Konfigurera kundhanterade nycklar i samma klientorganisation för ett befintligt lagringskonto
Artikel
Azure Storage krypterar alla data i ett lagringskonto i vila. Som standard krypteras data med Microsoft-hanterade nycklar. Om du vill ha mer kontroll över krypteringsnycklar kan du hantera dina egna nycklar. Kundhanterade nycklar måste lagras i Azure Key Vault eller Key Vault Managed Hardware Security Model (HSM).
Den här artikeln visar hur du konfigurerar kryptering med kundhanterade nycklar för ett befintligt lagringskonto när lagringskontot och nyckelvalvet finns i samma klientorganisation. Kundhanterade nycklar lagras i ett nyckelvalv.
Azure Key Vault och Azure Key Vault Managed HSM stöder samma API:er och hanteringsgränssnitt för konfiguration av kundhanterade nycklar. Alla åtgärder som stöds för Azure Key Vault stöds också för Azure Key Vault Managed HSM.
Konfigurera nyckelvalvet
Du kan använda ett nytt eller befintligt nyckelvalv för att lagra kundhanterade nycklar. Lagringskontot och nyckelvalvet kan finnas i olika regioner eller prenumerationer i samma klientorganisation. Mer information om Azure Key Vault finns i Översikt över Azure Key Vault och Vad är Azure Key Vault?.
Användning av kundhanterade nycklar med Azure Storage-kryptering kräver att både skydd mot mjuk borttagning och rensning aktiveras för nyckelvalvet. Mjuk borttagning är aktiverat som standard när du skapar ett nytt nyckelvalv och inte kan inaktiveras. Du kan aktivera rensningsskydd antingen när du skapar nyckelvalvet eller när det har skapats.
Följ dessa steg för att aktivera rensningsskydd i ett befintligt nyckelvalv:
Gå till ditt nyckelvalv i Azure-portalen.
Under Inställningar väljer du Egenskaper.
I avsnittet Rensa skydd väljer du Aktivera rensningsskydd.
Om du vill skapa ett nytt nyckelvalv med PowerShell installerar du version 2.0.0 eller senare av Az.KeyVault PowerShell-modulen. Anropa sedan New-AzKeyVault för att skapa ett nytt nyckelvalv. Med version 2.0.0 och senare av Az.KeyVault-modulen aktiveras mjuk borttagning som standard när du skapar ett nytt nyckelvalv.
I följande exempel skapas ett nytt nyckelvalv med mjukt borttagnings- och rensningsskydd aktiverat. Nyckelvalvets behörighetsmodell är inställd på att använda Azure RBAC. Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden.
Information om hur du aktiverar rensningsskydd i ett befintligt nyckelvalv med PowerShell finns i Översikt över Azure Key Vault-återställning.
När du har skapat nyckelvalvet måste du tilldela rollen Key Vault Crypto Officer till dig själv. Med den här rollen kan du skapa en nyckel i nyckelvalvet. I följande exempel tilldelas rollen till en användare som är begränsad till nyckelvalvet:
Om du vill skapa ett nytt nyckelvalv med Azure CLI anropar du az keyvault create. I följande exempel skapas ett nytt nyckelvalv med mjukt borttagnings- och rensningsskydd aktiverat. Nyckelvalvets behörighetsmodell är inställd på att använda Azure RBAC. Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden.
Information om hur du aktiverar rensningsskydd i ett befintligt nyckelvalv med Azure CLI finns i Översikt över Azure Key Vault-återställning.
När du har skapat nyckelvalvet måste du tilldela rollen Key Vault Crypto Officer till dig själv. Med den här rollen kan du skapa en nyckel i nyckelvalvet. I följande exempel tilldelas rollen till en användare som är begränsad till nyckelvalvet:
kvResourceId=$(az keyvault show --resource-group $rgName \
--name $kvName \
--query id \
--output tsv)
az role assignment create --assignee "<user-email>" \
--role "Key Vault Crypto Officer" \
--scope $kvResourceId
Lägg sedan till en nyckel i nyckelvalvet. Innan du lägger till nyckeln kontrollerar du att du har tilldelat dig rollen Key Vault Crypto Officer .
Azure Storage-kryptering stöder RSA- och RSA-HSM-nycklar i storlekarna 2048, 3072 och 4096. Mer information om nyckeltyper som stöds finns i Om nycklar.
Om du vill lägga till en nyckel med PowerShell anropar du Add-AzKeyVaultKey. Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden och att använda variablerna som definierats i föregående exempel.
