Freigeben über


Konfigurieren von kundenseitig verwalteten Schlüsseln im gleichen Mandanten für ein neues Speicherkonto

Azure Storage verschlüsselt alle Daten in einem ruhenden Speicherkonto. Standardmäßig werden Daten mit von Microsoft verwalteten Schlüsseln verschlüsselt. Um zusätzliche Kontrolle über die Verschlüsselungsschlüssel zu erhalten, können Sie eigene Schlüssel verwalten. Kundenseitig verwaltete Schlüssel müssen in Azure Key Vault oder in einem von Azure Key Vault verwalteten Hardware Security Model (HSM) gespeichert werden.

In diesem Artikel erfahren Sie, wie Sie die Verschlüsselung mit kundenseitig verwalteten Schlüsseln konfigurieren, wenn Sie ein neues Speicherkontos erstellen. Die kundenseitig verwalteten Schlüssel werden in einem Schlüsseltresor gespeichert.

Informationen zum Konfigurieren von kundenseitig verwalteten Schlüsseln für ein vorhandenes Speicherkonto finden Sie unter Konfigurieren von kundenseitig verwalteten Schlüsseln in einem Azure-Schlüsseltresor für ein vorhandenes Speicherkonto.

Hinweis

Azure Key Vault und über Azure Key Vault verwaltete HSMs unterstützen dieselben APIs und Verwaltungsschnittstellen für die Konfiguration kundenseitig verwalteter Schlüssel. Jede Aktion, die für Azure Key Vault unterstützt wird, wird auch für ein über Azure Key Vault verwaltetes HSM unterstützt.

Konfigurieren des Schlüsseltresors

Sie können einen neuen oder vorhandenen Schlüsseltresor verwenden, um kundenseitig verwaltete Schlüssel zu speichern. Speicherkonto und Schlüsseltresor können sich in verschiedenen Regionen oder Abonnements im selben Mandanten befinden. Weitere Informationen zu Azure Key Vault finden Sie unter Informationen zu Azure Key Vault und Grundlegende Konzepte von Azure Key Vault.

Bei Verwendung kundenseitig verwalteter Schlüssel mit der Azure Storage-Verschlüsselung muss der Schlüsseltresor vor vorläufigem und endgültigem Löschen geschützt sein. Das vorläufige Löschen ist standardmäßig aktiviert, wenn Sie einen neuen Schlüsseltresor erstellen, und kann nicht deaktiviert werden. Sie können den Löschschutz aktivieren, wenn Sie den Schlüsseltresor erstellen oder nachdem er erstellt wurde.

Azure Key Vault unterstützt die Autorisierung mit Azure RBAC über ein Azure RBAC-Berechtigungsmodell. Microsoft empfiehlt die Verwendung des Azure RBAC-Berechtigungsmodells gegenüber den Zugriffsrichtlinien für Schlüsseltresore. Weitere Informationen finden Sie unter Gewähren der Berechtigung zum Zugreifen auf einen Azure-Schlüsseltresor für Anwendungen mit Azure RBAC.

Informationen zum Erstellen eines Schlüsseltresors über das Azure-Portal finden Sie unter Schnellstart: Erstellen eines Schlüsseltresors über das Azure-Portal. Wenn Sie den Schlüsseltresor erstellen, wählen Sie Löschschutz aktivieren aus, wie in der folgenden Abbildung dargestellt.

Screenshot der Aktivierung des Löschschutzes beim Erstellen eines Schlüsseltresors.

Führen Sie die folgenden Schritte aus, um den Löschschutz für einen vorhandenen Schlüsseltresor zu aktivieren:

  1. Navigieren Sie im Azure-Portal zu Ihrem Schlüsseltresor.
  2. Wählen Sie unter Einstellungen die Option Eigenschaften aus.
  3. Wählen Sie im Abschnitt Löschschutz die Option Löschschutz aktivieren aus.

