Konfigurieren von mandantenübergreifenden kundenseitig verwalteten Schlüsseln für ein neues Speicherkonto

Azure Storage verschlüsselt alle Daten in einem ruhenden Speicherkonto. Standardmäßig werden Daten mit von Microsoft verwalteten Schlüsseln verschlüsselt. Um zusätzliche Kontrolle über die Verschlüsselungsschlüssel zu erhalten, können Sie eigene Schlüssel verwalten. Kundenseitig verwaltete Schlüssel müssen in Azure Key Vault oder in einem von Azure Key Vault verwalteten Hardware Security Model (HSM) gespeichert werden.

In diesem Artikel erfahren Sie, wie Sie die Verschlüsselung mit kundenseitig verwalteten Schlüsseln konfigurieren, wenn Sie ein neues Speicherkontos erstellen. Im mandantenübergreifenden Szenario befindet sich das Speicherkonto in einem von einem ISV verwalteten Mandanten, während sich der Schlüssel zur Verschlüsselung dieses Kontos in einem Schlüsseltresor in einem Mandanten befindet, der vom Kunden verwaltet wird.

Informationen zum Konfigurieren von kundenseitig verwalteten Schlüsseln für ein vorhandenes Speicherkonto finden Sie unter Konfigurieren von mandantenübergreifenden kundenseitig verwalteten Schlüsseln für ein vorhandenes Speicherkonto.

Hinweis

Azure Key Vault und über Azure Key Vault verwaltete HSMs unterstützen dieselben APIs und Verwaltungsschnittstellen für die Konfiguration kundenseitig verwalteter Schlüssel. Jede Aktion, die für Azure Key Vault unterstützt wird, wird auch für ein über Azure Key Vault verwaltetes HSM unterstützt.

Informationen zu mandantenübergreifenden kundenseitig verwalteten Schlüsseln

Viele Dienstanbieter, die Software as a Service (SaaS)-Angebote auf Azure erstellen, möchten ihren Kunden die Möglichkeit bieten, ihre eigenen Verschlüsselungsschlüssel zu verwalten. Kundenseitig verwaltete Schlüssel ermöglichen es einem Dienstanbieter, die Daten seines Kunden mithilfe eines Verschlüsselungsschlüssels zu verschlüsseln, der von diesem Kunden verwaltet wird und auf den der Dienstanbieter nicht zugreifen kann. In Azure können Kund*innen von Dienstanbietern ihre Verschlüsselungsschlüssel mithilfe von Azure Key Vault in ihren eigenen Microsoft Entra-Mandanten und -Abonnements verwalten.

Azure-Plattformdienste und -ressourcen, die dem Dienstanbieter gehören und sich in seinem Mandanten befinden, benötigen Zugriff auf den Schlüssel vom Mandanten des Kunden, um die Verschlüsselungs-/Entschlüsselungsvorgänge durchführen zu können.

Die folgende Abbildung zeigt eine Verschlüsselung ruhender Daten mit Verbundidentität in einem mandantenübergreifenden CMK-Workflow, der einen Dienstanbieter und seinen Kunden umfasst.

Im obigen Beispiel gibt es zwei Microsoft Entra-Mandanten: den Mandanten eines unabhängigen Dienstanbieters (Mandant 1) und den Kundenmandanten (Mandant 2). Mandant 1 hostet Azure-Plattformdienste und Mandant 2 hostet den Schlüsseltresor des Kunden.

Eine mehrmandantenfähige Anwendungsregistrierung wird durch den Dienstanbieter in Mandant 1 erstellt. Mithilfe einer benutzerseitig zugewiesenen verwalteten Identität werden Verbundidentitätsinformationen für diese Anwendung erstellt. Anschließend werden der Name und die Anwendungs-ID der App für den Kunden freigegeben.

Ein Benutzer mit den entsprechenden Rechten installiert die Anwendung des Dienstanbieters im Mandanten des Kunden, Mandant 2. Anschließend gewährt ein Benutzer dem der installierten Anwendung zugeordneten Dienstprinzipal Zugriff auf den Schlüsseltresor des Kunden. Der Kunde speichert auch den Verschlüsselungsschlüssel, oder kundenseitig verwalteten Schlüssel, im Schlüsseltresor. Der Kunde gibt den Schlüsselspeicherort (die URL des Schlüssels) für den Dienstanbieter frei.

Der Dienstanbieter hat jetzt Folgendes:

• Eine Anwendungs-ID für eine mehrmandantenfähige Anwendung, die im Mandanten von Kund*innen installiert ist und der Zugriff auf den vom Kunden verwalteten Schlüssel gewährt wurde.
• Eine verwaltete Identität, die als Berechtigungsnachweis für die mehrmandantenfähige Anwendung konfiguriert ist.
• Den Speicherort des Schlüssels im Schlüsseltresor des Kunden.

Mit diesen drei Parametern stellt der Dienstanbieter Azure-Ressourcen in Mandant 1 bereit, die mit dem kundenseitig verwalteten Schlüssel in Mandant 2 verschlüsselt werden können.

Jetzt unterteilen wir die vorstehende End-to-End-Lösung in drei Phasen:

1. Der Dienstanbieter konfiguriert Identitäten.
2. Der Kunde gewährt der mehrmandantenfähigen App des Dienstanbieters Zugriff auf einen Verschlüsselungsschlüssel in Azure Key Vault.
3. Der Dienstanbieter verschlüsselt Daten in einer Azure-Ressource mithilfe des kundenseitig verwalteten Schlüssels.

Vorgänge in Phase 1 wären ein einmaliges Setup für die meisten Dienstanbieteranwendungen. Vorgänge in den Phasen 2 und 3 würden für jeden Kunden wiederholt.

Phase 1: Der Dienstanbieter konfiguriert eine Microsoft Entra-Anwendung.

Schritt	BESCHREIBUNG	Minimale Rolle in Azure RBAC (Role-Based Access Control, rollenbasierte Zugriffssteuerung)	Minimale Rolle in Microsoft Entra RBAC
1.	Erstellen Sie eine neue mehrmandantenfähige Microsoft Entra-Anwendungsregistrierung oder beginnen Sie mit einer bestehenden Anwendungsregistrierung. Beachten Sie die Anwendungs-ID (Client-ID) der Anwendungsregistrierung über das Azure-Portal, die Microsoft Graph-API, Azure PowerShell oder Azure CLI.	Keine	Anwendungsentwickler
2.	Erstellen Sie eine benutzerseitig zugewiesene verwaltete Identität (zur Verwendung als Verbundidentitätsanmeldeinformationen). Azure-Portal / Azure CLI / Azure PowerShell/ Azure Resource Manager-Vorlagen	Mitwirkende*r für verwaltete Identität	None
3.	Konfigurieren Sie die benutzerseitig zugewiesene verwaltete Identität als Verbundidentitätsinformationen für die Anwendung, damit sie die Identität der Anwendung wechseln kann. Graph-API-Referenz/ Azure-Portal/ Azure CLI/ Azure PowerShell	Keine	Besitzer der Anwendung
4.	Geben Sie den Anwendungsnamen und die Anwendungs-ID für den Kunden frei, damit er die Anwendung installieren und autorisieren kann.	Keine	Keine

