Titkosítási hatókörök létrehozása és kezelése

A titkosítási hatókörök lehetővé teszik a titkosítás egyéni blob vagy tároló szintjén történő kezelését. Titkosítási hatókörökkel biztonságos határokat hozhat létre az ugyanazon tárfiókban található, de különböző ügyfelekhez tartozó adatok között. A titkosítási hatókörökről további információt a Blob Storage titkosítási hatókörei című témakörben talál.

Ez a cikk bemutatja, hogyan hozhat létre titkosítási hatókört. Azt is bemutatja, hogyan adhat meg titkosítási hatókört blob vagy tároló létrehozásakor.

Titkosítási hatókör létrehozása

Létrehozhat olyan titkosítási hatókört, amely Microsoft által felügyelt kulccsal vagy ügyfél által felügyelt kulccsal van védve, amelyet egy Azure Key Vaultban vagy egy Azure Key Vault felügyelt hardveres biztonsági modellben (HSM) tárol. Ha ügyfél által felügyelt kulccsal szeretne titkosítási hatókört létrehozni, először létre kell hoznia egy kulcstartót vagy egy felügyelt HSM-et, és hozzá kell adnia a hatókörhöz használni kívánt kulcsot. A kulcstartónak vagy a felügyelt HSM-nek engedélyeznie kell a kiürítés elleni védelmet.

A tárfiók és a kulcstartó lehet ugyanabban a bérlőben vagy különböző bérlőkben. Mindkét esetben a tárfiók és a kulcstartó különböző régiókban lehet.

A titkosítási hatókör létrehozásakor a rendszer automatikusan engedélyezi a titkosítási hatókört. A titkosítási hatókör létrehozása után megadhatja azt egy blob létrehozásakor. A tároló létrehozásakor megadhat egy alapértelmezett titkosítási hatókört is, amely automatikusan vonatkozik a tárolóban lévő összes blobra.

Titkosítási hatókör konfigurálásakor a számlázás legalább egy hónapig (30 napig) történik. Az első hónap után a titkosítási hatókör díjait óránként számítjuk fel. További információ: Titkosítási hatókörök számlázása.

Portal

Titkosítási hatókör létrehozásához kövesse az alábbi lépéseket az Azure Portalon:

1. Az Azure Portalon nyissa meg a tárfiókot.

2. A Biztonság + hálózatkezelés területen válassza a Titkosítás lehetőséget.

3. Válassza a Titkosítási hatókörök lapot.

4. Új titkosítási hatókör hozzáadásához kattintson a Hozzáadás gombra.

5. A Titkosítási hatókör létrehozása panelen adja meg az új hatókör nevét.

6. Válassza ki a kívánt titkosítási kulcstámogatási típust, akár a Microsoft által felügyelt, akár az ügyfél által felügyelt kulcsokat.

   • Ha a Microsoft által felügyelt kulcsokat választotta, kattintson a Létrehozás gombra a titkosítási hatókör létrehozásához.
   • Ha ügyfél által felügyelt kulcsokat választott, válassza ki az előfizetést, és adjon meg egy kulcstartót és egy kulcsot, amelyet ehhez a titkosítási hatókörhöz szeretne használni. Ha a kívánt kulcstartó egy másik régióban található, válassza az Enter key URI(kulcs URI ) lehetőséget, és adja meg a kulcs URI-jának megadását.

7. Ha az infrastruktúra-titkosítás engedélyezve van a tárfiókhoz, akkor az automatikusan engedélyezve lesz az új titkosítási hatókörhöz. Ellenkező esetben eldöntheti, hogy engedélyezi-e az infrastruktúra-titkosítást a titkosítási hatókörhöz.

   

PowerShell

Ha a PowerShell használatával szeretne titkosítási hatókört létrehozni, telepítse az Az.Storage PowerShell-modul 3.4.0-s vagy újabb verzióját.

A Microsoft által felügyelt kulcsokkal védett titkosítási hatókör létrehozása

A Microsoft által felügyelt kulcsokkal védett titkosítási hatókör létrehozásához hívja meg a New-AzStorageEncryptionScope parancsot a -StorageEncryption paraméterrel.

