Konfigurace klíčů spravovaných zákazníkem ve stejném tenantovi pro existující účet úložiště
Článek
Azure Storage šifruje všechna neaktivní uložená data v účtu úložiště. Ve výchozím nastavení se data šifrují pomocí klíčů spravovaných Microsoftem. Pokud chcete mít větší kontrolu nad šifrovacími klíči, můžete spravovat vlastní klíče. Klíče spravované zákazníkem musí být uložené ve službě Azure Key Vault nebo ve spravovaném modelu hardwarového zabezpečení služby Key Vault (HSM).
Tento článek ukazuje, jak nakonfigurovat šifrování pomocí klíčů spravovaných zákazníkem pro existující účet úložiště, když jsou účet úložiště a trezor klíčů ve stejném tenantovi. Klíče spravované zákazníkem jsou uložené v trezoru klíčů.
Azure Key Vault a spravovaný HSM služby Azure Key Vault podporují stejná rozhraní API a rozhraní pro správu pro konfiguraci klíčů spravovaných zákazníkem. Všechny akce podporované pro Azure Key Vault se podporují také pro spravovaný HSM služby Azure Key Vault.
Konfigurace trezoru klíčů
K ukládání klíčů spravovaných zákazníkem můžete použít nový nebo existující trezor klíčů. Účet úložiště a trezor klíčů můžou být v různých oblastech nebo předplatných ve stejném tenantovi. Další informace o službě Azure Key Vault najdete v tématu Přehled služby Azure Key Vault a co je Azure Key Vault?
Použití klíčů spravovaných zákazníkem s šifrováním služby Azure Storage vyžaduje, aby pro trezor klíčů byla povolena ochrana obnovitelného odstranění i vymazání. Obnovitelné odstranění je ve výchozím nastavení povolené při vytváření nového trezoru klíčů a nedá se zakázat. Ochranu před vymazáním můžete povolit buď při vytváření trezoru klíčů, nebo po jeho vytvoření.
Informace o vytvoření trezoru klíčů pomocí webu Azure Portal najdete v tématu Rychlý start: Vytvoření trezoru klíčů pomocí webu Azure Portal. Při vytváření trezoru klíčů vyberte Povolit ochranu před vymazáním, jak je znázorněno na následujícím obrázku.
Pokud chcete u existujícího trezoru klíčů povolit ochranu před vymazáním, postupujte takto:
Na webu Azure Portal přejděte ke svému trezoru klíčů.
V části Nastavení zvolte Vlastnosti.
V části Ochrana před vyprázdněním zvolte Povolit ochranu před vymazáním.
Pokud chcete vytvořit nový trezor klíčů pomocí PowerShellu, nainstalujte verzi 2.0.0 nebo novější modulu Az.KeyVault PowerShellu. Potom zavolejte New-AzKeyVault a vytvořte nový trezor klíčů. Ve verzi 2.0.0 a novější modulu Az.KeyVault je obnovitelné odstranění ve výchozím nastavení povolené při vytváření nového trezoru klíčů.
Následující příklad vytvoří nový trezor klíčů s povoleným obnovitelným odstraněním a ochranou před vymazáním. Model oprávnění trezoru klíčů je nastavený tak, aby používal Azure RBAC. Nezapomeňte nahradit zástupné hodnoty v hranatých závorkách vlastními hodnotami.
Informace o povolení ochrany před vymazáním v existujícím trezoru klíčů pomocí PowerShellu najdete v přehledu obnovení služby Azure Key Vault.
Po vytvoření trezoru klíčů budete muset sami sobě přiřadit roli kryptografického důstojníka služby Key Vault. Tato role umožňuje vytvořit klíč v trezoru klíčů. Následující příklad přiřadí tuto roli uživateli s oborem trezoru klíčů:
Pokud chcete vytvořit nový trezor klíčů pomocí Azure CLI, zavolejte az keyvault create. Následující příklad vytvoří nový trezor klíčů s povoleným obnovitelným odstraněním a ochranou před vymazáním. Model oprávnění trezoru klíčů je nastavený tak, aby používal Azure RBAC. Nezapomeňte nahradit zástupné hodnoty v hranatých závorkách vlastními hodnotami.
Informace o povolení ochrany před vymazáním existujícího trezoru klíčů pomocí Azure CLI najdete v přehledu obnovení služby Azure Key Vault.
