Erstellen und Verwalten von Verschlüsselungsbereichen

Verschlüsselungsbereiche ermöglichen die Verwaltung der Verschlüsselung auf der Ebene einzelner Blobs oder Container. Sie können Verschlüsselungsbereiche verwenden, um sichere Grenzen zwischen Daten zu erstellen, die sich im selben Speicherkonto befinden, aber zu unterschiedlichen Kunden gehören. Weitere Informationen zu Verschlüsselungsbereichen finden Sie unter Verschlüsselungsbereiche für Blobspeicher.

In diesem Artikel wird gezeigt, wie Sie einen Verschlüsselungsbereich erstellen. Darüber hinaus wird erläutert, wie Sie beim Erstellen eines Blobs oder Containers einen Verschlüsselungsbereich angeben.

Erstellen eines Verschlüsselungsbereichs

Sie können einen Verschlüsselungsbereich erstellen, der mit einem von Microsoft verwalteten Schlüssel oder mit einem kundenseitig verwalteten Schlüssel geschützt ist, der in Azure Key Vault oder in einem Azure Key Vault Managed Hardware Security Model (HSM) gespeichert ist. Zum Erstellen eines Verschlüsselungsbereichs mit einem kundenseitig verwalteten Schlüssel müssen Sie zunächst einen Schlüsseltresor oder ein verwaltetes HSM erstellen und den Schlüssel hinzufügen, den Sie für den Bereich verwenden möchten. Für den Schlüsseltresor oder das verwaltete HSM muss der Löschschutz aktiviert sein.

Das Speicherkonto und der Schlüsseltresor können sich im selben Mandanten oder in verschiedenen Mandanten befinden. Das Speicherkonto und der Schlüsseltresor können sich, so oder so, in verschiedenen Regionen befinden.

Ein Verschlüsselungsbereich wird bei der Erstellung immer automatisch aktiviert. Nach der Erstellung des Verschlüsselungsbereichs können Sie diesen beim Erstellen eines Blobs angeben. Sie können beim Erstellen eines Containers auch einen Standardverschlüsselungsbereich angeben, der automatisch für alle Blobs im Container gilt.

Wenn Sie einen Verschlüsselungsbereich konfigurieren, wird Ihnen mindestens ein Monat (30 Tage) in Rechnung gestellt. Nach dem ersten Monat werden die Gebühren für einen Verschlüsselungsbereich stündlich anteilig berechnet. Weitere Informationen finden Sie unter Abrechnung für Verschlüsselungsbereiche.

Portal

Führen Sie die folgenden Schritte aus, um einen Verschlüsselungsbereich im Azure-Portal zu erstellen:

1. Navigieren Sie zum Speicherkonto im Azure-Portal.

2. Wählen Sie unter Sicherheit + Netzwerk die Option Verschlüsselung aus.

3. Wählen Sie die Registerkarte Verschlüsselungsbereiche aus.

4. Klicken Sie auf die Schaltfläche Hinzufügen, um einen neuen Verschlüsselungsbereich hinzuzufügen.

5. Geben Sie im Bereich Verschlüsselungsbereich erstellen einen Namen für den neuen Bereich ein.

6. Wählen Sie den gewünschten Typ der Verschlüsselungsschlüsselunterstützung aus: Von Microsoft verwaltete Schlüssel oder Kundenseitig verwaltete Schlüssel.

   • Wenn Sie Von Microsoft verwaltete Schlüssel ausgewählt haben, klicken Sie auf Erstellen, um den Verschlüsselungsbereich zu erstellen.
   • Wenn Sie Kundenseitig verwaltete Schlüssel ausgewählt haben, wählen Sie ein Abonnement aus. Geben Sie dann einen Schlüsseltresor und einen Schlüssel an, die für diesen Verschlüsselungsbereich verwendet werden sollen. Wenn sich der gewünschte Schlüsseltresor in einer anderen Region befindet, wählen Sie Schlüssel-URI eingeben aus, und geben Sie den Schlüssel-URI an.

7. Wenn die Infrastrukturverschlüsselung für das Speicherkonto aktiviert wurde, wird sie für den neuen Verschlüsselungsbereich automatisch aktiviert. Andernfalls können Sie auswählen, ob die Infrastrukturverschlüsselung für den Verschlüsselungsbereich aktiviert werden soll.

