Door de klant beheerde sleutels configureren in dezelfde tenant voor een bestaand opslagaccount

Azure Storage versleutelt alle gegevens in een opslagaccount-at-rest. Standaard worden gegevens versleuteld met door Microsoft beheerde sleutels. Voor meer controle over versleutelingssleutels kunt u uw eigen sleutels beheren. Door de klant beheerde sleutels moeten worden opgeslagen in Azure Key Vault of Key Vault Managed Hardware Security Model (HSM).

In dit artikel wordt beschreven hoe u versleuteling configureert met door de klant beheerde sleutels voor een bestaand opslagaccount wanneer het opslagaccount en de sleutelkluis zich in dezelfde tenant bevinden. De door de klant beheerde sleutels worden opgeslagen in een sleutelkluis.

Zie Door de klant beheerde sleutels voor een nieuw opslagaccount configureren in een Azure-sleutelkluis voor een nieuw opslagaccount voor meer informatie over het configureren van door de klant beheerde sleutels.

Voor meer informatie over het configureren van versleuteling met door de klant beheerde sleutels die zijn opgeslagen in een beheerde HSM, raadpleegt u Versleuteling configureren met door de klant beheerde sleutels die zijn opgeslagen in azure Key Vault Managed HSM.

Notitie

Azure Key Vault en Azure Key Vault Managed HSM ondersteunen dezelfde API's en beheerinterfaces voor de configuratie van door de klant beheerde sleutels. Elke actie die wordt ondersteund voor Azure Key Vault, wordt ook ondersteund voor beheerde HSM van Azure Key Vault.

De sleutelkluis configureren

U kunt een nieuwe of bestaande sleutelkluis gebruiken om door de klant beheerde sleutels op te slaan. Het opslagaccount en de sleutelkluis bevinden zich mogelijk in verschillende regio's of abonnementen in dezelfde tenant. Zie Overzicht van Azure Key Vault en wat is Azure Key Vault? voor meer informatie over Azure Key Vault.

Voor het gebruik van door de klant beheerde sleutels met Azure Storage-versleuteling moet zowel voorlopig verwijderen als beveiliging tegen opschonen zijn ingeschakeld voor de sleutelkluis. Voorlopig verwijderen is standaard ingeschakeld wanneer u een nieuwe sleutelkluis maakt en niet kan worden uitgeschakeld. U kunt beveiliging tegen opschonen inschakelen wanneer u de sleutelkluis maakt of nadat deze is gemaakt.

Azure Key Vault ondersteunt autorisatie met Azure RBAC via een Azure RBAC-machtigingsmodel. Microsoft raadt aan het Azure RBAC-machtigingsmodel te gebruiken via toegangsbeleid voor key vault. Zie Machtigingen verlenen aan toepassingen voor toegang tot een Azure-sleutelkluis met behulp van Azure RBAC voor meer informatie.

Azure-portal

Zie de quickstart: Een sleutelkluis maken met behulp van Azure Portal voor meer informatie over het maken van een sleutelkluis met behulp van Azure Portal. Wanneer u de sleutelkluis maakt, selecteert u Opschoningsbeveiliging inschakelen, zoals wordt weergegeven in de volgende afbeelding.

Voer de volgende stappen uit om beveiliging tegen opschonen in te schakelen voor een bestaande sleutelkluis:

1. Navigeer naar uw sleutelkluis in Azure Portal.
2. Kies Eigenschappen onder Instellingen.
3. Kies Beveiliging tegen opschonen inschakelen in de sectie Beveiliging tegen opschonen.

PowerShell

Als u een nieuwe sleutelkluis wilt maken met PowerShell, installeert u versie 2.0.0 of hoger van de Az.KeyVault PowerShell-module. Roep vervolgens New-AzKeyVault aan om een nieuwe sleutelkluis te maken. Met versie 2.0.0 en hoger van de Az.KeyVault-module is voorlopig verwijderen standaard ingeschakeld wanneer u een nieuwe sleutelkluis maakt.

In het volgende voorbeeld wordt een nieuwe sleutelkluis gemaakt waarvoor voorlopig verwijderen en beveiliging tegen opschonen is ingeschakeld. Het machtigingsmodel van de sleutelkluis is ingesteld op het gebruik van Azure RBAC. Vergeet niet om de tijdelijke aanduidingen tussen vierkante haken te vervangen door uw eigen waarden.