Ha az infrastruktúra-titkosítás engedélyezve van a tárfiókhoz, akkor az automatikusan engedélyezve lesz az új titkosítási hatókörhöz. Ellenkező esetben eldöntheti, hogy engedélyezi-e az infrastruktúra-titkosítást a titkosítási hatókörhöz. Az új hatókör létrehozásához engedélyezze az infrastruktúra-titkosítást, adja meg a paramétert -RequireInfrastructureEncryption .

Ne felejtse el lecserélni a példában szereplő helyőrző értékeket a saját értékeire:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$scopeName = "<encryption-scope>"

New-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName1 `
    -StorageEncryption

Ügyfél által felügyelt kulcsokkal védett titkosítási hatókör létrehozása ugyanabban a bérlőben

Ha olyan titkosítási hatókört szeretne létrehozni, amelyet egy kulcstartóban vagy felügyelt HSM-ben tárolt, ügyfél által felügyelt kulcsok védenek, amely ugyanabban a bérlőben található, mint a tárfiók, először konfigurálja az ügyfél által felügyelt kulcsokat a tárfiókhoz. Felügyelt identitást kell hozzárendelnie ahhoz a tárfiókhoz, amely rendelkezik hozzáféréssel a kulcstartóhoz. A felügyelt identitás lehet felhasználó által hozzárendelt felügyelt identitás vagy rendszer által hozzárendelt felügyelt identitás. Az ügyfél által felügyelt kulcsok konfigurálásával kapcsolatos további információkért lásd : Ügyfél által felügyelt kulcsok konfigurálása ugyanabban a bérlőben egy meglévő tárfiókhoz.

Ha a felügyelt identitásnak engedélyt szeretne adni a kulcstartó eléréséhez, rendelje hozzá a Key Vault titkosítási szolgáltatás titkosítási felhasználói szerepkörét a felügyelt identitáshoz.

Az ügyfél által felügyelt kulcsok titkosítási hatókörrel való konfigurálásához engedélyezni kell a törlés elleni védelmet a kulcstartóban vagy a felügyelt HSM-ben.

Az alábbi példa bemutatja, hogyan konfigurálhat titkosítási hatókört egy rendszer által hozzárendelt felügyelt identitással. Ne felejtse el lecserélni a példában szereplő helyőrző értékeket a saját értékeire:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$keyVaultName = "<key-vault>"
$scopeName = "<encryption-scope>"

# Assign a system-assigned managed identity to the storage account.
$storageAccount = Set-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -AssignIdentity

# Assign the necessary permissions to the managed identity 
# so that it can access the key vault.
$principalId = $storageAccount.Identity.PrincipalId
$keyVault = Get-AzKeyVault $keyVaultName

New-AzRoleAssignment -ObjectId $storageAccount.Identity.PrincipalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

Ezután hívja meg a New-AzStorageEncryptionScope parancsot a -KeyvaultEncryption paraméterrel, és adja meg a kulcs URI-ját. A kulcsverziót a kulcs URI-ján nem kötelező megadni. Ha kihagyja a kulcsverziót, a titkosítási hatókör automatikusan a legújabb kulcsverziót használja. Ha a kulcsverziót is tartalmazza, manuálisan kell frissítenie a kulcsverziót egy másik verzió használatához.

A kulcs URI formátuma hasonló az alábbi példákhoz, és a kulcstartó VaultUri tulajdonságából és a kulcs nevéből állítható össze:

# Without the key version
https://<key-vault>.vault.azure.net/keys/<key>

# With the key version
https://<key-vault>.vault.azure.net/keys/<key>/<version>

Ha az infrastruktúra-titkosítás engedélyezve van a tárfiókhoz, akkor az automatikusan engedélyezve lesz az új titkosítási hatókörhöz. Ellenkező esetben eldöntheti, hogy engedélyezi-e az infrastruktúra-titkosítást a titkosítási hatókörhöz. Az új hatókör létrehozásához engedélyezze az infrastruktúra-titkosítást, adja meg a paramétert -RequireInfrastructureEncryption .