Om du vill lägga till en nyckel med Azure CLI anropar du az keyvault key create. Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden.
Välj en hanterad identitet för att auktorisera åtkomst till nyckelvalvet
När du aktiverar kundhanterade nycklar för ett befintligt lagringskonto måste du ange en hanterad identitet som ska användas för att auktorisera åtkomst till nyckelvalvet som innehåller nyckeln. Den hanterade identiteten måste ha behörighet att komma åt nyckeln i nyckelvalvet.
Den hanterade identitet som auktoriserar åtkomst till nyckelvalvet kan vara antingen en användartilldelad eller systemtilldelad hanterad identitet. Mer information om systemtilldelade och användartilldelade hanterade identiteter finns i Hanterade identitetstyper.
Använda en användartilldelad hanterad identitet för att auktorisera åtkomst
När du aktiverar kundhanterade nycklar för ett nytt lagringskonto måste du ange en användartilldelad hanterad identitet. Ett befintligt lagringskonto stöder användning av antingen en användartilldelad hanterad identitet eller en systemtilldelad hanterad identitet för att konfigurera kundhanterade nycklar.
När du konfigurerar kundhanterade nycklar med en användartilldelad hanterad identitet används den användartilldelade hanterade identiteten för att auktorisera åtkomst till nyckelvalvet som innehåller nyckeln. Du måste skapa den användartilldelade identiteten innan du konfigurerar kundhanterade nycklar.
Den användartilldelade hanterade identiteten måste ha behörighet att komma åt nyckeln i nyckelvalvet. Tilldela rollen Kryptokrypteringsanvändare för Key Vault till den användartilldelade hanterade identiteten med key vault-omfånget för att bevilja dessa behörigheter.
Innan du kan konfigurera kundhanterade nycklar med en användartilldelad hanterad identitet måste du tilldela rollen krypteringsanvändare för Key Vault Crypto Service till den användartilldelade hanterade identiteten, som är begränsad till nyckelvalvet. Den här rollen ger den användartilldelade hanterade identiteten behörighet att komma åt nyckeln i nyckelvalvet. Mer information om hur du tilldelar Azure RBAC-roller med Azure-portalen finns i Tilldela Azure-roller med hjälp av Azure-portalen.
När du konfigurerar kundhanterade nycklar med Azure-portalen kan du välja en befintlig användartilldelad identitet via portalens användargränssnitt.
I följande exempel visas hur du hämtar den användartilldelade hanterade identiteten och tilldelar den den nödvändiga RBAC-rollen, som är begränsad till nyckelvalvet. Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden och att använda variablerna som definierats i föregående exempel:
I följande exempel visas hur du hämtar den användartilldelade hanterade identiteten och tilldelar den den nödvändiga RBAC-rollen, som är begränsad till nyckelvalvet. Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden och att använda variablerna som definierats i föregående exempel:
identityResourceId=$(az identity show --name <user-assigned-identity> \
--resource-group $rgName \
--query id \
--output tsv)
principalId=$(az identity show --name <user-assigned-identity> \
--resource-group $rgName \
--query principalId \
--output tsv)
az role assignment create --assignee-object-id $principalId \
--role "Key Vault Crypto Service Encryption User" \
--scope $kvResourceId \
--assignee-principal-type ServicePrincipal
Använda en systemtilldelad hanterad identitet för att auktorisera åtkomst
En systemtilldelad hanterad identitet är associerad med en instans av en Azure-tjänst, i det här fallet ett Azure Storage-konto. Du måste uttryckligen tilldela en systemtilldelad hanterad identitet till ett lagringskonto innan du kan använda den systemtilldelade hanterade identiteten för att auktorisera åtkomst till nyckelvalvet som innehåller din kundhanterade nyckel.
Endast befintliga lagringskonton kan använda en systemtilldelad identitet för att auktorisera åtkomst till nyckelvalvet. Nya lagringskonton måste använda en användartilldelad identitet om kundhanterade nycklar konfigureras när kontot skapas.
Den systemtilldelade hanterade identiteten måste ha behörighet att komma åt nyckeln i nyckelvalvet. Tilldela key vault-krypteringstjänstens användarroll till den systemtilldelade hanterade identiteten med nyckelvalvsomfånget för att bevilja dessa behörigheter.
