Konfigurera kundhanterade nycklar i samma klientorganisation för ett nytt lagringskonto

Artikel
05/24/2023

Azure Storage krypterar alla data i ett vilande lagringskonto. Som standard krypteras data med Microsoft-hanterade nycklar. Om du vill ha ytterligare kontroll över krypteringsnycklar kan du hantera dina egna nycklar. Kundhanterade nycklar måste lagras i en Azure-Key Vault eller i en Azure Key Vault Hanterad maskinvarusäkerhetsmodell (HSM).

Den här artikeln visar hur du konfigurerar kryptering med kundhanterade nycklar när du skapar ett nytt lagringskonto. De kundhanterade nycklarna lagras i ett nyckelvalv.

Information om hur du konfigurerar kundhanterade nycklar för ett befintligt lagringskonto finns i Konfigurera kundhanterade nycklar i ett Azure-nyckelvalv för ett befintligt lagringskonto.

Anteckning

Azure Key Vault och Azure Key Vault Managed HSM stöder samma API:er och hanteringsgränssnitt för konfiguration av kundhanterade nycklar. Alla åtgärder som stöds för Azure Key Vault stöds också för Azure Key Vault Managed HSM.

Konfigurera nyckelvalvet

Du kan använda ett nytt eller befintligt nyckelvalv för att lagra kundhanterade nycklar. Lagringskontot och nyckelvalvet kan finnas i olika regioner eller prenumerationer i samma klientorganisation. Mer information om Azure Key Vault finns i Översikt över Azure Key Vault och Vad är Azure Key Vault?.

Användning av kundhanterade nycklar med Azure Storage-kryptering kräver att både mjuk borttagning och rensningsskydd är aktiverat för nyckelvalvet. Mjuk borttagning är aktiverat som standard när du skapar ett nytt nyckelvalv och inte kan inaktiveras. Du kan aktivera rensningsskydd antingen när du skapar nyckelvalvet eller när det har skapats.

Azure Key Vault stöder auktorisering med Azure RBAC via en Azure RBAC-behörighetsmodell. Microsoft rekommenderar att du använder Azure RBAC-behörighetsmodellen över åtkomstprinciper för nyckelvalv. Mer information finns i Bevilja behörighet till program för åtkomst till ett Azure-nyckelvalv med Hjälp av Azure RBAC.

Information om hur du skapar ett nyckelvalv med Azure Portal finns i Snabbstart: Skapa ett nyckelvalv med Azure Portal. När du skapar nyckelvalvet väljer du Aktivera rensningsskydd enligt följande bild.

Skärmbild som visar hur du aktiverar rensningsskydd när du skapar ett nyckelvalv.

Följ dessa steg för att aktivera rensningsskydd i ett befintligt nyckelvalv:

Gå till nyckelvalvet i Azure Portal.
Under Inställningar väljer du Egenskaper.
I avsnittet Rensa skydd väljer du Aktivera rensningsskydd.

Om du vill skapa ett nytt nyckelvalv med PowerShell installerar du version 2.0.0 eller senare av Az.KeyVault PowerShell-modulen. Anropa sedan New-AzKeyVault för att skapa ett nytt nyckelvalv. Med version 2.0.0 och senare av Az.KeyVault-modulen aktiveras mjuk borttagning som standard när du skapar ett nytt nyckelvalv.

I följande exempel skapas ett nytt nyckelvalv med mjukt borttagnings- och rensningsskydd aktiverat. Nyckelvalvets behörighetsmodell är inställd på att använda Azure RBAC. Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden.

$rgName = "<resource_group>"
$location = "<location>"
$kvName = "<key-vault>"

$keyVault = New-AzKeyVault -Name $kvName `
    -ResourceGroupName $rgName `
    -Location $location `
    -EnablePurgeProtection `
    -EnableRbacAuthorization

Information om hur du aktiverar rensningsskydd i ett befintligt nyckelvalv med PowerShell finns i Översikt över Azure Key Vault-återställning.

När du har skapat nyckelvalvet måste du tilldela rollen Key Vault crypto officer till dig själv. Med den här rollen kan du skapa en nyckel i nyckelvalvet. I följande exempel tilldelas rollen till en användare som är begränsad till nyckelvalvet:

New-AzRoleAssignment -SignInName "<user-email>" `
    -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $keyVault.ResourceId

Mer information om hur du tilldelar en RBAC-roll med PowerShell finns i Tilldela Azure-roller med Azure PowerShell.