Überlegungen für Dienstanbieter

• Azure Ressource Manager (ARM)-Vorlagen werden für die Erstellung von Microsoft Entra-Anwendungen nicht empfohlen.
• Dieselbe mehrmandantenfähige Anwendung kann verwendet werden, um auf Schlüssel in einer beliebigen Anzahl von Mandanten zuzugreifen, wie z. B. Mandant 2, Mandant 3, Mandant 4 und so weiter. In jedem Mandanten wird eine unabhängige Instanz der Anwendung erstellt, die dieselbe Anwendungs-ID, aber eine andere Objekt-ID, enthält. Jede Instanz dieser Anwendung wird somit unabhängig autorisiert. Berücksichtigen Sie, wie das für dieses Feature verwendete Anwendungsobjekt verwendet wird, um Ihre Anwendung für alle Kunden zu partitionieren.
  • Die Anwendung kann über maximal 20 Anmeldeinformationen für Verbundidentitäten verfügen, sodass ein Dienstanbieter die Freigabe von Verbundidentitäten für seine Kunden vornehmen muss. Weitere Informationen zu Überlegungen und Einschränkungen beim Entwurf von Verbundidentitäten finden Sie unter Konfigurieren einer Vertrauensstellung zwischen einer App und einem externen Identitätsanbieter.
• In seltenen Fällen kann ein Dienstanbieter ein einziges Anwendungsobjekt pro Kund*in verwenden, was jedoch erhebliche Wartungskosten für die Verwaltung von Anwendungen in großem Umfang für alle Kund*innen erfordert.
• Es ist nicht möglich, die Herausgeberüberprüfung im Mandant des Dienstanbieters zu automatisieren.

Phase 2 – Der Kunde autorisiert den Zugriff auf den Schlüsseltresor

Schritt	BESCHREIBUNG	Azure RBAC-Rollen mit den geringstmöglichen Berechtigungen	Microsoft Entra-Rollen mit den geringsten Berechtigungen
1.	Empfohlen: Senden Sie dies dem Benutzer zum Anmelden bei Ihrer App. Wenn der Benutzer sich anmelden kann, gibt es in seinem Mandanten einen Dienstprinzipal für Ihre App. Verwenden Sie Microsoft Graph, Microsoft Graph PowerShell, Azure PowerShell oder Azure CLI zum Erstellen des Dienstprinzipals. Erstellen Sie eine Administrator-Zustimmungs-URL und erteilen Sie mithilfe der Anwendungs-ID mandantenweite Zustimmung zum Erstellen des Dienstprinzipals.	Keine	Benutzer mit Berechtigungen zum Installieren von Anwendungen
2.	Erstellen Sie einen Azure Key Vault und einen Schlüssel, der als kundenseitig verwalteter Schlüssel verwendet wird.	Ein Benutzer muss der Rolle Key Vault-Mitwirkender zugewiesen werden, um den Schlüsseltresor erstellen zu können. Ein Benutzer muss der Rolle Key Vault-Kryptografiebeauftragter zugewiesen werden, um dem Schlüsseltresor einen Schlüssel hinzufügen zu können.	Keine
3.	Gewähren des Zugriffs auf die genehmigte Anwendungsidentität für den Azure-Schlüsseltresor durch Zuweisen der Rolle Kryptografiedienstverschlüsselung für Schlüsseltresore	Um der Anwendung die Rolle Kryptografiedienstverschlüsselung für Schlüsseltresore zuweisen zu können, müssen Sie der Rolle Benutzerzugriffsadministrator zugewiesen worden sein.	Keine
4.	Kopieren Sie die Schlüsseltresor-URL und den Schlüsselnamen in die Konfiguration von kundenseitig verwalteten Schlüsseln des SaaS-Angebots.	Keine	Keine

Hinweis

Ein Beispiel für die Autorisierung des Zugriffs auf das verwaltete HSM zur Verschlüsselung mit CMK finden Sie hier. Weitere Informationen zum Verwalten von Schlüsseln mit verwaltetem HSM finden Sie unter Verwalten eines verwalteten HSM mithilfe der Azure CLI.

Überlegungen für Kunden von Dienstanbietern

• Im Kundenmandanten, Mandant 2, kann ein Administrator Richtlinien festlegen, damit Nicht-Administratorbenutzer Anwendungen nicht installieren können. Diese Richtlinien können verhindern, dass Nicht-Administratorbenutzer Dienstprinzipale erstellen. Wenn eine solche Richtlinie konfiguriert ist, müssen Benutzer*innen mit der Berechtigung zum Erstellen von Dienstprinzipalen beteiligt sein.
• Der Zugriff auf Azure Key Vault kann mithilfe von Azure RBAC oder Zugriffsrichtlinien autorisiert werden. Stellen Sie beim Gewähren des Zugriffs auf einen Schlüsseltresor sicher, dass Sie den aktiven Mechanismus für Ihren Schlüsseltresor verwenden.
• Eine Microsoft Entra-Anwendungsregistrierung hat eine Anwendungs-ID (Client-ID). Wenn die Anwendung in Ihrem Mandanten installiert ist, wird ein Dienstprinzipal erstellt. Der Dienstprinzipal gibt dieselbe Anwendungs-ID als App-Registrierung frei, generiert aber seine eigene Objekt-ID. Wenn Sie die Anwendung für den Zugriff auf Ressourcen autorisieren, müssen Sie möglicherweise die Eigenschaft Name oder ObjectID des Dienstprinzips verwenden.

Phase 3: Der Dienstanbieter verschlüsselt Daten in einer Azure-Ressource mithilfe des kundenseitig verwalteten Schlüssels.

Nachdem die Phasen 1 und 2 abgeschlossen sind, kann der Dienstanbieter die Verschlüsselung auf der Azure-Ressource mit dem Schlüssel und dem Schlüsseltresor im Mandant des Kunden und der Azure-Ressource im Mandant des ISV konfigurieren. Der Dienstanbieter kann mandantenübergreifende kundenseitig verwaltete Schlüssel mit den von dieser Azure-Ressource unterstützten Client-Tools, mit einer ARM-Vorlage oder mit der REST-API konfigurieren.

Konfigurieren von mandantenübergreifenden kundenseitig verwalteten Schlüsseln

In diesem Abschnitt wird beschrieben, wie Sie einen mandantenübergreifenden kundenseitig verwalteten Schlüssel (Customer-Managed Key, CMK) konfigurieren und Kundendaten verschlüsseln. Sie erfahren, wie Sie Kundendaten in einer Ressource in Mandant1 mit einem CMK verschlüsseln, der in einem Schlüsseltresor in Mandant2 gespeichert ist. Hierfür können Sie das Azure-Portal, Azure PowerShell oder die Azure-Befehlszeilenschnittstelle (Azure CLI) verwenden.

Azure portal

Melden Sie sich beim Azure-Portal an, und führen Sie die folgenden Schritte aus.

Der Dienstanbieter konfiguriert Identitäten

Die folgenden Schritte werden vom Dienstanbieter im Mandanten Mandant1 des Dienstanbieters ausgeführt.

Der Dienstanbieter erstellt eine neue Registrierung für die mehrinstanzenfähige App.