   

PowerShell

Installieren Sie zum Erstellen eines Verschlüsselungsbereichs mithilfe von PowerShell das PowerShell-Modul Az.Storage, Version 3.4.0 oder höher.

Erstellen eines Verschlüsselungsbereichs, der durch von Microsoft verwaltete Schlüssel geschützt wird

Wenn Sie einen Verschlüsselungsbereich erstellen möchten, der durch von Microsoft verwaltete Schlüssel geschützt wird, rufen Sie den Befehl New-AzStorageEncryptionScope mit dem Parameter -StorageEncryption auf.

Wenn die Infrastrukturverschlüsselung für das Speicherkonto aktiviert wurde, wird sie für den neuen Verschlüsselungsbereich automatisch aktiviert. Andernfalls können Sie auswählen, ob die Infrastrukturverschlüsselung für den Verschlüsselungsbereich aktiviert werden soll. Zum Erstellen des neuen Bereichs mit aktivierter Infrastrukturverschlüsselung beziehen Sie den Parameter -RequireInfrastructureEncryption mit ein.

Denken Sie daran, die Platzhalterwerte in diesem Beispiel durch Ihre eigenen Werte zu ersetzen:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$scopeName = "<encryption-scope>"

New-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName1 `
    -StorageEncryption

Erstellen eines Verschlüsselungsbereichs in demselben Mandanten, der mit kundenseitig verwalteten Schlüsseln geschützt wird

Um einen Verschlüsselungsbereich zu erstellen, der durch vom Kunden verwaltete Schlüssel geschützt ist, die in einem Schlüsseltresor oder verwaltetem HSM gespeichert sind, das sich im selben Mandanten wie das Speicherkonto befindet, konfigurieren Sie zuerst vom Kunden verwaltete Schlüssel für das Speicherkonto. Sie müssen dem Speicherkonto, das über Berechtigungen für den Zugriff auf den Schlüsseltresor verfügt, eine verwaltete Identität zuweisen. Die verwaltete Identität kann eine systemseitig zugewiesene verwaltete Identität oder benutzerseitig zugewiesene verwaltete Identität sein. Weitere Informationen zum Konfigurieren von vom Kunden verwalteten Schlüsseln finden Sie unter Konfigurieren von vom Kunden verwalteten Schlüsseln im selben Mandanten für ein vorhandenes Speicherkonto.

Um den verwalteten Identitätsberechtigungen für den Zugriff auf den Schlüsseltresor zu gewähren, weisen Sie der verwalteten Identität die Schlüsseltresor-Verschlüsselungsdienst-Rolle zu.

Zum Konfigurieren von kundenseitig verwalteten Schlüsseln für die Verwendung mit einem Verschlüsselungsbereich muss der Löschschutz für den Schlüsseltresor oder das verwaltete HSM aktiviert werden.

Das folgende Beispiel zeigt, wie Sie einen Verschlüsselungsbereich mit einer vom System zugewiesenen verwalteten Identität konfigurieren. Denken Sie daran, die Platzhalterwerte in diesem Beispiel durch Ihre eigenen Werte zu ersetzen:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$keyVaultName = "<key-vault>"
$scopeName = "<encryption-scope>"

# Assign a system-assigned managed identity to the storage account.
$storageAccount = Set-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -AssignIdentity

# Assign the necessary permissions to the managed identity 
# so that it can access the key vault.
$principalId = $storageAccount.Identity.PrincipalId
$keyVault = Get-AzKeyVault $keyVaultName

New-AzRoleAssignment -ObjectId $storageAccount.Identity.PrincipalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

Rufen Sie als Nächstes den Befehl New-AzStorageEncryptionScope mit dem Parameter -KeyvaultEncryption auf, und geben Sie den Schlüssel-URI an. Das Einbeziehen der Schlüsselversion in den Schlüssel-URI ist optional. Wenn Sie die Schlüsselversion auslassen, verwendet der Verschlüsselungsbereich automatisch die neueste Schlüsselversion. Wenn Sie die Schlüsselversion mit einbeziehen, dann müssen Sie die Schlüsselversion manuell aktualisieren, um eine andere Version zu verwenden.

