las opciones incluyen Asignada por el sistema (el valor predeterminado) o Asignada por el usuario. Para más información sobre cada tipo de identidad administrada, consulte Tipos de identidad administrada.
1. Si selecciona Asignada por el sistema, la identidad administrada asignada por el sistema para la cuenta de almacenamiento se crea en segundo plano, si es que todavía no existe.
2. Si selecciona Asignada por el usuario, debe seleccionar una identidad existente asignada por el usuario que tenga permisos para acceder al almacén de claves. Para aprender a crear una identidad asignada por el usuario, consulte Administración de identidades administradas asignadas por el usuario.
Guarde los cambios.

Después de especificar la clave, Azure Portal indica que está habilitada la actualización automática de la versión de la clave y muestra la versión de la clave actualmente en uso para el cifrado. El portal también muestra el tipo de identidad administrada que se usa para autorizar el acceso al almacén de claves y el identificador de entidad de seguridad de la identidad administrada.

Screenshot showing automatic updating of the key version enabled

Para configurar las claves administradas por el cliente para una cuenta existente con la actualización automática de las versiones de la clave con PowerShell, instale la versión 2.0.0 o posterior del módulo Az.Storage.

Después, para actualizar la configuración de cifrado de la cuenta de almacenamiento, llame a Set-AzStorageAccount omitiendo la versión de la clave. Incluya la opción -KeyvaultEncryption para habilitar claves administradas por el cliente para la cuenta de almacenamiento.

Set-AzStorageAccount -ResourceGroupName $storageAccount.ResourceGroupName `
    -AccountName $storageAccount.StorageAccountName `
    -KeyvaultEncryption `
    -KeyName $key.Name `
    -KeyVaultUri $keyVault.VaultUri

Para configurar las claves administradas por el cliente para una cuenta existente con la actualización automática de las versiones de la clave con la CLI de Azure, instale la versión 2.4.0 de la CLI de Azure, o cualquier versión posterior. Para más información, consulte Instalación de la CLI de Azure.

Después, para actualizar la configuración de cifrado de la cuenta de almacenamiento, llame a az storage account update omitiendo la versión de la clave. Incluya el parámetro --encryption-key-source y establézcalo en Microsoft.Keyvault para habilitar las claves administradas por el cliente para la cuenta.

key_vault_uri=$(az keyvault show \
    --name <key-vault> \
    --resource-group <resource_group> \
    --query properties.vaultUri \
    --output tsv)
az storage account update
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-name <key> \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $key_vault_uri

Configuración del cifrado para la actualización manual de las versiones de la clave

Si prefiere actualizar manualmente la versión de la clave, especifique de manera explícita la versión en el momento en que configure el cifrado con las claves administradas por el cliente. En este caso, Azure Storage no actualizará automáticamente las versiones de la clave cuando se cree una nueva versión en el almacén de claves. Para usar una nueva versión de clave, debe actualizar manualmente la versión usada para el cifrado de Azure Storage.

Para configurar las claves administradas por el cliente con la actualización manual de la versión de clave en Azure Portal, especifique el URI de la clave, incluida la versión. Para especificar una clave como URI, siga estos pasos:

Para buscar el URI de la clave en Azure Portal, vaya al almacén de claves y seleccione la opción de configuración Claves. Seleccione la clave que desee y luego haga clic en ella para ver sus versiones. Seleccione cualquiera de las versiones de clave para ver su configuración.
Copie el valor del campo Identificador de clave, que proporciona el URI.
En las opciones de Clave de cifrado de la cuenta de almacenamiento, elija la opción Escribir el URI de la clave.
Pegue el identificador URI que ha copiado en el campo URI de clave. Omita la versión de la clave en el URI para habilitar las actualizaciones automáticas de la versión de la clave.
Especifique el identificador de la suscripción que contiene el almacén de claves.
Especifique una identidad administrada asignada por el sistema o el usuario.
Guarde los cambios.

Para configurar las claves administradas por el cliente con la actualización manual de la versión de la clave, indique de manera explícita la versión de la clave al configurar el cifrado para la cuenta de almacenamiento. Llame a Set-AzStorageAccount para actualizar la configuración de cifrado de la cuenta de almacenamiento, como se muestra en el ejemplo siguiente, e incluya la opción -KeyvaultEncryption para habilitar las claves administradas por el cliente para la cuenta de almacenamiento.

Recuerde reemplazar los valores de marcador de posición entre corchetes por sus propios valores y usar las variables definidas en los ejemplos anteriores.

