Konfigurieren von mandantenübergreifenden kundenseitig verwalteten Schlüsseln für ein vorhandenes Speicherkonto (Vorschau)

Azure Storage verschlüsselt alle Daten in einem ruhenden Speicherkonto. Standardmäßig werden Daten mit von Microsoft verwalteten Schlüsseln verschlüsselt. Um zusätzliche Kontrolle über die Verschlüsselungsschlüssel zu erhalten, können Sie eigene Schlüssel verwalten. Kundenseitig verwaltete Schlüssel müssen in Azure Key Vault oder in einem von Azure Key Vault verwalteten Hardware Security Model (HSM) gespeichert werden.

In diesem Artikel wird erklärt, wie Sie die Verschlüsselung mit kundenseitig verwalteten Schlüsseln für ein vorhandenes Speicherkonto konfigurieren. Im mandantenübergreifenden Szenario befindet sich das Speicherkonto in einem von einem ISV verwalteten Mandanten, während sich der Schlüssel zur Verschlüsselung dieses Kontos in einem Schlüsseltresor in einem Mandanten befindet, der vom Kunden verwaltet wird.

Informationen zum Konfigurieren von kundenseitig verwalteten Schlüsseln für ein neues Speicherkonto finden Sie unter Konfigurieren von mandantenübergreifenden kundenseitig verwalteten Schlüsseln für ein neues Speicherkonto (Vorschau).

Informationen zur Vorschau

Um die Vorschau verwenden zu können, müssen Sie sich im Mandanten des ISV für das Azure Active Directory-Verbundclient-ID-Feature registrieren. Führen Sie die folgenden Anleitungen aus, um sich über die PowerShell oder die Azure-Befehlszeilenschnittstelle (Azure CLI) zu registrieren:

Rufen Sie für die Registrierung mit PowerShell den Befehl Register-AzProviderFeature auf.

Register-AzProviderFeature -ProviderNamespace Microsoft.Storage `
 -FeatureName FederatedClientIdentity

Um den Status Ihrer Registrierung mit PowerShell zu überprüfen, rufen Sie den Befehl Get-AzProviderFeature auf.

Get-AzProviderFeature -ProviderNamespace Microsoft.Storage `
 -FeatureName FederatedClientIdentity

Nachdem Ihre Registrierung genehmigt wurde, müssen Sie den Azure Storage-Ressourcenanbieter erneut registrieren. Um den Ressourcenanbieter über PowerShell erneut zu registrieren, rufen Sie den Befehl Register-AzResourceProvider auf.

Register-AzResourceProvider -ProviderNamespace 'Microsoft.Storage'

Wichtig

Die Verwendung von mandantenübergreifenden kundenseitig verwalteten Schlüsseln mit Azure Storage-Verschlüsselung befindet sich zurzeit in der VORSCHAU. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten rechtliche Bedingungen. Sie gelten für diejenigen Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder aber anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Informationen zu mandantenübergreifenden kundenseitig verwalteten Schlüsseln

Viele Dienstanbieter, die Software as a Service (SaaS)-Angebote auf Azure erstellen, möchten ihren Kunden die Möglichkeit bieten, ihre eigenen Verschlüsselungsschlüssel zu verwalten. Kundenseitig verwaltete Schlüssel ermöglichen es einem Dienstanbieter, die Daten seines Kunden mithilfe eines Verschlüsselungsschlüssels zu verschlüsseln, der von diesem Kunden verwaltet wird und auf den der Dienstanbieter nicht zugreifen kann. In Azure kann der Kunde des Dienstanbieters seine Verschlüsselungsschlüssel mithilfe von Azure Key Vault in seinem eigenen Azure AD-Mandanten und -Abonnement verwalten.

Azure-Plattformdienste und -ressourcen, die dem Dienstanbieter gehören und sich in seinem Mandanten befinden, benötigen Zugriff auf den Schlüssel vom Mandanten des Kunden, um die Verschlüsselungs-/Entschlüsselungsvorgänge durchführen zu können.

