Konfigurowanie kluczy zarządzanych przez klienta w tej samej dzierżawie dla istniejącego konta magazynu

Usługa Azure Storage szyfruje wszystkie dane na koncie magazynu magazynowanych. Domyślnie dane są szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft. Aby uzyskać większą kontrolę nad kluczami szyfrowania, możesz zarządzać własnymi kluczami. Klucze zarządzane przez klienta muszą być przechowywane w usłudze Azure Key Vault lub zarządzanym modelu zabezpieczeń sprzętu usługi Key Vault (HSM).

W tym artykule pokazano, jak skonfigurować szyfrowanie przy użyciu kluczy zarządzanych przez klienta dla istniejącego konta magazynu, gdy konto magazynu i magazyn kluczy znajdują się w tej samej dzierżawie. Klucze zarządzane przez klienta są przechowywane w magazynie kluczy.

Aby dowiedzieć się, jak skonfigurować klucze zarządzane przez klienta dla nowego konta magazynu, zobacz Konfigurowanie kluczy zarządzanych przez klienta w magazynie kluczy platformy Azure dla nowego konta magazynu.

Aby dowiedzieć się, jak skonfigurować szyfrowanie przy użyciu kluczy zarządzanych przez klienta przechowywanych w zarządzanym module HSM, zobacz Konfigurowanie szyfrowania przy użyciu kluczy zarządzanych przez klienta przechowywanych w zarządzanym module HSM usługi Azure Key Vault.

Uwaga

Usługa Azure Key Vault i zarządzany moduł HSM usługi Azure Key Vault obsługują te same interfejsy API i interfejsy zarządzania na potrzeby konfiguracji kluczy zarządzanych przez klienta. Każda akcja obsługiwana w usłudze Azure Key Vault jest również obsługiwana w przypadku zarządzanego modułu HSM usługi Azure Key Vault.

Konfigurowanie magazynu kluczy

Do przechowywania kluczy zarządzanych przez klienta można użyć nowego lub istniejącego magazynu kluczy. Konto magazynu i magazyn kluczy mogą znajdować się w różnych regionach lub subskrypcjach w tej samej dzierżawie. Aby dowiedzieć się więcej o usłudze Azure Key Vault, zobacz Omówienie usługi Azure Key Vault i Co to jest usługa Azure Key Vault?.

Korzystanie z kluczy zarządzanych przez klienta za pomocą szyfrowania usługi Azure Storage wymaga włączenia ochrony przed usuwaniem nietrwałym i przeczyszczeniem dla magazynu kluczy. Usuwanie nietrwałe jest domyślnie włączone podczas tworzenia nowego magazynu kluczy i nie można go wyłączyć. Ochronę przeczyszczania można włączyć podczas tworzenia magazynu kluczy lub po jego utworzeniu.

Usługa Azure Key Vault obsługuje autoryzację za pomocą kontroli dostępu opartej na rolach platformy Azure za pośrednictwem modelu uprawnień RBAC platformy Azure. Firma Microsoft zaleca korzystanie z modelu uprawnień RBAC platformy Azure za pośrednictwem zasad dostępu do magazynu kluczy. Aby uzyskać więcej informacji, zobacz Udzielanie aplikacji uprawnień dostępu do magazynu kluczy platformy Azure przy użyciu kontroli dostępu opartej na rolach platformy Azure.

Witryna Azure Portal

Aby dowiedzieć się, jak utworzyć magazyn kluczy w witrynie Azure Portal, zobacz Szybki start: tworzenie magazynu kluczy przy użyciu witryny Azure Portal. Podczas tworzenia magazynu kluczy wybierz pozycję Włącz ochronę przed przeczyszczeniem, jak pokazano na poniższej ilustracji.

Aby włączyć ochronę przed przeczyszczeniem w istniejącym magazynie kluczy, wykonaj następujące kroki:

1. Przejdź do magazynu kluczy w witrynie Azure Portal.
2. W obszarze Ustawienia wybierz pozycję Właściwości.
3. W sekcji Ochrona przed przeczyszczanie wybierz pozycję Włącz ochronę przeczyszczania.

Program PowerShell

Aby utworzyć nowy magazyn kluczy za pomocą programu PowerShell, zainstaluj wersję 2.0.0 lub nowszą modułu Az.KeyVault programu PowerShell. Następnie wywołaj polecenie New-AzKeyVault , aby utworzyć nowy magazyn kluczy. W wersji 2.0.0 lub nowszej modułu Az.KeyVault usuwanie nietrwałe jest domyślnie włączone podczas tworzenia nowego magazynu kluczy.