Sie können entweder eine neue Registrierung für die mehrinstanzenfähige Microsoft Entra-Anwendung erstellen oder mit einer vorhandenen Registrierung einer mehrinstanzenfähigen Anwendung beginnen. Wenn Sie mit einer vorhandenen Anwendungsregistrierung beginnen, beachten Sie die Anwendungs-ID (Client-ID) der Anwendung.

So erstellen Sie eine neue Registrierung:

1. Suchen Sie im Suchfeld nach Microsoft Entra ID. Suchen Sie die Microsoft Entra ID-Erweiterung, und wählen Sie sie aus.

2. Wählen Sie im linken Bereich Verwalten > App-Registrierungen aus.

3. Wählen Sie + Neue Registrierung aus.

4. Geben Sie den Namen für die Anwendungsregistrierung an, und wählen Sie Konto in einem beliebigen Organisationsverzeichnis (Beliebiges Microsoft Entra-Verzeichnis – mehrinstanzenfähig) aus.

5. Wählen Sie Registrieren aus.

6. Beachten Sie die ApplicationId/ClientId der Anwendung.

   

Der Dienstanbieter erstellt eine benutzerseitig zugewiesene verwaltete Identität

Erstellen Sie eine benutzerseitig zugewiesene verwaltete Identität, die als Verbundidentitätsanmeldeinformationen verwendet werden soll.

1. Suchen Sie im Suchfeld nach Verwaltete Identitäten. Suchen Sie die Erweiterung Verwaltete Identitäten, und wählen Sie sie aus.

2. Wählen Sie + Erstellen aus.

3. Geben Sie die Ressourcengruppe, die Region und den Namen für die verwaltete Identität an.

4. Klicken Sie auf Überprüfen + erstellen.

5. Beachten Sie bei erfolgreicher Bereitstellung die Azure Ressourcen-ID der benutzerseitig zugewiesenen verwalteten Identität, die unter Eigenschaften verfügbar ist. Beispiel:

   /subscriptions/tttttttt-0000-tttt-0000-tttt0000tttt/resourcegroups/XTCMKDemo/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ConsotoCMKDemoUA

   

Der Dienstanbieter konfiguriert die benutzerseitig zugewiesene verwaltete Identität als Verbundanmeldeinformationen für die Anwendung

Konfigurieren Sie eine benutzerseitig zugewiesene verwaltete Identität als Verbundidentitätsinformationen für die Anwendung, damit sie die Identität der Anwendung wechseln kann.

1. Navigieren Sie zu Microsoft Entra ID > App-Registrierungen > Ihre Anwendung.

2. Wählen Sie Zertifikate & Geheimnisse aus.

3. Wählen Sie Verbundanmeldeinformationen aus.

   

4. Wählen Sie + Anmeldeinformationen hinzufügen aus.

5. Wählen Sie unter dem Szenario „Verbundanmeldeinformationen“ die Option Kundenseitig verwaltete Schlüssel aus.

6. Klicken Sie auf Verwaltete Identität auswählen. Wählen Sie im Bereich das Abonnement aus. Wählen Sie unter Verwaltete Identität die Option Benutzerseitig zugewiesene verwaltete Identität aus. Suchen Sie im Feld Auswählen nach der zuvor erstellten verwalteten Identität, und klicken Sie unten im Bereich auf Auswählen.

   

7. Geben Sie unter Details zu Anmeldeinformationen einen Namen und eine optionale Beschreibung für die Anmeldeinformationen an, und wählen Sie Hinzufügen aus.

   

PowerShell

Um Azure PowerShell zum Konfigurieren des ISV-Mandanten zu verwenden, installieren Sie das neueste Az-Modul. Weitere Informationen zum Installieren von PowerShell finden Sie unter Installieren von Azure PowerShell unter Windows mit PowerShellGet.

• Bei lokaler Verwendung von Azure PowerShell:
  • Installieren der aktuellen Version des Az PowerShell-Moduls.
  • Stellen Sie eine Verbindung mit Ihrem Azure-Konto mit dem Cmdlet Connect-AzAccount her.
• Bei Verwendung von Azure Cloud Shell:
  • Weitere Informationen finden Sie in der Übersicht über Azure Cloud Shell.

Der Dienstanbieter konfiguriert Identitäten

Die folgenden Schritte werden vom Dienstanbieter (ISV) im Mandanten Mandant1 des Dienstanbieters ausgeführt.

Der Dienstanbieter meldet sich bei Azure an.

Melden Sie sich in Azure PowerShell beim Mandanten des ISV an, und legen Sie das aktive Abonnement auf das ISV-Abonnement fest.

$isvTenantId="<isv-tenant-id>"
$isvSubscriptionId="<isv-subscription-id>"

# Sign in to Azure in the ISV's tenant.
Connect-AzAccount -Tenant $isvTenantId
# Set the context to the ISV's subscription.
Set-AzContext -Subscription $isvSubscriptionId

Der Dienstanbieter erstellt eine neue Registrierung für die mehrinstanzenfähige App.

Wählen Sie in Mandant1 einen Namen für Ihre mehrinstanzenfähige registrierte Anwendung aus, und erstellen Sie sie dann im Azure-Portal.

Anhand des Namens, den Sie für die mehrinstanzenfähige Anwendung angeben, kann der Kunde die Anwendung in Mandant2 bestimmen. Notieren Sie die Objekt-ID und Anwendungs-ID der App. Sie benötigen diese Werte in den nachfolgenden Schritten.

$multiTenantAppName="<multi-tenant-app>"
$multiTenantApp = New-AzADApplication -DisplayName $multiTenantAppName `
    -SignInAudience AzureADMultipleOrgs

# Object ID for the new multi-tenant app
$objectId = $multiTenantApp.Id
# Application (client) ID for the multi-tenant app
$multiTenantAppObjectId = $multiTenantApp.AppId

Der Dienstanbieter erstellt eine benutzerseitig zugewiesene verwaltete Identität

Melden Sie sich beim Mandanten des ISV an, und erstellen Sie dann eine benutzerseitig zugewiesene verwaltete Identität (zur Verwendung als Anmeldeinformationen für eine Verbundidentität). Um eine neue benutzerseitig zugewiesene verwaltete Identität zu erstellen, muss Ihnen eine Rolle zugewiesen werden, die die Aktion Microsoft.ManagedIdentity/userAssignedIdentities/write enthält.

$isvRgName="<isv-resource-group>"
$isvLocation="<location>"
$userIdentityName="<user-assigned-managed-identity>"

# Create a new resource group in the ISV's subscription.
New-AzResourceGroup -Location $isvLocation -ResourceGroupName $isvRgName

# Create the new user-assigned managed identity.
$userIdentity = New-AzUserAssignedIdentity -Name $userIdentityName `
    -ResourceGroupName $isvRgName `
    -Location $isvLocation `
    -SubscriptionId $isvSubscriptionId

Der Dienstanbieter konfiguriert die benutzerseitig zugewiesene verwaltete Identität als Verbundanmeldeinformationen für die Anwendung

Konfigurieren Sie eine benutzerseitig zugewiesene verwaltete Identität als Verbundidentitätsinformationen für die Anwendung, damit sie die Identität der Anwendung wechseln kann.