Po vytvoření trezoru klíčů budete muset sami sobě přiřadit roli kryptografického důstojníka služby Key Vault. Tato role umožňuje vytvořit klíč v trezoru klíčů. Následující příklad přiřadí tuto roli uživateli s oborem trezoru klíčů:
kvResourceId=$(az keyvault show --resource-group $rgName \
--name $kvName \
--query id \
--output tsv)
az role assignment create --assignee "<user-email>" \
--role "Key Vault Crypto Officer" \
--scope $kvResourceId
Dále přidejte klíč do trezoru klíčů. Než klíč přidáte, ujistěte se, že jste si přiřadili roli kryptografického důstojníka služby Key Vault.
Šifrování Azure Storage podporuje klíče RSA a RSA-HSM velikosti 2048, 3072 a 4096. Další informace o podporovaných typech klíčů najdete v tématu O klíčích.
Pokud chcete přidat klíč pomocí PowerShellu, zavolejte Add-AzKeyVaultKey. Nezapomeňte nahradit zástupné hodnoty v závorkách vlastními hodnotami a použít proměnné definované v předchozích příkladech.
Pokud chcete přidat klíč pomocí Azure CLI, zavolejte az keyvault key create. Nezapomeňte nahradit zástupné hodnoty v hranatých závorkách vlastními hodnotami.
Volba spravované identity pro autorizaci přístupu k trezoru klíčů
Když povolíte klíče spravované zákazníkem pro existující účet úložiště, musíte zadat spravovanou identitu, která se má použít k autorizaci přístupu k trezoru klíčů, který tento klíč obsahuje. Spravovaná identita musí mít oprávnění pro přístup k klíči v trezoru klíčů.
Spravovaná identita, která autorizuje přístup k trezoru klíčů, může být spravovaná identita přiřazená uživatelem nebo spravovaná identita přiřazená systémem. Další informace o systémově přiřazených a uživatelem přiřazených spravovaných identitách najdete v tématu Typy spravovaných identit.
Použití spravované identity přiřazené uživatelem k autorizaci přístupu
Když povolíte klíče spravované zákazníkem pro nový účet úložiště, musíte zadat spravovanou identitu přiřazenou uživatelem. Existující účet úložiště podporuje použití spravované identity přiřazené uživatelem nebo spravované identity přiřazené systémem ke konfiguraci klíčů spravovaných zákazníkem.
Když nakonfigurujete klíče spravované zákazníkem pomocí spravované identity přiřazené uživatelem, použije se spravovaná identita přiřazená uživatelem k autorizaci přístupu k trezoru klíčů, který tento klíč obsahuje. Před konfigurací klíčů spravovaných zákazníkem musíte vytvořit identitu přiřazenou uživatelem.
Spravovaná identita přiřazená uživatelem je samostatný prostředek Azure. Další informace o spravovaných identitách přiřazených uživatelem najdete v tématu Typy spravovaných identit. Informace o vytváření a správě spravované identity přiřazené uživatelem najdete v tématu Správa spravovaných identit přiřazených uživatelem.
Spravovaná identita přiřazená uživatelem musí mít oprávnění pro přístup k klíči v trezoru klíčů. Přiřaďte roli uživatele šifrování šifrovací služby Key Vault spravované identitě přiřazené uživatelem s oborem trezoru klíčů, abyste těmto oprávněním udělili.
Než budete moct nakonfigurovat klíče spravované zákazníkem pomocí spravované identity přiřazené uživatelem, musíte přiřadit roli uživatelem přiřazené spravované identitě služby Key Vault s oborem pro trezor klíčů. Tato role uděluje oprávnění spravované identity přiřazené uživatelem pro přístup k klíči v trezoru klíčů. Další informace o přiřazování rolí Azure RBAC pomocí webu Azure Portal najdete v tématu Přiřazení rolí Azure pomocí webu Azure Portal.
Při konfiguraci klíčů spravovaných zákazníkem pomocí webu Azure Portal můžete vybrat existující identitu přiřazenou uživatelem prostřednictvím uživatelského rozhraní portálu.
