A titkosítási hatókörök lehetővé teszik a titkosítás egyéni blob vagy tároló szintjén történő kezelését. Titkosítási hatókörökkel biztonságos határokat hozhat létre az ugyanazon tárfiókban található, de különböző ügyfelekhez tartozó adatok között. A titkosítási hatókörökről további információt a Blob Storage titkosítási hatóköreit ismertető cikkben talál.
Ez a cikk bemutatja, hogyan hozhat létre titkosítási hatókört. Azt is bemutatja, hogyan adhat meg titkosítási hatókört blob vagy tároló létrehozásakor.
Titkosítási hatókör létrehozása
Létrehozhat egy, a Microsoft által felügyelt kulccsal vagy ügyfél által felügyelt kulccsal védett titkosítási hatókört, amely egy Azure-Key Vault vagy egy Azure Key Vault Managed Hardware Security Modelben (HSM) van tárolva. Ha ügyfél által felügyelt kulccsal szeretne titkosítási hatókört létrehozni, először létre kell hoznia egy kulcstartót vagy egy felügyelt HSM-et, és hozzá kell adnia a hatókörhöz használni kívánt kulcsot. A kulcstartónak vagy a felügyelt HSM-nek engedélyeznie kell a végleges törlés elleni védelmet, és ugyanabban a régióban kell lennie, mint a tárfióknak.
A titkosítási hatókör létrehozásakor a rendszer automatikusan engedélyezi a titkosítási hatókört. A titkosítási hatókör létrehozása után megadhatja azt a blob létrehozásakor. A tároló létrehozásakor megadhat egy alapértelmezett titkosítási hatókört is, amely automatikusan vonatkozik a tárolóban lévő összes blobra.
Ha titkosítási hatókört szeretne létrehozni a Azure Portal, kövesse az alábbi lépéseket:
Az Azure Portalon nyissa meg a tárfiókot.
Válassza a Titkosítás beállítást.
Válassza a Titkosítási hatókörök lapot.
Új titkosítási hatókör hozzáadásához kattintson a Hozzáadás gombra.
A Titkosítási hatókör létrehozása panelen adja meg az új hatókör nevét.
Válassza ki a kívánt titkosítási kulcstámogatási típust, a Microsoft által felügyelt vagy az ügyfél által felügyelt kulcsokat.
Ha a Microsoft által felügyelt kulcsokat választotta, kattintson a Létrehozás gombra a titkosítási hatókör létrehozásához.
Ha ügyfél által felügyelt kulcsokat választott, válasszon ki egy előfizetést, és adjon meg egy kulcstartót vagy egy felügyelt HSM-et, valamint egy kulcsot, amelyet ehhez a titkosítási hatókörhöz kíván használni.
Ha az infrastruktúra titkosítása engedélyezve van a tárfiókhoz, akkor az automatikusan engedélyezve lesz az új titkosítási hatókörben. Ellenkező esetben eldöntheti, hogy engedélyezi-e az infrastruktúra-titkosítást a titkosítási hatókörhöz.
Ha a PowerShell használatával szeretne titkosítási hatókört létrehozni, telepítse az Az.Storage PowerShell-modul 3.4.0-s vagy újabb verzióját.
A Microsoft által felügyelt kulcsokkal védett titkosítási hatókör létrehozása
A Microsoft által felügyelt kulcsokkal védett új titkosítási hatókör létrehozásához hívja meg a New-AzStorageEncryptionScope parancsot a -StorageEncryption paraméterrel.
Ha az infrastruktúra titkosítása engedélyezve van a tárfiókhoz, akkor az automatikusan engedélyezve lesz az új titkosítási hatókörben. Ellenkező esetben eldöntheti, hogy engedélyezi-e az infrastruktúra-titkosítást a titkosítási hatókörhöz. Az új hatókör létrehozásához, amelyen engedélyezve van az infrastruktúra titkosítása, adja meg a paramétert -RequireInfrastructureEncryption .