Om du vill skapa ett nytt nyckelvalv med Azure CLI anropar du az keyvault create. I följande exempel skapas ett nytt nyckelvalv med mjukt borttagnings- och rensningsskydd aktiverat. Nyckelvalvets behörighetsmodell är inställd på att använda Azure RBAC. Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden.

rgName="<resource_group>"
location="<location>"
kvName="<key-vault>"

az keyvault create \
    --name $kvName \
    --resource-group $rgName \
    --location $location \
    --enable-purge-protection \
    --enable-rbac-authorization

Information om hur du aktiverar rensningsskydd i ett befintligt nyckelvalv med Azure CLI finns i Översikt över Azure Key Vault-återställning.

kvResourceId=$(az keyvault show --resource-group $rgName \
    --name $kvName \
    --query id \
    --output tsv)

az role assignment create --assignee "<user-email>" \
    --role "Key Vault Crypto Officer" \
    --scope $kvResourceId

Mer information om hur du tilldelar en RBAC-roll med Azure CLI finns i Tilldela Azure-roller med Azure CLI.

Lägga till en nyckel

Lägg sedan till en nyckel i nyckelvalvet. Innan du lägger till nyckeln kontrollerar du att du har tilldelat dig själv rollen Key Vault Kryptoofficer.

Azure Storage-kryptering stöder RSA- och RSA-HSM-nycklar i storlekarna 2048, 3072 och 4096. Mer information om nyckeltyper som stöds finns i Om nycklar.

Information om hur du lägger till en nyckel med Azure Portal finns i Snabbstart: Ange och hämta en nyckel från Azure Key Vault med hjälp av Azure Portal.

Om du vill lägga till en nyckel med PowerShell anropar du Add-AzKeyVaultKey. Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden och att använda variablerna som definierats i föregående exempel.

$keyName = "<key-name>"

$key = Add-AzKeyVaultKey -VaultName $keyVault.VaultName `
    -Name $keyName `
    -Destination 'Software'

Om du vill lägga till en nyckel med Azure CLI anropar du az keyvault key create. Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden.

keyName="<key-name>"

az keyvault key create \
    --name $keyName \
    --vault-name $kvName

Använda en användartilldelad hanterad identitet för att auktorisera åtkomst till nyckelvalvet

När du aktiverar kundhanterade nycklar för ett nytt lagringskonto måste du ange en användartilldelad hanterad identitet. Ett befintligt lagringskonto stöder användning av antingen en användartilldelad hanterad identitet eller en systemtilldelad hanterad identitet för att konfigurera kundhanterade nycklar.

När du konfigurerar kundhanterade nycklar med en användartilldelad hanterad identitet används den användartilldelade hanterade identiteten för att auktorisera åtkomst till nyckelvalvet som innehåller nyckeln. Du måste skapa den användartilldelade identiteten innan du konfigurerar kundhanterade nycklar.

En användartilldelad hanterad identitet är en fristående Azure-resurs. Mer information om användartilldelade hanterade identiteter finns i Hanterade identitetstyper. Information om hur du skapar och hanterar en användartilldelad hanterad identitet finns i Hantera användartilldelade hanterade identiteter.

Den användartilldelade hanterade identiteten måste ha behörighet att komma åt nyckeln i nyckelvalvet. Tilldela rollen Key Vault krypteringsanvändare för kryptotjänsten till den användartilldelade hanterade identiteten med nyckelvalvsomfång för att bevilja dessa behörigheter.

Innan du kan konfigurera kundhanterade nycklar med en användartilldelad hanterad identitet måste du tilldela rollen Key Vault krypteringskrypteringsanvändare för kryptotjänsten till den användartilldelade hanterade identiteten, som är begränsad till nyckelvalvet. Den här rollen ger användartilldelade hanterade identitetsbehörigheter för åtkomst till nyckeln i nyckelvalvet. Mer information om hur du tilldelar Azure RBAC-roller med Azure Portal finns i Tilldela Azure-roller med hjälp av Azure Portal.

När du konfigurerar kundhanterade nycklar med Azure Portal kan du välja en befintlig användartilldelad identitet via portalens användargränssnitt.

I följande exempel visas hur du hämtar den användartilldelade hanterade identiteten och tilldelar den den RBAC-roll som krävs, begränsad till nyckelvalvet. Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden och att använda variablerna som definierats i föregående exempel:

$userIdentity = Get-AzUserAssignedIdentity -Name <user-assigned-identity> `
    -ResourceGroupName $rgName

$principalId = $userIdentity.PrincipalId

New-AzRoleAssignment -ObjectId $principalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

identityResourceId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query id \
    --output tsv)

principalId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query principalId \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId \
    --assignee-principal-type ServicePrincipal

Konfigurera kundhanterade nycklar för ett nytt lagringskonto

När du konfigurerar kryptering med kundhanterade nycklar för ett nytt lagringskonto kan du välja att automatiskt uppdatera den nyckelversion som används för Azure Storage-kryptering när en ny version är tillgänglig i det associerade nyckelvalvet. Alternativt kan du uttryckligen ange en nyckelversion som ska användas för kryptering tills nyckelversionen uppdateras manuellt.

