Konfigurera kryptering med Kundhanterade nycklar som lagras i Azure Key Vault hanterad HSM (förhands granskning)Configure encryption with customer-managed keys stored in Azure Key Vault Managed HSM (preview)

Azure Storage krypterar alla data i ett lagrings konto i vila.Azure Storage encrypts all data in a storage account at rest. Som standard krypteras data med Microsoft-hanterade nycklar.By default, data is encrypted with Microsoft-managed keys. Om du vill ha ytterligare kontroll över krypterings nycklarna kan du hantera dina egna nycklar.For additional control over encryption keys, you can manage your own keys. Kundhanterade nycklar måste lagras i Azure Key Vault eller Key Vault-hanterad maskin varu säkerhets modell (HSM) (för hands version).Customer-managed keys must be stored in Azure Key Vault or Key Vault Managed Hardware Security Model (HSM) (preview). En Azure Key Vault hanterad HSM är ett FIPS 140-2-nivå 3-verifierad HSM.An Azure Key Vault Managed HSM is an FIPS 140-2 Level 3 validated HSM.

Den här artikeln visar hur du konfigurerar kryptering med Kundhanterade nycklar som lagras i en hanterad HSM med hjälp av Azure CLI.This article shows how to configure encryption with customer-managed keys stored in a managed HSM by using Azure CLI. Information om hur du konfigurerar kryptering med Kundhanterade nycklar som lagras i ett nyckel valv finns i Konfigurera kryptering med Kundhanterade nycklar som lagras i Azure Key Vault.To learn how to configure encryption with customer-managed keys stored in a key vault, see Configure encryption with customer-managed keys stored in Azure Key Vault.

Viktigt

Kryptering med Kundhanterade nycklar som lagras i Azure Key Vault hanterad HSM är för närvarande en för hands version.Encryption with customer-managed keys stored in Azure Key Vault Managed HSM is currently in PREVIEW. Se kompletterande användnings villkor för Microsoft Azure för hands versioner av juridiska villkor som gäller för Azure-funktioner som är i beta, för hands version eller på annat sätt ännu inte släpps till allmän tillgänglighet.See the Supplemental Terms of Use for Microsoft Azure Previews for legal terms that apply to Azure features that are in beta, preview, or otherwise not yet released into general availability.

Azure Key Vault och Azure Key Vault Managed HSM stöder samma API: er och hanterings gränssnitt för konfiguration.Azure Key Vault and Azure Key Vault Managed HSM support the same APIs and management interfaces for configuration.

Tilldela lagrings kontot en identitetAssign an identity to the storage account

Tilldela först en systemtilldelad hanterad identitet till lagrings kontot.First, assign a system-assigned managed identity to the storage account. Du använder den här hanterade identiteten för att ge lagrings kontots behörigheter åtkomst till hanterad HSM.You'll use this managed identity to grant the storage account permissions to access the managed HSM. Mer information om systemtilldelade hanterade identiteter finns i Vad är hanterade identiteter för Azure-resurser?.For more information about system-assigned managed identities, see What are managed identities for Azure resources?.

Om du vill tilldela en hanterad identitet med Azure CLI anropar du AZ Storage Account Update.To assign a managed identity using Azure CLI, call az storage account update. Kom ihåg att ersätta plats hållarnas värden inom hakparenteser med dina egna värden:Remember to replace the placeholder values in brackets with your own values:

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --assign-identity

Tilldela en roll till lagrings kontot för åtkomst till den hanterade HSMAssign a role to the storage account for access to the managed HSM

Tilldela sedan krypterings rollen hanterad HSM-krypto till lagrings kontots hanterade identitet så att lagrings kontot har behörighet till den hanterade HSM.Next, assign the Managed HSM Crypto Service Encryption role to the storage account's managed identity so that the storage account has permissions to the managed HSM. Microsoft rekommenderar att du omfångerar roll tilldelningen till nivån för den enskilda nyckeln för att ge minsta möjliga behörighet till den hanterade identiteten.Microsoft recommends that you scope the role assignment to the level of the individual key in order to grant the fewest possible privileges to the managed identity.