$rgName = "<resource_group>"
$location = "<location>"
$kvName = "<key-vault>"

$keyVault = New-AzKeyVault -Name $kvName `
    -ResourceGroupName $rgName `
    -Location $location `
    -EnablePurgeProtection `
    -EnableRbacAuthorization

Zie het overzicht van herstel van Azure Key Vault voor meer informatie over het inschakelen van beveiliging tegen opschonen van een bestaande sleutelkluis met PowerShell.

Nadat u de sleutelkluis hebt gemaakt, moet u de rol Key Vault Crypto Officer aan uzelf toewijzen. Met deze rol kunt u een sleutel maken in de sleutelkluis. In het volgende voorbeeld wordt deze rol toegewezen aan een gebruiker met het bereik van de sleutelkluis:

New-AzRoleAssignment -SignInName "<user-email>" `
    -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $keyVault.ResourceId

Zie Azure-rollen toewijzen met behulp van Azure PowerShell voor meer informatie over het toewijzen van een RBAC-rol met PowerShell.

Azure-CLI

Als u een nieuwe sleutelkluis wilt maken met behulp van Azure CLI, roept u az keyvault create aan. In het volgende voorbeeld wordt een nieuwe sleutelkluis gemaakt waarvoor voorlopig verwijderen en beveiliging tegen opschonen is ingeschakeld. Het machtigingsmodel van de sleutelkluis is ingesteld op het gebruik van Azure RBAC. Vergeet niet om de tijdelijke aanduidingen tussen vierkante haken te vervangen door uw eigen waarden.

rgName="<resource_group>"
location="<location>"
kvName="<key-vault>"

az keyvault create \
    --name $kvName \
    --resource-group $rgName \
    --location $location \
    --enable-purge-protection \
    --enable-rbac-authorization

Zie het overzicht van herstel van Azure Key Vault voor meer informatie over het inschakelen van beveiliging tegen opschonen van een bestaande sleutelkluis met Azure CLI.

Nadat u de sleutelkluis hebt gemaakt, moet u de rol Key Vault Crypto Officer aan uzelf toewijzen. Met deze rol kunt u een sleutel maken in de sleutelkluis. In het volgende voorbeeld wordt deze rol toegewezen aan een gebruiker met het bereik van de sleutelkluis:

kvResourceId=$(az keyvault show --resource-group $rgName \
    --name $kvName \
    --query id \
    --output tsv)

az role assignment create --assignee "<user-email>" \
    --role "Key Vault Crypto Officer" \
    --scope $kvResourceId

Zie Azure-rollen toewijzen met behulp van Azure CLI voor meer informatie over het toewijzen van een RBAC-rol met Behulp van Azure CLI.

Een sleutel toevoegen

Voeg vervolgens een sleutel toe aan de sleutelkluis. Voordat u de sleutel toevoegt, moet u ervoor zorgen dat u de rol Key Vault Crypto Officer aan uzelf hebt toegewezen.

Azure Storage-versleuteling ondersteunt RSA- en RSA-HSM-sleutels van grootte 2048, 3072 en 4096. Zie Over sleutels voor meer informatie over ondersteunde sleuteltypen.

Azure-portal

Zie quickstart: Een sleutel instellen en ophalen uit Azure Key Vault met behulp van Azure Portal voor meer informatie over het toevoegen van een sleutel met azure Portal.

PowerShell

Als u een sleutel wilt toevoegen met PowerShell, roept u Add-AzKeyVaultKey aan. Vergeet niet om de tijdelijke aanduidingen tussen haakjes te vervangen door uw eigen waarden en om de variabelen te gebruiken die in de vorige voorbeelden zijn gedefinieerd.

$keyName = "<key-name>"

$key = Add-AzKeyVaultKey -VaultName $keyVault.VaultName `
    -Name $keyName `
    -Destination 'Software'

Azure-CLI

Als u een sleutel wilt toevoegen met Azure CLI, roept u az keyvault key create aan. Vergeet niet om de tijdelijke aanduidingen tussen vierkante haken te vervangen door uw eigen waarden.

keyName="<key-name>"

az keyvault key create \
    --name $keyName \
    --vault-name $kvName

Een beheerde identiteit kiezen om toegang tot de sleutelkluis te autoriseren

Wanneer u door de klant beheerde sleutels inschakelt voor een bestaand opslagaccount, moet u een beheerde identiteit opgeven die moet worden gebruikt om toegang te verlenen tot de sleutelkluis die de sleutel bevat. De beheerde identiteit moet machtigingen hebben voor toegang tot de sleutel in de sleutelkluis.