Du måste använda en befintlig användartilldelad hanterad identitet för att auktorisera åtkomst till nyckelvalvet när du konfigurerar kundhanterade nycklar när du skapar lagringskontot. Den användartilldelade hanterade identiteten måste ha rätt behörighet för att få åtkomst till nyckelvalvet. Mer information finns i Autentisera till Azure Key Vault.

Konfigurera kryptering för automatisk uppdatering av nyckelversioner

Azure Storage kan automatiskt uppdatera den kundhanterade nyckel som används för kryptering för att använda den senaste nyckelversionen från nyckelvalvet. Azure Storage kontrollerar nyckelvalvet dagligen efter en ny version av nyckeln. När en ny version blir tillgänglig börjar Azure Storage automatiskt använda den senaste versionen av nyckeln för kryptering.

Viktigt

Azure Storage kontrollerar nyckelvalvet efter en ny nyckelversion endast en gång dagligen. När du roterar en nyckel måste du vänta 24 timmar innan du inaktiverar den äldre versionen.

Så här konfigurerar du kundhanterade nycklar för ett nytt lagringskonto med automatisk uppdatering av nyckelversionen:

I Azure Portal går du till sidan Lagringskonton och väljer knappen Skapa för att skapa ett nytt konto.
Följ stegen som beskrivs i Skapa ett lagringskonto för att fylla i fälten på flikarna Grundläggande, Avancerat, Nätverk och Dataskydd .
På fliken Kryptering anger du för vilka tjänster du vill aktivera support för kundhanterade nycklar i fältet Aktivera support för kundhanterade nycklar .
I fältet Krypteringstyp väljer du Kundhanterade nycklar (CMK).
I fältet Krypteringsnyckel väljer du Välj ett nyckelvalv och nyckel och anger nyckelvalvet och nyckeln.
I fältet Användartilldelad identitet väljer du en befintlig användartilldelad hanterad identitet.
Välj knappen Granska för att verifiera och skapa kontot.

Du kan också konfigurera kundhanterade nycklar med manuell uppdatering av nyckelversionen när du skapar ett nytt lagringskonto. Följ stegen som beskrivs i Konfigurera kryptering för manuell uppdatering av nyckelversioner.

Om du vill konfigurera kundhanterade nycklar för ett nytt lagringskonto med automatisk uppdatering av nyckelversionen anropar du New-AzStorageAccount, enligt följande exempel. Använd variabeln som du skapade tidigare för resurs-ID:t för den användartilldelade hanterade identiteten. Du behöver även nyckelvalvets URI och nyckelnamn:

$accountName = "<storage-account>"

New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Kind StorageV2 `
    -SkuName Standard_LRS `
    -Location $location `
    -AllowBlobPublicAccess $false `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

Om du vill konfigurera kundhanterade nycklar för ett nytt lagringskonto med automatisk uppdatering av nyckelversionen anropar du az storage account create, som du ser i följande exempel. Använd variabeln som du skapade tidigare för resurs-ID:t för den användartilldelade hanterade identiteten. Du behöver även nyckelvalvets URI och nyckelnamn:

accountName="<storage-account>"

az storage account create \
    --name $accountName \
    --resource-group $rgName \
    --location $location \
    --sku Standard_LRS \
    --kind StorageV2 \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-vault <key-vault-uri> \
    --encryption-key-name $keyName \
    --encryption-key-source Microsoft.Keyvault \
    --key-vault-user-identity-id $identityResourceId

Konfigurera kryptering för manuell uppdatering av nyckelversioner

Om du föredrar att uppdatera nyckelversionen manuellt anger du uttryckligen versionen när du konfigurerar kryptering med kundhanterade nycklar när du skapar lagringskontot. I det här fallet uppdaterar Azure Storage inte nyckelversionen automatiskt när en ny version skapas i nyckelvalvet. Om du vill använda en ny nyckelversion måste du manuellt uppdatera den version som används för Azure Storage-kryptering.

Du måste använda en befintlig användartilldelad hanterad identitet för att auktorisera åtkomst till nyckelvalvet när du konfigurerar kundhanterade nycklar när du skapar lagringskontot. Den användartilldelade hanterade identiteten måste ha rätt behörigheter för att få åtkomst till nyckelvalvet. Mer information finns i Autentisera till Azure Key Vault.

