Door de klant beheerde sleutels in dezelfde tenant configureren voor een nieuw opslagaccount

Azure Storage versleutelt alle gegevens in een opslagaccount at rest. Gegevens worden standaard versleuteld met door Microsoft beheerde sleutels. Voor meer controle over versleutelingssleutels kunt u uw eigen sleutels beheren. Door de klant beheerde sleutels moeten worden opgeslagen in een Azure-Key Vault of in een Azure Key Vault Managed Hardware Security Model (HSM).

In dit artikel wordt beschreven hoe u versleuteling configureert met door de klant beheerde sleutels op het moment dat u een nieuw opslagaccount maakt. De door de klant beheerde sleutels worden opgeslagen in een sleutelkluis.

Zie Door de klant beheerde sleutels configureren in een Azure-sleutelkluis voor een bestaand opslagaccount voor meer informatie over het configureren van door de klant beheerde sleutels voor een bestaand opslagaccount.

Notitie

Azure Key Vault en Azure Key Vault Managed HSM ondersteunen dezelfde API's en beheerinterfaces voor de configuratie van door de klant beheerde sleutels. Elke actie die wordt ondersteund voor Azure Key Vault wordt ook ondersteund voor Azure Key Vault Managed HSM.

De sleutelkluis configureren

U kunt een nieuwe of bestaande sleutelkluis gebruiken om door de klant beheerde sleutels op te slaan. Het opslagaccount en de sleutelkluis bevinden zich mogelijk in verschillende regio's of abonnementen in dezelfde tenant. Zie Overzicht van Azure Key Vault en Wat is Azure Key Vault? voor meer informatie over Azure Key Vault.

Voor het gebruik van door de klant beheerde sleutels met Azure Storage-versleuteling moeten zowel voorlopig verwijderen als beveiliging tegen opschonen zijn ingeschakeld voor de sleutelkluis. Voorlopig verwijderen is standaard ingeschakeld wanneer u een nieuwe sleutelkluis maakt en kan niet worden uitgeschakeld. U kunt beveiliging tegen opschonen inschakelen wanneer u de sleutelkluis maakt of nadat deze is gemaakt.

Azure Key Vault ondersteunt autorisatie met Azure RBAC via een Azure RBAC-machtigingsmodel. Microsoft raadt aan het Azure RBAC-machtigingsmodel te gebruiken voor toegangsbeleid voor sleutelkluis. Zie Machtigingen verlenen aan toepassingen voor toegang tot een Azure-sleutelkluis met behulp van Azure RBAC voor meer informatie.

Azure-portal

Zie Quickstart: Een sleutelkluis maken met behulp van de Azure Portal voor meer informatie over het maken van een sleutelkluis met de Azure Portal. Wanneer u de sleutelkluis maakt, selecteert u Beveiliging tegen opschonen inschakelen, zoals wordt weergegeven in de volgende afbeelding.

Voer de volgende stappen uit om beveiliging tegen opschonen in te schakelen voor een bestaande sleutelkluis:

1. Navigeer naar uw sleutelkluis in de Azure Portal.
2. Kies onder Instellingende optie Eigenschappen.
3. Kies in de sectie Beveiliging tegen opschonende optie Beveiliging tegen opschonen inschakelen.

PowerShell

Als u een nieuwe sleutelkluis wilt maken met PowerShell, installeert u versie 2.0.0 of hoger van de Az.KeyVault PowerShell-module. Roep vervolgens New-AzKeyVault aan om een nieuwe sleutelkluis te maken. Met versie 2.0.0 en hoger van de Az.KeyVault-module is voorlopig verwijderen standaard ingeschakeld wanneer u een nieuwe sleutelkluis maakt.

In het volgende voorbeeld wordt een nieuwe sleutelkluis gemaakt met voorlopig verwijderen en beveiliging tegen opschonen ingeschakeld. Het machtigingsmodel van de sleutelkluis is ingesteld op het gebruik van Azure RBAC. Vergeet niet om de tijdelijke aanduidingen tussen vierkante haken te vervangen door uw eigen waarden.