Poniższy przykład tworzy nowy magazyn kluczy z włączoną ochroną usuwania nietrwałego i przeczyszczania. Model uprawnień magazynu kluczy jest ustawiony na używanie kontroli dostępu opartej na rolach platformy Azure. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami.

$rgName = "<resource_group>"
$location = "<location>"
$kvName = "<key-vault>"

$keyVault = New-AzKeyVault -Name $kvName `
    -ResourceGroupName $rgName `
    -Location $location `
    -EnablePurgeProtection `
    -EnableRbacAuthorization

Aby dowiedzieć się, jak włączyć ochronę przed przeczyszczeniem w istniejącym magazynie kluczy przy użyciu programu PowerShell, zobacz Omówienie odzyskiwania usługi Azure Key Vault.

Po utworzeniu magazynu kluczy musisz przypisać sobie rolę crypto officer usługi Key Vault. Ta rola umożliwia utworzenie klucza w magazynie kluczy. Poniższy przykład przypisuje tę rolę użytkownikowi o zakresie do magazynu kluczy:

New-AzRoleAssignment -SignInName "<user-email>" `
    -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $keyVault.ResourceId

Aby uzyskać więcej informacji na temat przypisywania roli RBAC za pomocą programu PowerShell, zobacz Przypisywanie ról platformy Azure przy użyciu programu Azure PowerShell.

Interfejs wiersza polecenia platformy Azure

Aby utworzyć nowy magazyn kluczy przy użyciu interfejsu wiersza polecenia platformy Azure, wywołaj polecenie az keyvault create. Poniższy przykład tworzy nowy magazyn kluczy z włączoną ochroną usuwania nietrwałego i przeczyszczania. Model uprawnień magazynu kluczy jest ustawiony na używanie kontroli dostępu opartej na rolach platformy Azure. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami.

rgName="<resource_group>"
location="<location>"
kvName="<key-vault>"

az keyvault create \
    --name $kvName \
    --resource-group $rgName \
    --location $location \
    --enable-purge-protection \
    --enable-rbac-authorization

Aby dowiedzieć się, jak włączyć ochronę przeczyszczania w istniejącym magazynie kluczy za pomocą interfejsu wiersza polecenia platformy Azure, zobacz Omówienie odzyskiwania usługi Azure Key Vault.

Po utworzeniu magazynu kluczy musisz przypisać sobie rolę crypto officer usługi Key Vault. Ta rola umożliwia utworzenie klucza w magazynie kluczy. Poniższy przykład przypisuje tę rolę użytkownikowi o zakresie do magazynu kluczy:

kvResourceId=$(az keyvault show --resource-group $rgName \
    --name $kvName \
    --query id \
    --output tsv)

az role assignment create --assignee "<user-email>" \
    --role "Key Vault Crypto Officer" \
    --scope $kvResourceId

Aby uzyskać więcej informacji na temat przypisywania roli RBAC za pomocą interfejsu wiersza polecenia platformy Azure, zobacz Przypisywanie ról platformy Azure przy użyciu interfejsu wiersza polecenia platformy Azure.

Dodawanie klucza

Następnie dodaj klucz do magazynu kluczy. Przed dodaniem klucza upewnij się, że przypisano ci rolę administratora kryptograficznego usługi Key Vault.

Szyfrowanie usługi Azure Storage obsługuje klucze RSA i RSA-HSM o rozmiarach 2048, 3072 i 4096. Aby uzyskać więcej informacji na temat obsługiwanych typów kluczy, zobacz About keys (Informacje o kluczach).

Witryna Azure Portal

Aby dowiedzieć się, jak dodać klucz za pomocą witryny Azure Portal, zobacz Szybki start: ustawianie i pobieranie klucza z usługi Azure Key Vault przy użyciu witryny Azure Portal.

Program PowerShell

Aby dodać klucz za pomocą programu PowerShell, wywołaj metodę Add-AzKeyVaultKey. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami i użyć zmiennych zdefiniowanych w poprzednich przykładach.