Innan du kan konfigurera kundhanterade nycklar med en systemtilldelad hanterad identitet måste du tilldela rollen Key Vault Crypto Service Encryption User till den systemtilldelade hanterade identiteten, som är begränsad till nyckelvalvet. Den här rollen ger systemtilldelade hanterade identitetsbehörigheter för åtkomst till nyckeln i nyckelvalvet. Mer information om hur du tilldelar Azure RBAC-roller med Azure-portalen finns i Tilldela Azure-roller med hjälp av Azure-portalen.
När du konfigurerar kundhanterade nycklar med Azure-portalen med en systemtilldelad hanterad identitet tilldelas den systemtilldelade hanterade identiteten till lagringskontot åt dig under täcket.
Om du vill tilldela en systemtilldelad hanterad identitet till ditt lagringskonto anropar du först Set-AzStorageAccount:
Tilldela sedan den systemtilldelade hanterade identiteten den RBAC-roll som krävs, som är begränsad till nyckelvalvet. Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden och att använda variablerna som definierats i föregående exempel:
Om du vill autentisera åtkomsten till nyckelvalvet med en systemtilldelad hanterad identitet tilldelar du först den systemtilldelade hanterade identiteten till lagringskontot genom att anropa az storage account update:
Tilldela sedan den systemtilldelade hanterade identiteten den RBAC-roll som krävs, som är begränsad till nyckelvalvet. Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden och att använda variablerna som definierats i föregående exempel:
principalId=$(az storage account show --name $accountName \
--resource-group $rgName \
--query identity.principalId \
--output tsv)
az role assignment create --assignee-object-id $principalId \
--role "Key Vault Crypto Service Encryption User" \
--scope $kvResourceId
Konfigurera kundhanterade nycklar för ett befintligt konto
När du konfigurerar kryptering med kundhanterade nycklar för ett befintligt lagringskonto kan du välja att automatiskt uppdatera den nyckelversion som används för Azure Storage-kryptering när en ny version är tillgänglig i det associerade nyckelvalvet. Alternativt kan du uttryckligen ange en nyckelversion som ska användas för kryptering tills nyckelversionen uppdateras manuellt.
När nyckelversionen ändras, antingen automatiskt eller manuellt, ändras skyddet av rotkrypteringsnyckeln, men data i ditt Azure Storage-konto förblir krypterade hela tiden. Det krävs ingen ytterligare åtgärd från din sida för att säkerställa att dina data skyddas. Att rotering av nyckelversionen påverkar inte prestanda. Det finns ingen stilleståndstid som är associerad med att rotera nyckelversionen.
Du kan använda antingen en systemtilldelad eller användartilldelad hanterad identitet för att auktorisera åtkomst till nyckelvalvet när du konfigurerar kundhanterade nycklar för ett befintligt lagringskonto.
Kommentar
Om du vill rotera en nyckel skapar du en ny version av nyckeln i Azure Key Vault. Azure Storage hanterar inte nyckelrotation, så du måste hantera rotation av nyckeln i nyckelvalvet. Du kan konfigurera automatisk rotation av nycklar i Azure Key Vault eller rotera nyckeln manuellt.
Konfigurera kryptering för automatisk uppdatering av nyckelversioner
Azure Storage kan automatiskt uppdatera den kundhanterade nyckel som används för kryptering för att använda den senaste nyckelversionen från nyckelvalvet. Azure Storage kontrollerar nyckelvalvet dagligen efter en ny version av nyckeln. När en ny version blir tillgänglig börjar Azure Storage automatiskt använda den senaste versionen av nyckeln för kryptering.
Viktigt!
Azure Storage kontrollerar nyckelvalvet efter en ny nyckelversion bara en gång dagligen. När du roterar en nyckel måste du vänta 24 timmar innan du inaktiverar den äldre versionen.
Följ stegen nedan för att konfigurera kundhanterade nycklar för ett befintligt konto med automatisk uppdatering av nyckelversionen i Azure-portalen:
Navigera till ditt lagringskonto.
Under Säkerhet + nätverk väljer du Kryptering. Som standard är nyckelhantering inställt på Microsoft-hanterade nycklar enligt bilden nedan:
Välj alternativet Kundhanterade nycklar. Om kontot tidigare har konfigurerats för kundhanterade nycklar med manuell uppdatering av nyckelversionen väljer du Ändra nyckel längst ned på sidan.
Välj alternativet Välj från Key Vault.
Välj Välj ett nyckelvalv och en nyckel.
Välj nyckelvalvet som innehåller den nyckel som du vill använda. Du kan också skapa ett nytt nyckelvalv.