Následující příklad ukazuje, jak načíst spravovanou identitu přiřazenou uživatelem a přiřadit k ní požadovanou roli RBAC s vymezeným trezorem klíčů. Nezapomeňte nahradit zástupné hodnoty v závorkách vlastními hodnotami a použít proměnné definované v předchozích příkladech:
Následující příklad ukazuje, jak načíst spravovanou identitu přiřazenou uživatelem a přiřadit k ní požadovanou roli RBAC s vymezeným trezorem klíčů. Nezapomeňte nahradit zástupné hodnoty v závorkách vlastními hodnotami a použít proměnné definované v předchozích příkladech:
identityResourceId=$(az identity show --name <user-assigned-identity> \
--resource-group $rgName \
--query id \
--output tsv)
principalId=$(az identity show --name <user-assigned-identity> \
--resource-group $rgName \
--query principalId \
--output tsv)
az role assignment create --assignee-object-id $principalId \
--role "Key Vault Crypto Service Encryption User" \
--scope $kvResourceId \
--assignee-principal-type ServicePrincipal
Použití spravované identity přiřazené systémem k autorizaci přístupu
Spravovaná identita přiřazená systémem je přidružená k instanci služby Azure, v tomto případě k účtu Azure Storage. Před použitím spravované identity přiřazené systémem musíte k účtu úložiště explicitně přiřadit spravovanou identitu přiřazenou systémem k autorizaci přístupu k trezoru klíčů, který obsahuje klíč spravovaný zákazníkem.
K autorizaci přístupu k trezoru klíčů můžou použít pouze existující účty úložiště identitu přiřazenou systémem. Nové účty úložiště musí používat identitu přiřazenou uživatelem, pokud jsou klíče spravované zákazníkem nakonfigurované při vytváření účtu.
Spravovaná identita přiřazená systémem musí mít oprávnění pro přístup k klíči v trezoru klíčů. Přiřaďte roli uživatele šifrování šifrovací služby Key Vault spravované identitě přiřazené systémem s oborem trezoru klíčů, aby bylo možné udělit tato oprávnění.
Před konfigurací klíčů spravovaných zákazníkem se spravovanou identitou přiřazenou systémem musíte přiřadit roli uživatele šifrování šifrovací služby Key Vault spravované identitě přiřazené systémem s oborem trezoru klíčů. Tato role uděluje oprávnění spravované identity přiřazené systémem pro přístup ke klíči v trezoru klíčů. Další informace o přiřazování rolí Azure RBAC pomocí webu Azure Portal najdete v tématu Přiřazení rolí Azure pomocí webu Azure Portal.
Když nakonfigurujete klíče spravované zákazníkem pomocí webu Azure Portal se spravovanou identitou přiřazenou systémem, přiřadí se spravovaná identita přiřazená systémem k účtu úložiště za vás v rámci krytí.
Pokud chcete přiřadit spravovanou identitu přiřazenou systémem k vašemu účtu úložiště, nejprve zavolejte Set-AzStorageAccount:
Dále přiřaďte spravované identitě přiřazené systémem požadovanou roli RBAC s vymezeným trezorem klíčů. Nezapomeňte nahradit zástupné hodnoty v závorkách vlastními hodnotami a použít proměnné definované v předchozích příkladech:
Pokud chcete ověřit přístup k trezoru klíčů pomocí spravované identity přiřazené systémem, nejprve přiřaďte spravovanou identitu přiřazenou systémem k účtu úložiště voláním příkazu az storage account update:
Dále přiřaďte spravované identitě přiřazené systémem požadovanou roli RBAC s vymezeným trezorem klíčů. Nezapomeňte nahradit zástupné hodnoty v závorkách vlastními hodnotami a použít proměnné definované v předchozích příkladech:
principalId=$(az storage account show --name $accountName \
--resource-group $rgName \
--query identity.principalId \
--output tsv)
az role assignment create --assignee-object-id $principalId \
--role "Key Vault Crypto Service Encryption User" \
--scope $kvResourceId
Konfigurace klíčů spravovaných zákazníkem pro existující účet
Když nakonfigurujete šifrování pomocí klíčů spravovaných zákazníkem pro existující účet úložiště, můžete zvolit automatickou aktualizaci verze klíče používané pro šifrování služby Azure Storage vždy, když je v přidruženém trezoru klíčů dostupná nová verze. Alternativně můžete explicitně zadat verzi klíče, která se má použít pro šifrování, dokud se verze klíče neaktualizuje ručně.