Hinzufügen eines Schlüssels

Als Nächstes fügen Sie im Schlüsseltresor einen Schlüssel hinzu. Bevor Sie den Schlüssel hinzufügen, stellen Sie sicher, dass Sie sich selbst die Rolle Key Vault-Kryptografiebeauftragter zugewiesen haben.

Die Azure Storage-Verschlüsselung unterstützt RSA- und RSA-HSM-Schlüssel mit einer Größe von 2.048, 3.072 und 4.096 Bit. Weitere Informationen zu unterstützten Schlüsseltypen finden Sie unter Informationen zu Schlüsseln.

Informationen zum Hinzufügen eines Schlüssels über das Azure-Portal finden Sie unter Schnellstart: Festlegen und Abrufen eines Schlüssels aus Azure Key Vault mit dem Azure-Portal.

Verwenden einer benutzerseitig zugewiesenen verwalteten Identität zum Autorisieren des Zugriffs auf den Schlüsseltresor

Wenn Sie kundenseitig verwaltete Schlüssel für ein neues Speicherkonto aktivieren, müssen Sie eine benutzerseitig zugewiesene verwaltete Identität angeben. Ein vorhandenes Speicherkonto unterstützt entweder eine benutzerseitig zugewiesene verwaltete Identität oder eine systemseitig zugewiesene verwaltete Identität zur Konfiguration kundenseitig verwalteter Schlüssel.

Wenn Sie kundenseitig verwaltete Schlüssel mit einer benutzerseitig zugewiesenen verwalteten Identität konfigurieren, wird die benutzerseitig zugewiesene verwaltete Identität verwendet, um den Zugriff auf den Schlüsseltresor zu autorisieren, der den Schlüssel enthält. Sie müssen die benutzerseitig zugewiesene Identität erstellen, bevor Sie kundenseitig verwaltete Schlüssel konfigurieren.

Eine benutzerseitig zugewiesene verwaltete Identität ist eine eigenständige Azure-Ressource. Weitere Informationen zu benutzerseitig zugewiesenen verwalteten Identitäten finden Sie unter Arten von verwalteten Identitäten. Informationen zum Erstellen und Verwalten einer benutzerseitig zugewiesenen verwalteten Identität finden Sie unter Benutzerseitig zugewiesene verwaltete Identitäten verwalten.

Die benutzerseitig zugewiesene verwaltete Identität muss über Berechtigungen für den Zugriff auf den Schlüssel in dem Schlüsseltresor verfügen. Weisen Sie der benutzerseitig zugewiesenen verwalteten Identität im Bereich des Schlüsseltresors die Rolle Key Vault Crypto Service Encryption-Benutzer zu, um diese Berechtigungen zu gewähren.

Bevor Sie kundenseitig verwaltete Schlüssel mit einer benutzerseitig zugewiesenen verwalteten Identität konfigurieren können, müssen Sie der benutzerseitig zugewiesenen verwalteten Identität die Rolle Key Vault Crypto Service Encryption-Benutzer zuweisen, die auf den Bereich des Schlüsseltresors bezogen ist. Mit dieser Rolle werden der benutzerseitig zugewiesenen verwalteten Identität Berechtigungen für den Zugriff auf den Schlüssel im Schlüsseltresor gewährt. Weitere Informationen zum Zuweisen von Azure RBAC-Rollen im Azure-Portal finden Sie unter Zuweisen von Azure-Rollen über das Azure-Portal.

Wenn Sie kundenseitig verwaltete Schlüssel über das Azure-Portal konfigurieren, können Sie über die Portalbenutzeroberfläche eine vorhandene benutzerseitig zugewiesene Identität auswählen.

Konfigurieren von kundenseitig verwalteten Schlüsseln für ein neues Speicherkonto

Beim Konfigurieren der Verschlüsselung mit kundenseitig verwalteten Schlüsseln für ein neues Speicherkonto können Sie festlegen, dass die für die Azure Storage-Verschlüsselung verwendete Schlüsselversion automatisch aktualisiert wird, wenn im zugeordneten Schlüsseltresor eine neue Version verfügbar ist. Alternativ können Sie explizit eine Schlüsselversion angeben, die für die Verschlüsselung verwendet werden soll, bis die Schlüsselversion manuell aktualisiert wird.