Zum Konfigurieren der Anmeldeinformationen für eine Verbundidentität über PowerShell müssen Sie zuerst mindestens Version 6.3.0 des Az.Resources-Moduls installieren.

New-AzADAppFederatedCredential -ApplicationObjectId $multiTenantApp.Id `
    -Name "MyFederatedIdentityCredential" `
    -Audience "api://AzureADTokenExchange" `
    -Issuer "https://login.microsoftonline.com/<tenant-id>/v2.0" `
    -Subject $userIdentity.PrincipalId `
    -Description "Federated Identity Credential for CMK"

Azure-Befehlszeilenschnittstelle

• Verwenden Sie die Bash-Umgebung in Azure Cloud Shell. Weitere Informationen finden Sie unter Schnellstart für Bash in Azure Cloud Shell.

  

• Wenn Sie CLI-Referenzbefehle lieber lokal ausführen, installieren Sie die Azure CLI. Wenn Sie Windows oder macOS ausführen, sollten Sie die Azure CLI in einem Docker-Container ausführen. Weitere Informationen finden Sie unter Ausführen der Azure CLI in einem Docker-Container.

  • Wenn Sie eine lokale Installation verwenden, melden Sie sich mithilfe des Befehls az login bei der Azure CLI an. Führen Sie die in Ihrem Terminal angezeigten Schritte aus, um den Authentifizierungsprozess abzuschließen. Informationen zu anderen Anmeldeoptionen finden Sie unter Anmelden mit der Azure CLI.

  • Installieren Sie die Azure CLI-Erweiterung beim ersten Einsatz, wenn Sie dazu aufgefordert werden. Weitere Informationen zu Erweiterungen finden Sie unter Verwenden von Erweiterungen mit der Azure CLI.

  • Führen Sie az version aus, um die installierte Version und die abhängigen Bibliotheken zu ermitteln. Führen Sie az upgrade aus, um das Upgrade auf die aktuelle Version durchzuführen.

Der Dienstanbieter konfiguriert Identitäten

Die folgenden Schritte werden vom Dienstanbieter im Mandanten Mandant1 des Dienstanbieters ausgeführt.

Der Dienstanbieter meldet sich bei Azure an.

Melden Sie sich bei Azure an, um Azure CLI verwenden zu können.

az login

Der Dienstanbieter erstellt eine neue Registrierung für die mehrinstanzenfähige App.

Wählen Sie in Mandant1 einen Namen für Ihre mehrinstanzenfähige Anwendung, und erstellen Sie sie dann im Azure-Portal.

Anhand des Namens, den Sie für die mehrinstanzenfähige Anwendung angeben, kann der Kunde die Anwendung in Mandant2 bestimmen. Kopieren Sie die Anwendungs-ID (oder Client-ID) der App, die Objekt-ID der App und auch die Mandanten-ID für die App. Sie benötigen diese Werte in den folgenden Schritten.

multiTenantAppName="<multi-tenant-app>"
multiTenantAppObjectId=$(az ad app create --display-name $multiTenantAppName \
    --sign-in-audience AzureADMultipleOrgs \
    --query id \
    --output tsv)

multiTenantAppId=$(az ad app show --id $multiTenantAppObjectId --query appId --output tsv)

Der Dienstanbieter erstellt eine benutzerseitig zugewiesene verwaltete Identität

Melden Sie sich beim Mandanten des ISV an, und erstellen Sie dann eine benutzerseitig zugewiesene verwaltete Identität (zur Verwendung als Anmeldeinformationen für eine Verbundidentität). Um eine neue benutzerseitig zugewiesene verwaltete Identität zu erstellen, muss Ihnen eine Rolle zugewiesen werden, die die Aktion Microsoft.ManagedIdentity/userAssignedIdentities/write enthält.

isvSubscriptionId="<isv-subscription-id>"
isvRgName="<isv-resource-group>"
isvLocation="<location>"
userIdentityName="<user-assigned-managed-identity>"

az group create --location $isvLocation \
    --resource-group $isvRgName \
    --subscription $isvSubscriptionId

principalId=$(az identity create --name $userIdentityName \
    --resource-group $isvRgName \
    --location $isvLocation \
    --subscription $isvSubscriptionId \
    --query principalId \
    --out tsv)

Der Dienstanbieter konfiguriert die benutzerseitig zugewiesene verwaltete Identität als Verbundanmeldeinformationen für die Anwendung

Führen Sie die Methode az ad app federated-credential create aus, um Verbundidentitätsanmeldeinformationen in einer App zu konfigurieren und eine Vertrauensstellung mit einem externen Identitätsanbieter zu erstellen.

Verwenden Sie api://AzureADTokenExchange als Wert für audience in den Verbundidentitätsinformationen. Weitere Einzelheiten finden Sie in der API-Referenz.

# Create a file named "credential.json" with the following content.
# Replace placeholders in angle brackets with your own values.
{
    "name": "MyFederatedIdentityCredential",
    "issuer": "https://login.microsoftonline.com/<tenantID>/v2.0",
    "subject": "<user-assigned-identity-principal-id>",
    "description": "Federated Identity Credential for CMK",
    "audiences": [
        "api://AzureADTokenExchange"
    ]
}

az ad app federated-credential create --id $multiTenantAppObjectId --parameters credential.json

Der Dienstanbieter gibt die Anwendungs-ID für den Kunden frei

Suchen Sie die Anwendungs-ID (Client-ID) der mehrinstanzenfähigen Anwendung, und geben Sie sie für den Kunden frei.

Der Kunde gewährt der App des Dienstanbieters Zugriff auf den Schlüssel im Schlüsseltresor

Die folgenden Schritte werden vom Kunden in seinem Mandanten, Mandant2, ausgeführt. Der Kunde kann das Azure-Portal, Azure PowerShell oder die Azure-Befehlszeilenschnittstelle (Azure CLI) verwenden.

Der Benutzer, der die Schritte ausführt, muss ein Administrator mit einer privilegierten Rolle sein, z. B. Anwendungsadministrator, Cloudanwendungsadministrator oder Globaler Administrator.

Portal

Melden Sie sich beim Azure-Portal an, und führen Sie die folgenden Schritte aus.

Der Kunde installiert die Dienstanbieteranwendung im Kundenmandanten

Zum Installieren der registrierten Anwendung des Dienstanbieters im Mandanten des Kunden erstellen Sie einen Dienstprinzipal mit der Anwendungs-ID aus der registrierten App. Sie können den Dienstprinzipal auf eine der folgenden Arten erstellen:

• Verwenden Sie Microsoft Graph, Microsoft Graph PowerShell, Azure PowerShell oder Azure CLI zum manuellen Erstellen des Dienstprinzipals.
• Erstellen Sie eine Administrator-Zustimmungs-URL, und erteilen Sie mandantenweite Zustimmung zum Erstellen des Dienstprinzipals. Sie müssen sie mit Ihrer App-Id bereitstellen.

Der Kunde erstellt einen Schlüsseltresor

Zum Erstellen des Schlüsseltresors muss dem Konto des Benutzers die Rolle Key Vault-Mitwirkender oder eine andere Rolle zugewiesen werden, die die Erstellung eines Schlüsseltresors erlaubt.