$keyName = "<key-name>"

$key = Add-AzKeyVaultKey -VaultName $keyVault.VaultName `
    -Name $keyName `
    -Destination 'Software'

Interfejs wiersza polecenia platformy Azure

Aby dodać klucz za pomocą interfejsu wiersza polecenia platformy Azure, wywołaj polecenie az keyvault key create. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami.

keyName="<key-name>"

az keyvault key create \
    --name $keyName \
    --vault-name $kvName

Wybierz tożsamość zarządzaną, aby autoryzować dostęp do magazynu kluczy

Po włączeniu kluczy zarządzanych przez klienta dla istniejącego konta magazynu należy określić tożsamość zarządzaną, która ma być używana do autoryzowania dostępu do magazynu kluczy zawierającego klucz. Tożsamość zarządzana musi mieć uprawnienia dostępu do klucza w magazynie kluczy.

Tożsamość zarządzana, która autoryzuje dostęp do magazynu kluczy, może być tożsamością zarządzaną przypisaną przez użytkownika lub przypisaną przez system. Aby dowiedzieć się więcej o tożsamościach zarządzanych przypisanych przez system i przypisanych przez użytkownika, zobacz Typy tożsamości zarządzanych.

Używanie tożsamości zarządzanej przypisanej przez użytkownika do autoryzowania dostępu

Po włączeniu kluczy zarządzanych przez klienta dla nowego konta magazynu należy określić tożsamość zarządzaną przypisaną przez użytkownika. Istniejące konto magazynu obsługuje używanie tożsamości zarządzanej przypisanej przez użytkownika lub przypisanej przez system tożsamości zarządzanej w celu skonfigurowania kluczy zarządzanych przez klienta.

Podczas konfigurowania kluczy zarządzanych przez klienta przy użyciu tożsamości zarządzanej przypisanej przez użytkownika tożsamość zarządzana przypisana przez użytkownika jest używana do autoryzowania dostępu do magazynu kluczy zawierającego klucz. Przed skonfigurowaniem kluczy zarządzanych przez klienta należy utworzyć tożsamość przypisaną przez użytkownika.

Tożsamość zarządzana przypisana przez użytkownika jest autonomicznym zasobem platformy Azure. Aby dowiedzieć się więcej o tożsamościach zarządzanych przypisanych przez użytkownika, zobacz Typy tożsamości zarządzanych. Aby dowiedzieć się, jak utworzyć tożsamość zarządzaną przypisaną przez użytkownika i zarządzać nią, zobacz Zarządzanie tożsamościami zarządzanymi przypisanymi przez użytkownika.

Tożsamość zarządzana przypisana przez użytkownika musi mieć uprawnienia dostępu do klucza w magazynie kluczy. Przypisz rolę użytkownika szyfrowania usługi Kryptograficznej usługi Key Vault do tożsamości zarządzanej przypisanej przez użytkownika z zakresem magazynu kluczy, aby udzielić tych uprawnień.

Witryna Azure Portal

Aby można było skonfigurować klucze zarządzane przez klienta przy użyciu tożsamości zarządzanej przypisanej przez użytkownika, musisz przypisać rolę użytkownika szyfrowania usługi Kryptograficznej usługi Key Vault do tożsamości zarządzanej przypisanej przez użytkownika w zakresie do magazynu kluczy. Ta rola udziela uprawnień tożsamości zarządzanej przypisanej przez użytkownika w celu uzyskania dostępu do klucza w magazynie kluczy. Aby uzyskać więcej informacji na temat przypisywania ról RBAC platformy Azure za pomocą witryny Azure Portal, zobacz Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal.

Podczas konfigurowania kluczy zarządzanych przez klienta za pomocą witryny Azure Portal możesz wybrać istniejącą tożsamość przypisaną przez użytkownika za pośrednictwem interfejsu użytkownika portalu.

Program PowerShell

W poniższym przykładzie pokazano, jak pobrać tożsamość zarządzaną przypisaną przez użytkownika i przypisać do niej wymaganą rolę RBAC w zakresie do magazynu kluczy. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami i użyć zmiennych zdefiniowanych w poprzednich przykładach:

$userIdentity = Get-AzUserAssignedIdentity -Name <user-assigned-identity> `
    -ResourceGroupName $rgName

$principalId = $userIdentity.PrincipalId

New-AzRoleAssignment -ObjectId $principalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

Interfejs wiersza polecenia platformy Azure

W poniższym przykładzie pokazano, jak pobrać tożsamość zarządzaną przypisaną przez użytkownika i przypisać do niej wymaganą rolę RBAC w zakresie do magazynu kluczy. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami i użyć zmiennych zdefiniowanych w poprzednich przykładach:

identityResourceId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query id \
    --output tsv)

principalId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query principalId \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId \
    --assignee-principal-type ServicePrincipal

Używanie przypisanej przez system tożsamości zarządzanej do autoryzowania dostępu

Tożsamość zarządzana przypisana przez system jest skojarzona z wystąpieniem usługi platformy Azure, w tym przypadku kontem usługi Azure Storage. Aby można było użyć przypisanej przez system tożsamości zarządzanej, musisz jawnie przypisać tożsamość zarządzaną przypisaną przez system do autoryzowania dostępu do magazynu kluczy zawierającego klucz zarządzany przez klienta.