De beheerde identiteit die toegang tot de sleutelkluis autoriseert, kan een door de gebruiker toegewezen of door het systeem toegewezen beheerde identiteit zijn. Zie Beheerde identiteitstypen voor meer informatie over door het systeem toegewezen versus door de gebruiker toegewezen beheerde identiteiten.

Een door de gebruiker toegewezen beheerde identiteit gebruiken om toegang te autoriseren

Wanneer u door de klant beheerde sleutels inschakelt voor een nieuw opslagaccount, moet u een door de gebruiker toegewezen beheerde identiteit opgeven. Een bestaand opslagaccount ondersteunt het gebruik van een door de gebruiker toegewezen beheerde identiteit of een door het systeem toegewezen beheerde identiteit om door de klant beheerde sleutels te configureren.

Wanneer u door de klant beheerde sleutels configureert met een door de gebruiker toegewezen beheerde identiteit, wordt de door de gebruiker toegewezen beheerde identiteit gebruikt om toegang te verlenen tot de sleutelkluis die de sleutel bevat. U moet de door de gebruiker toegewezen identiteit maken voordat u door de klant beheerde sleutels configureert.

Een door de gebruiker toegewezen beheerde identiteit is een zelfstandige Azure-resource. Zie Beheerde identiteitstypen voor meer informatie over door de gebruiker toegewezen beheerde identiteiten. Zie Door de gebruiker toegewezen beheerde identiteiten beheren voor meer informatie over het maken en beheren van een door de gebruiker toegewezen beheerde identiteiten.

De door de gebruiker toegewezen beheerde identiteit moet machtigingen hebben voor toegang tot de sleutel in de sleutelkluis. Wijs de rol Key Vault Crypto Service Encryption User toe aan de door de gebruiker toegewezen beheerde identiteit met sleutelkluisbereik om deze machtigingen te verlenen.

Azure-portal

Voordat u door de klant beheerde sleutels kunt configureren met een door de gebruiker toegewezen beheerde identiteit, moet u de rol Crypto Service-versleutelingsgebruiker van Key Vault toewijzen aan de door de gebruiker toegewezen beheerde identiteit, met het bereik van de sleutelkluis. Deze rol verleent de door de gebruiker toegewezen beheerde identiteit machtigingen voor toegang tot de sleutel in de sleutelkluis. Zie Azure-rollen toewijzen met behulp van Azure Portal voor meer informatie over het toewijzen van Azure RBAC-rollen met azure Portal.

Wanneer u door de klant beheerde sleutels configureert met Azure Portal, kunt u een bestaande door de gebruiker toegewezen identiteit selecteren via de gebruikersinterface van de portal.

PowerShell

In het volgende voorbeeld ziet u hoe u de door de gebruiker toegewezen beheerde identiteit ophaalt en hieraan de vereiste RBAC-rol toewijst, die is gericht op de sleutelkluis. Vergeet niet om de tijdelijke aanduidingen tussen haakjes te vervangen door uw eigen waarden en om de variabelen te gebruiken die in de vorige voorbeelden zijn gedefinieerd:

$userIdentity = Get-AzUserAssignedIdentity -Name <user-assigned-identity> `
    -ResourceGroupName $rgName

$principalId = $userIdentity.PrincipalId

New-AzRoleAssignment -ObjectId $principalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

Azure-CLI

In het volgende voorbeeld ziet u hoe u de door de gebruiker toegewezen beheerde identiteit ophaalt en hieraan de vereiste RBAC-rol toewijst, die is gericht op de sleutelkluis. Vergeet niet om de tijdelijke aanduidingen tussen haakjes te vervangen door uw eigen waarden en om de variabelen te gebruiken die in de vorige voorbeelden zijn gedefinieerd:

identityResourceId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query id \
    --output tsv)

principalId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query principalId \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId \
    --assignee-principal-type ServicePrincipal

Een door het systeem toegewezen beheerde identiteit gebruiken om toegang te autoriseren

Een door het systeem toegewezen beheerde identiteit is gekoppeld aan een exemplaar van een Azure-service, in dit geval een Azure Storage-account. U moet expliciet een door het systeem toegewezen beheerde identiteit toewijzen aan een opslagaccount voordat u de door het systeem toegewezen beheerde identiteit kunt gebruiken om toegang te verlenen tot de sleutelkluis die uw door de klant beheerde sleutel bevat.