Die folgende Abbildung zeigt eine Verschlüsselung ruhender Daten mit Verbundidentität in einem mandantenübergreifenden CMK-Workflow, der einen Dienstanbieter und seinen Kunden umfasst.

Screenshot: Mandantenübergreifender CMK-Workflow mit Verbundidentität

Das Beispiel oben enthält zwei Azure AD-Mandanten: den Mandanten eines unabhängigen Dienstanbieters (Tenant1) und den Mandanten eines Kunden (Tenant2). Mandant1 hostet Azure-Plattformdienste, und Mandant2 hostet den Schlüsseltresor des Kunden.

Vom Dienstanbieter wird eine Registrierung für eine mehrinstanzenfähige Anwendung in Tenant1 erstellt. Mithilfe einer benutzerseitig zugewiesenen verwalteten Identität werden Verbundidentitätsinformationen für diese Anwendung erstellt. Anschließend werden der Name und die Anwendungs-ID der App für den Kunden freigegeben.

Ein Benutzer mit den entsprechenden Berechtigungen installiert die Anwendung des Dienstanbieters im Kundenmandanten, Mandant2. Anschließend gewährt ein Benutzer dem der installierten Anwendung zugeordneten Dienstprinzipal Zugriff auf den Schlüsseltresor des Kunden. Der Kunde speichert auch den Verschlüsselungsschlüssel, oder kundenseitig verwalteten Schlüssel, im Schlüsseltresor. Der Kunde gibt den Schlüsselspeicherort (die URL des Schlüssels) für den Dienstanbieter frei.

Der Dienstanbieter hat jetzt Folgendes:

  • Eine Anwendungs-ID für eine mehrinstanzenfähige Anwendung, die im Mandanten des Kunden installiert wurde, dem Zugriff auf den kundenseitig verwalteten Schlüssel gewährt wurde.
  • Eine verwaltete Identität, die als Anmeldeinformation für die mehrinstanzenfähige Anwendung konfiguriert wurde.
  • Den Speicherort des Schlüssels im Schlüsseltresor des Kunden.

Mit diesen drei Parametern stellt der Dienstanbieter Azure-Ressourcen in Mandant1 bereit, die mit dem kundenseitig verwalteten Schlüssel in Mandant2 verschlüsselt werden können.

Jetzt unterteilen wir die vorstehende End-to-End-Lösung in drei Phasen:

  1. Der Dienstanbieter konfiguriert Identitäten.
  2. Der Kunde gewährt der mandantenübergreifenden App des Dienstanbieters Zugriff auf einen Verschlüsselungsschlüssel in Azure Key Vault.
  3. Der Dienstanbieter verschlüsselt Daten in einer Azure-Ressource mithilfe des kundenseitig verwalteten Schlüssels.

Vorgänge in Phase 1 wären ein einmaliges Setup für die meisten Dienstanbieteranwendungen. Vorgänge in den Phasen 2 und 3 würden für jeden Kunden wiederholt.

Phase 1 – Der Dienstanbieter konfiguriert eine Azure AD-Anwendung

Schritt BESCHREIBUNG Minimale Rolle in Azure RBAC (Role-Based Access Control, rollenbasierte Zugriffssteuerung) Minimale Rolle in Azure AD RBAC
1. Erstellen Sie eine neue Registrierung für die mehrinstanzenfähige Azure AD-Anwendung, oder beginnen Sie mit einer vorhandenen Anwendungsregistrierung. Beachten Sie die Anwendungs-ID (Client-ID) der Anwendungsregistrierung über das Azure-Portal, die Microsoft Graph-API, Azure PowerShell oder Azure CLI. Keine Anwendungsentwickler
2. Erstellen Sie eine benutzerseitig zugewiesene verwaltete Identität (zur Verwendung als Verbundidentitätsanmeldeinformationen).
Azure-Portal / Azure CLI / Azure PowerShell/ Azure Resource Manager-Vorlagen
Mitwirkender für verwaltete Identität Keine
3. Konfigurieren Sie die benutzerseitig zugewiesene verwaltete Identität als Verbundidentitätsinformationen für die Anwendung, damit sie die Identität der Anwendung wechseln kann.
Graph-API-Referenz/ Azure-Portal/ Azure CLI/ Azure PowerShell
Keine Besitzer der Anwendung
4. Geben Sie den Anwendungsnamen und die Anwendungs-ID für den Kunden frei, damit er die Anwendung installieren und autorisieren kann. Keine Keine