Tylko istniejące konta magazynu mogą używać tożsamości przypisanej przez system do autoryzowania dostępu do magazynu kluczy. Nowe konta magazynu muszą używać tożsamości przypisanej przez użytkownika, jeśli klucze zarządzane przez klienta są skonfigurowane podczas tworzenia konta.

Tożsamość zarządzana przypisana przez system musi mieć uprawnienia dostępu do klucza w magazynie kluczy. Przypisz rolę użytkownika szyfrowania usługi kryptograficznej usługi Key Vault do przypisanej przez system tożsamości zarządzanej z zakresem magazynu kluczy, aby udzielić tych uprawnień.

Witryna Azure Portal

Aby można było skonfigurować klucze zarządzane przez klienta przy użyciu tożsamości zarządzanej przypisanej przez system, musisz przypisać rolę użytkownika szyfrowania usługi Kryptograficznej usługi Key Vault do przypisanej przez system tożsamości zarządzanej w zakresie do magazynu kluczy. Ta rola przyznaje przypisane przez system uprawnienia tożsamości zarządzanej w celu uzyskania dostępu do klucza w magazynie kluczy. Aby uzyskać więcej informacji na temat przypisywania ról RBAC platformy Azure za pomocą witryny Azure Portal, zobacz Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal.

W przypadku konfigurowania kluczy zarządzanych przez klienta w witrynie Azure Portal przy użyciu tożsamości zarządzanej przypisanej przez system tożsamość zarządzana jest przypisywana do konta magazynu objętego zabezpieczeniami.

Program PowerShell

Aby przypisać tożsamość zarządzaną przypisaną przez system do konta magazynu, najpierw wywołaj polecenie Set-AzStorageAccount:

$accountName = "<storage-account>"

$storageAccount = Set-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -AssignIdentity

Następnie przypisz do tożsamości zarządzanej przypisanej przez system wymaganą rolę RBAC w zakresie do magazynu kluczy. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami i użyć zmiennych zdefiniowanych w poprzednich przykładach:

$principalId = $storageAccount.Identity.PrincipalId

New-AzRoleAssignment -ObjectId $storageAccount.Identity.PrincipalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

Interfejs wiersza polecenia platformy Azure

Aby uwierzytelnić dostęp do magazynu kluczy przy użyciu tożsamości zarządzanej przypisanej przez system, najpierw przypisz tożsamość zarządzaną przypisaną przez system do konta magazynu, wywołując polecenie az storage account update:

accountName="<storage-account>"

az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --assign-identity

Następnie przypisz do tożsamości zarządzanej przypisanej przez system wymaganą rolę RBAC w zakresie do magazynu kluczy. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami i użyć zmiennych zdefiniowanych w poprzednich przykładach:

principalId=$(az storage account show --name $accountName \
    --resource-group $rgName \
    --query identity.principalId \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId

Konfigurowanie kluczy zarządzanych przez klienta dla istniejącego konta

Podczas konfigurowania szyfrowania przy użyciu kluczy zarządzanych przez klienta dla istniejącego konta magazynu można automatycznie zaktualizować wersję klucza używaną do szyfrowania usługi Azure Storage za każdym razem, gdy nowa wersja jest dostępna w skojarzonym magazynie kluczy. Alternatywnie można jawnie określić wersję klucza, która ma być używana do szyfrowania, dopóki wersja klucza nie zostanie ręcznie zaktualizowana.

Gdy wersja klucza zostanie zmieniona, niezależnie od tego, czy jest automatycznie, czy ręcznie, ochrona klucza szyfrowania głównego zmienia się, ale dane na koncie usługi Azure Storage pozostają szyfrowane przez cały czas. Nie jest wymagana żadna dalsza akcja, aby upewnić się, że dane są chronione. Obrócenie wersji klucza nie ma wpływu na wydajność. Nie ma przestoju związanego z rotacją wersji klucza.

Tożsamość zarządzana przypisana przez system lub przypisana przez użytkownika umożliwia autoryzowanie dostępu do magazynu kluczy podczas konfigurowania kluczy zarządzanych przez klienta dla istniejącego konta magazynu.

