Konfigurieren von kundenseitig verwalteten Schlüsseln im gleichen Mandanten für ein vorhandenes Speicherkonto

Azure Storage verschlüsselt alle Daten in einem ruhenden Speicherkonto. Standardmäßig werden Daten mit von Microsoft verwalteten Schlüsseln verschlüsselt. Um mehr Kontrolle über die Verschlüsselungsschlüssel zu erhalten, können Sie eigene Schlüssel verwalten. Kundenseitig verwaltete Schlüssel müssen in Azure Key Vault oder in Azure Key Vault Managed HSM gespeichert werden.

In diesem Artikel wird gezeigt, wie Sie die Verschlüsselung mit kundenseitig verwalteten Schlüsseln für ein vorhandenes Speicherkonto konfigurieren, wenn sich das Speicherkonto und der Schlüsseltresor im gleichen Mandanten befinden. Die kundenseitig verwalteten Schlüssel werden in einem Schlüsseltresor gespeichert.

Informationen zum Konfigurieren kundenseitig verwalteter Schlüssel für ein neues Speicherkonto finden Sie unter Konfigurieren von kundenseitig verwalteten Schlüsseln in einem Azure-Schlüsseltresor für ein neues Speicherkonto.

Informationen zum Konfigurieren der Verschlüsselung mit kundenseitig verwalteten Schlüsseln, die in einem verwalteten HSM gespeichert sind, finden Sie unter Konfigurieren der Verschlüsselung mit kundenseitig verwalteten Schlüsseln, die in Azure Key Vault Managed HSM gespeichert sind.

Hinweis

Azure Key Vault und über Azure Key Vault verwaltete HSMs unterstützen dieselben APIs und Verwaltungsschnittstellen für die Konfiguration kundenseitig verwalteter Schlüssel. Jede Aktion, die für Azure Key Vault unterstützt wird, wird auch für ein über Azure Key Vault verwaltetes HSM unterstützt.

Konfigurieren des Schlüsseltresors

Sie können einen neuen oder vorhandenen Schlüsseltresor verwenden, um kundenseitig verwaltete Schlüssel zu speichern. Speicherkonto und Schlüsseltresor können sich in verschiedenen Regionen oder Abonnements im selben Mandanten befinden. Weitere Informationen zu Azure Key Vault finden Sie unter Informationen zu Azure Key Vault und Grundlegende Konzepte von Azure Key Vault.

Bei Verwendung kundenseitig verwalteter Schlüssel mit der Azure Storage-Verschlüsselung muss der Schlüsseltresor vor vorläufigem und endgültigem Löschen geschützt sein. Das vorläufige Löschen ist standardmäßig aktiviert, wenn Sie einen neuen Schlüsseltresor erstellen, und kann nicht deaktiviert werden. Sie können den Löschschutz aktivieren, wenn Sie den Schlüsseltresor erstellen oder nachdem er erstellt wurde.

Azure Key Vault unterstützt die Autorisierung mit Azure RBAC über ein Azure RBAC-Berechtigungsmodell. Microsoft empfiehlt die Verwendung des Azure RBAC-Berechtigungsmodells gegenüber den Zugriffsrichtlinien für Schlüsseltresore. Weitere Informationen finden Sie unter Gewähren der Berechtigung zum Zugreifen auf einen Azure-Schlüsseltresor für Anwendungen mit Azure RBAC.

Azure portal

Informationen zum Erstellen eines Schlüsseltresors über das Azure-Portal finden Sie unter Schnellstart: Erstellen eines Schlüsseltresors über das Azure-Portal. Wenn Sie den Schlüsseltresor erstellen, wählen Sie Löschschutz aktivieren aus, wie in der folgenden Abbildung dargestellt.

Führen Sie die folgenden Schritte aus, um den Löschschutz für einen vorhandenen Schlüsseltresor zu aktivieren:

1. Navigieren Sie im Azure-Portal zu Ihrem Schlüsseltresor.
2. Wählen Sie unter Einstellungen die Option Eigenschaften aus.
3. Wählen Sie im Abschnitt Löschschutz die Option Löschschutz aktivieren aus.