Välj nyckeln från nyckelvalvet. Du kan också skapa en ny nyckel.
Välj den typ av identitet som ska användas för att autentisera åtkomsten till nyckelvalvet. Alternativen är Systemtilldelade (standard) eller Användartilldelade. Mer information om varje typ av hanterad identitet finns i Hanterade identitetstyper.
Om du väljer Systemtilldelad skapas den systemtilldelade hanterade identiteten för lagringskontot under täcket, om den inte redan finns.
Om du väljer Användartilldelad måste du välja en befintlig användartilldelad identitet som har behörighet att komma åt nyckelvalvet. Information om hur du skapar en användartilldelad identitet finns i Hantera användartilldelade hanterade identiteter.
Spara dina ändringar.
När du har angett nyckeln anger Azure-portalen att automatisk uppdatering av nyckelversionen är aktiverad och visar den nyckelversion som för närvarande används för kryptering. Portalen visar också den typ av hanterad identitet som används för att auktorisera åtkomst till nyckelvalvet och huvud-ID:t för den hanterade identiteten.
Om du vill konfigurera kundhanterade nycklar för ett befintligt konto med automatisk uppdatering av nyckelversionen med PowerShell installerar du Az.Storage-modulen version 2.0.0 eller senare.
Anropa sedan Set-AzStorageAccount för att uppdatera lagringskontots krypteringsinställningar. Inkludera parametern KeyvaultEncryption för att aktivera kundhanterade nycklar för lagringskontot och ange KeyVersion en tom sträng för att aktivera automatisk uppdatering av nyckelversionen. Om lagringskontot tidigare har konfigurerats för kundhanterade nycklar med en specifik nyckelversion kan du automatiskt uppdatera nyckelversionen framöver genom att ange nyckelversionen till en tom sträng.
$accountName = "<storage-account>"
# Use this form of the command with a user-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
-AccountName $accountName `
-IdentityType SystemAssignedUserAssigned `
-UserAssignedIdentityId $userIdentity.Id `
-KeyvaultEncryption `
-KeyVaultUri $keyVault.VaultUri `
-KeyName $key.Name `
-KeyVersion "" `
-KeyVaultUserAssignedIdentityId $userIdentity.Id
# Use this form of the command with a system-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
-AccountName $accountName `
-KeyvaultEncryption `
-KeyName $key.Name `
-KeyVersion "" `
-KeyVaultUri $keyVault.VaultUri
Om du vill konfigurera kundhanterade nycklar för ett befintligt konto med automatisk uppdatering av nyckelversionen med Azure CLI installerar du Azure CLI version 2.4.0 eller senare. Mer information finns i Installera Azure CLI.
Anropa sedan az storage account update för att uppdatera lagringskontots krypteringsinställningar. Inkludera parametern --encryption-key-source och ange den till Microsoft.Keyvault för att aktivera kundhanterade nycklar för kontot och ange encryption-key-version en tom sträng för att aktivera automatisk uppdatering av nyckelversionen. Om lagringskontot tidigare har konfigurerats för kundhanterade nycklar med en specifik nyckelversion kan du automatiskt uppdatera nyckelversionen framöver genom att ange nyckelversionen till en tom sträng.
accountName="<storage-account>"
keyVaultUri=$(az keyvault show \
--name $kvName \
--resource-group $rgName \
--query properties.vaultUri \
--output tsv)
# Use this form of the command with a user-assigned managed identity.
az storage account update \
--name $accountName \
--resource-group $rgName \
--identity-type SystemAssigned,UserAssigned \
--user-identity-id $identityResourceId \
--encryption-key-name $keyName \
--encryption-key-version "" \
--encryption-key-source Microsoft.Keyvault \
--encryption-key-vault $keyVaultUri \
--key-vault-user-identity-id $identityResourceId
# Use this form of the command with a system-assigned managed identity.
az storage account update \
--name $accountName \
--resource-group $rgName \
--encryption-key-name $keyName \
--encryption-key-version "" \
--encryption-key-source Microsoft.Keyvault \
--encryption-key-vault $keyVaultUri
Konfigurera kryptering för manuell uppdatering av nyckelversioner
Om du föredrar att uppdatera nyckelversionen manuellt anger du uttryckligen den version som du konfigurerar kryptering med kundhanterade nycklar. I det här fallet uppdaterar Azure Storage inte nyckelversionen automatiskt när en ny version skapas i nyckelvalvet. Om du vill använda en ny nyckelversion måste du manuellt uppdatera den version som används för Azure Storage-kryptering.