Ne felejtse el lecserélni a példában szereplő helyőrző értékeket a saját értékeire:

$keyUri = $keyVault.VaultUri + "keys/" + $keyName

New-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName `
    -KeyUri $keyUri `
    -KeyvaultEncryption

Ügyfél által felügyelt kulcsokkal védett titkosítási hatókör létrehozása egy másik bérlőben

Ha olyan titkosítási hatókört szeretne létrehozni, amelyet a tárfióktól eltérő bérlőben lévő kulcstartóban vagy felügyelt HSM-ben tárolt ügyfél által felügyelt kulcsok védenek, először konfigurálja az ügyfél által felügyelt kulcsokat a tárfiókhoz. Konfigurálnia kell egy felhasználó által hozzárendelt felügyelt identitást ahhoz a tárfiókhoz, amely engedéllyel rendelkezik a kulcstartó elérésére a másik bérlőben. A bérlők közötti ügyfél által felügyelt kulcsok konfigurálásáról további információt a bérlők közötti, ügyfél által felügyelt kulcsok konfigurálása meglévő tárfiókhoz című témakörben talál.

Az ügyfél által felügyelt kulcsok titkosítási hatókörrel való konfigurálásához engedélyezni kell a törlés elleni védelmet a kulcstartóban vagy a felügyelt HSM-ben.

Miután konfigurálta a bérlők közötti ügyfél által felügyelt kulcsokat a tárfiókhoz, létrehozhat egy titkosítási hatókört a tárfiókon az egyik bérlőben, amely a másik bérlő kulcstartójának kulcsára van korlátozva. A bérlők közötti titkosítási hatókör létrehozásához a kulcs URI-jára lesz szüksége.

Ne felejtse el lecserélni a példában szereplő helyőrző értékeket a saját értékeire:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$scopeName = "<encryption-scope>"

# Construct the key URI from the key vault URI and key name.
$keyUri = $kvUri + "keys/" + $keyName

New-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName `
    -KeyUri $keyUri `
    -KeyvaultEncryption

Azure CLI

Az Azure CLI-vel történő titkosítási hatókör létrehozásához először telepítse az Azure CLI 2.20.0-s vagy újabb verzióját.

A Microsoft által felügyelt kulcsokkal védett titkosítási hatókör létrehozása

A Microsoft által felügyelt kulcsokkal védett titkosítási hatókör létrehozásához hívja meg az az storage account encryption-scope create parancsot, és adja meg a --key-source paramétert.Microsoft.Storage

Ha az infrastruktúra-titkosítás engedélyezve van a tárfiókhoz, akkor az automatikusan engedélyezve lesz az új titkosítási hatókörhöz. Ellenkező esetben eldöntheti, hogy engedélyezi-e az infrastruktúra-titkosítást a titkosítási hatókörhöz. Ha az új hatókört engedélyezve szeretné létrehozni az infrastruktúra-titkosítást, adja meg a --require-infrastructure-encryption paramétert, és állítsa az értékét a következőre true: .

Ne felejtse el lecserélni a helyőrző értékeket a saját értékeire:

az storage account encryption-scope create \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.Storage

Ügyfél által felügyelt kulcsokkal védett titkosítási hatókör létrehozása ugyanabban a bérlőben

Ha olyan titkosítási hatókört szeretne létrehozni, amelyet egy kulcstartóban vagy felügyelt HSM-ben tárolt, ügyfél által felügyelt kulcsok védenek, amely ugyanabban a bérlőben található, mint a tárfiók, először konfigurálja az ügyfél által felügyelt kulcsokat a tárfiókhoz. Felügyelt identitást kell hozzárendelnie ahhoz a tárfiókhoz, amely rendelkezik hozzáféréssel a kulcstartóhoz. A felügyelt identitás lehet felhasználó által hozzárendelt felügyelt identitás vagy rendszer által hozzárendelt felügyelt identitás. Az ügyfél által felügyelt kulcsok konfigurálásával kapcsolatos további információkért lásd : Ügyfél által felügyelt kulcsok konfigurálása ugyanabban a bérlőben egy meglévő tárfiókhoz.

Ha a felügyelt identitásnak engedélyt szeretne adni a kulcstartó eléréséhez, rendelje hozzá a Key Vault titkosítási szolgáltatás titkosítási felhasználói szerepkörét a felügyelt identitáshoz.

Az ügyfél által felügyelt kulcsok titkosítási hatókörrel való konfigurálásához engedélyezni kell a törlés elleni védelmet a kulcstartóban vagy a felügyelt HSM-ben.

