Tworzenie konta obsługującego klucze zarządzane przez klienta dla tabel i kolejek

Usługa Azure Storage szyfruje wszystkie dane na koncie magazynu magazynowanych. Domyślnie usługi Queue Storage i Table Storage używają klucza, który jest w zakresie usługi i zarządzany przez firmę Microsoft. Możesz również użyć kluczy zarządzanych przez klienta do szyfrowania danych w kolejce lub tabeli. Aby używać kluczy zarządzanych przez klienta z kolejkami i tabelami, należy najpierw utworzyć konto magazynu, które używa klucza szyfrowania o zakresie konta, a nie do usługi. Po utworzeniu konta, które używa klucza szyfrowania konta dla danych kolejek i tabel, można skonfigurować klucze zarządzane przez klienta dla tego konta magazynu.

W tym artykule opisano sposób tworzenia konta magazynu, które opiera się na kluczu, który jest zakresem konta. Po pierwszym utworzeniu konta firma Microsoft używa klucza konta do szyfrowania danych na koncie, a firma Microsoft zarządza kluczem. Następnie można skonfigurować klucze zarządzane przez klienta dla konta, aby korzystać z tych korzyści, w tym możliwość udostępniania własnych kluczy, aktualizowanie wersji klucza, obracanie kluczy i odwoływanie kontroli dostępu.

Tworzenie konta korzystającego z klucza szyfrowania konta

Należy skonfigurować nowe konto magazynu tak, aby używało klucza szyfrowania konta dla kolejek i tabel podczas tworzenia konta magazynu. Nie można zmienić zakresu klucza szyfrowania po utworzeniu konta.

Konto magazynu musi być typu ogólnego przeznaczenia w wersji 2. Możesz utworzyć konto magazynu i skonfigurować je tak, aby korzystało z klucza szyfrowania konta przy użyciu szablonu Azure Portal, programu PowerShell, interfejsu wiersza polecenia platformy Azure lub szablonu usługi Azure Resource Manager.

Aby dowiedzieć się więcej na temat tworzenia konta magazynu, zobacz Tworzenie konta magazynu.

Uwaga

Tylko kolejki i usługi Table Storage można opcjonalnie skonfigurować do szyfrowania danych przy użyciu klucza szyfrowania konta podczas tworzenia konta magazynu. Usługa Blob Storage i Azure Files zawsze używać klucza szyfrowania konta do szyfrowania danych.

Aby utworzyć konto magazynu, które opiera się na kluczu szyfrowania konta przy użyciu Azure Portal, wykonaj następujące kroki:

  1. W menu portalu po lewej stronie wybierz pozycję Storage konta, aby wyświetlić listę kont magazynu.

  2. Na stronie konta Storage wybierz pozycję Nowy.

  3. Wypełnij pola na karcie Podstawy .

  4. Na karcie Zaawansowane znajdź sekcję Tabele i kolejki , a następnie wybierz pozycję Włącz obsługę kluczy zarządzanych przez klienta.

    Screenshot showing how to enable customer-managed keys for queues and tables when creating a new account

Po utworzeniu konta, które opiera się na kluczu szyfrowania konta, można skonfigurować klucze zarządzane przez klienta przechowywane w usłudze Azure Key Vault lub w modelu zabezpieczeń sprzętu zarządzanego przez Key Vault (HSM). Aby dowiedzieć się, jak przechowywać klucze zarządzane przez klienta w magazynie kluczy, zobacz Konfigurowanie szyfrowania przy użyciu kluczy zarządzanych przez klienta przechowywanych w usłudze Azure Key Vault. Aby dowiedzieć się, jak przechowywać klucze zarządzane przez klienta w zarządzanym module HSM, zobacz Konfigurowanie szyfrowania przy użyciu kluczy zarządzanych przez klienta przechowywanych w zarządzanym module HSM platformy Azure Key Vault.

Weryfikowanie klucza szyfrowania konta

Po utworzeniu konta możesz sprawdzić, czy konto magazynu używa klucza szyfrowania, który jest w zakresie konta, przy użyciu Azure Portal, programu PowerShell lub interfejsu wiersza polecenia platformy Azure.

Aby sprawdzić, czy usługa na koncie magazynu używa klucza szyfrowania ograniczonego do konta z Azure Portal, wykonaj następujące kroki:

  1. W witrynie Azure Portal przejdź do swojego nowego konta magazynu.

  2. W sekcji Zabezpieczenia i sieć wybierz pozycję Szyfrowanie.

  3. Jeśli konto magazynu zostało utworzone w celu polegania na kluczu szyfrowania konta, na karcie Szyfrowanie można włączyć klucze zarządzane przez klienta dla wszystkich czterech usług Azure Storage: obiektów blob, plików, tabel i kolejek.

    Screenshot showing how to verify that the storage account is relying on the account encryption key

Po zweryfikowaniu, że konto magazynu używa klucza szyfrowania, którego zakres dotyczy konta, można włączyć klucze zarządzane przez klienta dla konta. Wszystkie cztery usługi Azure Storage — obiekty blob, pliki, tabele i kolejki — będą następnie używać klucza zarządzanego przez klienta do szyfrowania.

Cennik i rozliczenia

Konto magazynu, które jest tworzone w celu używania klucza szyfrowania ograniczonego do konta, jest rozliczane za pojemność magazynu tabel i transakcje z inną szybkością niż konto korzystające z domyślnego klucza o zakresie usługi. Aby uzyskać szczegółowe informacje, zobacz Cennik usługi Azure Table Storage.

Następne kroki