$rgName = "<resource_group>"
$location = "<location>"
$kvName = "<key-vault>"

$keyVault = New-AzKeyVault -Name $kvName `
    -ResourceGroupName $rgName `
    -Location $location `
    -EnablePurgeProtection `
    -EnableRbacAuthorization

Zie Overzicht van Azure Key Vault herstel voor meer informatie over het inschakelen van beveiliging tegen opschonen van een bestaande sleutelkluis met PowerShell.

Nadat u de sleutelkluis hebt gemaakt, moet u de rol Key Vault Crypto Officer aan uzelf toewijzen. Met deze rol kunt u een sleutel maken in de sleutelkluis. In het volgende voorbeeld wordt deze rol toegewezen aan een gebruiker, met het bereik van de sleutelkluis:

New-AzRoleAssignment -SignInName "<user-email>" `
    -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $keyVault.ResourceId

Zie Azure-rollen toewijzen met behulp van Azure PowerShell voor meer informatie over het toewijzen van een RBAC-rol met PowerShell.

Azure-CLI

Als u een nieuwe sleutelkluis wilt maken met behulp van Azure CLI, roept u az keyvault create aan. In het volgende voorbeeld wordt een nieuwe sleutelkluis gemaakt met voorlopig verwijderen en beveiliging tegen opschonen ingeschakeld. Het machtigingsmodel van de sleutelkluis is ingesteld op het gebruik van Azure RBAC. Vergeet niet om de tijdelijke aanduidingen tussen vierkante haken te vervangen door uw eigen waarden.

rgName="<resource_group>"
location="<location>"
kvName="<key-vault>"

az keyvault create \
    --name $kvName \
    --resource-group $rgName \
    --location $location \
    --enable-purge-protection \
    --enable-rbac-authorization

Zie Overzicht van Azure Key Vault herstel voor meer informatie over het inschakelen van beveiliging tegen opschonen van een bestaande sleutelkluis met Azure CLI.

Nadat u de sleutelkluis hebt gemaakt, moet u de rol Key Vault Crypto Officer aan uzelf toewijzen. Met deze rol kunt u een sleutel maken in de sleutelkluis. In het volgende voorbeeld wordt deze rol toegewezen aan een gebruiker, met het bereik van de sleutelkluis:

kvResourceId=$(az keyvault show --resource-group $rgName \
    --name $kvName \
    --query id \
    --output tsv)

az role assignment create --assignee "<user-email>" \
    --role "Key Vault Crypto Officer" \
    --scope $kvResourceId

Zie Azure-rollen toewijzen met behulp van Azure CLI voor meer informatie over het toewijzen van een RBAC-rol met Azure CLI.

Een sleutel toevoegen

Voeg vervolgens een sleutel toe aan de sleutelkluis. Voordat u de sleutel toevoegt, moet u ervoor zorgen dat u de rol Key Vault Crypto Officer aan uzelf hebt toegewezen.

Azure Storage-versleuteling ondersteunt RSA- en RSA-HSM-sleutels met de grootten 2048, 3072 en 4096. Zie Over sleutels voor meer informatie over ondersteunde sleuteltypen.

Azure-portal

Zie Quickstart: Een sleutel instellen en ophalen uit Azure Key Vault met behulp van de Azure Portal voor meer informatie over het toevoegen van een sleutel met de Azure Portal.

PowerShell

Als u een sleutel wilt toevoegen met PowerShell, roept u Add-AzKeyVaultKey aan. Vergeet niet om de tijdelijke aanduidingen tussen haken te vervangen door uw eigen waarden en de variabelen te gebruiken die in de vorige voorbeelden zijn gedefinieerd.

$keyName = "<key-name>"

$key = Add-AzKeyVaultKey -VaultName $keyVault.VaultName `
    -Name $keyName `
    -Destination 'Software'

Azure-CLI

Als u een sleutel wilt toevoegen met Azure CLI, roept u az keyvault key create aan. Vergeet niet om de tijdelijke aanduidingen tussen vierkante haken te vervangen door uw eigen waarden.

keyName="<key-name>"

az keyvault key create \
    --name $keyName \
    --vault-name $kvName

Een door de gebruiker toegewezen beheerde identiteit gebruiken om toegang tot de sleutelkluis te autoriseren

Wanneer u door de klant beheerde sleutels inschakelt voor een nieuw opslagaccount, moet u een door de gebruiker toegewezen beheerde identiteit opgeven. Een bestaand opslagaccount ondersteunt het gebruik van een door de gebruiker toegewezen beheerde identiteit of een door het systeem toegewezen beheerde identiteit om door de klant beheerde sleutels te configureren.

