Tablolar ve kuyruklar için müşteri tarafından yönetilen anahtarları destekleyen bir hesap oluşturma

Azure Depolama bekleyen bir depolama hesabındaki tüm verileri şifreler. Varsayılan olarak, Kuyruk depolama ve Tablo depolama hizmeti kapsamında olan ve Microsoft tarafından yönetilen bir anahtar kullanır. Ayrıca kuyruk veya tablo verilerini şifrelemek için müşteri tarafından yönetilen anahtarları kullanmayı da tercih edebilirsiniz. Müşteri tarafından yönetilen anahtarları kuyruklar ve tablolarla kullanmak için öncelikle hizmet yerine hesabın kapsamına alınmış bir şifreleme anahtarı kullanan bir depolama hesabı oluşturmanız gerekir. Kuyruk ve tablo verileri için hesap şifreleme anahtarını kullanan bir hesap oluşturduktan sonra, bu depolama hesabı için müşteri tarafından yönetilen anahtarları yapılandırabilirsiniz.

Bu makalede, kapsamı hesaba göre belirlenmiş bir anahtara dayalı bir depolama hesabının nasıl oluşturulacağı açıklanır. Hesap ilk oluşturulduğunda, Microsoft hesaptaki verileri şifrelemek için hesap anahtarını kullanır ve anahtarı Microsoft yönetir. Daha sonra, kendi anahtarlarınızı sağlama, anahtar sürümünü güncelleştirme, anahtarları döndürme ve erişim denetimlerini iptal etme gibi bu avantajlardan yararlanmak üzere hesap için müşteri tarafından yönetilen anahtarları yapılandırabilirsiniz.

Hesap şifreleme anahtarını kullanan bir hesap oluşturma

Depolama hesabını oluştururken kuyruklar ve tablolar için hesap şifreleme anahtarını kullanmak üzere yeni bir depolama hesabı yapılandırmanız gerekir. Hesap oluşturulduktan sonra şifreleme anahtarının kapsamı değiştirilemez.

Depolama hesabı genel amaçlı v2 türünde olmalıdır. depolama hesabını oluşturabilir ve Azure portal, PowerShell, Azure CLI veya Azure Resource Manager şablonunu kullanarak hesap şifreleme anahtarına güvenecek şekilde yapılandırabilirsiniz.

Depolama hesabı oluşturma hakkında daha fazla bilgi edinmek için bkz. Depolama hesabı oluşturma.

Not

Yalnızca Kuyruk ve Tablo depolama, depolama hesabı oluşturulduğunda verileri hesap şifreleme anahtarıyla şifrelemek için isteğe bağlı olarak yapılandırılabilir. Blob depolama ve Azure Dosyalar verileri şifrelemek için her zaman hesap şifreleme anahtarını kullanır.

Azure portalı

Azure portal hesap şifreleme anahtarına dayalı bir depolama hesabı oluşturmak için şu adımları izleyin:

1. Depolama hesaplarınızın listesini görüntülemek için sol portal menüsünde Depolama hesapları'nı seçin.

2. Depolama hesapları sayfasında Yeni'yi seçin.

3. Temel Bilgiler sekmesindeki alanları doldurun.

4. Gelişmiş sekmesinde Tablolar ve Kuyruklar bölümünü bulun ve Müşteri tarafından yönetilen anahtarlar için desteği etkinleştir'i seçin.

   

PowerShell

PowerShell'i kullanarak hesap şifreleme anahtarına dayalı bir depolama hesabı oluşturmak için Azure PowerShell modülü olan sürüm 3.4.0 veya üzerini yüklediğinizden emin olun. Daha fazla bilgi için bkz. Azure PowerShell modülünü yükleme.