Das Format des Schlüssel-URI ähnelt den folgenden Beispielen und kann aus der VaultUri-Eigenschaft des Schlüsseltresors und dem Schlüsselnamen erstellt werden:

# Without the key version
https://<key-vault>.vault.azure.net/keys/<key>

# With the key version
https://<key-vault>.vault.azure.net/keys/<key>/<version>

Wenn die Infrastrukturverschlüsselung für das Speicherkonto aktiviert wurde, wird sie für den neuen Verschlüsselungsbereich automatisch aktiviert. Andernfalls können Sie auswählen, ob die Infrastrukturverschlüsselung für den Verschlüsselungsbereich aktiviert werden soll. Zum Erstellen des neuen Bereichs mit aktivierter Infrastrukturverschlüsselung beziehen Sie den Parameter -RequireInfrastructureEncryption mit ein.

Denken Sie daran, die Platzhalterwerte in diesem Beispiel durch Ihre eigenen Werte zu ersetzen:

$keyUri = $keyVault.VaultUri + "keys/" + $keyName

New-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName `
    -KeyUri $keyUri `
    -KeyvaultEncryption

Erstellen eines Verschlüsselungsbereichs, der durch vom Kunden verwaltete Schlüssel in einem anderen Mandanten geschützt ist

Um einen Verschlüsselungsbereich zu erstellen, der durch vom Kunden verwaltete Schlüssel geschützt ist, die in einem Schlüsseltresor oder verwaltetem HSM gespeichert sind, das sich in einem anderen Mandanten als dem Speicherkonto befindet, konfigurieren Sie zuerst vom Kunden verwaltete Schlüssel für das Speicherkonto. Sie müssen eine vom Benutzer zugewiesene verwaltete Identität für das Speicherkonto, das über Berechtigungen für den Zugriff auf den Schlüsseltresor im anderen Mandanten verfügt, konfigurieren. Weitere Informationen zum Konfigurieren mandantenübergreifender vom Kunden verwalteter Schlüssel finden Sie unter Konfigurieren mandantenübergreifender vom Kunden verwalteter Schlüssel für ein vorhandenes Speicherkonto.

Zum Konfigurieren von kundenseitig verwalteten Schlüsseln für die Verwendung mit einem Verschlüsselungsbereich muss der Löschschutz für den Schlüsseltresor oder das verwaltete HSM aktiviert werden.

Nachdem Sie mandantenübergreifende vom Kunden verwaltete Schlüssel für das Speicherkonto konfiguriert haben, können Sie einen Verschlüsselungsbereich für das Speicherkonto in einem Mandanten erstellen, der auf einen Schlüssel in einem Schlüsseltresor im anderen Mandanten ausgelegt ist. Sie benötigen den Schlüssel-URI, um den mandantenübergreifenden Verschlüsselungsbereich zu erstellen.

Denken Sie daran, die Platzhalterwerte in diesem Beispiel durch Ihre eigenen Werte zu ersetzen:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$scopeName = "<encryption-scope>"

# Construct the key URI from the key vault URI and key name.
$keyUri = $kvUri + "keys/" + $keyName

New-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName `
    -KeyUri $keyUri `
    -KeyvaultEncryption

Azure-Befehlszeilenschnittstelle

Installieren Sie zum Erstellen eines Verschlüsselungsbereichs mit der Azure CLI zunächst mindestens Version 2.20.0 der CLI.

Erstellen eines Verschlüsselungsbereichs, der durch von Microsoft verwaltete Schlüssel geschützt wird

Wenn Sie einen neuen Verschlüsselungsbereich erstellen möchten, der durch von Microsoft verwaltete Schlüssel geschützt wird, rufen Sie den Befehl az storage account encryption-scope create auf, und geben Sie dabei Microsoft.Storage für den Parameter --key-source an.

Wenn die Infrastrukturverschlüsselung für das Speicherkonto aktiviert wurde, wird sie für den neuen Verschlüsselungsbereich automatisch aktiviert. Andernfalls können Sie auswählen, ob die Infrastrukturverschlüsselung für den Verschlüsselungsbereich aktiviert werden soll. Zum Erstellen des neuen Bereichs mit aktivierter Infrastrukturverschlüsselung beziehen Sie den Parameter --require-infrastructure-encryption mit ein, und legen Sie dessen Wert auf true fest.