Az alábbi példa bemutatja, hogyan konfigurálhat titkosítási hatókört egy rendszer által hozzárendelt felügyelt identitással. Ne felejtse el lecserélni a példában szereplő helyőrző értékeket a saját értékeire:

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --assign-identity

principalId=$(az storage account show --name <storage-account> \
    --resource-group <resource_group> \
    --query identity.principalId \
    --output tsv)

$kvResourceId=$(az keyvault show \
    --resource-group <resource-group> \
    --name <key-vault> \
    --query id \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId

Ezután hívja meg az az storage account encryption-scope parancsot a --key-uri paraméterrel, és adja meg a kulcs URI-ját. A kulcsverziót a kulcs URI-ján nem kötelező megadni. Ha kihagyja a kulcsverziót, a titkosítási hatókör automatikusan a legújabb kulcsverziót használja. Ha a kulcsverziót is tartalmazza, manuálisan kell frissítenie a kulcsverziót egy másik verzió használatához.

A kulcs URI formátuma hasonló az alábbi példákhoz, és a kulcstartó VaultUri tulajdonságából és a kulcs nevéből állítható össze:

# Without the key version
https://<key-vault>.vault.azure.net/keys/<key>

# With the key version
https://<key-vault>.vault.azure.net/keys/<key>/<version>

Ha az infrastruktúra-titkosítás engedélyezve van a tárfiókhoz, akkor az automatikusan engedélyezve lesz az új titkosítási hatókörhöz. Ellenkező esetben eldöntheti, hogy engedélyezi-e az infrastruktúra-titkosítást a titkosítási hatókörhöz. Ha az új hatókört engedélyezve szeretné létrehozni az infrastruktúra-titkosítást, adja meg a --require-infrastructure-encryption paramétert, és állítsa az értékét a következőre true: .

Ne felejtse el lecserélni a példában szereplő helyőrző értékeket a saját értékeire:

az storage account encryption-scope create \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.KeyVault \
    --key-uri <key-uri>

Ügyfél által felügyelt kulcsokkal védett titkosítási hatókör létrehozása egy másik bérlőben

Ha olyan titkosítási hatókört szeretne létrehozni, amelyet a tárfióktól eltérő bérlőben lévő kulcstartóban vagy felügyelt HSM-ben tárolt ügyfél által felügyelt kulcsok védenek, először konfigurálja az ügyfél által felügyelt kulcsokat a tárfiókhoz. Konfigurálnia kell egy felhasználó által hozzárendelt felügyelt identitást ahhoz a tárfiókhoz, amely engedéllyel rendelkezik a kulcstartó elérésére a másik bérlőben. A bérlők közötti ügyfél által felügyelt kulcsok konfigurálásáról további információt a bérlők közötti, ügyfél által felügyelt kulcsok konfigurálása meglévő tárfiókhoz című témakörben talál.

Az ügyfél által felügyelt kulcsok titkosítási hatókörrel való konfigurálásához engedélyezni kell a törlés elleni védelmet a kulcstartóban vagy a felügyelt HSM-ben.

Miután konfigurálta a bérlők közötti ügyfél által felügyelt kulcsokat a tárfiókhoz, létrehozhat egy titkosítási hatókört a tárfiókon az egyik bérlőben, amely a másik bérlő kulcstartójának kulcsára van korlátozva. A bérlők közötti titkosítási hatókör létrehozásához a kulcs URI-jára lesz szüksége.

Ne felejtse el lecserélni a példában szereplő helyőrző értékeket a saját értékeire:

az storage account encryption-scope create \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.KeyVault \
    --key-uri <key-uri>

Tárfiók titkosítási hatóköreinek listázása

Portal

Ha meg szeretné tekinteni egy tárfiók titkosítási hatóköreit az Azure Portalon, keresse meg a tárfiók Titkosítási hatókörök beállítását. Ezen a panelen engedélyezheti vagy letilthatja a titkosítási hatókört, vagy módosíthatja a titkosítási hatókör kulcsát.

Ha meg szeretné tekinteni egy ügyfél által felügyelt kulcs részleteit, beleértve a kulcs URI-jának és verziójának részleteit, valamint azt, hogy a kulcsverzió automatikusan frissül-e, kövesse a Kulcs oszlopban található hivatkozást.