Sie müssen eine vorhandene benutzerseitig zugewiesene verwaltete Identität verwenden, um den Zugriff auf den Schlüsseltresor zu autorisieren, wenn Sie beim Erstellen des Speicherkontos kundenseitig verwaltete Schlüssel konfigurieren. Die benutzerseitig zugewiesene verwaltete Identität muss über entsprechende Berechtigungen für den Zugriff auf den Schlüsseltresor verfügen. Weitere Informationen finden Sie auf der Seite Authentifizieren bei Azure Key Vault.

Konfigurieren der Verschlüsselung für die automatische Aktualisierung von Schlüsselversionen

Azure Storage kann den kundenseitig verwalteten Schlüssel, der für die Verschlüsselung verwendet wird, automatisch aktualisieren, um die neueste Schlüsselversion aus dem Schlüsseltresor zu verwenden. Azure Storage überprüft den Schlüsseltresor täglich auf eine neue Version des Schlüssels. Sobald eine neue Version verfügbar ist, beginnt Azure Storage automatisch mit der Verwendung der neuesten Version des Schlüssels für die Verschlüsselung.

Wichtig

Azure Storage überprüft den Schlüsseltresor nur einmal täglich auf eine neue Schlüsselversion. Wenn Sie einen Schlüssel drehen, warten Sie 24 Stunden, bevor Sie die ältere Version deaktivieren.

Führen Sie die folgenden Schritte aus, um kundenseitig verwaltete Schlüssel für ein neues Speicherkonto mit automatischer Aktualisierung der Schlüsselversion zu konfigurieren:

  1. Navigieren Sie im Azure-Portal zur Seite Speicherkonten, und wählen Sie die Schaltfläche Erstellen aus, um ein neues Konto zu erstellen.

  2. Führen Sie die Schritte unter Speicherkonto erstellen aus, um die Felder auf den Registerkarten Grundlagen, Erweitert, Netzwerk und Datenschutz auszufüllen.

  3. Geben Sie auf der Registerkarte Verschlüsselung im Feld Unterstützung für kundenseitig verwaltete Schlüssel aktivieren an, für welche Dienste Sie die Unterstützung für kundenseitig verwaltete Schlüssel aktivieren möchten.

  4. Wählen Sie im Feld Verschlüsselungstyp die Option Kundenseitig verwaltete Schlüssel (Customer managed keys, CMK) aus.

  5. Wählen Sie im Feld Verschlüsselungsschlüssel die Option Key Vault und Schlüssel auswählen aus, und geben Sie den Schlüsseltresor und den Schlüssel an.

  6. Wählen Sie für das Feld Benutzerseitig zugewiesene Identität eine vorhandene benutzerseitig zugewiesene verwaltete Identität aus.

    Screenshot der Konfiguration kundenseitig verwalteter Schlüssel für ein neues Speicherkonto im Azure-Portal.

  7. Wählen Sie die Schaltfläche Überprüfung aus, um das Konto zu überprüfen und zu erstellen.

Sie können auch kundenseitig verwaltete Schlüssel mit manueller Aktualisierung der Schlüsselversion konfigurieren, wenn Sie ein neues Speicherkonto erstellen. Führen Sie die Schritte unter Konfigurieren der Verschlüsselung für die manuelle Aktualisierung von Schlüsselversionen aus.

Konfigurieren der Verschlüsselung für die manuelle Aktualisierung von Schlüsselversionen

Wenn Sie die Schlüsselversion manuell aktualisieren möchten, geben Sie beim Erstellen des Speicherkontos die Version explizit an, wenn Sie die Verschlüsselung mit kundenseitig verwalteten Schlüsseln konfigurieren. In diesem Fall aktualisiert Azure Storage die Schlüsselversion nicht automatisch, wenn eine neue Version im Schlüsseltresor erstellt wird. Um eine neue Schlüsselversion zu verwenden, müssen Sie die für die Azure Storage-Verschlüsselung verwendete Version manuell aktualisieren.