Alleen bestaande opslagaccounts kunnen een door het systeem toegewezen identiteit gebruiken om toegang tot de sleutelkluis te autoriseren. Nieuwe opslagaccounts moeten een door de gebruiker toegewezen identiteit gebruiken als door de klant beheerde sleutels zijn geconfigureerd bij het maken van accounts.

De door het systeem toegewezen beheerde identiteit moet machtigingen hebben voor toegang tot de sleutel in de sleutelkluis. Wijs de key Vault Crypto Service Encryption-gebruikersrol toe aan de door het systeem toegewezen beheerde identiteit met sleutelkluisbereik om deze machtigingen te verlenen.

Azure-portal

Voordat u door de klant beheerde sleutels met een door het systeem toegewezen beheerde identiteit kunt configureren, moet u de rol Crypto Service-versleutelingsgebruiker van Key Vault toewijzen aan de door het systeem toegewezen beheerde identiteit, met het bereik van de sleutelkluis. Met deze rol worden de door het systeem toegewezen beheerde identiteitsmachtigingen verleend voor toegang tot de sleutel in de sleutelkluis. Zie Azure-rollen toewijzen met behulp van Azure Portal voor meer informatie over het toewijzen van Azure RBAC-rollen met azure Portal.

Wanneer u door de klant beheerde sleutels configureert met Azure Portal met een door het systeem toegewezen beheerde identiteit, wordt de door het systeem toegewezen beheerde identiteit toegewezen aan het opslagaccount.

PowerShell

Als u een door het systeem toegewezen beheerde identiteit wilt toewijzen aan uw opslagaccount, roept u Eerst Set-AzStorageAccount aan:

$accountName = "<storage-account>"

$storageAccount = Set-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -AssignIdentity

Wijs vervolgens toe aan de door het systeem toegewezen beheerde identiteit de vereiste RBAC-rol, die is gericht op de sleutelkluis. Vergeet niet om de tijdelijke aanduidingen tussen haakjes te vervangen door uw eigen waarden en om de variabelen te gebruiken die in de vorige voorbeelden zijn gedefinieerd:

$principalId = $storageAccount.Identity.PrincipalId

New-AzRoleAssignment -ObjectId $storageAccount.Identity.PrincipalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

Azure-CLI

Als u de toegang tot de sleutelkluis wilt verifiëren met een door het systeem toegewezen beheerde identiteit, wijst u eerst de door het systeem toegewezen beheerde identiteit toe aan het opslagaccount door az storage account update aan te roepen:

accountName="<storage-account>"

az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --assign-identity

Wijs vervolgens toe aan de door het systeem toegewezen beheerde identiteit de vereiste RBAC-rol, die is gericht op de sleutelkluis. Vergeet niet om de tijdelijke aanduidingen tussen haakjes te vervangen door uw eigen waarden en om de variabelen te gebruiken die in de vorige voorbeelden zijn gedefinieerd:

principalId=$(az storage account show --name $accountName \
    --resource-group $rgName \
    --query identity.principalId \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId

Door de klant beheerde sleutels configureren voor een bestaand account

Wanneer u versleuteling configureert met door de klant beheerde sleutels voor een bestaand opslagaccount, kunt u ervoor kiezen om automatisch de sleutelversie bij te werken die wordt gebruikt voor Azure Storage-versleuteling wanneer er een nieuwe versie beschikbaar is in de bijbehorende sleutelkluis. U kunt ook expliciet een sleutelversie opgeven die moet worden gebruikt voor versleuteling totdat de sleutelversie handmatig wordt bijgewerkt.

Wanneer de sleutelversie wordt gewijzigd, of dit nu automatisch of handmatig is, verandert de beveiliging van de hoofdversleutelingssleutel, maar blijven de gegevens in uw Azure Storage-account altijd versleuteld. Er is geen verdere actie vereist om ervoor te zorgen dat uw gegevens worden beveiligd. Het rouleren van de sleutelversie heeft geen invloed op de prestaties. Er is geen downtime verbonden aan het roteren van de sleutelversie.

U kunt een door het systeem toegewezen of door de gebruiker toegewezen beheerde identiteit gebruiken om toegang tot de sleutelkluis te autoriseren wanneer u door de klant beheerde sleutels voor een bestaand opslagaccount configureert.