Ne felejtse el lecserélni a példában szereplő helyőrző értékeket a saját értékeire:
Ügyfél által felügyelt kulcsokkal védett titkosítási hatókör létrehozása
Egy kulcstartóban vagy felügyelt HSM-ben tárolt, ügyfél által felügyelt kulcsokkal védett új titkosítási hatókör létrehozásához először konfigurálja az ügyfél által felügyelt kulcsokat a tárfiókhoz. Hozzárendelnie kell egy felügyelt identitást a tárfiókhoz, majd a felügyelt identitás használatával konfigurálnia kell a kulcstartó vagy a felügyelt HSM hozzáférési szabályzatát, hogy a tárfiók rendelkezzen hozzáféréssel.
Az ügyfél által felügyelt kulcsok titkosítási hatókörrel való konfigurálásához engedélyezni kell a végleges törlés elleni védelmet a kulcstartóban vagy a felügyelt HSM-ben. A kulcstartónak vagy a felügyelt HSM-nek ugyanabban a régióban kell lennie, mint a tárfióknak.
Ne felejtse el lecserélni a példában szereplő helyőrző értékeket a saját értékeire:
$rgName = "<resource-group>"
$accountName = "<storage-account>"
$keyVaultName = "<key-vault>"
$keyUri = "<key-uri>"
$scopeName2 = "customer2scope"
# Assign a system managed identity to the storage account.
$storageAccount = Set-AzStorageAccount -ResourceGroupName $rgName `
-Name $accountName `
-AssignIdentity
# Configure the access policy for the key vault.
Set-AzKeyVaultAccessPolicy `
-VaultName $keyVaultName `
-ObjectId $storageAccount.Identity.PrincipalId `
-PermissionsToKeys wrapkey,unwrapkey,get
Ezután hívja meg a New-AzStorageEncryptionScope parancsot a -KeyvaultEncryption paraméterrel, és adja meg a kulcs URI-ját. A kulcsverzió hozzáadása a kulcs URI-ján nem kötelező. Ha kihagyja a kulcsverziót, a titkosítási hatókör automatikusan a legújabb kulcsverziót fogja használni. Ha a kulcsverziót is tartalmazza, akkor manuálisan kell frissítenie a kulcsverziót egy másik verzió használatához.
Ha az infrastruktúra titkosítása engedélyezve van a tárfiókhoz, akkor az automatikusan engedélyezve lesz az új titkosítási hatókörben. Ellenkező esetben eldöntheti, hogy engedélyezi-e az infrastruktúra-titkosítást a titkosítási hatókörhöz. Az új hatókör létrehozásához, amelyen engedélyezve van az infrastruktúra titkosítása, adja meg a paramétert -RequireInfrastructureEncryption .
Ne felejtse el lecserélni a példában szereplő helyőrző értékeket a saját értékeire:
Ha titkosítási hatókört szeretne létrehozni az Azure CLI-vel, először telepítse az Azure CLI 2.20.0-s vagy újabb verzióját.
A Microsoft által felügyelt kulcsokkal védett titkosítási hatókör létrehozása
A Microsoft által felügyelt kulcsokkal védett új titkosítási hatókör létrehozásához hívja meg az az storage account encryption-scope create parancsot, és adja meg a paramétertMicrosoft.Storage.--key-source
Ha az infrastruktúra titkosítása engedélyezve van a tárfiókhoz, akkor az automatikusan engedélyezve lesz az új titkosítási hatókörben. Ellenkező esetben eldöntheti, hogy engedélyezi-e az infrastruktúra-titkosítást a titkosítási hatókörhöz. Ha olyan új hatókört szeretne létrehozni, amelyen engedélyezve van az infrastruktúra-titkosítás, adja meg a --require-infrastructure-encryption paramétert, és állítsa az értékét a következőre true: .
Ne felejtse el lecserélni a helyőrző értékeket a saját értékeire:
Ügyfél által felügyelt kulcsokkal védett titkosítási hatókör létrehozása
Ha új titkosítási hatókört szeretne létrehozni, amelyet ügyfél által felügyelt kulcsok védenek egy kulcstartóban vagy felügyelt HSM-ben, először konfigurálja az ügyfél által felügyelt kulcsokat a tárfiókhoz. Hozzárendelnie kell egy felügyelt identitást a tárfiókhoz, majd a felügyelt identitás használatával konfigurálnia kell a kulcstartó hozzáférési szabályzatát, hogy a tárfiók rendelkezzen hozzáféréssel. További információ: Ügyfél által felügyelt kulcsok az Azure Storage-titkosításhoz.