Když se změní verze klíče bez ohledu na to, jestli se automaticky nebo ručně, změní se ochrana kořenového šifrovacího klíče, ale data ve vašem účtu Azure Storage zůstanou zašifrovaná vždy. Na vaší straně není potřeba žádná další akce, která zajistí, že jsou vaše data chráněná. Rotace verze klíče nemá vliv na výkon. K obměně verze klíče nepřidružuje žádný výpadek.
Při konfiguraci klíčů spravovaných zákazníkem pro existující účet úložiště můžete použít spravovanou identitu přiřazenou systémem nebo spravovanou uživatelem.
Poznámka:
Pokud chcete klíč otočit, vytvořte novou verzi klíče ve službě Azure Key Vault. Azure Storage nezpracuje obměnu klíčů, takže budete muset spravovat obměnu klíče v trezoru klíčů. V Azure Key Vaultu můžete nakonfigurovat automatické obměny klíčů nebo klíč otočit ručně.
Konfigurace šifrování pro automatickou aktualizaci verzí klíčů
Azure Storage může automaticky aktualizovat klíč spravovaný zákazníkem, který se používá k šifrování, aby používal nejnovější verzi klíče z trezoru klíčů. Azure Storage denně kontroluje novou verzi klíče v trezoru klíčů. Jakmile bude k dispozici nová verze, azure Storage automaticky začne používat nejnovější verzi klíče pro šifrování.
Důležité
Azure Storage kontroluje trezor klíčů pro novou verzi klíče jen jednou denně. Při obměně klíče nezapomeňte před zakázáním starší verze počkat 24 hodin.
Pokud chcete nakonfigurovat klíče spravované zákazníkem pro existující účet s automatickou aktualizací verze klíče na webu Azure Portal, postupujte následovně:
Přejděte ke svému účtu úložiště.
V části Zabezpečení a sítě vyberte Šifrování. Ve výchozím nastavení je správa klíčů nastavená na klíče spravované Microsoftem, jak je znázorněno na následujícím obrázku:
Vyberte možnost Klíče spravované zákazníkem. Pokud byl účet dříve nakonfigurovaný pro klíče spravované zákazníkem s ruční aktualizací verze klíče, vyberte Změnit klíč v dolní části stránky.
Zvolte možnost Vybrat ze služby Key Vault.
Vyberte trezor klíčů a klíč.
Vyberte trezor klíčů obsahující klíč, který chcete použít. Můžete také vytvořit nový trezor klíčů.
Vyberte klíč z trezoru klíčů. Můžete také vytvořit nový klíč.
Vyberte typ identity, který se má použít k ověření přístupu k trezoru klíčů. Mezi možnosti patří systémově přiřazený (výchozí) nebo přiřazený uživatelem. Další informace o jednotlivých typech spravované identity najdete v tématu Typy spravovaných identit.
Pokud vyberete systémově přiřazenou spravovanou identitu účtu úložiště, vytvoří se v rámci krytů spravovaná identita přiřazená systémem, pokud ještě neexistuje.
Pokud vyberete Uživatelem přiřazené, musíte vybrat existující identitu přiřazenou uživatelem, která má oprávnění pro přístup k trezoru klíčů. Informace o vytvoření identity přiřazené uživatelem najdete v tématu Správa spravovaných identit přiřazených uživatelem.
Uloží vaše změny.
Jakmile klíč zadáte, Azure Portal indikuje, že je povolená automatická aktualizace verze klíče a zobrazuje verzi klíče, která se aktuálně používá k šifrování. Portál také zobrazuje typ spravované identity, který se používá k autorizaci přístupu k trezoru klíčů a ID objektu zabezpečení spravované identity.
Pokud chcete nakonfigurovat klíče spravované zákazníkem pro existující účet s automatickou aktualizací verze klíče pomocí PowerShellu, nainstalujte modul Az.Storage verze 2.0.0 nebo novější.
Potom zavolejte Set-AzStorageAccount a aktualizujte nastavení šifrování účtu úložiště. KeyvaultEncryption Zahrňte parametr pro povolení klíčů spravovaných zákazníkem pro účet úložiště a nastavte KeyVersion prázdný řetězec, aby se povolila automatická aktualizace verze klíče. Pokud byl účet úložiště dříve nakonfigurovaný pro klíče spravované zákazníkem s konkrétní verzí klíče, nastavení verze klíče na prázdný řetězec umožňuje automatickou aktualizaci verze klíče.