Denken Sie daran, die Platzhalterwerte durch Ihre eigenen Werte zu ersetzen:

az storage account encryption-scope create \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.Storage

Erstellen eines Verschlüsselungsbereichs in demselben Mandanten, der mit kundenseitig verwalteten Schlüsseln geschützt wird

Um einen Verschlüsselungsbereich zu erstellen, der durch vom Kunden verwaltete Schlüssel geschützt ist, die in einem Schlüsseltresor oder verwaltetem HSM gespeichert sind, das sich im selben Mandanten wie das Speicherkonto befindet, konfigurieren Sie zuerst vom Kunden verwaltete Schlüssel für das Speicherkonto. Sie müssen dem Speicherkonto, das über Berechtigungen für den Zugriff auf den Schlüsseltresor verfügt, eine verwaltete Identität zuweisen. Die verwaltete Identität kann eine systemseitig zugewiesene verwaltete Identität oder benutzerseitig zugewiesene verwaltete Identität sein. Weitere Informationen zum Konfigurieren von vom Kunden verwalteten Schlüsseln finden Sie unter Konfigurieren von vom Kunden verwalteten Schlüsseln im selben Mandanten für ein vorhandenes Speicherkonto.

Um den verwalteten Identitätsberechtigungen für den Zugriff auf den Schlüsseltresor zu gewähren, weisen Sie der verwalteten Identität die Schlüsseltresor-Verschlüsselungsdienst-Rolle zu.

Zum Konfigurieren von kundenseitig verwalteten Schlüsseln für die Verwendung mit einem Verschlüsselungsbereich muss der Löschschutz für den Schlüsseltresor oder das verwaltete HSM aktiviert werden.

Das folgende Beispiel zeigt, wie Sie einen Verschlüsselungsbereich mit einer vom System zugewiesenen verwalteten Identität konfigurieren. Denken Sie daran, die Platzhalterwerte in diesem Beispiel durch Ihre eigenen Werte zu ersetzen:

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --assign-identity

principalId=$(az storage account show --name <storage-account> \
    --resource-group <resource_group> \
    --query identity.principalId \
    --output tsv)

$kvResourceId=$(az keyvault show \
    --resource-group <resource-group> \
    --name <key-vault> \
    --query id \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId

Rufen Sie als Nächstes den Befehl az storage account encryption-scope mit dem Parameter --key-uri auf, und geben Sie den Schlüssel-URI an. Das Einbeziehen der Schlüsselversion in den Schlüssel-URI ist optional. Wenn Sie die Schlüsselversion auslassen, verwendet der Verschlüsselungsbereich automatisch die neueste Schlüsselversion. Wenn Sie die Schlüsselversion mit einbeziehen, dann müssen Sie die Schlüsselversion manuell aktualisieren, um eine andere Version zu verwenden.

Das Format des Schlüssel-URI ähnelt den folgenden Beispielen und kann aus der VaultUri-Eigenschaft des Schlüsseltresors und dem Schlüsselnamen erstellt werden:

# Without the key version
https://<key-vault>.vault.azure.net/keys/<key>

# With the key version
https://<key-vault>.vault.azure.net/keys/<key>/<version>

Wenn die Infrastrukturverschlüsselung für das Speicherkonto aktiviert wurde, wird sie für den neuen Verschlüsselungsbereich automatisch aktiviert. Andernfalls können Sie auswählen, ob die Infrastrukturverschlüsselung für den Verschlüsselungsbereich aktiviert werden soll. Zum Erstellen des neuen Bereichs mit aktivierter Infrastrukturverschlüsselung beziehen Sie den Parameter --require-infrastructure-encryption mit ein, und legen Sie dessen Wert auf true fest.