Wanneer u door de klant beheerde sleutels configureert met een door de gebruiker toegewezen beheerde identiteit, wordt de door de gebruiker toegewezen beheerde identiteit gebruikt om toegang te verlenen tot de sleutelkluis die de sleutel bevat. U moet de door de gebruiker toegewezen identiteit maken voordat u door de klant beheerde sleutels configureert.

Een door de gebruiker toegewezen beheerde identiteit is een zelfstandige Azure-resource. Zie Beheerde identiteitstypen voor meer informatie over door de gebruiker toegewezen beheerde identiteiten. Zie Door de gebruiker toegewezen beheerde identiteiten beheren voor meer informatie over het maken en beheren van een door de gebruiker toegewezen beheerde identiteit.

De door de gebruiker toegewezen beheerde identiteit moet machtigingen hebben voor toegang tot de sleutel in de sleutelkluis. Wijs de Key Vault rol cryptoserviceversleutelingsgebruiker toe aan de door de gebruiker toegewezen beheerde identiteit met sleutelkluisbereik om deze machtigingen te verlenen.

Azure-portal

Voordat u door de klant beheerde sleutels kunt configureren met een door de gebruiker toegewezen beheerde identiteit, moet u de rol Key Vault cryptoserviceversleutelingsgebruiker toewijzen aan de door de gebruiker toegewezen beheerde identiteit, met het bereik van de sleutelkluis. Deze rol verleent de door de gebruiker toegewezen beheerde identiteit machtigingen voor toegang tot de sleutel in de sleutelkluis. Zie Azure-rollen toewijzen met behulp van de Azure Portal voor meer informatie over het toewijzen van Azure RBAC-rollen met de Azure Portal.

Wanneer u door de klant beheerde sleutels configureert met de Azure Portal, kunt u een bestaande door de gebruiker toegewezen identiteit selecteren via de gebruikersinterface van de portal.

PowerShell

In het volgende voorbeeld ziet u hoe u de door de gebruiker toegewezen beheerde identiteit ophaalt en hieraan de vereiste RBAC-rol toewijst, binnen het bereik van de sleutelkluis. Vergeet niet om de tijdelijke aanduidingen tussen haakjes te vervangen door uw eigen waarden en de variabelen te gebruiken die in de vorige voorbeelden zijn gedefinieerd:

$userIdentity = Get-AzUserAssignedIdentity -Name <user-assigned-identity> `
    -ResourceGroupName $rgName

$principalId = $userIdentity.PrincipalId

New-AzRoleAssignment -ObjectId $principalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

Azure-CLI

In het volgende voorbeeld ziet u hoe u de door de gebruiker toegewezen beheerde identiteit ophaalt en hieraan de vereiste RBAC-rol toewijst, binnen het bereik van de sleutelkluis. Vergeet niet om de tijdelijke aanduidingen tussen haakjes te vervangen door uw eigen waarden en de variabelen te gebruiken die in de vorige voorbeelden zijn gedefinieerd:

identityResourceId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query id \
    --output tsv)

principalId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query principalId \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId \
    --assignee-principal-type ServicePrincipal

Door de klant beheerde sleutels configureren voor een nieuw opslagaccount

Wanneer u versleuteling configureert met door de klant beheerde sleutels voor een nieuw opslagaccount, kunt u ervoor kiezen om de sleutelversie die wordt gebruikt voor Azure Storage-versleuteling automatisch bij te werken wanneer er een nieuwe versie beschikbaar is in de gekoppelde sleutelkluis. U kunt ook expliciet een sleutelversie opgeven die moet worden gebruikt voor versleuteling totdat de sleutelversie handmatig wordt bijgewerkt.

U moet een bestaande door de gebruiker toegewezen beheerde identiteit gebruiken om toegang tot de sleutelkluis te autoriseren wanneer u door de klant beheerde sleutels configureert tijdens het maken van het opslagaccount. De door de gebruiker toegewezen beheerde identiteit moet de juiste machtigingen hebben voor toegang tot de sleutelkluis. Zie Verifiëren bij Azure Key Vault voor meer informatie.

