Bepalen welk Azure Storage-versleutelingssleutelmodel wordt gebruikt voor het opslagaccount

Gegevens in uw opslagaccount worden automatisch versleuteld door Azure Storage. Azure Storage-versleuteling biedt twee opties voor het beheren van versleutelingssleutels op het niveau van het opslagaccount:

• Door Microsoft beheerde sleutels. Microsoft beheert standaard de sleutels die worden gebruikt voor het versleutelen van uw opslagaccount.
• Door de klant beheerde sleutels. U kunt er desgewenst voor kiezen om versleutelingssleutels voor uw opslagaccount te beheren. Door de klant beheerde sleutels moeten worden opgeslagen in Azure Key Vault.

Daarnaast kunt u een versleutelingssleutel opgeven op het niveau van een afzonderlijke aanvraag voor bepaalde blobopslagbewerkingen. Wanneer een versleutelingssleutel wordt opgegeven in de aanvraag, overschrijft die sleutel de versleutelingssleutel die actief is voor het opslagaccount. Zie Een door de klant verstrekte sleutel opgeven voor een aanvraag voor blobopslag voor meer informatie.

Zie Azure Storage-versleuteling voor data-at-rest voor meer informatie over versleutelingssleutels.

Controleer het versleutelingssleutelmodel voor het opslagaccount

Gebruik een van de volgende methoden om te bepalen of een opslagaccount gebruikmaakt van door Microsoft beheerde sleutels of door de klant beheerde sleutels voor versleuteling.

Azure Portal

Voer de volgende stappen uit om het versleutelingsmodel voor het opslagaccount te controleren met behulp van de Azure Portal:

1. Ga in Azure Portal naar uw opslagaccount.
2. Selecteer de instelling Versleuteling en noteer de instelling.

In de volgende afbeelding ziet u een opslagaccount dat is versleuteld met door Microsoft beheerde sleutels:

In de volgende afbeelding ziet u een opslagaccount dat is versleuteld met door de klant beheerde sleutels:

PowerShell

Als u het versleutelingsmodel voor het opslagaccount wilt controleren met behulp van PowerShell, roept u de opdracht Get-AzStorageAccount aan en controleert u vervolgens de eigenschap KeySource voor het account.

$account = Get-AzStorageAccount -ResourceGroupName <resource-group> `
    -Name <storage-account>
$account.Encryption.KeySource

Als de waarde van de eigenschap KeySource is, wordt Microsoft.Storagehet account versleuteld met door Microsoft beheerde sleutels. Als de waarde van de eigenschap KeySource is, wordt Microsoft.Keyvaulthet account versleuteld met door de klant beheerde sleutels.

Azure-CLI

Als u het versleutelingsmodel voor het opslagaccount wilt controleren met behulp van Azure CLI, roept u de opdracht az storage account show aan en controleert u vervolgens de eigenschap keySource voor het account.

key_source=$(az storage account show \
    --name <storage-account> \
    --resource-group <resource-group> \
    --query encryption.keySource \
    --output tsv)

Als de waarde van de eigenschap keySource is, wordt Microsoft.Storagehet account versleuteld met door Microsoft beheerde sleutels. Als de waarde van de eigenschap keySource is, wordt Microsoft.Keyvaulthet account versleuteld met door de klant beheerde sleutels.

Volgende stappen

• Azure Storage-versleuteling voor inactieve gegevens
• Door de klant beheerde sleutels voor Azure Storage-versleuteling