1. Wählen Sie im Menü des Azure-Portals oder auf der Startseite die Option + Ressource erstellen aus. Geben Sie im Suchfeld den Begriff Schlüsseltresore ein. Wählen Sie in der Ergebnisliste den Eintrag Schlüsseltresore aus. Wählen Sie auf der Seite Schlüsseltresore die Option Erstellen aus.

2. Wählen Sie auf der Registerkarte Grundlagen ein Abonnement aus. Wählen Sie unter Ressourcengruppe die Option Neu erstellen aus, und geben Sie einen Namen für die Ressourcengruppe ein.

3. Geben Sie einen eindeutigen Namen für den Schlüsseltresor ein.

4. Wählen Sie eine Region und einen Tarif aus.

5. Aktivieren Sie den Löschschutz für den neuen Schlüsseltresor.

6. Wählen Sie auf der Registerkarte Zugriffsrichtlinie für das Berechtigungsmodell die Option Rollenbasierte Zugriffssteuerung in Azure aus.

7. Wählen Sie Überprüfen + erstellen und danach Erstellen aus.

   

Notieren Sie sich den Namen des Schlüsseltresors und die URI. Anwendungen, die auf Ihren Schlüsseltresor zugreifen, müssen diesen URI verwenden.

Weitere Informationen finden Sie unter Schnellstart – Erstellen einer Azure Key Vault-Instanz über das Azure-Portal.

Der Kunde weist einem Benutzerkonto die Rolle „Key Vault-Kryptografiebeauftragter“ zu.

Mit diesem Schritt wird sichergestellt, dass Sie Verschlüsselungsschlüssel erstellen können.

1. Navigieren Sie zu Ihrem Schlüsseltresor, und wählen Sie im linken Bereich Access Control (IAM) aus.
2. Wählen Sie unter Zugriff auf diese Gruppe gewähren die Option Rollenzuweisung hinzufügen aus.
3. Suchen Sie nach der Rolle Key Vault-Kryptografiebeauftragter, und wählen Sie sie aus.
4. Wählen Sie unter Mitglieder die Option Benutzer, Gruppe oder Dienstprinzipal aus.
5. Wählen Sie Mitglieder aus, und suchen Sie nach Ihrem Benutzerkonto.
6. Wählen Sie Überprüfen und zuweisen aus.

Der Kunde erstellt einen Verschlüsselungsschlüssel

Zum Erstellen des Verschlüsselungsschlüssels muss dem Konto des Benutzers die Rolle Key Vault-Kryptografiebeauftragter oder eine andere Rolle zugewiesen werden, die die Erstellung eines Schlüssels erlaubt.

1. Wählen Sie auf der Seite „Key Vault-Eigenschaften“ die Option Schlüssel aus.
2. Wählen Sie die Option Generieren/Importieren aus.
3. Geben Sie auf dem Bildschirm Schlüssel erstellen einen Namen für den Schlüssel an. Behalten Sie bei den anderen Optionen die Standardwerte bei.
4. Klicken Sie auf Erstellen.
5. Kopieren Sie den Schlüssel-URI.

Der Kunde gewährt der Dienstanbieteranwendung Zugriff auf den Schlüsseltresor

Weisen Sie die Azure RBAC-Rolle Kryptografiedienstverschlüsselung für Schlüsseltresore der registrierten Anwendung des Dienstanbieters zu, damit sie auf den Schlüsseltresor zugreifen kann.

1. Navigieren Sie zu Ihrem Schlüsseltresor, und wählen Sie im linken Bereich Access Control (IAM) aus.
2. Wählen Sie unter Zugriff auf diese Gruppe gewähren die Option Rollenzuweisung hinzufügen aus.
3. Suchen Sie nach der Option Kryptografiedienstverschlüsselung für Schlüsseltresore, und wählen Sie sie aus.
4. Wählen Sie unter Mitglieder die Option Benutzer, Gruppe oder Dienstprinzipal aus.
5. Wählen Sie Mitglieder aus, und suchen Sie nach dem Namen der Anwendung, die Sie aus dem Dienstanbieter installiert haben.
6. Wählen Sie Überprüfen und zuweisen aus.

Jetzt können Sie kundenseitig verwaltete Schlüssel mit dem Schlüsseltresor-URI und dem Schlüssel konfigurieren.

PowerShell

Um Azure PowerShell zum Konfigurieren des Mandanten des Clients zu verwenden, installieren Sie das neueste Az-Modul. Weitere Informationen zum Installieren von PowerShell finden Sie unter Installieren von Azure PowerShell unter Windows mit PowerShellGet.

• Bei lokaler Verwendung von Azure PowerShell:
  • Installieren der aktuellen Version des Az PowerShell-Moduls.
  • Stellen Sie eine Verbindung mit Ihrem Azure-Konto mit dem Cmdlet Connect-AzAccount her.
• Bei Verwendung von Azure Cloud Shell:
  • Weitere Informationen finden Sie in der Übersicht über Azure Cloud Shell.

Der Kunde meldet sich bei Azure an.

Melden Sie sich in Azure PowerShell beim Mandanten des Kunden an, und legen Sie das aktive Abonnement auf das Kundenabonnement fest.

$customerTenantId="<customer-tenant-id>"
$customerSubscriptionId="<customer-subscription-id>"

# Sign in to Azure in the customer's tenant.
Connect-AzAccount -Tenant $customerTenantId
# Set the context to the customer's subscription.
Set-AzContext -Subscription $customerSubscriptionId

Der Kunde installiert die Dienstanbieteranwendung im Kundenmandanten

Nachdem Sie die Anwendungs-ID der mehrinstanzenfähigen Anwendung des Dienstanbieters erhalten haben, installieren Sie die Anwendung durch Erstellen eines Dienstprinzipals im Mandanten Mandant2.

Führen Sie die folgenden Befehle in dem Mandanten aus, in dem Sie den Schlüsseltresor erstellen möchten.

$customerRgName="<customer-resource-group>"
$customerLocation="<location>"
$multiTenantAppId="<multi-tenant-app-id>" # appId value from Tenant1 

# Create a resource group in the customer's subscription.
New-AzResourceGroup -Location $customerLocation -ResourceGroupName $customerRgName

# Create the service principal with the registered app's application ID (client ID).
$servicePrincipal = New-AzADServicePrincipal -ApplicationId $multiTenantAppId

Der Kunde erstellt einen Schlüsseltresor

Zum Erstellen des Schlüsseltresors muss dem Konto des Kunden die Rolle Key Vault-Mitwirkender oder eine andere Rolle zugewiesen werden, die die Erstellung eines Schlüsseltresors erlaubt.

$kvName="<key-vault>"

$kv = New-AzKeyVault -Location $customerLocation `
    -Name $kvName `
    -ResourceGroupName $customerRgName `
    -SubscriptionId $customerSubscriptionId `
    -EnablePurgeProtection `
    -EnableRbacAuthorization

Der Kunde weist einem Benutzerkonto die Rolle „Key Vault-Kryptografiebeauftragter“ zu.

Weisen Sie einem Benutzerkonto die Rolle Key Vault-Kryptografiebeauftragter zu. Mit diesem Schritt wird sichergestellt, dass der Benutzer den Schlüsseltresor und Verschlüsselungsschlüssel erstellen kann. Im folgenden Beispiel wird die Rolle dem aktuellen angemeldeten Benutzer zugewiesen.

