Mengonfigurasi kunci yang dikelola pelanggan di penyewa yang sama untuk akun penyimpanan baru

Azure Storage mengenkripsi semua data dalam akun penyimpanan saat tidak aktif. Secara default, data dienkripsi dengan kunci yang dikelola Microsoft. Untuk kontrol tambahan atas kunci enkripsi, Anda dapat mengelola kunci Anda sendiri. Kunci yang dikelola pelanggan harus disimpan di key vault Azure atau Hardware Security Model (HSM) yang dikelola Azure Key Vault.

Artikel ini memperlihatkan cara mengonfigurasi enkripsi dengan kunci yang dikelola pelanggan pada saat Anda membuat akun penyimpanan baru. Kunci yang dikelola pelanggan disimpan di brankas kunci.

Untuk mempelajari cara mengonfigurasi kunci yang dikelola pelanggan untuk akun penyimpanan yang sudah ada, lihat Mengonfigurasi kunci yang dikelola pelanggan di brankas kunci Azure untuk akun penyimpanan yang sudah ada.

Catatan

Azure Key Vault dan Azure Key Vault Managed HSM mendukung API dan antarmuka manajemen yang sama untuk konfigurasi kunci yang dikelola pelanggan. Tindakan apa pun yang didukung untuk Azure Key Vault juga didukung untuk Azure Key Vault Managed HSM.

Mengonfigurasi brankas kunci

Anda dapat menggunakan brankas kunci baru atau yang ada untuk menyimpan kunci yang dikelola pelanggan. Akun penyimpanan dan key vault mungkin berada di kawasan atau langganan yang berbeda di penyewa yang sama. Untuk mempelajari Azure Key Vault lebih lanjut, lihat Ringkasan Azure Key Vault dan Apa yang dimaksud dengan Azure Key Vault?.

Menggunakan kunci yang dikelola pelanggan dengan enkripsi Azure Storage mengharuskan penghapusan sementara dan perlindungan hapus menyeluruh diaktifkan untuk brankas kunci. Penghapusan sementara diaktifkan secara default saat Anda membuat brankas kunci baru dan tidak dapat dinonaktifkan. Anda dapat mengaktifkan perlindungan hapus menyeluruh baik saat membuat brankas kunci atau setelah dibuat.

Azure Key Vault mendukung otorisasi dengan Azure RBAC melalui model izin Azure RBAC. Microsoft merekomendasikan penggunaan model izin Azure RBAC melalui kebijakan akses brankas kunci. Untuk informasi selengkapnya, lihat Memberikan izin kepada aplikasi untuk mengakses brankas kunci Azure menggunakan Azure RBAC.

Portal Azure

Untuk mempelajari cara membuat brankas kunci dengan portal Microsoft Azure, lihat Mulai cepat: Membuat Azure Key Vault menggunakan portal Microsoft Azure. Saat Anda membuat brankas kunci, pilih Aktifkan perlindungan hapus menyeluruh, seperti yang ditunjukkan pada gambar berikut.

Untuk mengaktifkan perlindungan hapus menyeluruh pada brankas kunci yang ada, ikuti langkah-langkah berikut:

1. Navigasi ke brankas kunci Anda di portal Microsoft Azure.
2. Di bawah Pengaturan, pilih Properti.
3. Di bagian Perlindungan hapus menyeluruh, pilih Aktifkan perlindungan hapus menyeluruh.

PowerShell

Untuk membuat brankas kunci baru dengan PowerShell, instal modul Az.KeyVault PowerShell versi 2.0.0 atau yang lebih baru. Kemudian panggil New-AzKeyVault untuk membuat brankas kunci baru. Dengan modul Az.KeyVault versi 2.0.0 dan yang lebih baru, penghapusan sementara diaktifkan secara default saat Anda membuat brankas kunci baru.

Contoh berikut membuat brankas kunci baru dengan penghapusan sementara dan perlindungan penghapusan menyeluruh diaktifkan. Model izin brankas kunci diatur untuk menggunakan Azure RBAC. Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung dengan nilai Anda sendiri.

