Ügyfél által kezelt kulcsokat támogató fiók létrehozása táblákhoz és üzenetsorokhoz

Az Azure Storage a tárfiókban tárolt összes adatot titkosítja. Alapértelmezés szerint a Queue Storage és a Table Storage olyan kulcsot használ, amely a szolgáltatásra terjed ki, és a Microsoft kezeli. Dönthet úgy is, hogy ügyfél által kezelt kulcsokat használ az üzenetsor- vagy táblaadatok titkosításához. Ha az ügyfél által kezelt kulcsokat üzenetsorokkal és táblákkal is használni tudja, először létre kell hoznia egy tárfiókot, amely a szolgáltatás helyett a fiókra vonatkozó titkosítási kulcsot használ. Miután létrehozott egy fiókot, amely a fiók titkosítási kulcsát használja az üzenetsor- és táblaadatokhoz, konfigurálhatja az ügyfél által kezelt kulcsokat az adott tárfiókhoz.

Ez a cikk azt ismerteti, hogyan hozhat létre olyan tárfiókot, amely a fiókra vonatkozó kulcsra támaszkodik. A fiók első létrehozásakor a Microsoft a fiókkulcs segítségével titkosítja a fiókban tárolt adatokat, a kulcsot pedig a Microsoft kezeli. Ezután konfigurálhatja az ügyfél által kezelt kulcsokat a fiókhoz, hogy kihasználja ezeket az előnyöket, beleértve a saját kulcsok biztosítanak, a kulcsverzió frissítése, a kulcsok váltása és a hozzáférés-vezérlés visszavonása lehetőséget.

A fiók titkosítási kulcsát használó fiók létrehozása

A tárfiók létrehozásakor új tárfiókot kell konfigurálnia a fiók titkosítási kulcsának használatára az üzenetsorokhoz és táblákhoz. A titkosítási kulcs hatóköre a fiók létrehozása után nem módosítható.

A tárfióknak általános célú v2 típusúnak kell lennie. A tárfiókot létrehozhatja és konfigurálhatja úgy, hogy a fiók titkosítási kulcsát használja a Azure Portal, a PowerShell, az Azure CLI vagy egy Azure Resource Manager használatával.

További információ a tárfiókok létrehozásáról: Tárfiók létrehozása.

Megjegyzés

A tárfiók létrehozásakor csak a Queue és a Table Storage konfigurálható úgy, hogy a fiók titkosítási kulcsával titkosítsa az adatokat. A Blob Storage és Azure Files mindig a fiók titkosítási kulcsát használja az adatok titkosításához.

Ha olyan tárfiókot hoz létre, amely a fiók titkosítási kulcsát használja a Azure Portal kövesse az alábbi lépéseket:

  1. A bal oldali portál menüjében válassza az Storage lehetőséget a tárfiókok listájának megjelenítéséhez.

  2. A Fiókfiókok Storage válassza az Új lehetőséget.

  3. Töltse ki a mezőket az Alapvető beállítások lapon.

  4. A Speciális lapon keresse meg a Táblák és üzenetsorok szakaszt, és válassza az Enable support for customer-managed keys (Ügyfél által kezelt kulcsok támogatásának engedélyezése) lehetőséget.

    Képernyőkép az ügyfelek által kezelt kulcsok üzenetsorokhoz és táblákhoz való engedélyezéséről új fiók létrehozásakor

Miután létrehozott egy fiókot, amely a fiók titkosítási kulcsát használja, konfigurálhatja az Azure Key Vault-ban vagy az Key Vault Managed Hardware Security Modelben (HSM) tárolt, ügyfél által kezelt kulcsokat. Az ügyfél által felügyelt kulcsok kulcstartóban való tárolásával kapcsolatos további információkért lásd: Titkosítás konfigurálása az ügyfél által kezelt kulcsokkal, amelyek a következő Azure Key Vault. Az ügyfél által felügyelt kulcsok felügyelt HSM-beli tárolásával kapcsolatos információkért lásd: Titkosítás konfigurálása a Managed HSM-Azure Key Vaulttárolt ügyfél által kezelt kulcsokkal.

A fiók titkosítási kulcsának ellenőrzése

A fiók létrehozása után az Azure Portal, a PowerShell vagy az Azure CLI használatával ellenőrizheti, hogy a tárfiók a fiókra vonatkozó titkosítási kulcsot használ-e.

Annak ellenőrzéséhez, hogy egy tárfiókban található szolgáltatás olyan titkosítási kulcsot használ-e, amely a tárfiók hatókörében van, Azure Portal alábbi lépéseket:

  1. Az Azure Portalon lépjen az új tárfiókjára.

  2. A Biztonság és hálózat területen válassza a Titkosítás lehetőséget.

  3. Ha a tárfiók a fiók titkosítási kulcsára támaszkodik, a Titkosítás lapon láthatja, hogy az ügyfél által kezelt kulcsok mind a négy Azure Storage-szolgáltatáshoz engedélyezhetők: blobokhoz, fájlokhoz, táblákhoz és üzenetsorokhoz.

    Képernyőkép annak ellenőrzésével, hogy a tárfiók a fiók titkosítási kulcsát használja-e

Miután ellenőrizte, hogy a tárfiók a fiókra vonatkozó titkosítási kulcsot használ-e, engedélyezheti az ügyfél által kezelt kulcsokat a fiókhoz. Ezután mind a négy Azure Storage szolgáltatás blobja, fájlja, táblája és üzenetsora az ügyfél által kezelt kulcsot — — fogja használni a titkosításhoz.

Árak és számlázás

A fiókra vonatkozó titkosítási kulcs használatára létrehozott tárfiókok számlázása a Table Storage-kapacitásért és a tranzakciókért az alapértelmezett szolgáltatásra vonatkozó kulcstól eltérő sebességgel történik. Részletekért lásd: Az Azure Table Storage díjszabása.

Következő lépések