Ardından, uygun parametrelerle New-AzStorageAccount komutunu çağırarak genel amaçlı bir v2 depolama hesabı oluşturun:

• -EncryptionKeyTypeForQueue Seçeneğini ekleyin ve değerini Kuyruk depolamadaki verileri şifrelemek Account için hesap şifreleme anahtarını kullanacak şekilde ayarlayın.
• -EncryptionKeyTypeForTable seçeneğini ekleyin ve değerini Tablo depolamadaki verileri şifrelemek Account için hesap şifreleme anahtarını kullanacak şekilde ayarlayın.

Aşağıdaki örnekte, okuma erişimli coğrafi olarak yedekli depolama (RA-GRS) için yapılandırılmış ve hem Kuyruk hem de Tablo depolaması için verileri şifrelemek için hesap şifreleme anahtarını kullanan genel amaçlı bir v2 depolama hesabının nasıl oluşturulacağı gösterilmektedir. Köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın:

New-AzStorageAccount -ResourceGroupName <resource_group> `
    -AccountName <storage-account> `
    -Location <location> `
    -SkuName "Standard_RAGRS" `
    -Kind StorageV2 `
    -EncryptionKeyTypeForTable Account `
    -EncryptionKeyTypeForQueue Account

Azure CLI

Azure CLI kullanarak hesap şifreleme anahtarına dayalı bir depolama hesabı oluşturmak için Azure CLI 2.0.80 veya sonraki bir sürümünü yüklediğinizden emin olun. Daha fazla bilgi için bkz. Azure CLI'yi yükleme.

Ardından, uygun parametrelerle az storage account create komutunu çağırarak genel amaçlı bir v2 depolama hesabı oluşturun:

• --encryption-key-type-for-queue Seçeneğini ekleyin ve değerini Kuyruk depolamadaki verileri şifrelemek Account için hesap şifreleme anahtarını kullanacak şekilde ayarlayın.
• --encryption-key-type-for-table seçeneğini ekleyin ve değerini Tablo depolamadaki verileri şifrelemek Account için hesap şifreleme anahtarını kullanacak şekilde ayarlayın.

Aşağıdaki örnekte, okuma erişimli coğrafi olarak yedekli depolama (RA-GRS) için yapılandırılmış ve hem Kuyruk hem de Tablo depolaması için verileri şifrelemek için hesap şifreleme anahtarını kullanan genel amaçlı bir v2 depolama hesabının nasıl oluşturulacağı gösterilmektedir. Köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın:

az storage account create \
    --name <storage-account> \
    --resource-group <resource-group> \
    --location <location> \
    --sku Standard_RAGRS \
    --kind StorageV2 \
    --encryption-key-type-for-table Account \
    --encryption-key-type-for-queue Account

Şablon

Aşağıdaki JSON örneği, okuma erişimli coğrafi olarak yedekli depolama (RA-GRS) için yapılandırılmış ve hem Kuyruk hem de Tablo depolama için verileri şifrelemek için hesap şifreleme anahtarını kullanan genel amaçlı bir v2 depolama hesabı oluşturur. Açılı ayraçlardaki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın:

"resources": [
    {
        "type": "Microsoft.Storage/storageAccounts",
        "apiVersion": "2019-06-01",
        "name": "[parameters('<storage-account>')]",
        "location": "[parameters('<location>')]",
        "dependsOn": [],
        "tags": {},
        "sku": {
            "name": "[parameters('Standard_RAGRS')]"
        },
        "kind": "[parameters('StorageV2')]",
        "properties": {
            "accessTier": "[parameters('<accessTier>')]",
            "supportsHttpsTrafficOnly": "[parameters('supportsHttpsTrafficOnly')]",
            "largeFileSharesState": "[parameters('<largeFileSharesState>')]",
            "encryption": {
                "services": {
                    "queue": {
                        "keyType": "Account"
                    },
                    "table": {
                        "keyType": "Account"
                    }
                },
                "keySource": "Microsoft.Storage"
            }
        }
    }
],