Uwaga

Aby obrócić klucz, utwórz nową wersję klucza w usłudze Azure Key Vault. Usługa Azure Storage nie obsługuje rotacji kluczy, dlatego należy zarządzać rotacją klucza w magazynie kluczy. Możesz skonfigurować automatyczną rotację kluczy w usłudze Azure Key Vault lub ręcznie obrócić klucz.

Konfigurowanie szyfrowania pod kątem automatycznego aktualizowania wersji kluczy

Usługa Azure Storage może automatycznie aktualizować klucz zarządzany przez klienta, który jest używany do szyfrowania w celu używania najnowszej wersji klucza z magazynu kluczy. Usługa Azure Storage codziennie sprawdza magazyn kluczy pod kątem nowej wersji klucza. Gdy nowa wersja stanie się dostępna, usługa Azure Storage automatycznie zacznie używać najnowszej wersji klucza do szyfrowania.

Ważne

Usługa Azure Storage sprawdza magazyn kluczy pod kątem nowej wersji klucza tylko raz dziennie. Podczas obracania klucza pamiętaj, aby poczekać 24 godziny przed wyłączeniem starszej wersji.

Witryna Azure Portal

Aby skonfigurować klucze zarządzane przez klienta dla istniejącego konta z automatycznym aktualizowaniem wersji klucza w witrynie Azure Portal, wykonaj poniższe kroki:

1. Przejdź do swojego konta magazynu.

2. W obszarze Zabezpieczenia i sieć wybierz pozycję Szyfrowanie. Domyślnie zarządzanie kluczami jest ustawione na klucze zarządzane przez firmę Microsoft, jak pokazano na poniższej ilustracji:

   

3. Wybierz opcję Klucze zarządzane przez klienta. Jeśli konto zostało wcześniej skonfigurowane dla kluczy zarządzanych przez klienta przy użyciu ręcznego aktualizowania wersji klucza, wybierz pozycję Zmień klucz w dolnej części strony.

4. Wybierz opcję Wybierz z usługi Key Vault.

5. Wybierz pozycję Wybierz magazyn kluczy i klucz.

6. Wybierz magazyn kluczy zawierający klucz, którego chcesz użyć. Możesz również utworzyć nowy magazyn kluczy.

7. Wybierz klucz z magazynu kluczy. Możesz również utworzyć nowy klucz.

   

8. Wybierz typ tożsamości, który ma być używany do uwierzytelniania dostępu do magazynu kluczy. Opcje obejmują przypisaną przez system (domyślną) lub przypisaną przez użytkownika. Aby dowiedzieć się więcej o każdym typie tożsamości zarządzanej, zobacz Typy tożsamości zarządzanych.

   1. Jeśli wybierzesz opcję Przypisane przez system, tożsamość zarządzana przypisana przez system dla konta magazynu zostanie utworzona w ramach okładek, jeśli jeszcze nie istnieje.
   2. W przypadku wybrania pozycji Przypisane przez użytkownika musisz wybrać istniejącą tożsamość przypisaną przez użytkownika, która ma uprawnienia dostępu do magazynu kluczy. Aby dowiedzieć się, jak utworzyć tożsamość przypisaną przez użytkownika, zobacz Zarządzanie tożsamościami zarządzanymi przypisanymi przez użytkownika.

   

9. Zapisz zmiany.

Po określeniu klucza witryna Azure Portal wskazuje, że automatyczne aktualizowanie wersji klucza jest włączone i wyświetla wersję klucza, która jest obecnie używana do szyfrowania. Portal wyświetla również typ tożsamości zarządzanej używanej do autoryzowania dostępu do magazynu kluczy i identyfikatora podmiotu zabezpieczeń tożsamości zarządzanej.

Program PowerShell

Aby skonfigurować klucze zarządzane przez klienta dla istniejącego konta z automatycznym aktualizowaniem wersji klucza za pomocą programu PowerShell, zainstaluj moduł Az.Storage w wersji 2.0.0 lub nowszej.

Następnie wywołaj metodę Set-AzStorageAccount , aby zaktualizować ustawienia szyfrowania konta magazynu. Uwzględnij parametr , KeyvaultEncryption aby włączyć klucze zarządzane przez klienta dla konta magazynu i ustawić pusty KeyVersion ciąg, aby umożliwić automatyczne aktualizowanie wersji klucza. Jeśli konto magazynu zostało wcześniej skonfigurowane dla kluczy zarządzanych przez klienta z określoną wersją klucza, ustawienie wersji klucza na pusty ciąg umożliwia automatyczne aktualizowanie wersji klucza w przyszłości.