Versleuteling configureren voor het automatisch bijwerken van sleutelversies

Azure Storage kan de door de klant beheerde sleutel die wordt gebruikt voor versleuteling, automatisch bijwerken om de nieuwste sleutelversie van de sleutelkluis te gebruiken. Azure Storage controleert de sleutelkluis dagelijks op een nieuwe versie van de sleutel. Wanneer er een nieuwe versie beschikbaar komt, wordt in Azure Storage automatisch de nieuwste versie van de sleutel gebruikt voor versleuteling.

Belangrijk

Azure Storage controleert de sleutelkluis slechts eenmaal per dag op een nieuwe sleutelversie. Wanneer u een sleutel roteert, moet u 24 uur wachten voordat u de oudere versie uitschakelt.

Azure-portal

Volg deze stappen om door de klant beheerde sleutels te configureren voor een nieuw opslagaccount met automatisch bijwerken van de sleutelversie:

1. Ga in de Azure Portal naar de pagina Opslagaccounts en selecteer de knop Maken om een nieuw account te maken.

2. Volg de stappen die worden beschreven in Een opslagaccount maken om de velden op de tabbladen Basisbeginselen, Geavanceerd, Netwerken en Gegevensbescherming in te vullen.

3. Geef op het tabblad Versleuteling aan voor welke services u ondersteuning wilt inschakelen voor door de klant beheerde sleutels in het veld Ondersteuning voor door de klant beheerde sleutels inschakelen .

4. Selecteer in het veld Versleutelingstype de optie Door de klant beheerde sleutels (CMK).

5. Kies in het veld Versleutelingssleutelde optie Een sleutelkluis en sleutel selecteren en geef de sleutelkluis en sleutel op.

6. Selecteer voor het veld Door de gebruiker toegewezen identiteit een bestaande door de gebruiker toegewezen beheerde identiteit.

   

7. Selecteer de knop Controleren om het account te valideren en te maken.

U kunt ook door de klant beheerde sleutels configureren met het handmatig bijwerken van de sleutelversie wanneer u een nieuw opslagaccount maakt. Volg de stappen die worden beschreven in Versleuteling configureren voor het handmatig bijwerken van sleutelversies.

PowerShell

Als u door de klant beheerde sleutels wilt configureren voor een nieuw opslagaccount met automatisch bijwerken van de sleutelversie, roept u New-AzStorageAccount aan, zoals wordt weergegeven in het volgende voorbeeld. Gebruik de variabele die u eerder hebt gemaakt voor de resource-id voor de door de gebruiker toegewezen beheerde identiteit. U hebt ook de sleutelkluis-URI en sleutelnaam nodig:

$accountName = "<storage-account>"

New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Kind StorageV2 `
    -SkuName Standard_LRS `
    -Location $location `
    -AllowBlobPublicAccess $false `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

Azure-CLI

Als u door de klant beheerde sleutels wilt configureren voor een nieuw opslagaccount met automatisch bijwerken van de sleutelversie, roept u az storage account create aan, zoals wordt weergegeven in het volgende voorbeeld. Gebruik de variabele die u eerder hebt gemaakt voor de resource-id voor de door de gebruiker toegewezen beheerde identiteit. U hebt ook de sleutelkluis-URI en sleutelnaam nodig:

accountName="<storage-account>"

az storage account create \
    --name $accountName \
    --resource-group $rgName \
    --location $location \
    --sku Standard_LRS \
    --kind StorageV2 \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-vault <key-vault-uri> \
    --encryption-key-name $keyName \
    --encryption-key-source Microsoft.Keyvault \
    --key-vault-user-identity-id $identityResourceId

Versleuteling configureren voor handmatig bijwerken van sleutelversies

Als u de sleutelversie liever handmatig bijwerkt, geeft u de versie expliciet op wanneer u versleuteling configureert met door de klant beheerde sleutels tijdens het maken van het opslagaccount. In dit geval werkt Azure Storage de sleutelversie niet automatisch bij wanneer er een nieuwe versie wordt gemaakt in de sleutelkluis. Als u een nieuwe sleutelversie wilt gebruiken, moet u de versie die wordt gebruikt voor Azure Storage-versleuteling handmatig bijwerken.

