判斷哪個 Azure 儲存體加密金鑰模型正在用於儲存體帳戶
儲存體帳戶中的資料會由 Azure 儲存體自動加密。 Azure 儲存體加密提供兩個選項來管理儲存體帳戶層級上的加密金鑰:
- Microsoft 代控金鑰。 根據預設,Microsoft 會管理用來加密儲存體帳戶的金鑰。
- 客戶自控金鑰。 您可以選擇是否要管理儲存體帳戶的加密金鑰。 客戶自控金鑰必須儲存在 Azure Key Vault 中。
此外,您可以針對某些 Blob 儲存體作業,在個別要求層級提供加密金鑰。 在要求上指定加密金鑰時,該金鑰會覆寫儲存體帳戶正在使用中的加密金鑰。 如需相關資訊,請參閱 在針對 Blob 儲存體的要求上指定客戶提供的金鑰。
如需加密金鑰的詳細資訊,請參閱待用資料的 Azure 儲存體加密。
檢查儲存體帳戶的加密金鑰模型
若要判斷儲存體帳戶是否正在使用 Microsoft 管理的金鑰或客戶自控金鑰進行加密,請使用下列方法中的其中一種。
若要使用 Azure 入口網站檢查儲存體帳戶的加密模型,請遵循下列步驟:
- 在 Azure 入口網站中,瀏覽至您的儲存體帳戶。
- 選取 [加密],注意設定。
下圖顯示以 Microsoft 管理金鑰加密的儲存體帳戶:
下圖顯示以客戶自控金鑰加密的儲存體帳戶:
若要使用 PowerShell 檢查儲存體帳戶的加密模型,請呼叫 Get-AzStorageAccount 命令,然後檢查帳戶的 KeySource 屬性。
$account = Get-AzStorageAccount -ResourceGroupName <resource-group> `
-Name <storage-account>
$account.Encryption.KeySource
如果 KeySource 屬性的值為 Microsoft.Storage,代表帳戶是以 Microsoft 管理金鑰來加密的。 如果 KeySource 屬性的值為 Microsoft.Keyvault,代表帳戶是以客戶自控金鑰來加密的。
若要使用 Azure CLI 檢查儲存體帳戶的加密模型,請呼叫 az storage account show 命令,然後檢查帳戶的 KeySource 屬性。
key_source=$(az storage account show \
--name <storage-account> \
--resource-group <resource-group> \
--query encryption.keySource \
--output tsv)
如果 KeySource 屬性的值為 Microsoft.Storage,代表帳戶是以 Microsoft 管理金鑰來加密的。 如果 KeySource 屬性的值為 Microsoft.Keyvault,代表帳戶是以客戶自控金鑰來加密的。
下一步