Notitie

Als u een sleutel wilt draaien, maakt u een nieuwe versie van de sleutel in Azure Key Vault. Azure Storage verwerkt geen sleutelrotatie, dus u moet de rotatie van de sleutel in de sleutelkluis beheren. U kunt automatische rotatie van sleutels configureren in Azure Key Vault of uw sleutel handmatig draaien.

Versleuteling configureren voor het automatisch bijwerken van sleutelversies

Azure Storage kan automatisch de door de klant beheerde sleutel bijwerken die wordt gebruikt voor versleuteling om de meest recente sleutelversie uit de sleutelkluis te gebruiken. Azure Storage controleert de sleutelkluis dagelijks op een nieuwe versie van de sleutel. Wanneer er een nieuwe versie beschikbaar komt, begint Azure Storage automatisch met het gebruik van de nieuwste versie van de sleutel voor versleuteling.

Belangrijk

Azure Storage controleert de sleutelkluis slechts eenmaal per dag op een nieuwe sleutelversie. Wanneer u een sleutel draait, wacht u 24 uur voordat u de oudere versie uitschakelt.

Azure-portal

Volg de onderstaande stappen om door de klant beheerde sleutels voor een bestaand account te configureren met automatische updates van de sleutelversie in Azure Portal:

1. Navigeer naar uw opslagaccount.

2. Selecteer Versleuteling onder Beveiliging en netwerken. Sleutelbeheer is standaard ingesteld op door Microsoft beheerde sleutels , zoals wordt weergegeven in de onderstaande afbeelding:

   

3. Selecteer de optie Door de klant beheerde sleutels . Als het account eerder is geconfigureerd voor door de klant beheerde sleutels met handmatig bijwerken van de sleutelversie, selecteert u Sleutel wijzigen onderaan de pagina.

4. Kies de optie Selecteren uit Key Vault .

5. Selecteer Een sleutelkluis en sleutel selecteren.

6. Selecteer de sleutelkluis met de sleutel die u wilt gebruiken. U kunt ook een nieuwe sleutelkluis maken.

7. Selecteer de sleutel in de sleutelkluis. U kunt ook een nieuwe sleutel maken.

   

8. Selecteer het type identiteit dat moet worden gebruikt om toegang tot de sleutelkluis te verifiëren. De opties zijn door het systeem toegewezen (de standaardinstelling) of door de gebruiker toegewezen. Zie Beheerde identiteitstypen voor meer informatie over elk type beheerde identiteit.

   1. Als u Door het systeem toegewezen selecteert, wordt de door het systeem toegewezen beheerde identiteit voor het opslagaccount gemaakt onder de dekking, als deze nog niet bestaat.
   2. Als u Door de gebruiker toegewezen selecteert, moet u een bestaande door de gebruiker toegewezen identiteit met machtigingen voor toegang tot de sleutelkluis selecteren. Zie Door de gebruiker toegewezen beheerde identiteiten beheren voor meer informatie over het maken van een door de gebruiker toegewezen identiteit.

   

9. Uw wijzigingen opslaan.

Nadat u de sleutel hebt opgegeven, geeft Azure Portal aan dat automatisch bijwerken van de sleutelversie is ingeschakeld en wordt de sleutelversie weergegeven die momenteel wordt gebruikt voor versleuteling. In de portal wordt ook het type beheerde identiteit weergegeven dat wordt gebruikt om toegang tot de sleutelkluis en de principal-id voor de beheerde identiteit te autoriseren.

PowerShell

Als u door de klant beheerde sleutels wilt configureren voor een bestaand account met automatisch bijwerken van de sleutelversie met PowerShell, installeert u de Az.Storage-module , versie 2.0.0 of hoger.

Roep vervolgens Set-AzStorageAccount aan om de versleutelingsinstellingen van het opslagaccount bij te werken. Voeg de parameter toe om door de KeyvaultEncryption klant beheerde sleutels in te schakelen voor het opslagaccount en stel deze in KeyVersion op een lege tekenreeks om het automatisch bijwerken van de sleutelversie in te schakelen. Als het opslagaccount eerder is geconfigureerd voor door de klant beheerde sleutels met een specifieke sleutelversie, zorgt het instellen van de sleutelversie voor een lege tekenreeks ervoor dat de sleutelversie automatisch wordt bijgewerkt.