U moet een bestaande door de gebruiker toegewezen beheerde identiteit gebruiken om toegang tot de sleutelkluis te autoriseren wanneer u door de klant beheerde sleutels configureert tijdens het maken van het opslagaccount. De door de gebruiker toegewezen beheerde identiteit moet de juiste machtigingen hebben voor toegang tot de sleutelkluis. Zie Verifiëren bij Azure Key Vault voor meer informatie.

Azure-portal

Als u door de klant beheerde sleutels wilt configureren met het handmatig bijwerken van de sleutelversie in de Azure Portal, geeft u de sleutel-URI, inclusief de versie, op tijdens het maken van het opslagaccount. Voer de volgende stappen uit om een sleutel op te geven als een URI:

1. Ga in de Azure Portal naar de pagina Opslagaccounts en selecteer de knop Maken om een nieuw account te maken.

2. Volg de stappen die worden beschreven in Een opslagaccount maken om de velden op de tabbladen Basisbeginselen, Geavanceerd, Netwerken en Gegevensbescherming in te vullen.

3. Geef op het tabblad Versleuteling aan voor welke services u ondersteuning wilt inschakelen voor door de klant beheerde sleutels in het veld Ondersteuning voor door de klant beheerde sleutels inschakelen .

4. Selecteer in het veld Versleutelingstype de optie Door de klant beheerde sleutels (CMK).

5. Als u de sleutel-URI in de Azure Portal wilt vinden, gaat u naar uw sleutelkluis en selecteert u de instelling Sleutels. Selecteer de gewenste sleutel en selecteer vervolgens de sleutel om de versies ervan weer te geven. Selecteer een sleutelversie om de instellingen voor die versie weer te geven.

6. Kopieer de waarde van het veld Sleutel-id , dat de URI levert.

   

7. Kies in de instellingen voor versleutelingssleutel voor uw opslagaccount de optie Sleutel-URI invoeren .

8. Plak de URI die u hebt gekopieerd in het veld Sleutel-URI . Neem de sleutelversie op in de URI om handmatig bijwerken van de sleutelversie te configureren.

9. Geef een door de gebruiker toegewezen beheerde identiteit op door de koppeling Een identiteit selecteren te kiezen.

   

10. Selecteer de knop Controleren om het account te valideren en te maken.

PowerShell

Als u door de klant beheerde sleutels wilt configureren met handmatig bijwerken van de sleutelversie, geeft u expliciet de sleutelversie op wanneer u versleuteling configureert tijdens het maken van het opslagaccount. Roep Set-AzStorageAccount aan om de versleutelingsinstellingen van het opslagaccount bij te werken, zoals weergegeven in het volgende voorbeeld, en neem de optie -KeyvaultEncryption op om door de klant beheerde sleutels in te schakelen voor het opslagaccount.

Vergeet niet om de tijdelijke aanduidingen tussen haakjes te vervangen door uw eigen waarden en de variabelen te gebruiken die in de vorige voorbeelden zijn gedefinieerd.

$accountName = "<storage-account>"

New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Kind StorageV2 `
    -SkuName Standard_LRS `
    -Location $location `
    -AllowBlobPublicAccess $false `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

Wanneer u de sleutelversie handmatig bijwerkt, moet u de versleutelingsinstellingen van het opslagaccount bijwerken om de nieuwe versie te kunnen gebruiken. Roep eerst Get-AzKeyVaultKey aan om de nieuwste versie van de sleutel op te halen. Roep vervolgens Set-AzStorageAccount aan om de versleutelingsinstellingen van het opslagaccount bij te werken om de nieuwe versie van de sleutel te gebruiken, zoals weergegeven in het vorige voorbeeld.

Azure-CLI

Als u door de klant beheerde sleutels wilt configureren met handmatig bijwerken van de sleutelversie, geeft u expliciet de sleutelversie op wanneer u versleuteling configureert tijdens het maken van het opslagaccount. Roep az storage account update aan om de versleutelingsinstellingen van het opslagaccount bij te werken, zoals wordt weergegeven in het volgende voorbeeld. Neem de --encryption-key-source parameter op en stel deze in op Microsoft.Keyvault om door de klant beheerde sleutels in te schakelen voor het account.