PowerShell

Ha a PowerShell-lel szeretné listázni a tárfiókok titkosítási hatóköreit, hívja meg a Get-AzStorageEncryptionScope parancsot. Ne felejtse el lecserélni a példában szereplő helyőrző értékeket a saját értékeire:

Get-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName

Ha egy erőforráscsoport összes titkosítási hatókörét tárfiókok szerint szeretné listázni, használja a folyamat szintaxisát:

Get-AzStorageAccount -ResourceGroupName $rgName | Get-AzStorageEncryptionScope

Azure CLI

A tárfiókok azure CLI-vel elérhető titkosítási hatóköreinek listázásához hívja meg az az storage account encryption-scope list parancsot. Ne felejtse el lecserélni a példában szereplő helyőrző értékeket a saját értékeire:

az storage account encryption-scope list \
    --account-name <storage-account> \
    --resource-group <resource-group>

Tároló létrehozása alapértelmezett titkosítási hatókörrel

Tároló létrehozásakor megadhat egy alapértelmezett titkosítási hatókört. A tárolóban lévő blobok alapértelmezés szerint ezt a hatókört használják.

Az egyes blobok saját titkosítási hatókörrel hozhatók létre, kivéve, ha a tároló úgy van konfigurálva, hogy az összes blob az alapértelmezett hatókört használja. További információ: Tárolók és blobok titkosítási hatókörei.

Portal

Ha alapértelmezett titkosítási hatókörrel rendelkező tárolót szeretne létrehozni az Azure Portalon, először hozza létre a titkosítási hatókört a Titkosítási hatókör létrehozása című szakaszban leírtak szerint. Ezután kövesse az alábbi lépéseket a tároló létrehozásához:

1. Lépjen a tárfiók tárolóinak listájára, és a Tároló létrehozásához kattintson a Hozzáadás gombra.

2. Bontsa ki a Speciális beállításokat az Új tároló panelen.

3. A Titkosítási hatókör legördülő listában válassza ki a tároló alapértelmezett titkosítási hatókörét.

4. Ha azt szeretné, hogy a tároló összes blobja az alapértelmezett titkosítási hatókört használja, jelölje be a jelölőnégyzetet a tárolóban lévő összes blob esetében a titkosítási hatókör használatához. Ha ez a jelölőnégyzet be van jelölve, akkor a tárolóban lévő egyes blobok nem bírálhatják felül az alapértelmezett titkosítási hatókört.

   

PowerShell

Ha alapértelmezett titkosítási hatókörrel rendelkező tárolót szeretne létrehozni a PowerShell használatával, hívja meg a New-AzStorageContainer parancsot, és adja meg a paraméter hatókörét -DefaultEncryptionScope . Ha egy tárolóban lévő összes blobot a tároló alapértelmezett hatókörének használatára szeretné kényszeríteni, állítsa a paramétert a -PreventEncryptionScopeOverride következőre true: .

$containerName1 = "container1"
$ctx = New-AzStorageContext -StorageAccountName $accountName -UseConnectedAccount

# Create a container with a default encryption scope that cannot be overridden.
New-AzStorageContainer -Name $containerName1 `
    -Context $ctx `
    -DefaultEncryptionScope $scopeName1 `
    -PreventEncryptionScopeOverride $true

Azure CLI

Ha alapértelmezett titkosítási hatókörrel rendelkező tárolót szeretne létrehozni az Azure CLI-vel, hívja meg az az storage container create parancsot, és adja meg a paraméter hatókörét --default-encryption-scope . Ha egy tárolóban lévő összes blobot a tároló alapértelmezett hatókörének használatára szeretné kényszeríteni, állítsa a paramétert a --prevent-encryption-scope-override következőre true: .

Az alábbi példa a Microsoft Entra-fiókjával engedélyezi a műveletet a tároló létrehozásához. A fiók hozzáférési kulcsát is használhatja. További információ: Blob- vagy üzenetsoradatokhoz való hozzáférés engedélyezése az Azure CLI-vel.

az storage container create \
    --account-name <storage-account> \
    --resource-group <resource-group> \
    --name <container> \
    --default-encryption-scope <encryption-scope> \
    --prevent-encryption-scope-override true \
    --auth-mode login

Ha egy ügyfél egy alapértelmezett titkosítási hatókörrel rendelkező tárolóba való feltöltéskor megkísérli megadni a hatókört, és a tároló úgy van konfigurálva, hogy megakadályozza, hogy a blobok felülírják az alapértelmezett hatókört, a művelet meghiúsul egy üzenettel, amely jelzi, hogy a kérést a tárolótitkosítási szabályzat tiltja.