$rgName = "<resource_group>"
$location = "<location>"
$kvName = "<key-vault>"

$keyVault = New-AzKeyVault -Name $kvName `
    -ResourceGroupName $rgName `
    -Location $location `
    -EnablePurgeProtection `
    -EnableRbacAuthorization

Untuk mempelajari cara mengaktifkan perlindungan hapus menyeluruh pada brankas kunci yang ada dengan PowerShell, lihat ringkasan pemulihan Azure Key Vault.

Setelah membuat brankas kunci, Anda harus menetapkan peran Petugas Kripto Key Vault untuk diri Anda sendiri. Peran ini memungkinkan Anda membuat kunci di brankas kunci. Contoh berikut menetapkan peran ini kepada pengguna, yang terlingkup ke brankas kunci:

New-AzRoleAssignment -SignInName "<user-email>" `
    -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $keyVault.ResourceId

Untuk informasi selengkapnya tentang cara menetapkan peran RBAC dengan PowerShell, lihat Menetapkan peran Azure menggunakan Azure PowerShell.

Azure CLI

Untuk membuat brankas kunci baru menggunakan Azure CLI, panggil az keyvault create. Contoh berikut membuat brankas kunci baru dengan penghapusan sementara dan perlindungan penghapusan menyeluruh diaktifkan. Model izin brankas kunci diatur untuk menggunakan Azure RBAC. Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung dengan nilai Anda sendiri.

rgName="<resource_group>"
location="<location>"
kvName="<key-vault>"

az keyvault create \
    --name $kvName \
    --resource-group $rgName \
    --location $location \
    --enable-purge-protection \
    --enable-rbac-authorization

Untuk mempelajari cara mengaktifkan perlindungan hapus menyeluruh pada brankas kunci yang ada dengan Azure CLI, lihat ringkasan pemulihan Azure Key Vault.

Setelah membuat brankas kunci, Anda harus menetapkan peran Petugas Kripto Key Vault untuk diri Anda sendiri. Peran ini memungkinkan Anda membuat kunci di brankas kunci. Contoh berikut menetapkan peran ini kepada pengguna, yang terlingkup ke brankas kunci:

kvResourceId=$(az keyvault show --resource-group $rgName \
    --name $kvName \
    --query id \
    --output tsv)

az role assignment create --assignee "<user-email>" \
    --role "Key Vault Crypto Officer" \
    --scope $kvResourceId

Untuk informasi selengkapnya tentang cara menetapkan peran RBAC dengan Azure CLI, lihat Menetapkan peran Azure menggunakan Azure CLI.

Menambahkan kunci

Selanjutnya, tambahkan kunci ke brankas kunci. Sebelum Anda menambahkan kunci, pastikan Anda telah menetapkan peran Petugas Kripto Key Vault sendiri.

Enkripsi Azure Storage mendukung kunci RSA dan RSA-HSM dengan ukuran 2048, 3072, dan 4096. Untuk informasi selengkapnya mengenai jenis kunci yang didukung, lihat Tentang kunci.

Portal Azure

Untuk mempelajari cara menambahkan kunci dengan portal Microsoft Azure, lihat Mulai cepat: Mengatur dan mengambil kunci dari Azure Key Vault menggunakan portal Microsoft Azure.

PowerShell

Untuk menambahkan kunci dengan PowerShell, panggil Add-AzKeyVaultKey. Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung dengan nilai Anda sendiri dan menggunakan variabel yang ditentukan dalam contoh sebelumnya.

$keyName = "<key-name>"

$key = Add-AzKeyVaultKey -VaultName $keyVault.VaultName `
    -Name $keyName `
    -Destination 'Software'

Azure CLI

Untuk menambahkan kunci dengan Azure CLI, panggil az keyvault key create. Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung dengan nilai Anda sendiri.

keyName="<key-name>"

az keyvault key create \
    --name $keyName \
    --vault-name $kvName

Menggunakan identitas terkelola yang ditetapkan pengguna untuk mengotorisasi akses ke brankas kunci

Saat mengaktifkan kunci yang dikelola pelanggan untuk akun penyimpanan baru, Anda harus menentukan identitas terkelola yang ditetapkan pengguna. Akun penyimpanan yang ada mendukung penggunaan identitas terkelola yang ditetapkan pengguna atau identitas terkelola yang ditetapkan sistem untuk mengonfigurasi kunci yang dikelola pelanggan.