Überlegungen für Dienstanbieter

  • Azure Resource Manager (ARM)-Vorlagen werden für das Erstellen von Azure AD-Anwendungen nicht empfohlen.
  • Dieselbe mehrinstanzenfähige Anwendung kann für den Zugriff auf Schlüssel in einer beliebigen Anzahl von Mandanten verwendet werden, z. B. Mandant2, Mandant3, Mandant4 usw. In jedem Mandanten wird eine unabhängige Instanz der Anwendung erstellt, die dieselbe Anwendungs-ID, aber eine andere Objekt-ID, enthält. Jede Instanz dieser Anwendung wird somit unabhängig autorisiert. Berücksichtigen Sie, wie das für dieses Feature verwendete Anwendungsobjekt verwendet wird, um Ihre Anwendung für alle Kunden zu partitionieren.
  • Im Mandanten des Dienstanbieters kann die Herausgeberüberprüfung nicht automatisiert werden.

Phase 2 – Der Kunde autorisiert den Zugriff auf den Schlüsseltresor

Schritt BESCHREIBUNG Azure RBAC-Rollen mit den geringstmöglichen Berechtigungen Azure AD-Rollen mit den geringstmöglichen Berechtigungen
1.
  • Empfohlen: Senden Sie dies dem Benutzer zum Anmelden bei Ihrer App. Wenn der Benutzer sich anmelden kann, gibt es in seinem Mandanten einen Dienstprinzipal für Ihre App.
  • Verwenden Sie Microsoft Graph, Microsoft Graph PowerShell, Azure PowerShell oder Azure CLI zum Erstellen des Dienstprinzipals.
  • Erstellen Sie eine Administrator-Zustimmungs-URL und erteilen Sie mithilfe der Anwendungs-ID mandantenweite Zustimmung zum Erstellen des Dienstprinzipals.
  • Keine Benutzer mit Berechtigungen zum Installieren von Anwendungen
    2. Erstellen Sie einen Azure Key Vault und einen Schlüssel, der als kundenseitig verwalteter Schlüssel verwendet wird. Ein Benutzer muss der Rolle Key Vault-Mitwirkender zugewiesen werden, um den Schlüsseltresor erstellen zu können.

    Ein Benutzer muss der Rolle Key Vault-Kryptografiebeauftragter zugewiesen werden, um dem Schlüsseltresor einen Schlüssel hinzufügen zu können.
    Keine
    3. Gewähren des Zugriffs auf die genehmigte Anwendungsidentität für den Azure-Schlüsseltresor durch Zuweisen der Rolle Kryptografiedienstverschlüsselung für Schlüsseltresore Um der Anwendung die Rolle Kryptografiedienstverschlüsselung für Schlüsseltresore zuweisen zu können, müssen Sie der Rolle Benutzerzugriffsadministrator zugewiesen worden sein. Keine
    4. Kopieren Sie die Schlüsseltresor-URL und den Schlüsselnamen in die Konfiguration von kundenseitig verwalteten Schlüsseln des SaaS-Angebots. Keine Keine