Sie müssen eine vorhandene benutzerseitig zugewiesene verwaltete Identität verwenden, um den Zugriff auf den Schlüsseltresor zu autorisieren, wenn Sie beim Erstellen des Speicherkontos kundenseitig verwaltete Schlüssel konfigurieren. Die benutzerseitig zugewiesene verwaltete Identität muss über entsprechende Berechtigungen für den Zugriff auf den Schlüsseltresor verfügen. Weitere Informationen finden Sie auf der Seite Authentifizieren bei Azure Key Vault.

Um kundenseitig verwaltete Schlüssel mit der manuellen Aktualisierung der Schlüsselversion im Azure-Portal zu konfigurieren, geben Sie beim Erstellen des Speicherkontos den Schlüssel-URI einschließlich der Version an. Gehen Sie wie folgt vor, um einen Schlüssel als URI anzugeben:

  1. Navigieren Sie im Azure-Portal zur Seite Speicherkonten, und wählen Sie die Schaltfläche Erstellen aus, um ein neues Konto zu erstellen.

  2. Führen Sie die Schritte unter Speicherkonto erstellen aus, um die Felder auf den Registerkarten Grundlagen, Erweitert, Netzwerk und Datenschutz auszufüllen.

  3. Geben Sie auf der Registerkarte Verschlüsselung im Feld Unterstützung für kundenseitig verwaltete Schlüssel aktivieren an, für welche Dienste Sie die Unterstützung für kundenseitig verwaltete Schlüssel aktivieren möchten.

  4. Wählen Sie im Feld Verschlüsselungstyp die Option Kundenseitig verwaltete Schlüssel (Customer managed keys, CMK) aus.

  5. Um den Schlüssel-URI im Azure-Portal anzuzeigen, navigieren Sie zu Ihrem Schlüsseltresor, und wählen die Einstellung Schlüssel aus. Wählen Sie den gewünschten Schlüssel aus, und klicken Sie darauf, um dessen Versionen anzuzeigen. Wählen Sie eine Schlüsselversion aus, um die Einstellungen für diese Version anzuzeigen.

  6. Kopieren Sie den Wert im Feld Schlüsselbezeichner, das den URI enthält.

    Screenshot des Schlüssel-URI des Schlüsseltresors im Azure-Portal.

  7. Wählen Sie in den Einstellungen für den Verschlüsselungsschlüssel für Ihr Speicherkonto die Option Schlüssel-URI eingeben aus.

  8. Fügen Sie den kopierten URI in das Feld Schlüssel-URI ein. Schließen Sie die Schlüsselversion in den URI ein, um die manuelle Aktualisierung der Schlüsselversion zu konfigurieren.

  9. Geben Sie eine benutzerseitig zugewiesene verwaltete Identität an, indem Sie den Link Identität auswählen auswählen.

    Screenshot der Eingabe des Schlüssel-URI in das Azure-Portal.

  10. Wählen Sie die Schaltfläche Überprüfung aus, um das Konto zu überprüfen und zu erstellen.

Ändern des Schlüssels

Sie können den Schlüssel, den Sie für die Azure Storage-Verschlüsselung verwenden, jederzeit ändern.

Hinweis

Wenn Sie den Schlüssel oder die Schlüsselversion ändern, ändert sich der Schutz des Stammverschlüsselungsschlüssels, die Daten in Ihrem Azure Storage-Konto bleiben jedoch zu jedem Zeitpunkt verschlüsselt. Es sind keine zusätzlichen Maßnahmen Ihrerseits erforderlich, um sicherzustellen, dass Ihre Daten geschützt sind. Das Ändern des Schlüssels oder das Rotieren der Schlüsselversion wirkt sich nicht auf die Leistung aus. Mit dem Ändern des Schlüssels oder dem Rotieren der Schlüsselversion ist keine Downtime verbunden.