Blob feltöltése titkosítási hatókörrel

Blob feltöltésekor megadhatja az adott blob titkosítási hatókörét, vagy használhatja a tároló alapértelmezett titkosítási hatókörét, ha van megadva.

Megjegyzés:

Amikor egy titkosítási hatókörrel rendelkező új blobot tölt fel, nem módosíthatja az adott blob alapértelmezett hozzáférési szintjét. A titkosítási hatókört használó meglévő blobok hozzáférési szintjét sem módosíthatja. A hozzáférési szintekről további információt a blobadatok gyakori elérésű, ritka elérésű és archív hozzáférési szintjeiben talál.

Portal

Ha egy titkosítási hatókörrel rendelkező blobot szeretne feltölteni az Azure Portalon, először hozza létre a titkosítási hatókört a Titkosítási hatókör létrehozása című szakaszban leírtak szerint. Ezután kövesse az alábbi lépéseket a blob létrehozásához:

1. Lépjen arra a tárolóra, ahová fel szeretné tölteni a blobot.

2. Válassza a Feltöltés gombot, és keresse meg a feltölteni kívánt blobot.

3. Bontsa ki a Speciális beállításokat a Blob feltöltése panelen.

4. Keresse meg a Titkosítási hatókör legördülő szakaszt. Alapértelmezés szerint a blob a tároló alapértelmezett titkosítási hatókörével jön létre, ha van megadva. Ha a tároló megköveteli, hogy a blobok az alapértelmezett titkosítási hatókört használják, ez a szakasz le van tiltva.

5. Ha másik hatókört szeretne megadni a feltöltendő blobhoz, válassza a Meglévő hatókör kiválasztása lehetőséget, majd válassza ki a kívánt hatókört a legördülő menüből.

   

PowerShell

Ha egy titkosítási hatókörrel rendelkező blobot szeretne feltölteni a PowerShell-en keresztül, hívja meg a Set-AzStorageBlobContent parancsot, és adja meg a blob titkosítási hatókörét.

$containerName2 = "container2"
$localSrcFile = "C:\temp\helloworld.txt"
$ctx = New-AzStorageContext -StorageAccountName $accountName -UseConnectedAccount

# Create a container with no default scope defined.
New-AzStorageContainer -Name $containerName2 -Context $ctx

# Upload a block upload with an encryption scope specified.
Set-AzStorageBlobContent -Context $ctx `
    -Container $containerName2 `
    -File $localSrcFile `
    -Blob "helloworld.txt" `
    -BlobType Block `
    -EncryptionScope $scopeName2

Azure CLI

Ha egy titkosítási hatókörrel rendelkező blobot szeretne feltölteni az Azure CLI-vel, hívja meg az az storage blob upload parancsot, és adja meg a blob titkosítási hatókörét.

Ha Azure Cloud Shellt használ, kövesse a Blob feltöltése című cikkben leírt lépéseket egy fájl gyökérkönyvtárban való létrehozásához. Ezután feltöltheti ezt a fájlt egy blobba az alábbi mintával.

az storage blob upload \
    --account-name <storage-account> \
    --container-name <container> \
    --file <file> \
    --name <file> \
    --encryption-scope <encryption-scope>

Hatókör titkosítási kulcsának módosítása

Ha módosítani szeretné a titkosítási hatókört a Microsoft által felügyelt kulcsról ügyfél által felügyelt kulcsra, először győződjön meg arról, hogy engedélyezte az ügyfél által felügyelt kulcsokat az Azure Key Vault vagy a Key Vault HSM használatával a tárfiókhoz. További információ: Titkosítás konfigurálása az Azure Key Vaultban tárolt ügyfél által felügyelt kulcsokkal vagy a titkosítás konfigurálása az Azure Key Vaultban tárolt ügyfél által felügyelt kulcsokkal.