Om du vill konfigurera kundhanterade nycklar med manuell uppdatering av nyckelversionen i Azure Portal anger du nyckel-URI:n, inklusive versionen, när du skapar lagringskontot. Följ dessa steg om du vill ange en nyckel som en URI:

I Azure Portal går du till sidan Lagringskonton och väljer knappen Skapa för att skapa ett nytt konto.
Följ stegen som beskrivs i Skapa ett lagringskonto för att fylla i fälten på flikarna Grundläggande, Avancerat, Nätverk och Dataskydd .
På fliken Kryptering anger du för vilka tjänster du vill aktivera support för kundhanterade nycklar i fältet Aktivera support för kundhanterade nycklar .
I fältet Krypteringstyp väljer du Kundhanterade nycklar (CMK).
Du hittar nyckel-URI:n i Azure Portal genom att gå till nyckelvalvet och välja inställningen Nycklar. Välj önskad nyckel och välj sedan nyckeln för att visa dess versioner. Välj en nyckelversion för att visa inställningarna för den versionen.
Kopiera värdet för fältet Nyckelidentifierare , som tillhandahåller URI:n.
I inställningarna för krypteringsnyckeln för ditt lagringskonto väljer du alternativet Ange nyckel-URI .
Klistra in den URI som du kopierade till fältet Nyckel-URI . Inkludera nyckelversionen på URI:n för att konfigurera manuell uppdatering av nyckelversionen.
Ange en användartilldelad hanterad identitet genom att välja länken Välj en identitet .
Välj knappen Granska för att verifiera och skapa kontot.

Om du vill konfigurera kundhanterade nycklar med manuell uppdatering av nyckelversionen anger du uttryckligen nyckelversionen när du konfigurerar kryptering när du skapar lagringskontot. Anropa Set-AzStorageAccount för att uppdatera lagringskontots krypteringsinställningar, som du ser i följande exempel, och inkludera alternativet -KeyvaultEncryption för att aktivera kundhanterade nycklar för lagringskontot.

Kom ihåg att ersätta platshållarvärdena inom hakparentes med dina egna värden och att använda variablerna som definierades i föregående exempel.

$accountName = "<storage-account>"

New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Kind StorageV2 `
    -SkuName Standard_LRS `
    -Location $location `
    -AllowBlobPublicAccess $false `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

När du uppdaterar nyckelversionen manuellt måste du uppdatera lagringskontots krypteringsinställningar så att den nya versionen används. Anropa först Get-AzKeyVaultKey för att hämta den senaste versionen av nyckeln. Anropa sedan Set-AzStorageAccount för att uppdatera lagringskontots krypteringsinställningar för att använda den nya versionen av nyckeln, som du ser i föregående exempel.

Om du vill konfigurera kundhanterade nycklar med manuell uppdatering av nyckelversionen anger du uttryckligen nyckelversionen när du konfigurerar kryptering när du skapar lagringskontot. Anropa az storage account update för att uppdatera lagringskontots krypteringsinställningar, som du ser i följande exempel. Inkludera parametern --encryption-key-source och ange den till Microsoft.Keyvault för att aktivera kundhanterade nycklar för kontot.

Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden.

accountName="<storage-account>"

key_vault_uri=$(az keyvault show \
    --name <key-vault> \
    --resource-group <resource_group> \
    --query properties.vaultUri \
    --output tsv)

key_version=$(az keyvault key list-versions \
    --name <key> \
    --vault-name <key-vault> \
    --query [-1].kid \
    --output tsv | cut -d '/' -f 6)

az storage account create \
    --name $accountName \
    --resource-group $rgName \
    --location $location \
    --sku Standard_LRS \
    --kind StorageV2 \
    --allow-blob-public-access false \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-vault $keyVaultUri \
    --encryption-key-name $keyName \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-version $keyVersion \
    --key-vault-user-identity-id $identityResourceId

När du uppdaterar nyckelversionen manuellt måste du uppdatera lagringskontots krypteringsinställningar så att den nya versionen används. Börja med att fråga efter nyckelvalvets URI genom att anropa az keyvault show och för nyckelversionen genom att anropa az keyvault key list-versions. Anropa sedan az storage account update för att uppdatera lagringskontots krypteringsinställningar för att använda den nya versionen av nyckeln, som du ser i föregående exempel.

Ändra nyckeln

Du kan när som helst ändra den nyckel som du använder för Azure Storage-kryptering.