Saat Anda mengonfigurasi kunci yang dikelola pelanggan dengan identitas terkelola yang ditetapkan pengguna, identitas terkelola yang ditetapkan pengguna digunakan untuk mengotorisasi akses ke brankas kunci yang berisi kunci. Anda harus membuat identitas yang ditetapkan pengguna sebelum Anda mengonfigurasi kunci yang dikelola pelanggan.

Identitas terkelola yang ditetapkan pengguna adalah sumber daya Azure mandiri. Untuk mempelajari lebih lanjut identitas terkelola yang ditetapkan pengguna, lihat Jenis identitas terkelola. Untuk mempelajari cara membuat dan mengelola identitas terkelola yang ditetapkan pengguna, lihat Mengelola identitas terkelola yang ditetapkan pengguna.

Identitas terkelola yang ditetapkan pengguna harus memiliki izin yang sesuai untuk mengakses kunci di brankas kunci. Tetapkan peran Pengguna Enkripsi Layanan Kripto Key Vault ke identitas terkelola yang ditetapkan pengguna dengan cakupan brankas kunci untuk memberikan izin ini.

Portal Azure

Sebelum Anda dapat mengonfigurasi kunci yang dikelola pelanggan dengan identitas terkelola yang ditetapkan pengguna, Anda harus menetapkan peran Pengguna Enkripsi Layanan Kripto Key Vault ke identitas terkelola yang ditetapkan pengguna, yang terlingkup ke brankas kunci. Peran ini memberikan izin identitas terkelola yang ditetapkan pengguna untuk mengakses kunci di brankas kunci. Untuk informasi selengkapnya tentang menetapkan peran Azure RBAC dengan portal Azure, lihat Menetapkan peran Azure menggunakan portal Azure.

Saat mengonfigurasi kunci yang dikelola pelanggan dengan portal Azure, Anda dapat memilih identitas yang ditetapkan pengguna yang sudah ada melalui antarmuka pengguna portal.

PowerShell

Contoh berikut menunjukkan cara mengambil identitas terkelola yang ditetapkan pengguna dan menetapkan peran RBAC yang diperlukan, yang dilingkupkan ke brankas kunci. Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung siku dengan nilai Anda sendiri dan untuk menggunakan variabel yang ditentukan dalam contoh sebelumnya:

$userIdentity = Get-AzUserAssignedIdentity -Name <user-assigned-identity> `
    -ResourceGroupName $rgName

$principalId = $userIdentity.PrincipalId

New-AzRoleAssignment -ObjectId $principalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

Azure CLI

Contoh berikut menunjukkan cara mengambil identitas terkelola yang ditetapkan pengguna dan menetapkan peran RBAC yang diperlukan, yang dilingkupkan ke brankas kunci. Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung siku dengan nilai Anda sendiri dan untuk menggunakan variabel yang ditentukan dalam contoh sebelumnya:

identityResourceId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query id \
    --output tsv)

principalId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query principalId \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId \
    --assignee-principal-type ServicePrincipal

Mengonfigurasi kunci yang dikelola pelanggan untuk akun penyimpanan baru

Saat mengonfigurasi enkripsi dengan kunci yang dikelola pelanggan untuk akun penyimpanan baru, Anda dapat memilih untuk memperbarui secara otomatis versi kunci yang digunakan untuk enkripsi Azure Storage setiap kali versi baru tersedia di brankas kunci terkait. Secara bergantian, Anda dapat secara eksplisit menentukan versi kunci yang akan digunakan untuk enkripsi hingga versi kunci diperbarui secara manual.

Anda harus menggunakan identitas terkelola yang ditetapkan pengguna yang sudah ada untuk mengotorisasi akses ke brankas kunci saat Anda mengonfigurasi kunci yang dikelola pelanggan ketika membuat akun penyimpanan. Identitas terkelola yang ditetapkan pengguna harus memiliki izin yang sesuai untuk mengakses brankas kunci. Untuk informasi selengkapnya, lihat Mengautentifikasi ke Azure Key Vault.