$currentUserObjectId = (Get-AzADUser -SignedIn).Id

New-AzRoleAssignment -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $kv.ResourceId `
    -ObjectId $currentUserObjectId

Der Kunde erstellt einen Verschlüsselungsschlüssel

Zum Erstellen des Verschlüsselungsschlüssels muss dem Konto des Benutzers die Rolle Key Vault-Kryptografiebeauftragter oder eine andere Rolle zugewiesen werden, die die Erstellung eines Schlüssels erlaubt.

$keyName="<key-name>"

Add-AzKeyVaultKey -Name $keyName `
    -VaultName $kvName `
    -Destination software

Der Kunde gewährt der Dienstanbieteranwendung Zugriff auf den Schlüsseltresor

Weisen Sie die Azure RBAC-Rolle Kryptografiedienstverschlüsselung für Schlüsseltresore über den zuvor erstellten Dienstprinzipal der registrierten Anwendung des Dienstanbieters zu, damit sie auf den Schlüsseltresor zugreifen kann.

New-AzRoleAssignment -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $kv.ResourceId `
    -ObjectId $servicePrincipal.Id

Jetzt können Sie kundenseitig verwaltete Schlüssel mit dem Schlüsseltresor-URI und dem Schlüssel konfigurieren.

Azure-Befehlszeilenschnittstelle

• Verwenden Sie die Bash-Umgebung in Azure Cloud Shell. Weitere Informationen finden Sie unter Schnellstart für Bash in Azure Cloud Shell.

  

• Wenn Sie CLI-Referenzbefehle lieber lokal ausführen, installieren Sie die Azure CLI. Wenn Sie Windows oder macOS ausführen, sollten Sie die Azure CLI in einem Docker-Container ausführen. Weitere Informationen finden Sie unter Ausführen der Azure CLI in einem Docker-Container.

  • Wenn Sie eine lokale Installation verwenden, melden Sie sich mithilfe des Befehls az login bei der Azure CLI an. Führen Sie die in Ihrem Terminal angezeigten Schritte aus, um den Authentifizierungsprozess abzuschließen. Informationen zu anderen Anmeldeoptionen finden Sie unter Anmelden mit der Azure CLI.

  • Installieren Sie die Azure CLI-Erweiterung beim ersten Einsatz, wenn Sie dazu aufgefordert werden. Weitere Informationen zu Erweiterungen finden Sie unter Verwenden von Erweiterungen mit der Azure CLI.

  • Führen Sie az version aus, um die installierte Version und die abhängigen Bibliotheken zu ermitteln. Führen Sie az upgrade aus, um das Upgrade auf die aktuelle Version durchzuführen.

Der Kunde meldet sich bei Azure an

Melden Sie sich bei Azure an, um Azure CLI verwenden zu können.

az login

Der Kunde installiert die Dienstanbieteranwendung im Kundenmandanten

Nachdem Sie die Anwendungs-ID der mehrinstanzenfähigen Anwendung des Dienstanbieters erhalten haben, installieren Sie die Anwendung mit dem folgenden Befehl in Ihrem Mandanten Mandant2. Durch Installieren der Anwendung wird ein Dienstprinzipal in Ihrem Mandanten erstellt.

Führen Sie die folgenden Befehle in dem Mandanten aus, in dem Sie den Schlüsseltresor erstellen möchten.

# Create the service principal with the registered app's application ID (client ID)
multiTenantAppId="<multi-tenant-app-id>"
az ad sp create --id $multiTenantAppId --query id --out tsv

Der Kunde erstellt einen Schlüsseltresor

Zum Erstellen des Schlüsseltresors muss dem Konto des Kunden die Rolle Key Vault-Mitwirkender oder eine andere Rolle zugewiesen werden, die die Erstellung eines Schlüsseltresors erlaubt.

customerSubscriptionId="<customer-subscription-id>"
customerRgName="<customer-resource-group>"
customerLocation="<location>"
kvName="<key-vault>"

az group create --location $customerLocation \
    --name $customerRgName

az keyvault create --name $kvName \
    --location $customerLocation \
    --resource-group $customerRgName \
    --subscription $customerSubscriptionId \
    --enable-purge-protection true \
    --enable-rbac-authorization true

Der Kunde weist einem Benutzerkonto die Rolle „Key Vault-Kryptografiebeauftragter“ zu.

Mit diesem Schritt wird sichergestellt, dass Sie den Schlüsseltresor und Verschlüsselungsschlüssel erstellen können.

currentUserObjectId=$(az ad signed-in-user show --query id --output tsv)

kvResourceId=$(az keyvault show --resource-group $customerRgName \
    --name $kvName \
    --query id \
    --output tsv)

az role assignment create --role "Key Vault Crypto Officer" \
    --scope $kvResourceId \
    --assignee-object-id $currentUserObjectId

Der Kunde erstellt einen Verschlüsselungsschlüssel

Zum Erstellen des Verschlüsselungsschlüssels muss dem Konto des Benutzers die Rolle Key Vault-Kryptografiebeauftragter oder eine andere Rolle zugewiesen werden, die die Erstellung eines Schlüssels erlaubt.

keyName="<key-name>"
az keyvault key create --name $keyName --vault-name $kvName

Der Kunde gewährt der Dienstanbieteranwendung Zugriff auf den Schlüsseltresor

Weisen Sie die Azure RBAC-Rolle Kryptografiedienstverschlüsselung für Schlüsseltresore über den zuvor erstellten Dienstprinzipal der registrierten Anwendung des Dienstanbieters zu, damit die registrierte Anwendung auf den Schlüsseltresor zugreifen kann.

servicePrincipalId=$(az ad sp show --id $multiTenantAppId --query id --output tsv)

az role assignment create --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId \
    --assignee-object-id $servicePrincipalId

Jetzt können Sie kundenseitig verwaltete Schlüssel mit dem Schlüsseltresor-URI und dem Schlüssel konfigurieren.

Erstellen eines neuen Speicherkontos, das mit einem Schlüssel aus einem anderen Mandanten verschlüsselt ist

Bis zu diesem Punkt haben Sie die mehrinstanzenfähige Anwendung im Mandanten des ISVs konfiguriert, die Anwendung im Mandanten des Kunden installiert sowie den Schlüsseltresor und den Schlüssel im Mandanten des Kunden konfiguriert. Als Nächstes können Sie ein neues Speicherkonto im Mandanten des ISV erstellen und kundenseitig verwaltete Schlüssel mit dem Schlüssel aus dem Mandanten des Kunden konfigurieren.

Sie müssen eine vorhandene benutzerseitig zugewiesene verwaltete Identität verwenden, um den Zugriff auf den Schlüsseltresor zu autorisieren, wenn Sie beim Erstellen des Speicherkontos kundenseitig verwaltete Schlüssel konfigurieren. Die benutzerseitig zugewiesene verwaltete Identität muss über entsprechende Berechtigungen für den Zugriff auf den Schlüsseltresor verfügen. Weitere Informationen finden Sie auf der Seite Authentifizieren bei Azure Key Vault.