Portal

A hatóköröket az Azure Portalon védő kulcs módosításához kövesse az alábbi lépéseket:

1. Lépjen a Titkosítási hatókörök lapra a tárfiók titkosítási hatóköreinek listájának megtekintéséhez.
2. Válassza a módosítani kívánt hatókör melletti Továbbiak gombot.
3. A Titkosítási hatókör szerkesztése panelen módosíthatja a titkosítás típusát a Microsoft által felügyelt kulcsról az ügyfél által felügyelt kulcsra, vagy fordítva.
4. Új ügyfél által felügyelt kulcs kiválasztásához válassza az Új kulcs használata lehetőséget, és adja meg a kulcstartó, a kulcs és a kulcs verzióját.

PowerShell

Ha módosítani szeretné a titkosítási hatókört az ügyfél által felügyelt kulcsról a Microsoft által felügyelt kulcsra a PowerShell használatával, hívja meg az Update-AzStorageEncryptionScope parancsot, és adja meg a -StorageEncryption paramétert:

Update-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName2 `
    -StorageEncryption

Ezután hívja meg az Update-AzStorageEncryptionScope parancsot, és adja meg a -KeyUri következő paramétereket:-KeyvaultEncryption

Update-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName1 `
    -KeyUri $keyUri `
    -KeyvaultEncryption

Azure CLI

Ha módosítani szeretné a titkosítási hatókört az ügyfél által felügyelt kulccsal egy Microsoft által felügyelt kulcsra az Azure CLI-vel, hívja meg az az storage account encryption-scope update parancsot, és adja meg a --key-source paramétert a következő értékkel Microsoft.Storage:

az storage account encryption-scope update \
    --account-name <storage-account> \
    --resource-group <resource-group>
    --name <encryption-scope> \
    --key-source Microsoft.Storage

Ezután hívja meg az az storage account encryption-scope update parancsot, adja meg a --key-uri paramétert, és adja át a --key-source paramétert a következő értékkel Microsoft.KeyVault:

az storage account encryption-scope update \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.KeyVault \
    --key-uri <key-uri>

Titkosítási hatókör letiltása

Tiltsa le azokat a titkosítási hatóköröket, amelyekre nincs szükség a szükségtelen díjak elkerülése érdekében. További információ: Titkosítási hatókörök számlázása.

Portal

Ha le szeretne tiltani egy titkosítási hatókört az Azure Portalon, keresse meg a tárfiók Titkosítási hatókör beállítását, válassza ki a kívánt titkosítási hatókört, és válassza a Letiltás lehetőséget.

PowerShell

Ha le szeretne tiltani egy titkosítási hatókört a PowerShell-lel, hívja meg az Update-AzStorageEncryptionScope parancsot, és adja meg a -State paraméter értékét disabledaz alábbi példában látható módon. A titkosítási hatókör újbóli engedélyezéséhez hívja meg ugyanazt a parancsot, amelynek paramétere a -State következőre enabledvan állítva. Ne felejtse el lecserélni a példában szereplő helyőrző értékeket a saját értékeire:

Update-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName1 `
    -State disabled

Azure CLI

Ha le szeretne tiltani egy titkosítási hatókört az Azure CLI-vel, hívja meg az az storage account encryption-scope update parancsot, és adja meg a --state paraméter értékét Disabledaz alábbi példában látható módon. A titkosítási hatókör újbóli engedélyezéséhez hívja meg ugyanazt a parancsot, amelynek paramétere a --state következőre Enabledvan állítva. Ne felejtse el lecserélni a példában szereplő helyőrző értékeket a saját értékeire:

az storage account encryption-scope update \
    --account-name <storage-account> \
    --resource-group <resource-group> \
    --name <encryption-scope> \
    --state Disabled

Fontos

Titkosítási hatókör nem törölhető. A váratlan költségek elkerülése érdekében mindenképpen tiltsa le azokat a titkosítási hatóköröket, amelyekre jelenleg nincs szüksége.

Következő lépések

• Inaktív adatok Azure Storage-titkosítása
• A Blob Storage titkosítási hatókörei
• Ügyfél által kezelt kulcsok az Azure Storage titkosításához
• Infrastruktúra-titkosítás engedélyezése az adatok dupla titkosításához