Mengonfigurasi enkripsi untuk pembaruan otomatis versi kunci

Azure Storage dapat memperbarui secara otomatis kunci yang dikelola pelanggan yang digunakan untuk enkripsi agar menggunakan versi kunci terbaru dari brankas kunci. Azure Storage memeriksa brankas kunci setiap hari untuk versi baru kunci. Ketika versi baru tersedia, Azure Storage secara otomatis mulai menggunakan versi terbaru kunci untuk enkripsi.

Penting

Azure Storage memeriksa brankas kunci untuk versi kunci baru hanya sekali setiap hari. Saat Anda memutar kunci, pastikan untuk menunggu 24 jam sebelum menonaktifkan versi yang lebih lama.

Portal Azure

Untuk mengonfigurasi kunci yang dikelola pelanggan untuk akun penyimpanan baru dengan pembaruan otomatis versi kunci, lihat langkah-langkah berikut:

1. Di portal Azure, buka halaman Akun penyimpanan, lalu pilih tombol Buat untuk membuat akun baru.

2. Ikuti langkah-langkah yang diuraikan di Membuat akun penyimpanan untuk mengisi bidang pada tab Dasar, Tingkat Lanjut, Jaringan, dan Perlindungan Data.

3. Pada tab Enkripsi, tunjukkan layanan mana yang ingin Anda aktifkan dukungannya untuk kunci yang dikelola pelanggan pada bidang Mengaktifkan dukungan untuk kunci yang dikelola pelanggan.

4. Pada bidang Jenis enkripsi, pilih Kunci yang dikelola pelanggan (CMK).

5. Pada bidang Kunci enkripsi, pilih Pilih brankas kunci dan kunci, lalu tentukan brankas kunci dan kunci.

6. Untuk bidang Identitas yang ditetapkan pengguna, pilih identitas terkelola yang ditetapkan pengguna yang sudah ada.

   

7. Pilih tombol Tinjau untuk memvalidasi dan membuat akun.

Anda juga dapat mengonfigurasi kunci yang dikelola pelanggan dengan pembaruan manual versi kunci ketika membuat akun penyimpanan baru. Ikuti langkah-langkah yang dijelaskan dalam Mengonfigurasi enkripsi untuk pembaruan manual versi kunci.

PowerShell

Untuk mengonfigurasi kunci yang dikelola pelanggan untuk akun penyimpanan baru dengan pembaruan otomatis versi kunci, panggil New-AzStorageAccount, seperti yang ditampilkan pada contoh berikut. Gunakan variabel yang Anda buat sebelumnya untuk ID sumber daya untuk identitas terkelola yang ditetapkan pengguna. Anda juga akan memerlukan URI brankas kunci dan nama kunci:

$accountName = "<storage-account>"

New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Kind StorageV2 `
    -SkuName Standard_LRS `
    -Location $location `
    -AllowBlobPublicAccess $false `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

Azure CLI

Untuk mengonfigurasi kunci yang dikelola pelanggan untuk akun penyimpanan baru dengan pembaruan otomatis versi kunci, panggil az storage account create, seperti yang ditampilkan pada contoh berikut. Gunakan variabel yang Anda buat sebelumnya untuk ID sumber daya untuk identitas terkelola yang ditetapkan pengguna. Anda juga akan memerlukan URI brankas kunci dan nama kunci:

accountName="<storage-account>"

az storage account create \
    --name $accountName \
    --resource-group $rgName \
    --location $location \
    --sku Standard_LRS \
    --kind StorageV2 \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-vault <key-vault-uri> \
    --encryption-key-name $keyName \
    --encryption-key-source Microsoft.Keyvault \
    --key-vault-user-identity-id $identityResourceId

Mengonfigurasi enkripsi untuk pembaruan manual versi kunci

Jika Anda lebih suka memperbarui versi kunci secara manual, maka secara eksplisit tentukan versi pada saat Anda mengonfigurasi enkripsi dengan kunci yang dikelola pelanggan saat membuat akun penyimpanan. Dalam hal ini, Azure Storage tidak akan memperbarui secara otomatis versi kunci ketika versi baru dibuat di brankas kunci. Untuk menggunakan versi kunci baru, Anda harus memperbarui secara manual versi yang digunakan untuk enkripsi Azure Storage.