    Überlegungen für Kunden von Dienstanbietern

    • Im Kundenmandanten, Mandant2, kann ein Administrator Richtlinien festlegen, damit Nicht-Administratorbenutzer Anwendungen nicht installieren können. Diese Richtlinien können verhindern, dass Nicht-Administratorbenutzer Dienstprinzipale erstellen. Wenn eine solche Richtlinie konfiguriert ist, müssen Benutzer mit Berechtigungen zum Erstellen von Dienstprinzipalen einbezogen werden.
    • Der Zugriff auf Azure Key Vault kann mithilfe von Azure RBAC oder Zugriffsrichtlinien autorisiert werden. Stellen Sie beim Gewähren des Zugriffs auf einen Schlüsseltresor sicher, dass Sie den aktiven Mechanismus für Ihren Schlüsseltresor verwenden.
    • Eine Azure AD-Anwendungsregistrierung hat eine Anwendungs-ID (Client-ID). Wenn die Anwendung in Ihrem Mandanten installiert ist, wird ein Dienstprinzipal erstellt. Der Dienstprinzipal gibt dieselbe Anwendungs-ID als App-Registrierung frei, generiert aber seine eigene Objekt-ID. Wenn Sie die Anwendung autorisieren, auf Ressourcen zuzugreifen, müssen Sie möglicherweise den Dienstprinzipal Name oder die Eigenschaft ObjectID verwenden.

    Phase 3: Der Dienstanbieter verschlüsselt Daten in einer Azure-Ressource mithilfe des kundenseitig verwalteten Schlüssels.

    Nachdem Phase 1 und 2 abgeschlossen sind, kann der Dienstanbieter eine Verschlüsselung für die Azure-Ressource mit dem Schlüssel und Schlüsseltresor im Mandanten des Kunden und der Azure-Ressource im Mandanten des ISV konfigurieren. Der Dienstanbieter kann mandantenübergreifende kundenseitig verwaltete Schlüssel mit den von dieser Azure-Ressource unterstützten Client-Tools, mit einer ARM-Vorlage oder mit der REST-API konfigurieren.

    Konfigurieren von mandantenübergreifenden kundenseitig verwalteten Schlüsseln

    In diesem Abschnitt wird beschrieben, wie Sie einen mandantenübergreifenden kundenseitig verwalteten Schlüssel (Customer-Managed Key, CMK) konfigurieren und Kundendaten verschlüsseln. Sie erfahren, wie Sie Kundendaten in einer Ressource in Mandant1 mit einem CMK verschlüsseln, der in einem Schlüsseltresor in Mandant2 gespeichert ist. Hierfür können Sie das Azure-Portal, Azure PowerShell oder die Azure-Befehlszeilenschnittstelle (Azure CLI) verwenden.

    Melden Sie sich beim Azure-Portal an, und führen Sie die folgenden Schritte aus.

    Der Dienstanbieter konfiguriert Identitäten

    Die folgenden Schritte werden vom Dienstanbieter im Mandanten Mandant1 des Dienstanbieters ausgeführt.

    Der Dienstanbieter erstellt eine Registrierung für eine mehrinstanzenfähige Anwendung

    Sie können entweder eine neue Registrierung für die mehrinstanzenfähige Azure AD-Anwendung erstellen oder mit einer vorhandenen Registrierung einer mehrinstanzenfähigen Anwendung beginnen. Wenn Sie mit einer vorhandenen Anwendungsregistrierung beginnen, beachten Sie die Anwendungs-ID (Client-ID) der Anwendung.

    So erstellen Sie eine neue Registrierung:

    1. Suchen Sie im Suchfeld nach Azure Active Directory. Suchen Sie die Erweiterung Azure Active Directory, und wählen Sie sie aus.

    2. Wählen Sie im linken Bereich Verwalten > App-Registrierungen aus.

    3. Wählen Sie + Neue Registrierung aus.

    4. Geben Sie den Namen für die Anwendungsregistrierung an, und wählen Sie Konto in einem beliebigen Organisationsverzeichnis (Beliebiges Azure AD-Verzeichnis – Mehrinstanzenfähig) aus.

    5. Wählen Sie Registrieren.

    6. Beachten Sie die ApplicationId/ClientId der Anwendung.

      Screenshot, der zeigt, wie eine neue Registrierung für eine mehrinstanzenfähige Anwendung erstellt wird.

    Der Dienstanbieter erstellt eine benutzerseitig zugewiesene verwaltete Identität

    Erstellen Sie eine benutzerseitig zugewiesene verwaltete Identität, die als Verbundidentitätsanmeldeinformationen verwendet werden soll.