Vergeet niet om de tijdelijke aanduidingen tussen haakjes te vervangen door uw eigen waarden.

accountName="<storage-account>"

key_vault_uri=$(az keyvault show \
    --name <key-vault> \
    --resource-group <resource_group> \
    --query properties.vaultUri \
    --output tsv)

key_version=$(az keyvault key list-versions \
    --name <key> \
    --vault-name <key-vault> \
    --query [-1].kid \
    --output tsv | cut -d '/' -f 6)

az storage account create \
    --name $accountName \
    --resource-group $rgName \
    --location $location \
    --sku Standard_LRS \
    --kind StorageV2 \
    --allow-blob-public-access false \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-vault $keyVaultUri \
    --encryption-key-name $keyName \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-version $keyVersion \
    --key-vault-user-identity-id $identityResourceId

Wanneer u de sleutelversie handmatig bijwerkt, moet u de versleutelingsinstellingen van het opslagaccount bijwerken om de nieuwe versie te kunnen gebruiken. Voer eerst een query uit voor de sleutelkluis-URI door az keyvault show aan te roepen en voor de sleutelversie door az keyvault key list-versions aan te roepen. Roep vervolgens az storage account update aan om de versleutelingsinstellingen van het opslagaccount bij te werken om de nieuwe versie van de sleutel te gebruiken, zoals in het vorige voorbeeld wordt weergegeven.

De sleutel wijzigen

U kunt de sleutel die u gebruikt voor Azure Storage-versleuteling op elk gewenst moment wijzigen.

Notitie

Wanneer u de sleutel of sleutelversie wijzigt, wordt de beveiliging van de hoofdversleutelingssleutel gewijzigd, maar blijven de gegevens in uw Azure Storage-account te allen tijde versleuteld. Er is geen aanvullende actie van uw kant vereist om ervoor te zorgen dat uw gegevens worden beveiligd. Het wijzigen van de sleutel of het roteren van de sleutelversie heeft geen invloed op de prestaties. Er is geen downtime gekoppeld aan het wijzigen van de sleutel of het roteren van de sleutelversie.

Azure-portal

Voer de volgende stappen uit om de sleutel te wijzigen met de Azure Portal:

1. Navigeer naar uw opslagaccount en geef de versleutelingsinstellingen weer.
2. Selecteer de sleutelkluis en kies een nieuwe sleutel.
3. Sla uw wijzigingen op.

PowerShell

Als u de sleutel wilt wijzigen met PowerShell, roept u Set-AzStorageAccount aan en geeft u de nieuwe sleutelnaam en versie op. Als de nieuwe sleutel zich in een andere sleutelkluis bevindt, moet u ook de sleutelkluis-URI bijwerken.

Azure-CLI

Als u de sleutel wilt wijzigen met Azure CLI, roept u az storage account update aan en geeft u de nieuwe sleutelnaam en versie op. Als de nieuwe sleutel zich in een andere sleutelkluis bevindt, moet u ook de sleutelkluis-URI bijwerken.

Als de nieuwe sleutel zich in een andere sleutelkluis bevindt, moet u de beheerde identiteit toegang verlenen tot de sleutel in de nieuwe kluis. Als u kiest voor handmatig bijwerken van de sleutelversie, moet u ook de sleutelkluis-URI bijwerken.

Toegang intrekken tot een opslagaccount dat gebruikmaakt van door de klant beheerde sleutels

Als u de toegang tot een opslagaccount dat gebruikmaakt van door de klant beheerde sleutels tijdelijk wilt intrekken, schakelt u de sleutel uit die momenteel wordt gebruikt in de sleutelkluis. Het uitschakelen en opnieuw inschakelen van de sleutel heeft geen invloed op de prestaties of downtime.

Nadat de sleutel is uitgeschakeld, kunnen clients geen bewerkingen aanroepen die lezen uit of schrijven naar een blob of de metagegevens ervan. Zie Toegang intrekken tot een opslagaccount dat gebruikmaakt van door de klant beheerde sleutels voor informatie over welke bewerkingen mislukken.

Waarschuwing

Wanneer u de sleutel in de sleutelkluis uitschakelt, blijven de gegevens in uw Azure Storage-account versleuteld, maar worden ze ontoegankelijk totdat u de sleutel opnieuw inschakelt.