PowerShell

Um einen neuen Schlüsseltresor mit PowerShell zu erstellen, installieren Sie Version 2.0.0 oder höher des PowerShell-Moduls Az.KeyVault. Rufen Sie dann New-AzKeyVault auf, um einen neuen Schlüsseltresor zu erstellen. Ab Version 2.0.0 des Az.KeyVault-Moduls ist das vorläufige Löschen standardmäßig aktiviert, wenn Sie einen neuen Schlüsseltresor erstellen.

Im folgenden Beispiel wird ein neuer Schlüsseltresor erstellt, der vor vorläufigen und endgültigen Löschvorgängen geschützt ist. Das Berechtigungsmodell des Schlüsseltresors ist auf die Verwendung von Azure RBAC festgelegt. Denken Sie daran, die Platzhalterwerte in den spitzen Klammern durch Ihre eigenen Werte zu ersetzen.

$rgName = "<resource_group>"
$location = "<location>"
$kvName = "<key-vault>"

$keyVault = New-AzKeyVault -Name $kvName `
    -ResourceGroupName $rgName `
    -Location $location `
    -EnablePurgeProtection `
    -EnableRbacAuthorization

Informationen zum Aktivieren des Löschschutzes für einen vorhandenen Schlüsseltresor mit PowerShell finden Sie unter Azure Key Vault-Wiederherstellungsverwaltung mit Schutz durch vorläufiges Löschen und Bereinigungsschutz.

Nachdem Sie den Schlüsseltresor erstellt haben, müssen Sie sich selbst die Rolle Key Vault-Kryptografiebeauftragter zuweisen. Mit dieser Rolle können Sie einen Schlüssel im Schlüsseltresor erstellen. Im folgenden Beispiel wird diese Rolle einem Benutzer zugewiesen, der auf den Bereich des Schlüsseltresors bezogen ist:

New-AzRoleAssignment -SignInName "<user-email>" `
    -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $keyVault.ResourceId

Weitere Informationen zum Zuweisen einer RBAC-Rolle mit PowerShell finden Sie unter Zuweisen von Azure-Rollen mithilfe von Azure PowerShell.

Azure-Befehlszeilenschnittstelle

Rufen Sie az keyvault create auf, um einen neuen Schlüsseltresor mit der Azure CLI zu erstellen. Im folgenden Beispiel wird ein neuer Schlüsseltresor erstellt, der vor vorläufigen und endgültigen Löschvorgängen geschützt ist. Das Berechtigungsmodell des Schlüsseltresors ist auf die Verwendung von Azure RBAC festgelegt. Denken Sie daran, die Platzhalterwerte in den spitzen Klammern durch Ihre eigenen Werte zu ersetzen.

rgName="<resource_group>"
location="<location>"
kvName="<key-vault>"

az keyvault create \
    --name $kvName \
    --resource-group $rgName \
    --location $location \
    --enable-purge-protection \
    --enable-rbac-authorization

Informationen zum Aktivieren des Löschschutzes für einen vorhandenen Schlüsseltresor mit der Azure CLI finden Sie unter Azure Key Vault-Wiederherstellungsverwaltung mit Schutz durch vorläufiges Löschen und Bereinigungsschutz.

Nachdem Sie den Schlüsseltresor erstellt haben, müssen Sie sich selbst die Rolle Key Vault-Kryptografiebeauftragter zuweisen. Mit dieser Rolle können Sie einen Schlüssel im Schlüsseltresor erstellen. Im folgenden Beispiel wird diese Rolle einem Benutzer zugewiesen, der auf den Bereich des Schlüsseltresors bezogen ist:

kvResourceId=$(az keyvault show --resource-group $rgName \
    --name $kvName \
    --query id \
    --output tsv)

az role assignment create --assignee "<user-email>" \
    --role "Key Vault Crypto Officer" \
    --scope $kvResourceId

Weitere Informationen zum Zuweisen einer RBAC-Rolle mit der Azure CLI finden Sie unter Zuweisen von Azure-Rollen mithilfe der Azure CLI.

Hinzufügen eines Schlüssels

Als Nächstes fügen Sie im Schlüsseltresor einen Schlüssel hinzu. Bevor Sie den Schlüssel hinzufügen, stellen Sie sicher, dass Sie sich selbst die Rolle Key Vault-Kryptografiebeauftragter zugewiesen haben.