$accountName = "<storage-account>"

# Use this form of the command with a user-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyvaultEncryption `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion "" `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

# Use this form of the command with a system-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -KeyvaultEncryption `
    -KeyName $key.Name `
    -KeyVersion "" `
    -KeyVaultUri $keyVault.VaultUri

Interfejs wiersza polecenia platformy Azure

Aby skonfigurować klucze zarządzane przez klienta dla istniejącego konta z automatycznym aktualizowaniem wersji klucza za pomocą interfejsu wiersza polecenia platformy Azure, zainstaluj interfejs wiersza polecenia platformy Azure w wersji 2.4.0 lub nowszej. Aby uzyskać więcej informacji, zobacz Instalowanie interfejsu wiersza polecenia platformy Azure.

Następnie wywołaj polecenie az storage account update , aby zaktualizować ustawienia szyfrowania konta magazynu. --encryption-key-source Dołącz parametr i ustaw go w celu Microsoft.Keyvault włączenia kluczy zarządzanych przez klienta dla konta, a następnie ustaw wartość encryption-key-version na pusty ciąg, aby umożliwić automatyczne aktualizowanie wersji klucza. Jeśli konto magazynu zostało wcześniej skonfigurowane dla kluczy zarządzanych przez klienta z określoną wersją klucza, ustawienie wersji klucza na pusty ciąg umożliwia automatyczne aktualizowanie wersji klucza w przyszłości.

accountName="<storage-account>"

keyVaultUri=$(az keyvault show \
    --name $kvName \
    --resource-group $rgName \
    --query properties.vaultUri \
    --output tsv)

# Use this form of the command with a user-assigned managed identity.
az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-name $keyName \
    --encryption-key-version "" \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $keyVaultUri \
    --key-vault-user-identity-id $identityResourceId

# Use this form of the command with a system-assigned managed identity.
az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --encryption-key-name $keyName \
    --encryption-key-version "" \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $keyVaultUri

Konfigurowanie szyfrowania na potrzeby ręcznego aktualizowania wersji kluczy

Jeśli wolisz ręcznie zaktualizować wersję klucza, jawnie określ wersję podczas konfigurowania szyfrowania przy użyciu kluczy zarządzanych przez klienta. W takim przypadku usługa Azure Storage nie zaktualizuje automatycznie wersji klucza po utworzeniu nowej wersji w magazynie kluczy. Aby użyć nowej wersji klucza, należy ręcznie zaktualizować wersję używaną do szyfrowania usługi Azure Storage.

Witryna Azure Portal

Aby skonfigurować klucze zarządzane przez klienta przy użyciu ręcznego aktualizowania wersji klucza w witrynie Azure Portal, określ identyfikator URI klucza, w tym wersję. Aby określić klucz jako identyfikator URI, wykonaj następujące kroki:

1. Aby zlokalizować identyfikator URI klucza w witrynie Azure Portal, przejdź do magazynu kluczy i wybierz ustawienie Klucze . Wybierz żądany klucz, a następnie wybierz klucz, aby wyświetlić jego wersje. Wybierz wersję klucza, aby wyświetlić ustawienia dla tej wersji.

2. Skopiuj wartość pola Identyfikator klucza , który udostępnia identyfikator URI.

   

3. W ustawieniach klucza szyfrowania dla konta magazynu wybierz opcję Wprowadź identyfikator URI klucza.

4. Wklej skopiowany identyfikator URI do pola Identyfikator URI klucza. Pomiń wersję klucza z identyfikatora URI, aby włączyć automatyczne aktualizowanie wersji klucza.

   

5. Określ subskrypcję zawierającą magazyn kluczy.

6. Określ tożsamość zarządzaną przypisaną przez system lub przypisaną przez użytkownika.

7. Zapisz zmiany.

Program PowerShell

Aby skonfigurować klucze zarządzane przez klienta przy użyciu ręcznego aktualizowania wersji klucza, jawnie podaj wersję klucza podczas konfigurowania szyfrowania dla konta magazynu. Wywołaj metodę Set-AzStorageAccount , aby zaktualizować ustawienia szyfrowania konta magazynu, jak pokazano w poniższym przykładzie, i dołącz opcję -KeyvaultEncryption , aby włączyć klucze zarządzane przez klienta dla konta magazynu.

Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami i użyć zmiennych zdefiniowanych w poprzednich przykładach.