$accountName = "<storage-account>"
# Use this form of the command with a user-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
-AccountName $accountName `
-IdentityType SystemAssignedUserAssigned `
-UserAssignedIdentityId $userIdentity.Id `
-KeyvaultEncryption `
-KeyVaultUri $keyVault.VaultUri `
-KeyName $key.Name `
-KeyVersion "" `
-KeyVaultUserAssignedIdentityId $userIdentity.Id
# Use this form of the command with a system-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
-AccountName $accountName `
-KeyvaultEncryption `
-KeyName $key.Name `
-KeyVersion "" `
-KeyVaultUri $keyVault.VaultUri
Pokud chcete nakonfigurovat klíče spravované zákazníkem pro existující účet s automatickou aktualizací verze klíče pomocí Azure CLI, nainstalujte Azure CLI verze 2.4.0 nebo novější. Další informace najdete v tématu Instalace Azure CLI.
Dále zavolejte az storage account update a aktualizujte nastavení šifrování účtu úložiště. --encryption-key-source Zahrňte parametr a nastavte ho na Microsoft.Keyvault povolení klíčů spravovaných zákazníkem pro účet a nastavte encryption-key-version ho na prázdný řetězec, aby se povolila automatická aktualizace verze klíče. Pokud byl účet úložiště dříve nakonfigurovaný pro klíče spravované zákazníkem s konkrétní verzí klíče, nastavení verze klíče na prázdný řetězec umožňuje automatickou aktualizaci verze klíče.
accountName="<storage-account>"
keyVaultUri=$(az keyvault show \
--name $kvName \
--resource-group $rgName \
--query properties.vaultUri \
--output tsv)
# Use this form of the command with a user-assigned managed identity.
az storage account update \
--name $accountName \
--resource-group $rgName \
--identity-type SystemAssigned,UserAssigned \
--user-identity-id $identityResourceId \
--encryption-key-name $keyName \
--encryption-key-version "" \
--encryption-key-source Microsoft.Keyvault \
--encryption-key-vault $keyVaultUri \
--key-vault-user-identity-id $identityResourceId
# Use this form of the command with a system-assigned managed identity.
az storage account update \
--name $accountName \
--resource-group $rgName \
--encryption-key-name $keyName \
--encryption-key-version "" \
--encryption-key-source Microsoft.Keyvault \
--encryption-key-vault $keyVaultUri
Konfigurace šifrování pro ruční aktualizaci verzí klíčů
Pokud dáváte přednost ruční aktualizaci verze klíče, pak explicitně zadejte verzi v době, kdy nakonfigurujete šifrování pomocí klíčů spravovaných zákazníkem. V takovém případě Azure Storage při vytvoření nové verze v trezoru klíčů automaticky neaktualizuje verzi klíče. Pokud chcete použít novou verzi klíče, musíte ručně aktualizovat verzi používanou pro šifrování služby Azure Storage.
Pokud chcete nakonfigurovat klíče spravované zákazníkem s ruční aktualizací verze klíče na webu Azure Portal, zadejte identifikátor URI klíče včetně verze. Chcete-li zadat klíč jako identifikátor URI, postupujte takto:
Pokud chcete najít identifikátor URI klíče na webu Azure Portal, přejděte do trezoru klíčů a vyberte nastavení Klíče . Vyberte požadovaný klíč a pak ho vyberte a zobrazte jeho verze. Výběrem verze klíče zobrazíte nastavení pro danou verzi.
Zkopírujte hodnotu pole Identifikátor klíče, které poskytuje identifikátor URI.
V nastavení šifrovacího klíče pro váš účet úložiště zvolte možnost Zadat identifikátor URI klíče.
Vložte identifikátor URI, který jste zkopírovali do pole Identifikátor URI klíče. Vynecháte verzi klíče z identifikátoru URI, aby se povolila automatická aktualizace verze klíče.
Zadejte předplatné, které obsahuje trezor klíčů.
Zadejte spravovanou identitu přiřazenou systémem nebo přiřazenou uživatelem.
Uloží vaše změny.
Pokud chcete nakonfigurovat klíče spravované zákazníkem s ruční aktualizací verze klíče, při konfiguraci šifrování pro účet úložiště explicitně zadejte verzi klíče. Volání Set-AzStorageAccount pro aktualizaci nastavení šifrování účtu úložiště, jak je znázorněno v následujícím příkladu, a zahrnout možnost -KeyvaultEncryption pro povolení klíčů spravovaných zákazníkem pro účet úložiště.