Beim Konfigurieren der Verschlüsselung mit kundenseitig verwalteten Schlüsseln für ein vorhandenes Speicherkonto können Sie festlegen, dass die für die Azure Storage-Verschlüsselung verwendete Schlüsselversion automatisch aktualisiert wird, wenn im zugeordneten Schlüsseltresor eine neue Version verfügbar ist. Lassen Sie dazu die Schlüsselversion im Schlüssel-URI weg. Alternativ können Sie explizit eine Schlüsselversion angeben, die für die Verschlüsselung verwendet werden soll, bis die Schlüsselversion manuell aktualisiert wird. Durch Einbeziehen der Schlüsselversion für den Schlüssel-URI werden kundenseitig verwaltete Schlüssel für manuelle Aktualisierung der Schlüsselversion konfiguriert.

Wichtig

Um einen Schlüssel zu drehen, erstellen Sie eine neue Version des Schlüssels in Azure Key Vault. Azure Storage behandelt die Schlüsseldrehung nicht, somit müssen Sie die Drehung des Schlüssels im Schlüsseltresor verwalten. Sie können die automatische Drehung von Schlüsseln in Azure Key Vault konfigurieren oder den Schlüssel manuell drehen.

Azure Storage überprüft den Schlüsseltresor nur einmal täglich auf eine neue Schlüsselversion. Wenn Sie einen Schlüssel in Azure Key Vault drehen (rotieren), warten Sie 24 Stunden, bevor Sie die ältere Version deaktivieren.

Azure portal

Führen Sie zum Konfigurieren der mandantenübergreifenden kundenseitig verwalteten Schlüssel für ein neues Speicherkonto im Azure-Portal die folgenden Schritte aus:

1. Navigieren Sie im Azure-Portal zur Seite Speicherkonten im Mandanten des ISVs, und wählen Sie die Schaltfläche Erstellen aus, um ein neues Konto zu erstellen.

2. Führen Sie die Schritte unter Speicherkonto erstellen aus, um die Felder auf den Registerkarten Grundlagen, Erweitert, Netzwerk und Datenschutz auszufüllen.

3. Geben Sie auf der Registerkarte Verschlüsselung im Feld Unterstützung für kundenseitig verwaltete Schlüssel aktivieren an, für welche Dienste Sie die Unterstützung für kundenseitig verwaltete Schlüssel aktivieren möchten.

4. Wählen Sie im Feld Verschlüsselungstyp die Option Kundenseitig verwaltete Schlüssel (Customer managed keys, CMK) aus.

5. Wählen Sie im Feld Verschlüsselungsschlüssel die Option Enter key from key vault (Schlüssel aus Schlüsseltresor eingeben) aus, und geben Sie den Schlüssel-URI an. Lassen Sie die Schlüsselversion aus dem URI weg, wenn Azure Storage automatisch auf eine neue Schlüsselversion überprüfen und sie aktualisieren soll.

6. Suchen Sie für das Feld Benutzerseitig zugewiesene Identität nach der benutzerseitig zugewiesenen verwalteten Identität, die Sie zuvor im Mandanten des ISVs erstellt haben.

7. Erweitern Sie den Abschnitt Erweitert, und wählen Sie die registrierte mehrinstanzenfähige Anwendung aus, die Sie zuvor im Mandanten des ISVs erstellt haben.

   

8. Wählen Sie die Schaltfläche Überprüfung aus, um das Konto zu überprüfen und zu erstellen.

PowerShell

Zum Konfigurieren von mandantenübergreifenden kundenseitig verwalteten Schlüsseln für ein neues Speicherkonto in PowerShell installieren Sie zuerst das Az.Storage-PowerShell-Modul, Version 5.1.0 oder höher. Dieses Modul wird mit dem Az PowerShell-Modul, Version 9.1.0 oder höher, installiert.

Danach rufen Sie New-AzStorageAccount auf und geben Folgendes an: die Ressourcen-ID für die benutzerseitig verwaltete Identität, die Sie zuvor im Abonnement des ISV konfiguriert haben, und die Anwendungs-ID (Client) für die mehrinstanzenfähige Anwendung, die Sie zuvor im Abonnement des ISV konfiguriert haben. Geben Sie den Schlüsseltresor-URI und den Schlüsselnamen aus dem Schlüsseltresor des Kunden an.

Denken Sie daran, die Platzhalterwerte in Klammern durch Ihre eigenen Werte zu ersetzen und die in den vorherigen Beispielen definierten Variablen zu verwenden.

$accountName = "<account-name>"
$kvUri = "<key-vault-uri>"
$keyName = "<keyName>"
$location = "<location>"
$multiTenantAppId = "<application-id>" # appId value from multi-tenant app

$userIdentity = Get-AzUserAssignedIdentity -Name <user-assigned-identity> -ResourceGroupName $rgName

New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Kind StorageV2 `
    -SkuName Standard_LRS `
    -Location $location `
    -AllowBlobPublicAccess $false `
    -UserAssignedIdentityId $userIdentity.Id `
    -IdentityType SystemAssignedUserAssigned `
    -KeyName $keyName `
    -KeyVaultUri $kvUri `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id `
    -KeyVaultFederatedClientId $multiTenantAppId 

Azure-Befehlszeilenschnittstelle

Um mandantenübergreifende kundenseitig verwaltete Schlüssel für ein neues Speicherkonto mit der Azure CLI zu konfigurieren, installieren Sie zuerst die Azure CLI, Version 2.42.0 oder höher. Weitere Informationen zur Installation von Azure CLI finden Sie unter Installieren der Azure-Befehlszeilenschnittstelle.

Danach rufen Sie az storage account create auf und geben Folgendes an: die Ressourcen-ID für die benutzerseitig zugewiesene verwaltete Identität, die Sie zuvor im Abonnement des ISV konfiguriert haben, und die Anwendungs-ID (Client) für die mehrinstanzenfähige Anwendung, die Sie zuvor im Abonnement des ISV konfiguriert haben. Geben Sie den Schlüsseltresor-URI und den Schlüsselnamen aus dem Schlüsseltresor des Kunden an.

Denken Sie daran, die Platzhalterwerte in Klammern durch Ihre eigenen Werte zu ersetzen und die in den vorherigen Beispielen definierten Variablen zu verwenden.

accountName="<storage-account>"
kvUri="<key-vault-uri>"
keyName="<key-name>"
multiTenantAppId="<multi-tenant-app-id>" # appId value from multi-tenant app

# Get the resource ID for the user-assigned managed identity.
identityResourceId=$(az identity show --name $managedIdentity \
    --resource-group $isvRgName \
    --query id \
    --output tsv)

az storage account create \
    --name $accountName \
    --resource-group $isvRgName \
    --location $isvLocation \
    --sku Standard_LRS \
    --kind StorageV2 \
    --allow-blob-public-access false \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-vault $kvUri \
    --encryption-key-name $keyName \
    --encryption-key-source Microsoft.Keyvault \
    --key-vault-user-identity-id $identityResourceId \
    --key-vault-federated-client-id $multiTenantAppId

Sie können auch kundenseitig verwaltete Schlüssel mit manueller Aktualisierung der Schlüsselversion konfigurieren, wenn Sie ein neues Speicherkonto erstellen. Beziehen Sie dazu die Schlüsselversion mit ein, wenn Sie den Schlüssel-URI angeben.