    1. Suchen Sie im Suchfeld nach Verwaltete Identitäten. Suchen Sie die Erweiterung Verwaltete Identitäten, und wählen Sie sie aus.

    2. Wählen Sie + Erstellen aus.

    3. Geben Sie die Ressourcengruppe, die Region und den Namen für die verwaltete Identität an.

    4. Klicken Sie auf Überprüfen + erstellen.

    5. Beachten Sie bei erfolgreicher Bereitstellung die Azure Ressourcen-ID der benutzerseitig zugewiesenen verwalteten Identität, die unter Eigenschaften verfügbar ist. Beispiel:

      /subscriptions/tttttttt-0000-tttt-0000-tttt0000tttt/resourcegroups/XTCMKDemo/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ConsotoCMKDemoUA

      Screenshot, der zeigt, wie eine Ressourcengruppe und eine benutzerseitig zugewiesene verwaltete Identität erstellt wird.

    Der Dienstanbieter konfiguriert die benutzerseitig zugewiesene verwaltete Identität als Verbundanmeldeinformationen für die Anwendung

    Konfigurieren Sie eine benutzerseitig zugewiesene verwaltete Identität als Verbundidentitätsinformationen für die Anwendung, damit sie die Identität der Anwendung wechseln kann.

    1. Navigieren Sie zu Azure Active Directory > App-Registrierungen > Ihre Anwendung.

    2. Wählen Sie Zertifikate und Geheimnisse aus.

    3. Wählen Sie Verbundanmeldeinformationen aus.

      Screenshot, der zeigt, wie zu „Zertifikat und Geheimnisse“ navigiert wird.

    4. Wählen Sie + Anmeldeinformationen hinzufügen aus.

    5. Wählen Sie unter dem Szenario „Verbundanmeldeinformationen“ die Option Kundenseitig verwaltete Schlüssel aus.

    6. Klicken Sie auf Verwaltete Identität auswählen. Wählen Sie im Bereich das Abonnement aus. Wählen Sie unter Verwaltete Identität die Option Benutzerseitig zugewiesene verwaltete Identität aus. Suchen Sie im Feld Auswählen nach der zuvor erstellten verwalteten Identität, und klicken Sie unten im Bereich auf Auswählen.

      Screenshot, der zeigt, wie eine verwaltete Identität ausgewählt wird.

    7. Geben Sie unter Details zu Anmeldeinformationen einen Namen und eine optionale Beschreibung für die Anmeldeinformationen an, und wählen Sie Hinzufügen aus.

      Screenshot, der zeigt, wie Anmeldeinformationen hinzugefügt werden.

    Der Dienstanbieter gibt die Anwendungs-ID für den Kunden frei

    Suchen Sie die Anwendungs-ID (Client-ID) der mehrinstanzenfähigen Anwendung, und geben Sie sie für den/die Kunden frei. In diesem Beispiel ist dies „appId“.

    Der Kunde gewährt der App des Dienstanbieters Zugriff auf den Schlüssel im Schlüsseltresor

    Die folgenden Schritte werden vom Kunden in seinem Mandanten, Mandant2, ausgeführt. Der Kunde kann das Azure-Portal, Azure PowerShell oder die Azure-Befehlszeilenschnittstelle (Azure CLI) verwenden.

    Der Benutzer, der die Schritte ausführt, muss ein Administrator mit einer privilegierten Rolle sein, z. B. Anwendungsadministrator, Cloudanwendungsadministrator oder Globaler Administrator.

    Melden Sie sich beim Azure-Portal an, und führen Sie die folgenden Schritte aus.