Nezapomeňte nahradit zástupné hodnoty v závorkách vlastními hodnotami a použít proměnné definované v předchozích příkladech.
$accountName = "<storage-account>"
# Use this form of the command with a user-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
-AccountName $accountName `
-IdentityType SystemAssignedUserAssigned `
-UserAssignedIdentityId $userIdentity.Id `
-KeyvaultEncryption `
-KeyVaultUri $keyVault.VaultUri `
-KeyName $key.Name `
-KeyVersion $key.Version `
-KeyVaultUserAssignedIdentityId $userIdentity.Id
# Use this form of the command with a system-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
-AccountName $accountName `
-KeyvaultEncryption `
-KeyVaultUri $keyVault.VaultUri `
-KeyName $key.Name `
-KeyVersion $key.Version
Když ručně aktualizujete verzi klíče, musíte aktualizovat nastavení šifrování účtu úložiště tak, aby používala novou verzi. Nejprve zavolejte Get-AzKeyVaultKey a získejte nejnovější verzi klíče. Potom zavolejte Set-AzStorageAccount a aktualizujte nastavení šifrování účtu úložiště tak, aby používala novou verzi klíče, jak je znázorněno v předchozím příkladu.
Pokud chcete nakonfigurovat klíče spravované zákazníkem s ruční aktualizací verze klíče, při konfiguraci šifrování pro účet úložiště explicitně zadejte verzi klíče. Voláním příkazu az storage account update aktualizujte nastavení šifrování účtu úložiště, jak je znázorněno v následujícím příkladu. --encryption-key-source Zahrňte parametr a nastavte ho na Microsoft.Keyvault povolení klíčů spravovaných zákazníkem pro účet.
Nezapomeňte nahradit zástupné hodnoty v hranatých závorkách vlastními hodnotami.
accountName="<storage-account>"
keyVaultUri=$(az keyvault show \
--name $kvName \
--resource-group $rgName \
--query properties.vaultUri \
--output tsv)
keyVersion=$(az keyvault key list-versions \
--name $keyName \
--vault-name $kvName \
--query [-1].kid \
--output tsv | cut -d '/' -f 6)
# Use this form of the command with a user-assigned managed identity
az storage account update \
--name $accountName \
--resource-group $rgName \
--identity-type SystemAssigned,UserAssigned \
--user-identity-id $identityResourceId \
--encryption-key-name $keyName \
--encryption-key-version $keyVersion \
--encryption-key-source Microsoft.Keyvault \
--encryption-key-vault $keyVaultUri \
--key-vault-user-identity-id $identityResourceId
# Use this form of the command with a system-assigned managed identity
az storage account update \
--name $accountName \
--resource-group $rgName \
--encryption-key-name $keyName \
--encryption-key-version $keyVersion \
--encryption-key-source Microsoft.Keyvault \
--encryption-key-vault $keyVaultUri
Když ručně aktualizujete verzi klíče, musíte aktualizovat nastavení šifrování účtu úložiště tak, aby používala novou verzi. Nejprve se dotazujte na identifikátor URI trezoru klíčů voláním příkazu az keyvault show a verze klíče voláním příkazu az keyvault key list-versions. Potom zavolejte az storage account update a aktualizujte nastavení šifrování účtu úložiště tak, aby používala novou verzi klíče, jak je znázorněno v předchozím příkladu.
Změna klíče
Klíč, který používáte pro šifrování Azure Storage, můžete kdykoli změnit.
Poznámka:
Když změníte klíč nebo verzi klíče, ochrana kořenového šifrovacího klíče se změní, ale data ve vašem účtu Azure Storage zůstanou zašifrovaná vždy. Z vaší strany nejsou vyžadovány žádné další kroky k zajištění ochrany vašich dat. Změna klíče nebo otočení verze klíče nemá vliv na výkon. Ke změně klíče nebo obměně verze klíče nedojde k žádnému výpadku.
Pokud chcete změnit klíč pomocí webu Azure Portal, postupujte takto:
Přejděte do svého účtu úložiště a zobrazte nastavení šifrování .
Vyberte trezor klíčů a zvolte nový klíč.