Az ügyfél által felügyelt kulcsok titkosítási hatókörrel való konfigurálásához engedélyezni kell a végleges törlés elleni védelmet a kulcstartóban vagy a felügyelt HSM-ben. A kulcstartónak vagy a felügyelt HSM-nek ugyanabban a régióban kell lennie, mint a tárfióknak.
Ne felejtse el lecserélni a példában szereplő helyőrző értékeket a saját értékeire:
az login
az account set --subscription <subscription-id>
az storage account update \
--name <storage-account> \
--resource-group <resource_group> \
--assign-identity
storage_account_principal=$(az storage account show \
--name <storage-account> \
--resource-group <resource-group> \
--query identity.principalId \
--output tsv)
az keyvault set-policy \
--name <key-vault> \
--resource-group <resource_group> \
--object-id $storage_account_principal \
--key-permissions get unwrapKey wrapKey
Ezután hívja meg az az storage account encryption-scope parancsot a --key-uri paraméterrel, és adja meg a kulcs URI-ját. A kulcsverzió hozzáadása a kulcs URI-ján nem kötelező. Ha kihagyja a kulcsverziót, a titkosítási hatókör automatikusan a legújabb kulcsverziót fogja használni. Ha a kulcsverziót is tartalmazza, akkor manuálisan kell frissítenie a kulcsverziót egy másik verzió használatához.
Ha az infrastruktúra titkosítása engedélyezve van a tárfiókhoz, akkor az automatikusan engedélyezve lesz az új titkosítási hatókörben. Ellenkező esetben eldöntheti, hogy engedélyezi-e az infrastruktúra-titkosítást a titkosítási hatókörhöz. Ha olyan új hatókört szeretne létrehozni, amelyen engedélyezve van az infrastruktúra-titkosítás, adja meg a --require-infrastructure-encryption paramétert, és állítsa az értékét a következőre true: .
Ne felejtse el lecserélni a példában szereplő helyőrző értékeket a saját értékeire:
Ha meg szeretné tudni, hogyan konfigurálhatja az Azure Storage-titkosítást ügyfél által felügyelt kulcsokkal egy kulcstartóban vagy felügyelt HSM-ben, tekintse meg a következő cikkeket:
Ha meg szeretné tekinteni egy tárfiók titkosítási hatóköreit a Azure Portal, lépjen a tárfiók Titkosítási hatókörök beállítására. Ezen a panelen engedélyezheti vagy letilthatja a titkosítási hatókört, vagy módosíthatja a titkosítási hatókör kulcsát.
Ha meg szeretné tekinteni egy ügyfél által felügyelt kulcs részleteit, beleértve a kulcs URI-jának és verziójának adatait, valamint azt, hogy a kulcsverzió automatikusan frissül-e, kövesse a Kulcs oszlopban található hivatkozást.
A tárfiókhoz elérhető titkosítási hatókörök PowerShell-lel való listázásához hívja meg a Get-AzStorageEncryptionScope parancsot. Ne felejtse el lecserélni a példában szereplő helyőrző értékeket a saját értékeire:
A tárfiókok azure CLI-vel elérhető titkosítási hatóköreinek listázásához hívja meg az az storage account encryption-scope list parancsot. Ne felejtse el lecserélni a példában szereplő helyőrző értékeket a saját értékeire:
az storage account encryption-scope list \
--account-name <storage-account> \
--resource-group <resource-group>
Alapértelmezett titkosítási hatókörrel rendelkező tároló létrehozása
Tároló létrehozásakor megadhat egy alapértelmezett titkosítási hatókört. A tárolóban lévő blobok alapértelmezés szerint ezt a hatókört fogják használni.
Az egyes blobok saját titkosítási hatókörrel hozhatók létre, kivéve, ha a tároló úgy van konfigurálva, hogy az összes blob az alapértelmezett hatókört használja. További információ: Tárolók és blobok titkosítási hatókörei.