Hesap şifreleme anahtarına dayalı bir hesap oluşturduktan sonra, Azure Key Vault veya Key Vault Yönetilen Donanım Güvenlik Modeli'nde (HSM) depolanan müşteri tarafından yönetilen anahtarları yapılandırabilirsiniz. Müşteri tarafından yönetilen anahtarları bir anahtar kasasında depolamayı öğrenmek için bkz. Azure Key Vault depolanan müşteri tarafından yönetilen anahtarlarla şifrelemeyi yapılandırma. Müşteri tarafından yönetilen anahtarları yönetilen bir HSM'de depolamayı öğrenmek için bkz. Azure Key Vault Yönetilen HSM'de depolanan müşteri tarafından yönetilen anahtarlarla şifrelemeyi yapılandırma.

Hesap şifreleme anahtarını doğrulama

Hesabı oluşturduktan sonra Azure portal, PowerShell veya Azure CLI kullanarak depolama hesabının kapsamı hesaba göre belirlenmiş bir şifreleme anahtarı kullandığını doğrulayabilirsiniz.

Azure portalı

Depolama hesabındaki bir hizmetin, Azure portal kapsamında bir şifreleme anahtarı kullandığını doğrulamak için şu adımları izleyin:

1. Azure portalında yeni depolama hesabınıza gidin.

2. Güvenlik + Ağ bölümünde Şifreleme'yi seçin.

3. Depolama hesabı hesap şifreleme anahtarına bağlı olarak oluşturulduysa Şifreleme sekmesinde, müşteri tarafından yönetilen anahtarların dört Azure Depolama hizmeti için de etkinleştirilebileceğini görürsünüz: bloblar, dosyalar, tablolar ve kuyruklar.

   

PowerShell

Depolama hesabındaki bir hizmetin PowerShell ile hesap şifreleme anahtarını kullandığını doğrulamak için Get-AzStorageAccount komutunu çağırın . Bu komut bir depolama hesabı özellikleri kümesi ve bunların değerlerini döndürür. özelliğindeki KeyTypeEncryption her hizmetin alanını arayın ve olarak ayarlandığını Accountdoğrulayın.

$account = Get-AzStorageAccount -ResourceGroupName <resource-group> `
    -StorageAccountName <storage-account>
$account.Encryption.Services.Queue
$account.Encryption.Services.Table

Azure CLI

Depolama hesabındaki bir hizmetin Azure CLI ile hesap şifreleme anahtarını kullandığını doğrulamak için az storage account show komutunu çağırın. Bu komut bir depolama hesabı özellikleri kümesi ve bunların değerlerini döndürür. Şifreleme özelliğindeki her hizmetin alanını arayın keyType ve olarak ayarlandığını Accountdoğrulayın.

az storage account show \
    --name <storage-account> \
    --resource-group <resource-group>

Şablon

Yok

Depolama hesabının kapsamı hesap olan bir şifreleme anahtarı kullandığını doğruladıktan sonra, hesap için müşteri tarafından yönetilen anahtarları etkinleştirebilirsiniz. Bloblar, dosyalar, tablolar ve kuyruklar gibi dört Azure Depolama hizmeti de şifreleme için müşteri tarafından yönetilen anahtarı kullanır.

Fiyatlandırma ve Faturalama

Kapsamı hesaba göre belirlenmiş bir şifreleme anahtarı kullanmak için oluşturulan bir depolama hesabı, Tablo depolama kapasitesi ve işlemleri için varsayılan hizmet kapsamlı anahtarı kullanan bir hesaptan farklı bir oranda faturalandırılır. Ayrıntılar için bkz. Azure Tablo Depolama fiyatlandırması.

Sonraki adımlar

• Bekleyen veri için Azure Depolama şifrelemesi
• Azure Depolama şifrelemesi için müşteri tarafından yönetilen anahtarlar
• Azure Key Vault’ta depolanan müşteri tarafından yönetilen anahtarlarla şifrelemeyi yapılandırma
• Azure Key Vault Yönetilen HSM'de depolanan müşteri tarafından yönetilen anahtarlarla şifrelemeyi yapılandırma