Azure-portal

Voer de volgende stappen uit om een door de klant beheerde sleutel uit te schakelen met de Azure Portal:

1. Navigeer naar de sleutelkluis die de sleutel bevat.

2. Selecteer onder Objectende optie Sleutels.

3. Klik met de rechtermuisknop op de sleutel en selecteer Uitschakelen.

   

PowerShell

Als u een door de klant beheerde sleutel wilt intrekken met PowerShell, roept u de opdracht Update-AzKeyVaultKey aan, zoals wordt weergegeven in het volgende voorbeeld. Vergeet niet om de tijdelijke aanduidingen tussen haakjes te vervangen door uw eigen waarden om de variabelen te definiëren, of gebruik de variabelen die in de vorige voorbeelden zijn gedefinieerd.

$kvName  = "<key-vault-name>"
$keyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it

# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $keyName -VaultName $kvName

# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $kvName -Name $keyName -Enable $enabled

Azure-CLI

Als u een door de klant beheerde sleutel wilt intrekken met Azure CLI, roept u de opdracht az key set-attributes aan, zoals wordt weergegeven in het volgende voorbeeld. Vergeet niet om de tijdelijke aanduidingen tussen haakjes te vervangen door uw eigen waarden om de variabelen te definiëren, of gebruik de variabelen die in de vorige voorbeelden zijn gedefinieerd.

kvName="<key-vault-name>"
keyName="<key-name>"
enabled="false"
# "false" to disable the key / "true" to enable it:

# Check the current state of the key (before and after enabling/disabling it)
az keyvault key show \
    --vault-name $kvName \
    --name $keyName

# Disable (or enable) the key
az keyvault key set-attributes \
    --vault-name $kvName \
    --name $keyName \
    --enabled $enabled

Als u de sleutel uitschakelt, mislukken pogingen om toegang te krijgen tot gegevens in het opslagaccount met foutcode 403 (verboden). Zie Toegang intrekken tot een opslagaccount dat gebruikmaakt van door de klant beheerde sleutels voor een lijst met opslagaccountbewerkingen die worden beïnvloed door het uitschakelen van de sleutel.

Teruggaan naar door Microsoft beheerde sleutels

U kunt op elk gewenst moment overschakelen van door de klant beheerde sleutels naar door Microsoft beheerde sleutels met behulp van de Azure Portal, PowerShell of de Azure CLI.

Azure-portal

Als u wilt overschakelen van door de klant beheerde sleutels naar door Microsoft beheerde sleutels in de Azure Portal, voert u de volgende stappen uit:

1. Ga naar uw opslagaccount.

2. Selecteer onder Beveiliging en netwerkende optie Versleuteling.

3. Wijzig het versleutelingstype in door Microsoft beheerde sleutels.

   

PowerShell

Als u wilt overschakelen van door de klant beheerde sleutels naar door Microsoft beheerde sleutels met PowerShell, roept u Set-AzStorageAccount aan met de -StorageEncryption optie, zoals wordt weergegeven in het volgende voorbeeld. Vergeet niet om de tijdelijke aanduidingen tussen haken te vervangen door uw eigen waarden en de variabelen te gebruiken die in de vorige voorbeelden zijn gedefinieerd.

Set-AzStorageAccount -ResourceGroupName $storageAccount.ResourceGroupName `
    -AccountName $storageAccount.StorageAccountName `
    -StorageEncryption  

Azure-CLI

Als u wilt overschakelen van door de klant beheerde sleutels naar door Microsoft beheerde sleutels met Azure CLI, roept u az storage account update aan en stelt u de --encryption-key-source parameter in op Microsoft.Storage, zoals wordt weergegeven in het volgende voorbeeld. Vergeet niet om de tijdelijke aanduidingen tussen haken te vervangen door uw eigen waarden en de variabelen te gebruiken die in de vorige voorbeelden zijn gedefinieerd.

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-source Microsoft.Storage

Volgende stappen

• Azure Storage-versleuteling voor inactieve gegevens
• Door de klant beheerde sleutels voor Azure Storage-versleuteling
• Door de klant beheerde sleutels configureren in een Azure-sleutelkluis voor een bestaand opslagaccount
• Versleuteling configureren met door de klant beheerde sleutels die zijn opgeslagen in Azure Key Vault Managed HSM