Set-AzStorageAccount -ResourceGroupName $storageAccount.ResourceGroupName `
    -AccountName $storageAccount.StorageAccountName `
    -KeyvaultEncryption `
    -KeyName $key.Name `
    -KeyVersion $key.Version `
    -KeyVaultUri $keyVault.VaultUri

Al actualizar manualmente la versión de la clave, deberá actualizar la configuración de cifrado de la cuenta de almacenamiento para que use la nueva versión. En primer lugar, llame a Get-AzKeyVaultKey para obtener la versión más reciente de la clave. A continuación, llame a Set-AzStorageAccount para actualizar la configuración de cifrado de la cuenta de almacenamiento y así poder usar la nueva versión de la clave, tal como se muestra en el ejemplo anterior.

Para configurar las claves administradas por el cliente con la actualización manual de la versión de la clave, indique de manera explícita la versión de la clave al configurar el cifrado para la cuenta de almacenamiento. Llame a az storage account update para actualizar la configuración de cifrado de la cuenta de almacenamiento, como se muestra en el ejemplo siguiente. Incluya el parámetro --encryption-key-source y establézcalo en Microsoft.Keyvault para habilitar las claves administradas por el cliente para la cuenta.

No olvide reemplazar los valores del marcador de posición entre corchetes con sus propios valores.

key_vault_uri=$(az keyvault show \
    --name <key-vault> \
    --resource-group <resource_group> \
    --query properties.vaultUri \
    --output tsv)
key_version=$(az keyvault key list-versions \
    --name <key> \
    --vault-name <key-vault> \
    --query [-1].kid \
    --output tsv | cut -d '/' -f 6)
az storage account update
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-name <key> \
    --encryption-key-version $key_version \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $key_vault_uri

Al actualizar manualmente la versión de la clave, deberá actualizar la configuración de cifrado de la cuenta de almacenamiento para que use la nueva versión. En primer lugar, consulte el URI del almacén de claves mediante una llamada a az keyvault show y, para la versión de la clave, llame a az keyvault key list-versions. Luego, llame a az storage account update para actualizar la configuración de cifrado de la cuenta de almacenamiento y así poder usar la nueva versión de la clave, tal como se muestra en el ejemplo anterior.

Cambio de la clave

Puede cambiar la clave que usa para el cifrado de Azure Storage en cualquier momento.

Para cambiar la clave con Azure Portal, haga lo siguiente:

Vaya a la cuenta de almacenamiento y muestre las opciones de configuración de cifrado.
Seleccione el almacén de claves y elija una clave nueva.
Guarde los cambios.

Revocación de claves administradas por el cliente

La revocación de una clave administrada por el cliente quita la asociación entre la cuenta de almacenamiento y el almacén de claves.

Para revocar las claves administradas por el cliente con Azure Portal, deshabilite la clave tal y como se describe en Deshabilitación de claves administradas por el cliente.

Para revocar las claves administradas por el cliente, quite la directiva de acceso del almacén de claves. Para revocar una clave administrada por el cliente con PowerShell, llame al comando Remove-AzKeyVaultAccessPolicy, como se muestra en el siguiente ejemplo. Recuerde reemplazar los valores de marcador de posición entre corchetes por sus propios valores y usar las variables definidas en los ejemplos anteriores.

Remove-AzKeyVaultAccessPolicy -VaultName $keyVault.VaultName `
    -ObjectId $storageAccount.Identity.PrincipalId `

Para revocar las claves administradas por el cliente, quite la directiva de acceso del almacén de claves. Para revocar una clave administrada por el cliente con la CLI de Azure, llame al comando az keyvault delete-policy, como se muestra en el siguiente ejemplo. Recuerde reemplazar los valores de marcador de posición entre corchetes por sus propios valores y usar las variables definidas en los ejemplos anteriores.

az keyvault delete-policy \
    --name <key-vault> \
    --object-id $storage_account_principal

Deshabilitación de claves administradas por el cliente

Cuando las claves administradas por el cliente se deshabilitan, la cuenta de almacenamiento se vuelve a cifrar con claves administradas por Microsoft.

Para deshabilitar claves administradas del cliente en Azure Portal, siga estos pasos:

Vaya a la cuenta de almacenamiento y muestre las opciones de configuración de cifrado.
Anule la selección de la casilla que se encuentra junto al valor Usar su propia clave.

Para deshabilitar las claves administradas por el cliente con PowerShell, llame a Set-AzStorageAccount con la opción -StorageEncryption en, tal y como se muestra en el ejemplo siguiente. Recuerde reemplazar los valores de marcador de posición entre corchetes por sus propios valores y usar las variables definidas en los ejemplos anteriores.

Set-AzStorageAccount -ResourceGroupName $storageAccount.ResourceGroupName `
    -AccountName $storageAccount.StorageAccountName `
    -StorageEncryption

Para deshabilitar las claves administradas por el cliente con la CLI de Azure, llame az storage account update y establezca el --encryption-key-source parameter en Microsoft.Storage, tal y como se muestra en el ejemplo siguiente. Recuerde reemplazar los valores de marcador de posición entre corchetes por sus propios valores y usar las variables definidas en los ejemplos anteriores.

az storage account update
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-source Microsoft.Storage