$accountName = "<storage-account>"

# Use this form of the command with a user-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyvaultEncryption `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion "" `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

# Use this form of the command with a system-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -KeyvaultEncryption `
    -KeyName $key.Name `
    -KeyVersion "" `
    -KeyVaultUri $keyVault.VaultUri

Azure-CLI

Als u door de klant beheerde sleutels wilt configureren voor een bestaand account met automatisch bijwerken van de sleutelversie met Azure CLI, installeert u Azure CLI versie 2.4.0 of hoger. Zie De Azure CLI installeren voor meer informatie.

Roep vervolgens az storage account update aan om de versleutelingsinstellingen van het opslagaccount bij te werken. Neem de parameter op en stel deze --encryption-key-source in om Microsoft.Keyvault door de klant beheerde sleutels voor het account in te schakelen en stel deze encryption-key-version in op een lege tekenreeks om het automatisch bijwerken van de sleutelversie in te schakelen. Als het opslagaccount eerder is geconfigureerd voor door de klant beheerde sleutels met een specifieke sleutelversie, zorgt het instellen van de sleutelversie voor een lege tekenreeks ervoor dat de sleutelversie automatisch wordt bijgewerkt.

accountName="<storage-account>"

keyVaultUri=$(az keyvault show \
    --name $kvName \
    --resource-group $rgName \
    --query properties.vaultUri \
    --output tsv)

# Use this form of the command with a user-assigned managed identity.
az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-name $keyName \
    --encryption-key-version "" \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $keyVaultUri \
    --key-vault-user-identity-id $identityResourceId

# Use this form of the command with a system-assigned managed identity.
az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --encryption-key-name $keyName \
    --encryption-key-version "" \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $keyVaultUri

Versleuteling configureren voor handmatig bijwerken van sleutelversies

Als u de sleutelversie liever handmatig bijwerkt, geeft u expliciet de versie op het moment dat u versleuteling configureert met door de klant beheerde sleutels. In dit geval werkt Azure Storage de sleutelversie niet automatisch bij wanneer er een nieuwe versie wordt gemaakt in de sleutelkluis. Als u een nieuwe sleutelversie wilt gebruiken, moet u de versie die wordt gebruikt voor Azure Storage-versleuteling handmatig bijwerken.

Azure-portal

Als u door de klant beheerde sleutels wilt configureren met handmatig bijwerken van de sleutelversie in Azure Portal, geeft u de sleutel-URI op, inclusief de versie. Voer de volgende stappen uit om een sleutel op te geven als een URI:

1. Als u de sleutel-URI in Azure Portal wilt vinden, gaat u naar uw sleutelkluis en selecteert u de instelling Sleutels . Selecteer de gewenste sleutel en selecteer vervolgens de sleutel om de versies ervan weer te geven. Selecteer een sleutelversie om de instellingen voor die versie weer te geven.

2. Kopieer de waarde van het veld Sleutel-id , die de URI levert.

   

3. Kies in de instellingen voor de versleutelingssleutel voor uw opslagaccount de optie Sleutel-URI invoeren.

4. Plak de URI die u in het veld Sleutel-URI hebt gekopieerd. Laat de sleutelversie weg uit de URI om het automatisch bijwerken van de sleutelversie in te schakelen.

   

5. Geef het abonnement op dat de sleutelkluis bevat.

6. Geef een door het systeem toegewezen of door de gebruiker toegewezen beheerde identiteit op.

7. Uw wijzigingen opslaan.

PowerShell

Als u door de klant beheerde sleutels wilt configureren met handmatig bijwerken van de sleutelversie, geeft u expliciet de sleutelversie op wanneer u versleuteling voor het opslagaccount configureert. Roep Set-AzStorageAccount aan om de versleutelingsinstellingen van het opslagaccount bij te werken, zoals wordt weergegeven in het volgende voorbeeld, en neem de optie -KeyvaultEncryption op om door de klant beheerde sleutels voor het opslagaccount in te schakelen.

Vergeet niet om de tijdelijke aanduidingen tussen haakjes te vervangen door uw eigen waarden en om de variabelen te gebruiken die in de vorige voorbeelden zijn gedefinieerd.

$accountName = "<storage-account>"

# Use this form of the command with a user-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyvaultEncryption `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

# Use this form of the command with a system-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -KeyvaultEncryption `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version

Wanneer u de sleutelversie handmatig bijwerkt, moet u de versleutelingsinstellingen van het opslagaccount bijwerken om de nieuwe versie te gebruiken. Roep eerst Get-AzKeyVaultKey aan om de nieuwste versie van de sleutel op te halen. Roep Vervolgens Set-AzStorageAccount aan om de versleutelingsinstellingen van het opslagaccount bij te werken voor het gebruik van de nieuwe versie van de sleutel, zoals wordt weergegeven in het vorige voorbeeld.