Om du vill skapa roll tilldelningen för lagrings kontot anropar du AZ Key Vault roll tilldelning skapa.To create the role assignment for storage account, call az key vault role assignment create. Kom ihåg att ersätta plats hållarnas värden inom hakparenteser med dina egna värden.Remember to replace the placeholder values in brackets with your own values.

storage_account_principal = $(az storage account show \
    --name <storage-account> \
    --resource-group <resource-group> \
    --query identity.principalId \
    --output tsv)

az keyvault role assignment create \
    --hsm-name <hsm-name> \
    --role "Managed HSM Crypto Service Encryption" \
    --assignee $storage_account_principal \
    --scope /keys/<key-name>

Konfigurera kryptering med en nyckel i den hanterade HSMConfigure encryption with a key in the managed HSM

Konfigurera slutligen Azure Storage kryptering med Kundhanterade nycklar för att använda en nyckel som lagras i den hanterade HSM.Finally, configure Azure Storage encryption with customer-managed keys to use a key stored in the managed HSM. Nyckel typer som stöds är RSA-HSM-nycklar av storlekarna 2048, 3072 och 4096.Supported key types include RSA-HSM keys of sizes 2048, 3072 and 4096. Information om hur du skapar en nyckel i en hanterad HSM finns i skapa en HSM-nyckel.To learn how to create a key in a managed HSM, see Create an HSM key.

Installera Azure CLI-2.12.0 eller senare för att konfigurera kryptering för att använda en kundhanterad nyckel i en hanterad HSM.Install Azure CLI 2.12.0 or later to configure encryption to use a customer-managed key in a managed HSM. Mer information finns i Installera Azure CLI.For more information, see Install the Azure CLI.

Om du vill uppdatera nyckel versionen för en kundhanterad nyckel automatiskt, utelämnar du nyckel versionen när du konfigurerar kryptering med Kundhanterade nycklar för lagrings kontot.To automatically update the key version for a customer-managed key, omit the key version when you configure encryption with customer-managed keys for the storage account. Anropa AZ Storage Account Update för att uppdatera lagrings kontots krypterings inställningar, som du ser i följande exempel.Call az storage account update to update the storage account's encryption settings, as shown in the following example. Inkludera --encryption-key-source parameter och Ställ in det på Microsoft.Keyvault för att aktivera Kundhanterade nycklar för kontot.Include the --encryption-key-source parameter and set it to Microsoft.Keyvault to enable customer-managed keys for the account. Kom ihåg att ersätta plats hållarnas värden inom hakparenteser med dina egna värden.Remember to replace the placeholder values in brackets with your own values.

hsmurl = $(az keyvault show \
    --hsm-name <hsm-name> \
    --query properties.hsmUri \
    --output tsv)

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-name <key> \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $hsmurl

Om du vill uppdatera versionen för en kundhanterad nyckel manuellt inkluderar du nyckel versionen när du konfigurerar kryptering för lagrings kontot:To manually update the version for a customer-managed key, include the key version when you configure encryption for the storage account:

az storage account update
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-name <key> \
    --encryption-key-version $key_version \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $hsmurl

När du uppdaterar nyckel versionen manuellt måste du uppdatera lagrings kontots krypterings inställningar för att använda den nya versionen.When you manually update the key version, you'll need to update the storage account's encryption settings to use the new version. Börja med att fråga efter Key Vault-URI: n genom att anropa AZ-nyckelpar showoch för nyckel versionen genom att anropa AZ Key Vault Key List-versions.First, query for the key vault URI by calling az keyvault show, and for the key version by calling az keyvault key list-versions. Anropa sedan AZ Storage Account Update för att uppdatera lagrings kontots krypterings inställningar för att använda den nya versionen av nyckeln, som du ser i föregående exempel.Then call az storage account update to update the storage account's encryption settings to use the new version of the key, as shown in the previous example.

Nästa stegNext steps