    Der Kunde installiert die Dienstanbieteranwendung im Kundenmandanten

    Zum Installieren der registrierten Anwendung des Dienstanbieters im Mandanten des Kunden erstellen Sie einen Dienstprinzipal mit der Anwendungs-ID aus der registrierten App. Sie können den Dienstprinzipal auf eine der folgenden Arten erstellen:

    Der Kunde erstellt einen Schlüsseltresor

    Zum Erstellen des Schlüsseltresors muss dem Konto des Benutzers die Rolle Key Vault-Mitwirkender oder eine andere Rolle zugewiesen werden, die die Erstellung eines Schlüsseltresors erlaubt.

    1. Wählen Sie im Menü des Azure-Portals oder auf der Startseite die Option + Ressource erstellen aus. Geben Sie im Suchfeld den Begriff Schlüsseltresore ein. Wählen Sie in der Ergebnisliste den Eintrag Schlüsseltresore aus. Wählen Sie auf der Seite Schlüsseltresore die Option Erstellen aus.

    2. Wählen Sie auf der Registerkarte Grundlagen ein Abonnement aus. Wählen Sie unter Ressourcengruppe die Option Neu erstellen aus, und geben Sie einen Namen für die Ressourcengruppe ein.

    3. Geben Sie einen eindeutigen Namen für den Schlüsseltresor ein.

    4. Wählen Sie eine Region und einen Tarif aus.

    5. Aktivieren Sie den Löschschutz für den neuen Schlüsseltresor.

    6. Wählen Sie auf der Registerkarte Zugriffsrichtlinie für das Berechtigungsmodell die Option Rollenbasierte Zugriffssteuerung in Azure aus.

    7. Wählen Sie Überprüfen + erstellen und danach Erstellen aus.

      Screenshot, der zeigt, wie ein Schlüsseltresor erstellt wird.

    Notieren Sie sich den Tresornamen und den Tresor-URI. Anwendungen, die auf Ihren Schlüsseltresor zugreifen, müssen diesen URI verwenden.

    Weitere Informationen finden Sie unter Schnellstart – Erstellen einer Azure Key Vault-Instanz über das Azure-Portal.

    Der Kunde weist einem Benutzerkonto die Rolle „Key Vault-Kryptografiebeauftragter“ zu.

    Mit diesem Schritt wird sichergestellt, dass Sie Verschlüsselungsschlüssel erstellen können.

    1. Navigieren Sie zu Ihrem Schlüsseltresor, und wählen Sie im linken Bereich Access Control (IAM) aus.
    2. Wählen Sie unter Zugriff auf diese Gruppe gewähren die Option Rollenzuweisung hinzufügen aus.
    3. Suchen Sie nach der Rolle Key Vault-Kryptografiebeauftragter, und wählen Sie sie aus.
    4. Wählen Sie unter Mitglieder die Option Benutzer, Gruppe oder Dienstprinzipal aus.
    5. Wählen Sie Mitglieder aus, und suchen Sie nach Ihrem Benutzerkonto.
    6. Wählen Sie Überprüfen und zuweisen aus.

    Der Kunde erstellt einen Verschlüsselungsschlüssel

    Zum Erstellen des Verschlüsselungsschlüssels muss dem Konto des Benutzers die Rolle Key Vault-Kryptografiebeauftragter oder eine andere Rolle zugewiesen werden, die die Erstellung eines Schlüssels erlaubt.

    1. Wählen Sie auf der Seite „Key Vault-Eigenschaften“ die Option Schlüssel aus.
    2. Wählen Sie die Option Generieren/Importieren aus.
    3. Wählen Sie auf dem Bildschirm Schlüssel erstellen die folgenden Werte aus. Behalten Sie bei den anderen Optionen die Standardwerte bei.
      • Optionen: Generieren
      • Name: mycmkkey
    4. Klicken Sie auf Erstellen.
    5. Kopieren Sie den Schlüssel-URI.

    Der Kunde gewährt der Dienstanbieteranwendung Zugriff auf den Schlüsseltresor

    Weisen Sie die Azure RBAC-Rolle Kryptografiedienstverschlüsselung für Schlüsseltresore der registrierten Anwendung des Dienstanbieters zu, damit sie auf den Schlüsseltresor zugreifen kann.