Führen Sie die folgenden Schritte aus, um den Schlüssel im Azure-Portal zu ändern:

  1. Navigieren Sie zu Ihrem Speicherkonto, und zeigen Sie die Einstellungen zur Verschlüsselung an.
  2. Wählen Sie den Schlüsseltresor und dann einen neuen Schlüssel aus.
  3. Speichern Sie die Änderungen.

Wenn sich der neue Schlüssel in einem anderen Schlüsseltresor befindet, müssen Sie der verwalteten Identität Zugriff auf den Schlüssel im neuen Tresor gewähren. Wenn Sie manuelle Aktualisierung der Schlüsselversion auswählen, müssen Sie auch den Schlüsseltresor-URI aktualisieren.

Widerrufen des Zugriffs auf ein Speicherkonto, das kundenseitig verwaltete Schlüssel verwendet

Wenn Sie den Zugriff auf ein Speicherkonto, das kundenseitig verwaltete Schlüssel verwendet, vorübergehend widerrufen möchten, deaktivieren Sie den Schlüssel, der zurzeit im Schlüsseltresor verwendet wird. Das Deaktivieren und erneute Aktivieren des Schlüssels hat keine Auswirkungen auf die Leistung und verursacht keine Downtime.

Nachdem der Schlüssel deaktiviert wurde, können Clients keine Vorgänge mehr aufrufen, bei denen Lese- oder Schreibvorgänge für ein Blob oder die zugehörigen Metadaten durchgeführt werden. Informationen dazu, welche Vorgänge nicht erfolgreich ausgeführt werden, finden Sie unter Widerrufen des Zugriffs auf ein Speicherkonto, das kundenseitig verwaltete Schlüssel verwendet.

Achtung

Wenn Sie den Schlüssel im Schlüsseltresor deaktivieren, bleiben die Daten in Ihrem Azure Storage-Konto verschlüsselt, sind jedoch nicht zugänglich, bis Sie den Schlüssel erneut aktivieren.

Führen Sie zum Deaktivieren eines kundenseitig verwalteten Schlüssels über das Azure-Portal die folgenden Schritte aus:

  1. Navigieren Sie zu dem Schlüsseltresor, der den Schlüssel enthält.

  2. Wählen Sie unter Objekte die Option Schlüssel aus.

  3. Klicken Sie mit der rechten Maustaste auf den Schlüssel, und wählen Sie Deaktivieren aus.

    Der Screenshot zeigt, wie ein kundenseitig verwalteter Schlüssel im Schlüsseltresor deaktiviert wird.

Das Deaktivieren des Schlüssels führt dazu, dass Zugriffsversuche auf Daten im Speicherkonto mit dem Fehlercode 403 (Unzulässig) fehlschlagen. Eine Liste der Speicherkontovorgänge, die von einer Deaktivierung des Schlüssels betroffen sind, finden Sie unter Widerrufen des Zugriffs auf ein Speicherkonto, das kundenseitig verwaltete Schlüssel verwendet.

Zurückwechseln zu von Microsoft verwalteten Schlüsseln

Sie können jederzeit über das Azure-Portal, mit PowerShell oder der Azure CLI von kundenseitig verwalteten Schlüsseln zu von Microsoft verwalteten Schlüsseln zurückwechseln.

Führen Sie die folgenden Schritte aus, um im Azure-Portal von kundenseitig verwalteten Schlüsseln zu von Microsoft verwalteten Schlüsseln zurückzuwechseln:

  1. Navigieren Sie zum Speicherkonto.

  2. Wählen Sie unter Sicherheit + Netzwerk die Option Verschlüsselung aus.

  3. Ändern Sie den Verschlüsselungstyp in von Microsoft verwaltete Schlüssel.

    Der Screenshot zeigt, wie Sie zu von Microsoft verwalteten Schlüsseln für ein Speicherkonto wechseln.

Nächste Schritte