Om du vill konfigurera kundhanterade nycklar med manuell uppdatering av nyckelversionen i Azure-portalen anger du nyckel-URI:n, inklusive versionen. Följ dessa steg för att ange en nyckel som en URI:
Om du vill hitta nyckel-URI:n i Azure-portalen går du till nyckelvalvet och väljer inställningen Nycklar . Välj önskad nyckel och välj sedan nyckeln för att visa dess versioner. Välj en nyckelversion för att visa inställningarna för den versionen.
Kopiera värdet för fältet Nyckelidentifierare , som tillhandahåller URI:n.
I inställningarna för krypteringsnyckeln för ditt lagringskonto väljer du alternativet Ange nyckel-URI.
Klistra in den URI som du kopierade till nyckel-URI-fältet. Utelämna nyckelversionen från URI:n för att aktivera automatisk uppdatering av nyckelversionen.
Ange den prenumeration som innehåller nyckelvalvet.
Ange antingen en systemtilldelad eller användartilldelad hanterad identitet.
Spara dina ändringar.
Om du vill konfigurera kundhanterade nycklar med manuell uppdatering av nyckelversionen anger du uttryckligen nyckelversionen när du konfigurerar kryptering för lagringskontot. Anropa Set-AzStorageAccount för att uppdatera lagringskontots krypteringsinställningar, som du ser i följande exempel, och inkludera alternativet -KeyvaultEncryption för att aktivera kundhanterade nycklar för lagringskontot.
Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden och att använda variablerna som definierats i föregående exempel.
$accountName = "<storage-account>"
# Use this form of the command with a user-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
-AccountName $accountName `
-IdentityType SystemAssignedUserAssigned `
-UserAssignedIdentityId $userIdentity.Id `
-KeyvaultEncryption `
-KeyVaultUri $keyVault.VaultUri `
-KeyName $key.Name `
-KeyVersion $key.Version `
-KeyVaultUserAssignedIdentityId $userIdentity.Id
# Use this form of the command with a system-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
-AccountName $accountName `
-KeyvaultEncryption `
-KeyVaultUri $keyVault.VaultUri `
-KeyName $key.Name `
-KeyVersion $key.Version
När du uppdaterar nyckelversionen manuellt måste du uppdatera lagringskontots krypteringsinställningar för att använda den nya versionen. Anropa först Get-AzKeyVaultKey för att hämta den senaste versionen av nyckeln. Anropa sedan Set-AzStorageAccount för att uppdatera lagringskontots krypteringsinställningar för att använda den nya versionen av nyckeln, som du ser i föregående exempel.
Om du vill konfigurera kundhanterade nycklar med manuell uppdatering av nyckelversionen anger du uttryckligen nyckelversionen när du konfigurerar kryptering för lagringskontot. Anropa az storage account update för att uppdatera lagringskontots krypteringsinställningar, enligt följande exempel. Inkludera parametern --encryption-key-source och ange den till Microsoft.Keyvault för att aktivera kundhanterade nycklar för kontot.
Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden.
accountName="<storage-account>"
keyVaultUri=$(az keyvault show \
--name $kvName \
--resource-group $rgName \
--query properties.vaultUri \
--output tsv)
keyVersion=$(az keyvault key list-versions \
--name $keyName \
--vault-name $kvName \
--query [-1].kid \
--output tsv | cut -d '/' -f 6)
# Use this form of the command with a user-assigned managed identity
az storage account update \
--name $accountName \
--resource-group $rgName \
--identity-type SystemAssigned,UserAssigned \
--user-identity-id $identityResourceId \
--encryption-key-name $keyName \
--encryption-key-version $keyVersion \
--encryption-key-source Microsoft.Keyvault \
--encryption-key-vault $keyVaultUri \
--key-vault-user-identity-id $identityResourceId
# Use this form of the command with a system-assigned managed identity
az storage account update \
--name $accountName \
--resource-group $rgName \
--encryption-key-name $keyName \
--encryption-key-version $keyVersion \
--encryption-key-source Microsoft.Keyvault \
--encryption-key-vault $keyVaultUri
När du uppdaterar nyckelversionen manuellt måste du uppdatera lagringskontots krypteringsinställningar för att använda den nya versionen. Börja med att fråga efter nyckelvalvets URI genom att anropa az keyvault show och för nyckelversionen genom att anropa az keyvault key list-versions. Anropa sedan az storage account update för att uppdatera lagringskontots krypteringsinställningar för att använda den nya versionen av nyckeln, som du ser i föregående exempel.