Denken Sie daran, die Platzhalterwerte in diesem Beispiel durch Ihre eigenen Werte zu ersetzen:

az storage account encryption-scope create \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.KeyVault \
    --key-uri <key-uri>

Erstellen eines Verschlüsselungsbereichs, der durch vom Kunden verwaltete Schlüssel in einem anderen Mandanten geschützt ist

Um einen Verschlüsselungsbereich zu erstellen, der durch vom Kunden verwaltete Schlüssel geschützt ist, die in einem Schlüsseltresor oder verwaltetem HSM gespeichert sind, das sich in einem anderen Mandanten als dem Speicherkonto befindet, konfigurieren Sie zuerst vom Kunden verwaltete Schlüssel für das Speicherkonto. Sie müssen eine vom Benutzer zugewiesene verwaltete Identität für das Speicherkonto, das über Berechtigungen für den Zugriff auf den Schlüsseltresor im anderen Mandanten verfügt, konfigurieren. Weitere Informationen zum Konfigurieren mandantenübergreifender vom Kunden verwalteter Schlüssel finden Sie unter Konfigurieren mandantenübergreifender vom Kunden verwalteter Schlüssel für ein vorhandenes Speicherkonto.

Zum Konfigurieren von kundenseitig verwalteten Schlüsseln für die Verwendung mit einem Verschlüsselungsbereich muss der Löschschutz für den Schlüsseltresor oder das verwaltete HSM aktiviert werden.

Nachdem Sie mandantenübergreifende vom Kunden verwaltete Schlüssel für das Speicherkonto konfiguriert haben, können Sie einen Verschlüsselungsbereich für das Speicherkonto in einem Mandanten erstellen, der auf einen Schlüssel in einem Schlüsseltresor im anderen Mandanten ausgelegt ist. Sie benötigen den Schlüssel-URI, um den mandantenübergreifenden Verschlüsselungsbereich zu erstellen.

Denken Sie daran, die Platzhalterwerte in diesem Beispiel durch Ihre eigenen Werte zu ersetzen:

az storage account encryption-scope create \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.KeyVault \
    --key-uri <key-uri>

Auflisten der Verschlüsselungsbereiche für das Speicherkonto

Portal

Navigieren Sie zum Anzeigen der Verschlüsselungsbereiche für ein Speicherkonto im Azure-Portal zur Einstellung Verschlüsselungsbereiche für das Speicherkonto. In diesem Bereich können Sie einen Verschlüsselungsbereich aktivieren oder deaktivieren oder den Schlüssel für einen Verschlüsselungsbereich ändern.

Zum Anzeigen von Details für einen kundenseitig verwalteten Schlüssel, einschließlich Schlüssel-URI und -version und ob die Schlüsselversion automatisch aktualisiert wird, folgen Sie dem Link in der Spalte Schlüssel.

PowerShell

Rufen Sie den Befehl Get-AzStorageEncryptionScope auf, um die für ein Speicherkonto verfügbaren Verschlüsselungsbereiche mit PowerShell aufzulisten. Denken Sie daran, die Platzhalterwerte in diesem Beispiel durch Ihre eigenen Werte zu ersetzen:

Get-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName

Verwenden Sie die Pipelinesyntax, um alle Verschlüsselungsbereiche in einer Ressourcengruppe nach Speicherkonto aufzulisten:

Get-AzStorageAccount -ResourceGroupName $rgName | Get-AzStorageEncryptionScope

Azure-Befehlszeilenschnittstelle

Rufen Sie den Befehl az storage account encryption-scope list auf, um die für ein Speicherkonto verfügbaren Verschlüsselungsbereiche mit der Azure CLI aufzulisten. Denken Sie daran, die Platzhalterwerte in diesem Beispiel durch Ihre eigenen Werte zu ersetzen:

az storage account encryption-scope list \
    --account-name <storage-account> \
    --resource-group <resource-group>

Erstellen eines Containers mit einem Standardverschlüsselungsbereich

Wenn Sie einen Container erstellen, können Sie einen standardmäßigen Verschlüsselungsbereich angeben. Blobs in diesem Container verwenden dann standardmäßig diesen Bereich.

Ein einzelnes Blob kann mit einem eigenen Verschlüsselungsbereich erstellt werden, sofern der Container nicht so konfiguriert ist, dass alle Blobs den Standardbereich verwenden. Weitere Informationen finden Sie unter Verschlüsselungsbereiche für Container und Blobs.

Portal

Wenn Sie einen Container mit einem Standardverschlüsselungsbereich im Azure-Portal erstellen möchten, erstellen Sie zunächst den Verschlüsselungsbereich wie unter Erstellen eines Verschlüsselungsbereichs beschrieben. Führen Sie anschließend die folgenden Schritte aus, um den Container zu erstellen:

1. Navigieren Sie zur Liste der Container in Ihrem Speicherkonto, und wählen Sie die Schaltfläche Hinzufügen aus, um einen neuen Container zu erstellen.