Anda harus menggunakan identitas terkelola yang ditetapkan pengguna yang sudah ada untuk mengotorisasi akses ke brankas kunci saat Anda mengonfigurasi kunci yang dikelola pelanggan ketika membuat akun penyimpanan. Identitas terkelola yang ditetapkan pengguna harus memiliki izin yang sesuai untuk mengakses brankas kunci. Untuk informasi selengkapnya, lihat Mengautentifikasi ke Azure Key Vault.

Portal Azure

Untuk mengonfigurasi kunci yang dikelola pelanggan dengan pembaruan manual versi kunci di portal Azure, tentukan URI kunci, termasuk versinya, pada saat membuat akun penyimpanan. Untuk menentukan kunci sebagai URI, ikuti langkah-langkah berikut:

1. Di portal Azure, buka halaman Akun penyimpanan, lalu pilih tombol Buat untuk membuat akun baru.

2. Ikuti langkah-langkah yang diuraikan di Membuat akun penyimpanan untuk mengisi bidang pada tab Dasar, Tingkat Lanjut, Jaringan, dan Perlindungan Data.

3. Pada tab Enkripsi, tunjukkan layanan mana yang ingin Anda aktifkan dukungannya untuk kunci yang dikelola pelanggan pada bidang Mengaktifkan dukungan untuk kunci yang dikelola pelanggan.

4. Pada bidang Jenis enkripsi, pilih Kunci yang dikelola pelanggan (CMK).

5. Untuk menemukan URI kunci di portal Azure, navigasi ke brankas kunci Anda, dan pilih pengaturan Kunci. Pilih kunci yang diinginkan, lalu klik kunci untuk melihat versinya. Pilih versi kunci untuk melihat pengaturan untuk versi tersebut.

6. Salin nilai bidang Pengidentifikasi Kunci yang memberikan URI.

   

7. Di pengaturan Kunci enkripsi untuk akun penyimpanan Anda, pilih opsi Masukkan URI kunci.

8. Tempel URI yang Anda salin ke bidang URI Kunci. Sertakan versi kunci pada URI untuk mengonfigurasi pembaruan manual versi kunci.

9. Tentukan identitas terkelola yang ditetapkan pengguna dengan memilih tautan Pilih identitas.

   

10. Pilih tombol Tinjau untuk memvalidasi dan membuat akun.

PowerShell

Untuk mengonfigurasi kunci yang dikelola pelanggan dengan pembaruan manual versi kunci, berikan versi kunci secara eksplisit saat Anda mengonfigurasi enkripsi ketika membuat akun penyimpanan. Panggil Set-AzStorageAccount untuk memperbarui pengaturan enkripsi akun penyimpanan, seperti yang ditunjukkan pada contoh berikut dan sertakan opsi -KeyvaultEncryption untuk mengaktifkan kunci yang dikelola pelanggan untuk akun penyimpanan.

Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung dengan nilai Anda sendiri dan menggunakan variabel yang ditentukan dalam contoh sebelumnya.

$accountName = "<storage-account>"

New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Kind StorageV2 `
    -SkuName Standard_LRS `
    -Location $location `
    -AllowBlobPublicAccess $false `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

Saat memperbarui versi kunci secara manual, Anda perlu memperbarui pengaturan enkripsi akun penyimpanan untuk menggunakan versi baru. Pertama, panggil Get-AzKeyVaultKey untuk mendapatkan versi kunci terbaru. Kemudian panggil Set-AzStorageAccount untuk memperbarui pengaturan enkripsi akun penyimpanan untuk menggunakan versi kunci baru seperti yang ditunjukkan pada contoh sebelumnya.

Azure CLI

Untuk mengonfigurasi kunci yang dikelola pelanggan dengan pembaruan manual versi kunci, berikan versi kunci secara eksplisit saat Anda mengonfigurasi enkripsi ketika membuat akun penyimpanan. Panggil az storage account update untuk memperbarui pengaturan enkripsi akun penyimpanan, seperti yang ditunjukkan pada contoh berikut. Sertakan parameter --encryption-key-source dan atur ke Microsoft.Keyvault untuk mengaktifkan kunci yang dikelola pelanggan untuk akun tersebut.

Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung dengan nilai Anda sendiri.

accountName="<storage-account>"

key_vault_uri=$(az keyvault show \
    --name <key-vault> \
    --resource-group <resource_group> \
    --query properties.vaultUri \
    --output tsv)

key_version=$(az keyvault key list-versions \
    --name <key> \
    --vault-name <key-vault> \
    --query [-1].kid \
    --output tsv | cut -d '/' -f 6)

az storage account create \
    --name $accountName \
    --resource-group $rgName \
    --location $location \
    --sku Standard_LRS \
    --kind StorageV2 \
    --allow-blob-public-access false \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-vault $keyVaultUri \
    --encryption-key-name $keyName \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-version $keyVersion \
    --key-vault-user-identity-id $identityResourceId

Saat memperbarui versi kunci secara manual, Anda perlu memperbarui pengaturan enkripsi akun penyimpanan untuk menggunakan versi baru. Pertama, kueri untuk URI brankas kunci dengan memanggil az keyvault show, dan untuk versi kunci dengan memanggil az keyvault key list-versions. Kemudian panggil az storage account update untuk memperbarui pengaturan enkripsi akun penyimpanan untuk menggunakan versi kunci baru seperti yang ditunjukkan pada contoh sebelumnya.

Mengubah kunci

Anda dapat mengubah kunci yang Anda gunakan untuk enkripsi Azure Storage kapan saja.

Catatan

Saat Anda mengubah kunci atau versi kunci, perlindungan kunci enkripsi akar berubah, tetapi data di akun Azure Storage Anda tetap dienkripsi setiap saat. Tidak ada tindakan tambahan yang diperlukan pada bagian Anda untuk memastikan bahwa data Anda terlindungi. Mengubah kunci atau memutar versi kunci tidak memengaruhi performa. Tidak ada waktu henti yang terkait dengan mengubah kunci atau memutar versi kunci.

Portal Azure

Untuk mengubah kunci dengan portal Microsoft Azure, ikuti langkah-langkah berikut:

1. Navigasi ke akun penyimpanan Anda dan tampilkan pengaturan Enkripsi.
2. Pilih brankas kunci dan pilih kunci baru.
3. Simpan perubahan Anda.

PowerShell

Untuk mengubah kunci dengan PowerShell, panggil Set-AzStorageAccount kemudian tetapkan nama dan kunci versi baru. Jika kunci baru berada di brankas kunci yang berbeda, maka Anda juga harus memperbarui URI brankas kunci.

Azure CLI

Untuk mengubah kunci dengan Azure CLI, panggil pembaruan akun penyimpanan az kemudikan tetapkan nama dan kunci versi baru. Jika kunci baru berada di brankas kunci yang berbeda, maka Anda juga harus memperbarui URI brankas kunci.

Jika kunci baru berada di brankas kunci yang berbeda, Anda harus memberikan akses identitas terkelola ke kunci di brankas baru. Jika Anda memilih pembaruan manual versi kunci, Anda juga perlu memperbarui URI brankas kunci.

Mencabut akses ke akun penyimpanan yang menggunakan kunci yang dikelola pelanggan

Untuk mencabut akses untuk sementara ke akun penyimpanan yang menggunakan kunci yang dikelola pelanggan, nonaktifkan kunci yang saat ini digunakan di brankas kunci. Tidak ada dampak performa atau waktu henti yang terkait dengan menonaktifkan dan mengaktifkan kembali kunci.

Setelah kunci dinonaktifkan, klien tidak dapat memanggil operasi yang membaca dari atau menulis ke blob atau metadatanya. Untuk informasi tentang operasi mana yang akan gagal, lihat Mencabut akses ke akun penyimpanan yang menggunakan kunci yang dikelola pelanggan.

Perhatian

Saat Anda menonaktifkan kunci di brankas kunci, data di akun Azure Storage Anda tetap dienkripsi, tetapi menjadi tidak dapat diakses sampai Anda mengaktifkan kembali kunci.