Ändra nyckeln
Du kan när som helst ändra den nyckel som du använder för Azure Storage-kryptering.
Kommentar
När du ändrar nyckel- eller nyckelversionen ändras skyddet av rotkrypteringsnyckeln, men data i ditt Azure Storage-konto förblir krypterade hela tiden. För din del krävs ingen ytterligare åtgärd för att säkerställa att dina data är skyddade. Att ändra nyckeln eller rotera nyckelversionen påverkar inte prestandan. Det finns ingen stilleståndstid som är associerad med att ändra nyckeln eller rotera nyckelversionen.
Följ dessa steg för att ändra nyckeln med Azure-portalen:
Gå till ditt lagringskonto och visa krypteringsinställningarna.
Välj nyckelvalvet och välj en ny nyckel.
Spara dina ändringar.
Om du vill ändra nyckeln med PowerShell anropar du Set-AzStorageAccount och anger det nya nyckelnamnet och den nya versionen. Om den nya nyckeln finns i ett annat nyckelvalv måste du även uppdatera nyckelvalvets URI.
Om du vill ändra nyckeln med Azure CLI anropar du az storage account update och anger det nya nyckelnamnet och den nya versionen. Om den nya nyckeln finns i ett annat nyckelvalv måste du även uppdatera nyckelvalvets URI.
Återkalla åtkomst till ett lagringskonto som använder kundhanterade nycklar
Om du tillfälligt vill återkalla åtkomsten till ett lagringskonto som använder kundhanterade nycklar inaktiverar du den nyckel som för närvarande används i nyckelvalvet. Det finns ingen prestandapåverkan eller stilleståndstid som är associerad med inaktivering och återaktivering av nyckeln.
När du inaktiverar nyckeln i nyckelvalvet förblir data i ditt Azure Storage-konto krypterade, men de blir otillgängliga tills du kan hämta nyckeln igen.
Så här inaktiverar du en kundhanterad nyckel med Azure-portalen:
Gå till nyckelvalvet som innehåller nyckeln.
Under Objekt väljer du Nycklar.
Högerklicka på nyckeln och välj Inaktivera.
Om du vill återkalla en kundhanterad nyckel med PowerShell anropar du kommandot Update-AzKeyVaultKey enligt följande exempel. Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden för att definiera variablerna, eller använd variablerna som definierats i föregående exempel.
$kvName = "<key-vault-name>"
$keyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it
# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $keyName -VaultName $kvName
# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $kvName -Name $keyName -Enable $enabled
Om du vill återkalla en kundhanterad nyckel med Azure CLI anropar du kommandot az keyvault key set-attributes , enligt följande exempel. Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden för att definiera variablerna, eller använd variablerna som definierats i föregående exempel.
kvName="<key-vault-name>"
keyName="<key-name>"
enabled="false"
# "false" to disable the key / "true" to enable it:
# Check the current state of the key (before and after enabling/disabling it)
az keyvault key show \
--vault-name $kvName \
--name $keyName
# Disable (or enable) the key
az keyvault key set-attributes \
--vault-name $kvName \
--name $keyName \
--enabled $enabled
Växla tillbaka till Microsoft-hanterade nycklar
Du kan när som helst växla från kundhanterade nycklar tillbaka till Microsoft-hanterade nycklar med hjälp av Azure-portalen, PowerShell eller Azure CLI.
Följ dessa steg om du vill växla från kundhanterade nycklar tillbaka till Microsoft-hanterade nycklar i Azure-portalen:
Navigera till ditt lagringskonto.
Under Säkerhet + nätverk väljer du Kryptering.
Ändra krypteringstyp till Microsoft-hanterade nycklar.
Om du vill växla från kundhanterade nycklar tillbaka till Microsoft-hanterade nycklar med PowerShell anropar du Set-AzStorageAccount med -StorageEncryption alternativet, som du ser i följande exempel. Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden och att använda variablerna som definierats i föregående exempel.
Om du vill växla från kundhanterade nycklar tillbaka till Microsoft-hanterade nycklar med Azure CLI anropar du az storage account update och anger --encryption-key-source parameter till Microsoft.Storage, enligt följande exempel. Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden och att använda variablerna som definierats i föregående exempel.