    1. Navigieren Sie zu Ihrem Schlüsseltresor, und wählen Sie im linken Bereich Access Control (IAM) aus.
    2. Wählen Sie unter Zugriff auf diese Gruppe gewähren die Option Rollenzuweisung hinzufügen aus.
    3. Suchen Sie nach der Option Kryptografiedienstverschlüsselung für Schlüsseltresore, und wählen Sie sie aus.
    4. Wählen Sie unter Mitglieder die Option Benutzer, Gruppe oder Dienstprinzipal aus.
    5. Wählen Sie Mitglieder aus, und suchen Sie nach dem Namen der Anwendung, die Sie aus dem Dienstanbieter installiert haben.
    6. Wählen Sie Überprüfen und zuweisen aus.

    Jetzt können Sie kundenseitig verwaltete Schlüssel mit dem Schlüsseltresor-URI und dem Schlüssel konfigurieren.

    Konfigurieren von kundenseitig verwalteten Schlüsseln für ein vorhandenes Konto

    Bis zu diesem Punkt haben Sie die mehrinstanzenfähige Anwendung im Mandanten des ISVs konfiguriert, die Anwendung im Mandanten des Kunden installiert sowie den Schlüsseltresor und den Schlüssel im Mandanten des Kunden konfiguriert. Als Nächstes können Sie kundenseitig verwaltete Schlüssel für ein vorhandenes Speicherkonto mit dem Schlüssel aus dem Mandanten des Kunden konfigurieren.

    Die Beispiele in diesem Artikel zeigen, wie kundenseitig verwaltete Schlüssel für ein vorhandenes Speicherkonto mithilfe einer benutzerseitig zugewiesenen verwalteten Identität konfiguriert werden, um den Zugriff auf den Schlüsseltresor zu autorisieren. Sie können auch mithilfe einer systemseitig zugewiesenen verwalteten Identität kundenseitig verwaltete Schlüssel für ein vorhandenes Speicherkonto konfigurieren. In beiden Fällen muss die verwaltete Identität entsprechende Berechtigungen für den Zugriff auf den Schlüsseltresor haben. Weitere Informationen finden Sie auf der Seite Authentifizieren bei Azure Key Vault.

    Beim Konfigurieren der Verschlüsselung mit kundenseitig verwalteten Schlüsseln für ein vorhandenes Speicherkonto können Sie festlegen, dass die für die Azure Storage-Verschlüsselung verwendete Schlüsselversion automatisch aktualisiert wird, wenn im zugeordneten Schlüsseltresor eine neue Version verfügbar ist. Lassen Sie dazu die Schlüsselversion im Schlüssel-URI weg. Alternativ können Sie explizit eine Schlüsselversion angeben, die für die Verschlüsselung verwendet werden soll, bis die Schlüsselversion manuell aktualisiert wird. Durch Einbeziehen der Schlüsselversion für den Schlüssel-URI werden kundenseitig verwaltete Schlüssel für manuelle Aktualisierung der Schlüsselversion konfiguriert.

    Wichtig

    Um einen Schlüssel zu drehen, erstellen Sie eine neue Version des Schlüssels in Azure Key Vault. Azure Storage behandelt die Schlüsseldrehung nicht, somit müssen Sie die Drehung des Schlüssels im Schlüsseltresor verwalten. Sie können die automatische Drehung von Schlüsseln in Azure Key Vault konfigurieren oder den Schlüssel manuell drehen.

    Azure Storage überprüft den Schlüsseltresor nur einmal täglich auf eine neue Schlüsselversion. Wenn Sie einen Schlüssel in Azure Key Vault drehen (rotieren), warten Sie 24 Stunden, bevor Sie die ältere Version deaktivieren.

    Führen Sie zum Konfigurieren der mandantenübergreifenden kundenseitig verwalteten Schlüssel für ein vorhandenes Speicherkonto im Azure-Portal die folgenden Schritte aus:

    1. Navigieren Sie zum Speicherkonto.

    2. Wählen Sie auf dem Blatt Einstellungen für das Speicherkonto die Option Verschlüsselung aus. Standardmäßig ist die Schlüsselverwaltung auf Von Microsoft verwaltete Schlüssel festgelegt, wie in der folgenden Abbildung gezeigt wird.