Azure-CLI

Als u door de klant beheerde sleutels wilt configureren met handmatig bijwerken van de sleutelversie, geeft u expliciet de sleutelversie op wanneer u versleuteling voor het opslagaccount configureert. Roep az storage account update aan om de versleutelingsinstellingen van het opslagaccount bij te werken, zoals wordt weergegeven in het volgende voorbeeld. Neem de parameter op en stel deze in om Microsoft.Keyvault door de --encryption-key-source klant beheerde sleutels voor het account in te schakelen.

Vergeet niet om de tijdelijke aanduidingen tussen vierkante haken te vervangen door uw eigen waarden.

accountName="<storage-account>"

keyVaultUri=$(az keyvault show \
    --name $kvName \
    --resource-group $rgName \
    --query properties.vaultUri \
    --output tsv)

keyVersion=$(az keyvault key list-versions \
    --name $keyName \
    --vault-name $kvName \
    --query [-1].kid \
    --output tsv | cut -d '/' -f 6)

# Use this form of the command with a user-assigned managed identity
az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-name $keyName \
    --encryption-key-version $keyVersion \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $keyVaultUri \
    --key-vault-user-identity-id $identityResourceId

# Use this form of the command with a system-assigned managed identity
az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --encryption-key-name $keyName \
    --encryption-key-version $keyVersion \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $keyVaultUri

Wanneer u de sleutelversie handmatig bijwerkt, moet u de versleutelingsinstellingen van het opslagaccount bijwerken om de nieuwe versie te gebruiken. Voer eerst een query uit voor de sleutelkluis-URI door az keyvault show aan te roepen en voor de sleutelversie door az keyvault key list-versions aan te roepen. Roep vervolgens az storage account update aan om de versleutelingsinstellingen van het opslagaccount bij te werken voor het gebruik van de nieuwe versie van de sleutel, zoals wordt weergegeven in het vorige voorbeeld.

De sleutel wijzigen

U kunt de sleutel die u gebruikt voor Azure Storage-versleuteling op elk gewenst moment wijzigen.

Notitie

Wanneer u de sleutel of sleutelversie wijzigt, wordt de beveiliging van de hoofdversleutelingssleutel gewijzigd, maar blijven de gegevens in uw Azure Storage-account altijd versleuteld. Er zijn geen aanvullende acties van uw kant vereist om ervoor te zorgen dat uw gegevens worden beschermd. Het wijzigen van de sleutel of het roteren van de sleutelversie heeft geen invloed op de prestaties. Er is geen downtime verbonden aan het wijzigen van de sleutel of het roteren van de sleutelversie.

Azure-portal

Voer de volgende stappen uit om de sleutel te wijzigen met Azure Portal:

1. Navigeer naar uw opslagaccount en geef de versleutelingsinstellingen weer.
2. Selecteer de sleutelkluis en kies een nieuwe sleutel.
3. Uw wijzigingen opslaan.

PowerShell

Als u de sleutel wilt wijzigen met PowerShell, roept u Set-AzStorageAccount aan en geeft u de nieuwe sleutelnaam en versie op. Als de nieuwe sleutel zich in een andere sleutelkluis bevindt, moet u ook de sleutelkluis-URI bijwerken.

Azure-CLI

Als u de sleutel wilt wijzigen met Azure CLI, roept u az storage account update aan en geeft u de nieuwe sleutelnaam en versie op. Als de nieuwe sleutel zich in een andere sleutelkluis bevindt, moet u ook de sleutelkluis-URI bijwerken.

Als de nieuwe sleutel zich in een andere sleutelkluis bevindt, moet u de beheerde identiteit toegang verlenen tot de sleutel in de nieuwe kluis. Als u kiest voor handmatig bijwerken van de sleutelversie, moet u ook de sleutelkluis-URI bijwerken.

Toegang intrekken tot een opslagaccount dat gebruikmaakt van door de klant beheerde sleutels

Als u de toegang tot een opslagaccount dat gebruikmaakt van door de klant beheerde sleutels tijdelijk wilt intrekken, schakelt u de sleutel uit die momenteel wordt gebruikt in de sleutelkluis. Er is geen invloed op de prestaties of downtime die is gekoppeld aan het uitschakelen en opnieuw inschakelen van de sleutel.