2. Erweitern Sie im Bereich Neuer Container die Einstellungen unter Erweitert.

3. Wählen Sie in der Dropdownliste Verschlüsselungsbereich den Standardverschlüsselungsbereich für den Container aus.

4. Wenn alle Blobs im Container den Standardverschlüsselungsbereich verwenden sollen, aktivieren Sie das Kontrollkästchen Use this encryption scope for all blobs in the container (Diesen Verschlüsselungsbereich für alle Blobs im Container verwenden). Ist dieses Kontrollkästchen aktiviert, kann ein einzelnes Blob im Container den Verschlüsselungsbereich nicht überschreiben.

   

PowerShell

Wenn Sie einen Container mit einem Standardverschlüsselungsbereich mit PowerShell erstellen möchten, rufen Sie den Befehl New-AzStorageContainer auf, und geben Sie dabei den Bereich für den Parameter -DefaultEncryptionScope an. Legen Sie den Parameter -PreventEncryptionScopeOverride auf true fest, um zu erzwingen, dass alle Blobs in einem Container den Standardbereich des Containers verwenden.

$containerName1 = "container1"
$ctx = New-AzStorageContext -StorageAccountName $accountName -UseConnectedAccount

# Create a container with a default encryption scope that cannot be overridden.
New-AzStorageContainer -Name $containerName1 `
    -Context $ctx `
    -DefaultEncryptionScope $scopeName1 `
    -PreventEncryptionScopeOverride $true

Azure-Befehlszeilenschnittstelle

Wenn Sie einen Container mit einem Standardverschlüsselungsbereich mit der Azure CLI erstellen möchten, rufen Sie den Befehl az storage container create auf, und geben Sie dabei den Bereich für den Parameter --default-encryption-scope an. Legen Sie den Parameter --prevent-encryption-scope-override auf true fest, um zu erzwingen, dass alle Blobs in einem Container den Standardbereich des Containers verwenden.

Im folgenden Beispiel wird Ihr Microsoft Entra-Konto genutzt, um den Vorgang zur Erstellung des Containers zu autorisieren. Sie können auch den Kontozugriffsschlüssel verwenden. Weitere Informationen finden Sie unter Autorisieren des Zugriffs auf Blob- oder Warteschlangendaten mit der Azure-Befehlszeilenschnittstelle.

az storage container create \
    --account-name <storage-account> \
    --resource-group <resource-group> \
    --name <container> \
    --default-encryption-scope <encryption-scope> \
    --prevent-encryption-scope-override true \
    --auth-mode login

Versucht ein Client, einen Bereich anzugeben, wenn ein Blob in einen Container mit einem Standardverschlüsselungsbereich hochgeladen wird und der Container so konfiguriert ist, dass Blobs den Standardbereich nicht überschreiben können, tritt bei diesem Vorgang ein Fehler auf. Eine Meldung wird angezeigt, die angibt, dass die Anforderung durch die Containerverschlüsselungsrichtlinie untersagt wird.

Hochladen eines Blobs mit einem Verschlüsselungsbereich

Beim Hochladen eines Blobs können Sie einen Verschlüsselungsbereich für das Blob angeben oder den Standardverschlüsselungsbereich für den Container verwenden, sofern einer angegeben wurde.

Hinweis

Wenn Sie ein neues Blob mit einem Verschlüsselungsbereich hochladen, können Sie die Standardzugriffsebene für dieses Blob nicht ändern. Die Zugriffsebene für ein vorhandenes Blob, das einen Verschlüsselungsbereich verwendet, kann ebenfalls nicht geändert werden. Weitere Informationen zu Zugriffsebenen finden Sie unter Zugriffsebenen „Heiß“, „Kalt“ und „Archiv“ für Blobdaten.