Ändern des Schlüssels

Sie können den Schlüssel, den Sie für die Azure Storage-Verschlüsselung verwenden, jederzeit ändern.

Hinweis

Wenn Sie den Schlüssel oder die Schlüsselversion ändern, ändert sich der Schutz des Stammverschlüsselungsschlüssels, die Daten in Ihrem Azure Storage-Konto bleiben jedoch zu jedem Zeitpunkt verschlüsselt. Es sind keine zusätzlichen Maßnahmen Ihrerseits erforderlich, um sicherzustellen, dass Ihre Daten geschützt sind. Das Ändern des Schlüssels oder das Rotieren der Schlüsselversion wirkt sich nicht auf die Leistung aus. Mit dem Ändern des Schlüssels oder dem Rotieren der Schlüsselversion ist keine Downtime verbunden.

Azure portal

Führen Sie die folgenden Schritte aus, um den Schlüssel im Azure-Portal zu ändern:

1. Navigieren Sie zu Ihrem Speicherkonto, und zeigen Sie die Einstellungen zur Verschlüsselung an.
2. Wählen Sie den Schlüsseltresor und dann einen neuen Schlüssel aus.
3. Speichern Sie die Änderungen.

PowerShell

Um den Schlüssel mit PowerShell zu ändern, rufen Sie Set-AzStorageAccount auf, und geben Sie den neuen Schlüsselnamen und die neue Version an. Wenn sich der neue Schlüssel in einem anderen Schlüsseltresor befindet, müssen Sie auch den Schlüsseltresor-URI aktualisieren.

Azure-Befehlszeilenschnittstelle

Um den Schlüssel mit der Azure CLI zu ändern, rufen Sie az storage account update auf, und geben Sie den neuen Schlüsselnamen und die neue Version an. Wenn sich der neue Schlüssel in einem anderen Schlüsseltresor befindet, müssen Sie auch den Schlüsseltresor-URI aktualisieren.

Widerrufen des Zugriffs auf ein Speicherkonto, das kundenseitig verwaltete Schlüssel verwendet

Wenn Sie den Zugriff auf ein Speicherkonto, das kundenseitig verwaltete Schlüssel verwendet, vorübergehend widerrufen möchten, deaktivieren Sie den Schlüssel, der zurzeit im Schlüsseltresor verwendet wird. Das Deaktivieren und erneute Aktivieren des Schlüssels hat keine Auswirkungen auf die Leistung und verursacht keine Downtime.

Nachdem der Schlüssel deaktiviert wurde, können Clients keine Vorgänge mehr aufrufen, bei denen Lese- oder Schreibvorgänge für ein Blob oder die zugehörigen Metadaten durchgeführt werden. Informationen dazu, welche Vorgänge nicht erfolgreich ausgeführt werden, finden Sie unter Widerrufen des Zugriffs auf ein Speicherkonto, das kundenseitig verwaltete Schlüssel verwendet.

Achtung

Wenn Sie den Schlüssel im Schlüsseltresor deaktivieren, bleiben die Daten in Ihrem Azure Storage-Konto verschlüsselt, sind jedoch nicht zugänglich, bis Sie den Schlüssel erneut aktivieren.

Azure portal

Führen Sie zum Deaktivieren eines kundenseitig verwalteten Schlüssels über das Azure-Portal die folgenden Schritte aus:

1. Navigieren Sie zu dem Schlüsseltresor, der den Schlüssel enthält.

2. Wählen Sie unter Objekte die Option Schlüssel aus.

3. Klicken Sie mit der rechten Maustaste auf den Schlüssel, und wählen Sie Deaktivieren aus.

   

PowerShell

Zum Widerrufen eines kundenseitig verwalteten Schlüssels mit PowerShell rufen Sie den Befehl Update-AzKeyVaultKey auf, wie im folgenden Beispiel gezeigt wird. Denken Sie daran, zum Definieren der Variablen die Platzhalterwerte in Klammern durch Ihre eigenen Werte zu ersetzen, oder verwenden Sie die in den vorhergehenden Beispielen definierten Variablen.

$kvName  = "<key-vault-name>"
$keyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it

# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $keyName -VaultName $kvName

# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $kvName -Name $keyName -Enable $enabled

Azure-Befehlszeilenschnittstelle

Zum Widerrufen eines kundenseitig verwalteten Schlüssels mit der Azure CLI rufen Sie den Befehl az keyvault key set-attributes auf, wie im folgenden Beispiel gezeigt wird. Denken Sie daran, zum Definieren der Variablen die Platzhalterwerte in Klammern durch Ihre eigenen Werte zu ersetzen, oder verwenden Sie die in den vorhergehenden Beispielen definierten Variablen.

kvName="<key-vault-name>"
keyName="<key-name>"
enabled="false"
# "false" to disable the key / "true" to enable it:

# Check the current state of the key (before and after enabling/disabling it)
az keyvault key show \
    --vault-name $kvName \
    --name $keyName

# Disable (or enable) the key
az keyvault key set-attributes \
    --vault-name $kvName \
    --name $keyName \
    --enabled $enabled

Zurückwechseln zu von Microsoft verwalteten Schlüsseln

Sie können jederzeit über das Azure-Portal, mit PowerShell oder der Azure CLI von kundenseitig verwalteten Schlüsseln zu von Microsoft verwalteten Schlüsseln zurückwechseln.

Azure portal

Führen Sie die folgenden Schritte aus, um im Azure-Portal von kundenseitig verwalteten Schlüsseln zu von Microsoft verwalteten Schlüsseln zurückzuwechseln:

1. Navigieren Sie zum Speicherkonto.

2. Wählen Sie unter Sicherheit + Netzwerk die Option Verschlüsselung aus.

3. Ändern Sie den Verschlüsselungstyp in von Microsoft verwaltete Schlüssel.

   

PowerShell

Wenn Sie mit PowerShell von kundenseitig verwalteten Schlüsseln zu von Microsoft verwalteten Schlüsseln zurückwechseln möchten, rufen Sie Set-AzStorageAccount mit der Option -StorageEncryption auf, wie im folgenden Beispiel gezeigt wird. Denken Sie daran, die Platzhalterwerte in Klammern durch Ihre eigenen Werte zu ersetzen und die in den vorherigen Beispielen definierten Variablen zu verwenden.

Set-AzStorageAccount -ResourceGroupName $storageAccount.ResourceGroupName `
    -AccountName $storageAccount.StorageAccountName `
    -StorageEncryption  

Azure-Befehlszeilenschnittstelle

Wenn Sie mit Azure CLI von kundenseitig verwalteten Schlüsseln zu von Microsoft verwalteten Schlüsseln zurückwechseln möchten, rufen Sie az storage account update auf, und legen Sie --encryption-key-source parameter auf Microsoft.Storage fest, wie im folgenden Beispiel gezeigt wird. Denken Sie daran, die Platzhalterwerte in Klammern durch Ihre eigenen Werte zu ersetzen und die in den vorherigen Beispielen definierten Variablen zu verwenden.

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-source Microsoft.Storage

Weitere Informationen

• Kundenseitig verwaltete Schlüssel für die Azure Storage-Verschlüsselung
• Konfigurieren von mandantenübergreifenden kundenseitig verwalteten Schlüsseln für ein vorhandenes Speicherkonto