Nadat de sleutel is uitgeschakeld, kunnen clients geen bewerkingen aanroepen die lezen van of schrijven naar een blob of de metagegevens ervan. Zie Toegang intrekken tot een opslagaccount dat gebruikmaakt van door de klant beheerde sleutels voor informatie over welke bewerkingen mislukken.

Let op

Wanneer u de sleutel in de sleutelkluis uitschakelt, blijven de gegevens in uw Azure Storage-account versleuteld, maar worden deze niet meer toegankelijk totdat u de sleutel opnieuw kunt activeren.

Azure-portal

Voer de volgende stappen uit om een door de klant beheerde sleutel uit te schakelen met Azure Portal:

1. Navigeer naar de sleutelkluis die de sleutel bevat.

2. Selecteer Onder Objecten de optie Sleutels.

3. Klik met de rechtermuisknop op de toets en selecteer Uitschakelen.

   

PowerShell

Als u een door de klant beheerde sleutel wilt intrekken met PowerShell, roept u de opdracht Update-AzKeyVaultKey aan, zoals wordt weergegeven in het volgende voorbeeld. Vergeet niet om de tijdelijke aanduidingen tussen haakjes te vervangen door uw eigen waarden om de variabelen te definiëren of gebruik de variabelen die in de vorige voorbeelden zijn gedefinieerd.

$kvName  = "<key-vault-name>"
$keyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it

# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $keyName -VaultName $kvName

# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $kvName -Name $keyName -Enable $enabled

Azure-CLI

Als u een door de klant beheerde sleutel wilt intrekken met Azure CLI, roept u de opdracht az keyvault key set-attributes aan, zoals wordt weergegeven in het volgende voorbeeld. Vergeet niet om de tijdelijke aanduidingen tussen haakjes te vervangen door uw eigen waarden om de variabelen te definiëren of gebruik de variabelen die in de vorige voorbeelden zijn gedefinieerd.

kvName="<key-vault-name>"
keyName="<key-name>"
enabled="false"
# "false" to disable the key / "true" to enable it:

# Check the current state of the key (before and after enabling/disabling it)
az keyvault key show \
    --vault-name $kvName \
    --name $keyName

# Disable (or enable) the key
az keyvault key set-attributes \
    --vault-name $kvName \
    --name $keyName \
    --enabled $enabled

Overschakelen naar door Microsoft beheerde sleutels

U kunt op elk gewenst moment overschakelen van door de klant beheerde sleutels naar door Microsoft beheerde sleutels met behulp van Azure Portal, PowerShell of De Azure CLI.

Azure-portal

Als u wilt overschakelen van door de klant beheerde sleutels naar door Microsoft beheerde sleutels in Azure Portal, voert u de volgende stappen uit:

1. Navigeer naar uw opslagaccount.

2. Selecteer Versleuteling onder Beveiliging en netwerken.

3. Wijzig het versleutelingstype in door Microsoft beheerde sleutels.

   

PowerShell

Als u wilt overschakelen van door de klant beheerde sleutels naar door Microsoft beheerde sleutels met PowerShell, roept u Set-AzStorageAccount aan met de -StorageEncryption optie, zoals wordt weergegeven in het volgende voorbeeld. Vergeet niet om de tijdelijke aanduidingen tussen haakjes te vervangen door uw eigen waarden en om de variabelen te gebruiken die in de vorige voorbeelden zijn gedefinieerd.

Set-AzStorageAccount -ResourceGroupName $storageAccount.ResourceGroupName `
    -AccountName $storageAccount.StorageAccountName `
    -StorageEncryption  

Azure-CLI

Als u wilt overschakelen van door de klant beheerde sleutels naar door Microsoft beheerde sleutels met Azure CLI, roept u az storage account update aan en stelt u het --encryption-key-source parameterMicrosoft.Storagein op , zoals wordt weergegeven in het volgende voorbeeld. Vergeet niet om de tijdelijke aanduidingen tussen haakjes te vervangen door uw eigen waarden en om de variabelen te gebruiken die in de vorige voorbeelden zijn gedefinieerd.

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-source Microsoft.Storage

Volgende stappen

• Azure Storage-versleuteling voor inactieve gegevens
• Door klant beheerde sleutels voor Azure Storage-versleuteling
• Door de klant beheerde sleutels configureren in een Azure-sleutelkluis voor een nieuw opslagaccount