Portal

Wenn Sie ein Blob hochladen und den Verschlüsselungsbereich über das Azure-Portal angeben möchten, erstellen Sie zunächst den Verschlüsselungsbereich wie unter Erstellen eines Verschlüsselungsbereichs beschrieben. Führen Sie anschließend die folgenden Schritte aus, um das Blob zu erstellen:

1. Navigieren Sie zu dem Container, in den Sie das Blob hochladen möchten.

2. Wählen Sie die Schaltfläche Hochladen aus, und navigieren Sie zum hochzuladenden Blob.

3. Erweitern Sie im Bereich Blob hochladen die Einstellungen unter Erweitert.

4. Navigieren Sie zum Dropdownmenü im Abschnitt Verschlüsselungsbereich. Standardmäßig wird das Blob mit dem Standardverschlüsselungsbereich für den Container erstellt, sofern einer angegeben wurde. Wenn der Container erfordert, dass Blobs den Standardverschlüsselungsbereich verwenden, ist dieser Abschnitt deaktiviert.

5. Wenn Sie einen anderen Bereich für das hochzuladende Blob angeben möchten, wählen Sie Vorhandenen Bereich auswählen und dann in der Dropdownliste den gewünschten Bereich aus.

   

PowerShell

Wenn Sie ein Blob mit einem Verschlüsselungsbereich über PowerShell hochladen möchten, rufen Sie den Befehl Set-AzStorageBlobContent auf, und geben Sie den Verschlüsselungsbereich für das Blob an.

$containerName2 = "container2"
$localSrcFile = "C:\temp\helloworld.txt"
$ctx = New-AzStorageContext -StorageAccountName $accountName -UseConnectedAccount

# Create a container with no default scope defined.
New-AzStorageContainer -Name $containerName2 -Context $ctx

# Upload a block upload with an encryption scope specified.
Set-AzStorageBlobContent -Context $ctx `
    -Container $containerName2 `
    -File $localSrcFile `
    -Blob "helloworld.txt" `
    -BlobType Block `
    -EncryptionScope $scopeName2

Azure-Befehlszeilenschnittstelle

Wenn Sie ein Blob mit einem Verschlüsselungsbereich über die Azure CLI hochladen möchten, rufen Sie den Befehl az storage blob upload auf, und geben Sie den Verschlüsselungsbereich für das Blob an.

Wenn Sie Azure Cloud Shell verwenden, führen Sie die unter Hochladen eines Blobs beschriebenen Schritte aus, um eine Datei im Stammverzeichnis zu erstellen. Anschließend können Sie diese Datei mithilfe des folgenden Beispiels in ein Blob hochladen:

az storage blob upload \
    --account-name <storage-account> \
    --container-name <container> \
    --file <file> \
    --name <file> \
    --encryption-scope <encryption-scope>

Ändern des Verschlüsselungsschlüssels für einen Bereich

Wenn Sie den Schlüssel, der einen Verschlüsselungsbereich schützt, von einem von Microsoft verwalteten Schlüssel in einen kundenseitig verwalteten Schlüssel ändern möchten, vergewissern Sie sich zunächst, dass Sie kundenseitig verwaltete Schlüssel mit Azure Key Vault oder Key Vault HSM für das Speicherkonto aktiviert haben. Weitere Informationen finden Sie unter Konfigurieren der Verschlüsselung mit kundenseitig verwalteten Schlüsseln, die in Azure Key Vault gespeichert sind oder Konfigurieren der Verschlüsselung mit kundenseitig verwalteten Schlüsseln, die in Azure Key Vault Managed HSM gespeichert sind.

Portal

Führen Sie die folgenden Schritte aus, um den Schlüssel zu ändern, der einen Bereich im Azure-Portal schützt:

1. Navigieren Sie zur Registerkarte Verschlüsselungsbereiche, um die Liste der Verschlüsselungsbereiche für das Speicherkonto anzuzeigen.
2. Wählen Sie neben dem Bereich, den Sie ändern möchten, die Schaltfläche Mehr aus.
3. Im Bereich Verschlüsselungsbereich bearbeiten können Sie den Verschlüsselungstyp von „Von Microsoft verwaltete Schlüssel“ in „Kundenseitig verwaltete Schlüssel“ ändern und umgekehrt.
4. Wählen Sie zum Auswählen eines neuen kundenseitig verwalteten Schlüssels die Option Neuen Schlüssel verwenden aus, und geben Sie den Schlüsseltresor, den Schlüssel und die Schlüsselversion an.