Ha alapértelmezett titkosítási hatókörrel rendelkező tárolót szeretne létrehozni a Azure Portal, először hozza létre a titkosítási hatókört a Titkosítási hatókör létrehozása című szakaszban leírtak szerint. Ezután kövesse az alábbi lépéseket a tároló létrehozásához:
Lépjen a tárfiókban lévő tárolók listájára, és válassza a Hozzáadás gombot egy új tároló létrehozásához.
Bontsa ki a Speciális beállításokat az Új tároló panelen.
A Titkosítási hatókör legördülő listában válassza ki a tároló alapértelmezett titkosítási hatókörét.
Ha azt szeretné, hogy a tároló összes blobja az alapértelmezett titkosítási hatókört használja, jelölje be a jelölőnégyzetet, hogy a tárolóban lévő összes blob esetében ezt a titkosítási hatókört használja. Ha ez a jelölőnégyzet be van jelölve, akkor a tárolóban lévő egyes blobok nem bírálhatják felül az alapértelmezett titkosítási hatókört.
Ha alapértelmezett titkosítási hatókörrel rendelkező tárolót szeretne létrehozni a PowerShell-lel, hívja meg a New-AzStorageContainer parancsot, és adja meg a paraméter hatókörét -DefaultEncryptionScope . Ha egy tároló összes blobját a tároló alapértelmezett hatókörének használatára szeretné kényszeríteni, állítsa a paramétert a -PreventEncryptionScopeOverride következőre true: .
$containerName1 = "container1"
$ctx = New-AzStorageContext -StorageAccountName $accountName -UseConnectedAccount
# Create a container with a default encryption scope that cannot be overridden.
New-AzStorageContainer -Name $containerName1 `
-Context $ctx `
-DefaultEncryptionScope $scopeName1 `
-PreventEncryptionScopeOverride $true
Ha alapértelmezett titkosítási hatókörrel rendelkező tárolót szeretne létrehozni az Azure CLI-vel, hívja meg az az storage container create parancsot, és adja meg a paraméter hatókörét --default-encryption-scope . Ha egy tároló összes blobját a tároló alapértelmezett hatókörének használatára szeretné kényszeríteni, állítsa a paramétert a --prevent-encryption-scope-override következőre true: .
Ha egy ügyfél megkísérli megadni a hatókört, amikor egy alapértelmezett titkosítási hatókörrel rendelkező tárolóba tölt fel egy blobot, és a tároló úgy van konfigurálva, hogy megakadályozza, hogy a blobok felülbírálódjanak az alapértelmezett hatókörön, a művelet meghiúsul egy üzenettel, amely azt jelzi, hogy a tárolótitkosítási szabályzat tiltja a kérést.
Titkosítási hatókörrel rendelkező blob feltöltése
Blob feltöltésekor megadhatja a blob titkosítási hatókörét, vagy használhatja a tároló alapértelmezett titkosítási hatókörét, ha van megadva.
Amikor egy titkosítási hatókörrel rendelkező új blobot tölt fel, nem módosíthatja az adott blob alapértelmezett hozzáférési szintjét.
Ha titkosítási hatókörrel rendelkező blobot szeretne feltölteni az Azure Portal keresztül, először hozza létre a titkosítási hatókört a Titkosítási hatókör létrehozása című szakaszban leírtak szerint. Ezután kövesse az alábbi lépéseket a blob létrehozásához:
Lépjen arra a tárolóra, ahová fel szeretné tölteni a blobot.
Válassza a Feltöltés gombot, és keresse meg a feltölteni kívánt blobot.
Bontsa ki a Speciális beállításokat a Blob feltöltése panelen.
Keresse meg a Titkosítási hatókör legördülő szakaszt. Alapértelmezés szerint a blob a tároló alapértelmezett titkosítási hatókörével jön létre, ha van megadva. Ha a tároló megköveteli, hogy a blobok az alapértelmezett titkosítási hatókört használják, ez a szakasz le van tiltva.
Ha másik hatókört szeretne megadni a feltölteni kívánt blobhoz, válassza a Meglévő hatókör kiválasztása lehetőséget, majd válassza ki a kívánt hatókört a legördülő listából.
Ha egy titkosítási hatókörrel rendelkező blobot szeretne feltölteni a PowerShell használatával, hívja meg a Set-AzStorageBlobContent parancsot, és adja meg a blob titkosítási hatókörét.