Portal Azure

Untuk menonaktifkan kunci yang dikelola pelanggan dengan portal Azure, ikuti langkah-langkah berikut:

1. Navigasikan ke brankas kunci yang berisi kunci.

2. Di bawah Objek, pilih Kunci.

3. Klik kanan kunci dan pilih Nonaktifkan.

   

PowerShell

Untuk mencabut kunci yang dikelola pelanggan dengan PowerShell, panggil perintah Update-AzKeyVaultKey , seperti yang ditunjukkan dalam contoh berikut. Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung siku dengan nilai Anda sendiri untuk menentukan variabel, atau gunakan variabel yang ditentukan dalam contoh sebelumnya.

$kvName  = "<key-vault-name>"
$keyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it

# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $keyName -VaultName $kvName

# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $kvName -Name $keyName -Enable $enabled

Azure CLI

Untuk mencabut kunci yang dikelola pelanggan dengan Azure CLI, panggil perintah az keyvault key set-attributes , seperti yang ditunjukkan dalam contoh berikut. Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung siku dengan nilai Anda sendiri untuk menentukan variabel, atau gunakan variabel yang ditentukan dalam contoh sebelumnya.

kvName="<key-vault-name>"
keyName="<key-name>"
enabled="false"
# "false" to disable the key / "true" to enable it:

# Check the current state of the key (before and after enabling/disabling it)
az keyvault key show \
    --vault-name $kvName \
    --name $keyName

# Disable (or enable) the key
az keyvault key set-attributes \
    --vault-name $kvName \
    --name $keyName \
    --enabled $enabled

Menonaktifkan kunci akan menyebabkan upaya untuk mengakses data di akun penyimpanan gagal dengan kode kesalahan 403 (Terlarang). Untuk daftar operasi akun penyimpanan yang akan terpengaruh dengan menonaktifkan kunci, lihat Mencabut akses ke akun penyimpanan yang menggunakan kunci yang dikelola pelanggan.

Beralih kembali ke kunci yang dikelola Microsoft

Anda dapat beralih dari kunci yang dikelola pelanggan kembali ke kunci yang dikelola Microsoft kapan saja, menggunakan portal Azure, PowerShell, atau Azure CLI.

Portal Azure

Untuk beralih dari kunci yang dikelola pelanggan kembali ke kunci yang dikelola Microsoft di portal Azure, ikuti langkah-langkah berikut:

1. Buka akun penyimpanan Anda.

2. Di bawah Keamanan + jaringan, pilih Enkripsi.

3. Ubah jenis Enkripsi ke kunci yang dikelola Microsoft.

   

PowerShell

Untuk beralih dari kunci yang dikelola pelanggan kembali ke kunci yang dikelola Microsoft dengan PowerShell, panggil Set-AzStorageAccount dengan -StorageEncryption opsi , seperti yang ditunjukkan dalam contoh berikut. Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung dengan nilai Anda sendiri dan menggunakan variabel yang ditentukan dalam contoh sebelumnya.

Set-AzStorageAccount -ResourceGroupName $storageAccount.ResourceGroupName `
    -AccountName $storageAccount.StorageAccountName `
    -StorageEncryption  

Azure CLI

Untuk beralih dari kunci yang dikelola pelanggan kembali ke kunci yang dikelola Microsoft dengan Azure CLI, panggil pembaruan akun penyimpanan az dan atur ke Microsoft.Storage, seperti yang --encryption-key-source parameter ditunjukkan dalam contoh berikut. Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung dengan nilai Anda sendiri dan menggunakan variabel yang ditentukan dalam contoh sebelumnya.

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-source Microsoft.Storage

Langkah berikutnya

• Enkripsi Azure Storage untuk data tidak aktif
• Kunci yang dikelola pelanggan untuk enkripsi Azure Storage
• Konfigurasikan kunci yang dikelola pelanggan di brankas kunci Azure untuk akun penyimpanan yang sudah ada
• Mengonfigurasi enkripsi dengan kunci yang dikelola pelanggan yang disimpan di Azure Key Vault Managed HSM