PowerShell

Wenn Sie mit PowerShell den Schlüssel, der einen Verschlüsselungsbereich schützt, von einem kundenseitig verwalteten Schlüssel in einen von Microsoft verwalteten Schlüssel ändern möchten, rufen Sie den Befehl Update-AzStorageEncryptionScope auf, und übergeben Sie den Parameter -StorageEncryption:

Update-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName2 `
    -StorageEncryption

Rufen Sie als Nächstes den Befehl Update-AzStorageEncryptionScope auf, und übergeben Sie die Parameter -KeyUri und -KeyvaultEncryption:

Update-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName1 `
    -KeyUri $keyUri `
    -KeyvaultEncryption

Azure-Befehlszeilenschnittstelle

Wenn Sie mit der Azure CLI den Schlüssel, der einen Verschlüsselungsbereich schützt, von einem kundenseitig verwalteten Schlüssel in einen von Microsoft verwalteten Schlüssel ändern möchten, rufen Sie den Befehl az storage account encryption-scope update auf, und übergeben Sie den Parameter --key-source mit dem Wert Microsoft.Storage:

az storage account encryption-scope update \
    --account-name <storage-account> \
    --resource-group <resource-group>
    --name <encryption-scope> \
    --key-source Microsoft.Storage

Rufen Sie als Nächstes den Befehl az storage account encryption-scope update auf, und übergeben Sie den Parameter --key-uri sowie den Parameter --key-source mit dem Wert Microsoft.KeyVault:

az storage account encryption-scope update \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.KeyVault \
    --key-uri <key-uri>

Deaktivieren eines Verschlüsselungsbereichs

Deaktivieren Sie alle Verschlüsselungsbereiche, die nicht benötigt werden, um unnötige Gebühren zu vermeiden. Weitere Informationen finden Sie unter Abrechnung für Verschlüsselungsbereiche.

Portal

Navigieren Sie zum Deaktivieren eines Verschlüsselungsbereichs im Azure-Portal zur Einstellung Verschlüsselungsbereiche für das Speicherkonto, und wählen Sie den gewünschten Verschlüsselungsbereich und dann Deaktivieren aus.

PowerShell

Rufen Sie zum Deaktivieren eines Verschlüsselungsbereichs mit PowerShell den Befehl „Update-AzStorageEncryptionScope“ auf, und fügen Sie den Parameter -State mit dem Wert disabled ein, wie im folgenden Beispiel gezeigt. Wenn Sie einen Verschlüsselungsbereich wieder aktivieren möchten, rufen Sie den gleichen Befehl auf. Legen Sie dabei den Parameter -State auf enabled fest. Denken Sie daran, die Platzhalterwerte in diesem Beispiel durch Ihre eigenen Werte zu ersetzen:

Update-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName1 `
    -State disabled

Azure-Befehlszeilenschnittstelle

Rufen Sie zum Deaktivieren eines Verschlüsselungsbereichs mit der Azure CLI den Befehl az storage account encryption-scope update auf, und fügen Sie den Parameter --state mit dem Wert Disabled ein, wie im folgenden Beispiel gezeigt. Wenn Sie einen Verschlüsselungsbereich wieder aktivieren möchten, rufen Sie den gleichen Befehl auf. Legen Sie dabei den Parameter --state auf Enabled fest. Denken Sie daran, die Platzhalterwerte in diesem Beispiel durch Ihre eigenen Werte zu ersetzen:

az storage account encryption-scope update \
    --account-name <storage-account> \
    --resource-group <resource-group> \
    --name <encryption-scope> \
    --state Disabled

Wichtig

Das Löschen eines Verschlüsselungsbereichs ist nicht möglich. Achten Sie darauf, alle derzeit nicht benötigten Verschlüsselungsbereiche zu deaktivieren, um unerwartete Kosten zu vermeiden.

Nächste Schritte

• Azure Storage encryption for data at rest (Azure Storage-Verschlüsselung für ruhende Daten)
• Verschlüsselungsbereiche für Blobspeicher
• Kundenseitig verwaltete Schlüssel für die Azure Storage-Verschlüsselung
• Aktivieren von Infrastruktur-Verschlüsselung für Mehrfachverschlüsselung von Daten