      Screenshot der Verschlüsselungsoptionen im Azure-Portal.

    3. Wählen Sie die Option Kundenseitig verwaltete Schlüssel aus.

    4. Wählen Sie die Option Select from Key Vault (Aus Schlüsseltresor wählen).

    5. Wählen Sie Schlüssel-URI eingeben aus, und geben Sie den Schlüssel-URI an. Lassen Sie die Schlüsselversion aus dem URI weg, wenn Azure Storage automatisch auf eine neue Schlüsselversion überprüfen und sie aktualisieren soll.

    6. Wählen Sie das Abonnement aus, das den Schlüsseltresor und Schlüssel enthält.

    7. Wählen Sie im Feld Identitätstyp die Option Benutzerseitig zugewiesen aus, und geben Sie dann die verwaltete Identität mit den zuvor erstellten Verbundidentitätsanmeldeinformationen an.

    8. Erweitern Sie den Abschnitt Erweitert, und wählen Sie die registrierte mehrinstanzenfähige Anwendung aus, die Sie zuvor im Mandanten des ISVs erstellt haben.

      Screenshot der Konfiguration mandantenübergreifender kundenseitig verwalteter Schlüssel für ein vorhandenes Speicherkonto im Azure-Portal.

    9. Speichern Sie die Änderungen.

    Nachdem Sie den Schlüssel aus dem Schlüsseltresor im Mandanten des Kunden angegeben haben, zeigt das Azure-Portal, dass kundenseitig verwaltete Schlüssel mit diesem Schlüssel konfiguriert wurden. Außerdem zeigt es, dass die automatische Aktualisierung der Schlüsselversion aktiviert ist, und die Schlüsselversion, die zurzeit für die Verschlüsselung verwendet wird. Im Portal werden auch der Typ der verwalteten Identität, mit der der Zugriff auf den Schlüsseltresor autorisiert wird, die Prinzipal-ID für die verwaltete Identität und die Anwendungs-ID der mehrinstanzenfähigen Anwendung angezeigt.

    Screenshot der Konfiguration des mandantenübergreifenden kundenseitig verwalteten Schlüssels.

    Ändern des Schlüssels

    Sie können den Schlüssel, den Sie für die Azure Storage-Verschlüsselung verwenden, jederzeit ändern.

    Führen Sie die folgenden Schritte aus, um den Schlüssel im Azure-Portal zu ändern:

    1. Navigieren Sie zu Ihrem Speicherkonto, und zeigen Sie die Einstellungen zur Verschlüsselung an.
    2. Wählen Sie den Schlüsseltresor und dann einen neuen Schlüssel aus.
    3. Speichern Sie die Änderungen.

    Widerrufen von kundenseitig verwalteten Schlüsseln

    Wenn Sie einen kundenseitig verwalteten Schlüssel widerrufen, wird die Zuordnung zwischen dem Speicherkonto und dem Schlüsseltresor entfernt.

    Um kundenseitig verwaltete Schlüssel über das Azure-Portal zu widerrufen, deaktivieren Sie den Schlüssel, wie unter Deaktivieren der vom Kunden verwalteten Schlüssel beschrieben.

    Deaktivieren von vom Kunden verwalteten Schlüsseln

    Wenn Sie kundenseitig verwaltete Schlüssel deaktivieren, wird Ihr Speicherkonto wieder mit von Microsoft verwalteten Schlüsseln verschlüsselt.

    Um kundenseitig verwaltete Schlüssel im Azure-Portal zu deaktivieren, gehen Sie folgendermaßen vor:

    1. Navigieren Sie zu Ihrem Speicherkonto, und zeigen Sie die Einstellungen zur Verschlüsselung an.
    2. Deaktivieren Sie das Kontrollkästchen neben der Einstellung Eigenen Schlüssel verwenden.

    Weitere Informationen