Anteckning

När du ändrar nyckel- eller nyckelversionen ändras skyddet av rotkrypteringsnyckeln, men data i ditt Azure Storage-konto förblir alltid krypterade. Det krävs ingen ytterligare åtgärd från din sida för att säkerställa att dina data skyddas. Att ändra nyckeln eller rotera nyckelversionen påverkar inte prestandan. Det finns ingen stilleståndstid som är associerad med att ändra nyckeln eller rotera nyckelversionen.

Följ dessa steg om du vill ändra nyckeln med Azure Portal:

Gå till ditt lagringskonto och visa krypteringsinställningarna .
Välj nyckelvalvet och välj en ny nyckel.
Spara ändringarna.

Om den nya nyckeln finns i ett annat nyckelvalv måste du ge den hanterade identiteten åtkomst till nyckeln i det nya valvet. Om du väljer manuell uppdatering av nyckelversionen måste du också uppdatera nyckelvalvets URI.

Återkalla åtkomst till ett lagringskonto som använder kundhanterade nycklar

Om du tillfälligt vill återkalla åtkomsten till ett lagringskonto som använder kundhanterade nycklar inaktiverar du den nyckel som används i nyckelvalvet. Det finns ingen prestandapåverkan eller stilleståndstid som är kopplad till inaktivering och inaktivering av nyckeln.

När nyckeln har inaktiverats kan klienter inte anropa åtgärder som läser från eller skriver till en blob eller dess metadata. Information om vilka åtgärder som misslyckas finns i Återkalla åtkomst till ett lagringskonto som använder kundhanterade nycklar.

Varning

När du inaktiverar nyckeln i nyckelvalvet förblir data i ditt Azure Storage-konto krypterade, men de blir otillgängliga tills du kan återaktivera nyckeln.

Så här inaktiverar du en kundhanterad nyckel med Azure Portal:

Navigera till nyckelvalvet som innehåller nyckeln.
Under Objekt väljer du Nycklar.
Högerklicka på nyckeln och välj Inaktivera.

Om du vill återkalla en kundhanterad nyckel med PowerShell anropar du kommandot Update-AzKeyVaultKey , som du ser i följande exempel. Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden för att definiera variablerna, eller använd variablerna som definierades i föregående exempel.

$kvName  = "<key-vault-name>"
$keyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it

# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $keyName -VaultName $kvName

# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $kvName -Name $keyName -Enable $enabled

Om du vill återkalla en kundhanterad nyckel med Azure CLI anropar du kommandot az keyvault key set-attributes , enligt följande exempel. Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden för att definiera variablerna, eller använd variablerna som definierades i föregående exempel.

kvName="<key-vault-name>"
keyName="<key-name>"
enabled="false"
# "false" to disable the key / "true" to enable it:

# Check the current state of the key (before and after enabling/disabling it)
az keyvault key show \
    --vault-name $kvName \
    --name $keyName

# Disable (or enable) the key
az keyvault key set-attributes \
    --vault-name $kvName \
    --name $keyName \
    --enabled $enabled

Om du inaktiverar nyckeln misslyckas försök att komma åt data i lagringskontot med felkoden 403 (förbjuden). En lista över lagringskontoåtgärder som påverkas av inaktivering av nyckeln finns i Återkalla åtkomst till ett lagringskonto som använder kundhanterade nycklar.

Växla tillbaka till Microsoft-hanterade nycklar

Du kan när som helst växla från kundhanterade nycklar tillbaka till Microsoft-hanterade nycklar med hjälp av Azure Portal, PowerShell eller Azure CLI.

Följ dessa steg om du vill växla från kundhanterade nycklar tillbaka till Microsoft-hanterade nycklar i Azure Portal:

Navigera till ditt lagringskonto.
Under Säkerhet + nätverk väljer du Kryptering.
Ändra krypteringstyp till Microsoft-hanterade nycklar.

Om du vill växla från kundhanterade nycklar tillbaka till Microsoft-hanterade nycklar med PowerShell anropar du Set-AzStorageAccount med -StorageEncryption alternativet, som du ser i följande exempel. Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden och att använda variablerna som definierats i föregående exempel.

Set-AzStorageAccount -ResourceGroupName $storageAccount.ResourceGroupName `
    -AccountName $storageAccount.StorageAccountName `
    -StorageEncryption

Om du vill växla från kundhanterade nycklar tillbaka till Microsoft-hanterade nycklar med Azure CLI anropar du az storage account update och anger --encryption-key-source parameter till Microsoft.Storage, som du ser i följande exempel. Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden och att använda variablerna som definierats i föregående exempel.

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-source Microsoft.Storage