$accountName = "<storage-account>"

# Use this form of the command with a user-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyvaultEncryption `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

# Use this form of the command with a system-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -KeyvaultEncryption `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version

Po ręcznym zaktualizowaniu wersji klucza należy zaktualizować ustawienia szyfrowania konta magazynu, aby używać nowej wersji. Najpierw wywołaj metodę Get-AzKeyVaultKey , aby uzyskać najnowszą wersję klucza. Następnie wywołaj polecenie Set-AzStorageAccount , aby zaktualizować ustawienia szyfrowania konta magazynu, aby użyć nowej wersji klucza, jak pokazano w poprzednim przykładzie.

Interfejs wiersza polecenia platformy Azure

Aby skonfigurować klucze zarządzane przez klienta przy użyciu ręcznego aktualizowania wersji klucza, jawnie podaj wersję klucza podczas konfigurowania szyfrowania dla konta magazynu. Wywołaj polecenie az storage account update , aby zaktualizować ustawienia szyfrowania konta magazynu, jak pokazano w poniższym przykładzie. --encryption-key-source Dołącz parametr i ustaw go w celu Microsoft.Keyvault włączenia kluczy zarządzanych przez klienta dla konta.

Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami.

accountName="<storage-account>"

keyVaultUri=$(az keyvault show \
    --name $kvName \
    --resource-group $rgName \
    --query properties.vaultUri \
    --output tsv)

keyVersion=$(az keyvault key list-versions \
    --name $keyName \
    --vault-name $kvName \
    --query [-1].kid \
    --output tsv | cut -d '/' -f 6)

# Use this form of the command with a user-assigned managed identity
az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-name $keyName \
    --encryption-key-version $keyVersion \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $keyVaultUri \
    --key-vault-user-identity-id $identityResourceId

# Use this form of the command with a system-assigned managed identity
az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --encryption-key-name $keyName \
    --encryption-key-version $keyVersion \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $keyVaultUri

Po ręcznym zaktualizowaniu wersji klucza należy zaktualizować ustawienia szyfrowania konta magazynu, aby używać nowej wersji. Najpierw wykonaj zapytanie o identyfikator URI magazynu kluczy, wywołując polecenie az keyvault show, a w przypadku wersji klucza przez wywołanie polecenia az keyvault key list-versions. Następnie wywołaj polecenie az storage account update , aby zaktualizować ustawienia szyfrowania konta magazynu, aby użyć nowej wersji klucza, jak pokazano w poprzednim przykładzie.

Zmienianie klucza

Klucz używany do szyfrowania usługi Azure Storage można zmienić w dowolnym momencie.

Uwaga

Zmiana wersji klucza lub klucza spowoduje zmianę ochrony głównego klucza szyfrowania, ale dane na koncie usługi Azure Storage pozostają szyfrowane przez cały czas. Użytkownik nie musi podejmować żadnych dodatkowych działań, aby zapewnić ochronę swoich danych. Zmiana klucza lub rotacja wersji klucza nie ma wpływu na wydajność. Nie ma przestoju związanego ze zmianą klucza lub rotacją wersji klucza.

Witryna Azure Portal

Aby zmienić klucz w witrynie Azure Portal, wykonaj następujące kroki:

1. Przejdź do konta magazynu i wyświetl ustawienia szyfrowania .
2. Wybierz magazyn kluczy i wybierz nowy klucz.
3. Zapisz zmiany.

Program PowerShell

Aby zmienić klucz przy użyciu programu PowerShell, wywołaj polecenie Set-AzStorageAccount i podaj nową nazwę klucza i wersję. Jeśli nowy klucz znajduje się w innym magazynie kluczy, należy również zaktualizować identyfikator URI magazynu kluczy.

Interfejs wiersza polecenia platformy Azure

Aby zmienić klucz za pomocą interfejsu wiersza polecenia platformy Azure, wywołaj polecenie az storage account update i podaj nową nazwę klucza i wersję. Jeśli nowy klucz znajduje się w innym magazynie kluczy, należy również zaktualizować identyfikator URI magazynu kluczy.

Jeśli nowy klucz znajduje się w innym magazynie kluczy, musisz udzielić tożsamości zarządzanej dostępu do klucza w nowym magazynie. Jeśli zdecydujesz się na ręczną aktualizację wersji klucza, musisz również zaktualizować identyfikator URI magazynu kluczy.

Odwoływanie dostępu do konta magazynu korzystającego z kluczy zarządzanych przez klienta

Aby tymczasowo odwołać dostęp do konta magazynu korzystającego z kluczy zarządzanych przez klienta, wyłącz klucz używany obecnie w magazynie kluczy. Nie ma wpływu na wydajność ani przestoju związanego z wyłączeniem i ponownym opublikowaniem klucza.