$containerName2 = "container2"
$localSrcFile = "C:\temp\helloworld.txt"
$ctx = New-AzStorageContext -StorageAccountName $accountName -UseConnectedAccount
# Create a new container with no default scope defined.
New-AzStorageContainer -Name $containerName2 -Context $ctx
# Upload a block upload with an encryption scope specified.
Set-AzStorageBlobContent -Context $ctx `
-Container $containerName2 `
-File $localSrcFile `
-Blob "helloworld.txt" `
-BlobType Block `
-EncryptionScope $scopeName2
Ha titkosítási hatókörrel rendelkező blobot szeretne feltölteni az Azure CLI-vel, hívja meg az az storage blob upload parancsot, és adja meg a blob titkosítási hatókörét.
Ha az Azure Cloud Shell használja, kövesse a Blob feltöltése című szakaszban leírt lépéseket egy fájl gyökérkönyvtárban való létrehozásához. Ezután feltöltheti ezt a fájlt egy blobba az alábbi minta használatával.
A Azure Portal hatókörét védő kulcs módosításához kövesse az alábbi lépéseket:
Lépjen a Titkosítási hatókörök lapra a tárfiók titkosítási hatóköreinek listájának megtekintéséhez.
Kattintson a módosítani kívánt hatókör melletti Egyebek gombra.
A Titkosítási hatókör szerkesztése panelen módosíthatja a titkosítás típusát a Microsoft által felügyelt kulcsról az ügyfél által kezelt kulcsra, vagy fordítva.
Új, ügyfél által felügyelt kulcs kiválasztásához válassza az Új kulcs használata lehetőséget, és adja meg a kulcstartót, a kulcsot és a kulcsverziót.
Ha módosítani szeretné a titkosítási hatókört ügyfél által felügyelt kulcsról Microsoft által felügyelt kulcsra a PowerShell használatával, hívja meg az Update-AzStorageEncryptionScope parancsot, és adja meg a -StorageEncryption következő paramétert:
Ha módosítani szeretné a titkosítási hatókört ügyfél által felügyelt kulcsról Microsoft által felügyelt kulcsra az Azure CLI-vel, hívja meg az az storage account encryption-scope update parancsot, és adja meg a --key-source paramétert a következő értékkel Microsoft.Storage:
Ezután hívja meg az az storage account encryption-scope update parancsot, adja meg a --key-uri paramétert, és adja meg a --key-source paramétert a következő értékkel Microsoft.KeyVault:
Ha egy titkosítási hatókör le van tiltva, a továbbiakban nem kell fizetnie érte. Tiltsa le azokat a titkosítási hatóköröket, amelyekre nincs szükség a szükségtelen díjak elkerülése érdekében. További információ: Inaktív adatok azure storage-titkosítása.
Ha le szeretne tiltani egy titkosítási hatókört a Azure Portal, lépjen a tárfiók titkosítási hatóköreinek beállítására, válassza ki a kívánt titkosítási hatókört, és válassza a Letiltás lehetőséget.
Ha le szeretne tiltani egy titkosítási hatókört a PowerShell-lel, hívja meg az Update-AzStorageEncryptionScope parancsot, és adja meg a -State paraméter értékét disabled, ahogy az alábbi példában látható. A titkosítási hatókör újbóli engedélyezéséhez hívja meg ugyanazt a parancsot, amelynek paramétere a -State következő.enabled Ne felejtse el lecserélni a példában szereplő helyőrző értékeket a saját értékeire:
Ha le szeretne tiltani egy titkosítási hatókört az Azure CLI-vel, hívja meg az az storage account encryption-scope update parancsot, és adja meg a --state paraméter értékét Disabledaz alábbi példában látható módon. A titkosítási hatókör újbóli engedélyezéséhez hívja meg ugyanazt a parancsot, amelynek paramétere a --state következő.Enabled Ne felejtse el lecserélni a példában szereplő helyőrző értékeket a saját értékeire:
Titkosítási hatókör nem törölhető. A váratlan költségek elkerülése érdekében tiltsa le azokat a titkosítási hatóköröket, amelyekre jelenleg nincs szüksége.