Uloží vaše změny.
Pokud chcete změnit klíč pomocí PowerShellu, zavolejte Set-AzStorageAccount a zadejte název a verzi nového klíče. Pokud je nový klíč v jiném trezoru klíčů, musíte také aktualizovat identifikátor URI trezoru klíčů.
Pokud chcete změnit klíč pomocí Azure CLI, zavolejte az storage account update a zadejte název a verzi nového klíče. Pokud je nový klíč v jiném trezoru klíčů, musíte také aktualizovat identifikátor URI trezoru klíčů.
Odvolání přístupu k účtu úložiště, který používá klíče spravované zákazníkem
Pokud chcete dočasně odvolat přístup k účtu úložiště, který používá klíče spravované zákazníkem, zakažte klíč, který se aktuálně používá v trezoru klíčů. K zakázání a opětovnému zblížení klíče nedojde k žádnému dopadu na výkon ani výpadek.
Po zakázání klíče nemůžou klienti volat operace, které čtou nebo zapisuje do objektu blob nebo jeho metadat. Informace o tom, které operace selžou, najdete v tématu Odvolání přístupu k účtu úložiště, který používá klíče spravované zákazníkem.
Upozornění
Když klíč v trezoru klíčů zakážete, data ve vašem účtu Azure Storage zůstanou zašifrovaná, ale budou nepřístupná, dokud klíč znovu neschováte.
Pokud chcete pomocí webu Azure Portal zakázat klíč spravovaný zákazníkem, postupujte takto:
Přejděte do trezoru klíčů, který tento klíč obsahuje.
V části Objekty vyberte Klíče.
Klikněte pravým tlačítkem myši na klíč a vyberte Zakázat.
Pokud chcete odvolat klíč spravovaný zákazníkem pomocí PowerShellu , zavolejte příkaz Update-AzKeyVaultKey , jak je znázorněno v následujícím příkladu. Nezapomeňte nahradit zástupné hodnoty v hranatých závorkách vlastními hodnotami k definování proměnných nebo použít proměnné definované v předchozích příkladech.
$kvName = "<key-vault-name>"
$keyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it
# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $keyName -VaultName $kvName
# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $kvName -Name $keyName -Enable $enabled
Pokud chcete odvolat klíč spravovaný zákazníkem pomocí Azure CLI, zavolejte příkaz az keyvault key set-attributes , jak je znázorněno v následujícím příkladu. Nezapomeňte nahradit zástupné hodnoty v hranatých závorkách vlastními hodnotami k definování proměnných nebo použít proměnné definované v předchozích příkladech.
kvName="<key-vault-name>"
keyName="<key-name>"
enabled="false"
# "false" to disable the key / "true" to enable it:
# Check the current state of the key (before and after enabling/disabling it)
az keyvault key show \
--vault-name $kvName \
--name $keyName
# Disable (or enable) the key
az keyvault key set-attributes \
--vault-name $kvName \
--name $keyName \
--enabled $enabled
Přepnutí zpět na klíče spravované Microsoftem
Klíče spravované zákazníkem můžete kdykoli přepnout zpět na klíče spravované Microsoftem pomocí webu Azure Portal, PowerShellu nebo Azure CLI.
Pokud chcete přejít z klíčů spravovaných zákazníkem zpět na klíče spravované Microsoftem na webu Azure Portal, postupujte takto:
Přejděte ke svému účtu úložiště.
V části Zabezpečení a sítě vyberte Šifrování.
Změňte typ šifrování na klíče spravované Microsoftem.
Pokud chcete přepnout z klíčů spravovaných zákazníkem zpět na klíče spravované Microsoftem pomocí PowerShellu, zavolejte Set-AzStorageAccount s -StorageEncryption možností, jak je znázorněno v následujícím příkladu. Nezapomeňte nahradit zástupné hodnoty v závorkách vlastními hodnotami a použít proměnné definované v předchozích příkladech.
Pokud chcete přepnout z klíčů spravovaných zákazníkem zpět na klíče spravované Microsoftem pomocí Azure CLI, zavolejte az storage account update a nastavte --encryption-key-source parameter na hodnotu Microsoft.Storage, jak je znázorněno v následujícím příkladu. Nezapomeňte nahradit zástupné hodnoty v závorkách vlastními hodnotami a použít proměnné definované v předchozích příkladech.