Po wyłączeniu klucza klienci nie mogą wywoływać operacji odczytujących lub zapisujących do obiektu blob lub jego metadanych. Aby uzyskać informacje o tym, które operacje nie powiedzą się, zobacz Odwoływanie dostępu do konta magazynu korzystającego z kluczy zarządzanych przez klienta.

Uwaga

Po wyłączeniu klucza w magazynie kluczy dane na koncie usługi Azure Storage pozostają zaszyfrowane, ale stają się niedostępne do momentu ponownego włączenia klucza.

Witryna Azure Portal

Aby wyłączyć klucz zarządzany przez klienta w witrynie Azure Portal, wykonaj następujące kroki:

1. Przejdź do magazynu kluczy zawierającego klucz.

2. W obszarze Obiekty wybierz pozycję Klucze.

3. Kliknij prawym przyciskiem myszy klucz i wybierz polecenie Wyłącz.

   

Program PowerShell

Aby odwołać klucz zarządzany przez klienta za pomocą programu PowerShell, wywołaj polecenie Update-AzKeyVaultKey , jak pokazano w poniższym przykładzie. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami, aby zdefiniować zmienne, lub użyć zmiennych zdefiniowanych w poprzednich przykładach.

$kvName  = "<key-vault-name>"
$keyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it

# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $keyName -VaultName $kvName

# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $kvName -Name $keyName -Enable $enabled

Interfejs wiersza polecenia platformy Azure

Aby odwołać klucz zarządzany przez klienta za pomocą interfejsu wiersza polecenia platformy Azure, wywołaj polecenie az keyvault key set-attributes , jak pokazano w poniższym przykładzie. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami, aby zdefiniować zmienne, lub użyć zmiennych zdefiniowanych w poprzednich przykładach.

kvName="<key-vault-name>"
keyName="<key-name>"
enabled="false"
# "false" to disable the key / "true" to enable it:

# Check the current state of the key (before and after enabling/disabling it)
az keyvault key show \
    --vault-name $kvName \
    --name $keyName

# Disable (or enable) the key
az keyvault key set-attributes \
    --vault-name $kvName \
    --name $keyName \
    --enabled $enabled

Przełącz się z powrotem do kluczy zarządzanych przez firmę Microsoft

Klucze zarządzane przez klienta można przełączać z powrotem do kluczy zarządzanych przez firmę Microsoft w dowolnym momencie przy użyciu witryny Azure Portal, programu PowerShell lub interfejsu wiersza polecenia platformy Azure.

Witryna Azure Portal

Aby przełączyć się z kluczy zarządzanych przez klienta z powrotem do kluczy zarządzanych przez firmę Microsoft w witrynie Azure Portal, wykonaj następujące kroki:

1. Przejdź do swojego konta magazynu.

2. W obszarze Zabezpieczenia i sieć wybierz pozycję Szyfrowanie.

3. Zmień typ szyfrowania na klucze zarządzane przez firmę Microsoft.

   

Program PowerShell

Aby przełączyć się z kluczy zarządzanych przez klienta z powrotem do kluczy zarządzanych przez firmę Microsoft za pomocą programu PowerShell, wywołaj polecenie Set-AzStorageAccount z opcją -StorageEncryption , jak pokazano w poniższym przykładzie. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami i użyć zmiennych zdefiniowanych w poprzednich przykładach.

Set-AzStorageAccount -ResourceGroupName $storageAccount.ResourceGroupName `
    -AccountName $storageAccount.StorageAccountName `
    -StorageEncryption  

Interfejs wiersza polecenia platformy Azure

Aby przełączyć się z kluczy zarządzanych przez klienta z powrotem do kluczy zarządzanych przez firmę Microsoft za pomocą interfejsu wiersza polecenia platformy Azure, wywołaj polecenie az storage account update i ustaw wartość na --encryption-key-source parameterMicrosoft.Storage, jak pokazano w poniższym przykładzie. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami i użyć zmiennych zdefiniowanych w poprzednich przykładach.

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-source Microsoft.Storage

Następne kroki

• Szyfrowanie w usłudze Azure Storage dla danych magazynowanych
• Klucze zarządzane przez klienta dla usługi Azure Storage
• Konfigurowanie kluczy zarządzanych przez klienta w magazynie kluczy platformy Azure dla nowego konta magazynu