Die Azure Storage-Verschlüsselung unterstützt RSA- und RSA-HSM-Schlüssel mit einer Größe von 2.048, 3.072 und 4.096 Bit. Weitere Informationen zu unterstützten Schlüsseltypen finden Sie unter Informationen zu Schlüsseln.

Azure portal

Informationen zum Hinzufügen eines Schlüssels über das Azure-Portal finden Sie unter Schnellstart: Festlegen und Abrufen eines Schlüssels aus Azure Key Vault mit dem Azure-Portal.

PowerShell

Um einen Schlüssel mit PowerShell hinzuzufügen, rufen Sie Add-AzKeyVaultKey auf. Denken Sie daran, die Platzhalterwerte in Klammern durch Ihre eigenen Werte zu ersetzen und die in den vorherigen Beispielen definierten Variablen zu verwenden.

$keyName = "<key-name>"

$key = Add-AzKeyVaultKey -VaultName $keyVault.VaultName `
    -Name $keyName `
    -Destination 'Software'

Azure-Befehlszeilenschnittstelle

Um einen Schlüssel mit der Azure CLI hinzuzufügen, rufen Sie az keyvault key create auf. Denken Sie daran, die Platzhalterwerte in den spitzen Klammern durch Ihre eigenen Werte zu ersetzen.

keyName="<key-name>"

az keyvault key create \
    --name $keyName \
    --vault-name $kvName

Auswählen einer verwalteten Identität zum Autorisieren des Zugriffs auf den Schlüsseltresor

Wenn Sie kundenseitig verwaltete Schlüssel für ein vorhandenes Speicherkonto aktivieren, müssen Sie eine verwaltete Identität angeben, mit der der Zugriff auf den Schlüsseltresor autorisiert wird, der den Schlüssel enthält. Die verwaltete Identität muss über Berechtigungen für den Zugriff auf den Schlüssel im Schlüsseltresor verfügen.

Bei der verwalteten Identität, die den Zugriff auf den Schlüsseltresor autorisiert, kann es sich um eine benutzerseitig oder systemseitig zugewiesene verwaltete Identität handeln. Informationen zu systemseitig zugewiesenen und benutzerseitig zugewiesenen verwalteten Identitäten finden Sie unter Arten von verwalteten Identitäten.

Verwenden einer benutzerseitig zugewiesenen verwalteten Identität zum Autorisieren des Zugriffs

Wenn Sie kundenseitig verwaltete Schlüssel für ein neues Speicherkonto aktivieren, müssen Sie eine benutzerseitig zugewiesene verwaltete Identität angeben. Ein vorhandenes Speicherkonto unterstützt entweder eine benutzerseitig zugewiesene verwaltete Identität oder eine systemseitig zugewiesene verwaltete Identität zur Konfiguration kundenseitig verwalteter Schlüssel.

Wenn Sie kundenseitig verwaltete Schlüssel mit einer benutzerseitig zugewiesenen verwalteten Identität konfigurieren, wird die benutzerseitig zugewiesene verwaltete Identität verwendet, um den Zugriff auf den Schlüsseltresor zu autorisieren, der den Schlüssel enthält. Sie müssen die benutzerseitig zugewiesene Identität erstellen, bevor Sie kundenseitig verwaltete Schlüssel konfigurieren.

Eine benutzerseitig zugewiesene verwaltete Identität ist eine eigenständige Azure-Ressource. Weitere Informationen zu benutzerseitig zugewiesenen verwalteten Identitäten finden Sie unter Arten von verwalteten Identitäten. Informationen zum Erstellen und Verwalten einer benutzerseitig zugewiesenen verwalteten Identität finden Sie unter Benutzerseitig zugewiesene verwaltete Identitäten verwalten.

Die benutzerseitig zugewiesene verwaltete Identität muss über Berechtigungen für den Zugriff auf den Schlüssel in dem Schlüsseltresor verfügen. Weisen Sie der benutzerseitig zugewiesenen verwalteten Identität im Bereich des Schlüsseltresors die Rolle Key Vault Crypto Service Encryption-Benutzer zu, um diese Berechtigungen zu gewähren.

Azure portal

Bevor Sie kundenseitig verwaltete Schlüssel mit einer benutzerseitig zugewiesenen verwalteten Identität konfigurieren können, müssen Sie der benutzerseitig zugewiesenen verwalteten Identität die Rolle Key Vault Crypto Service Encryption-Benutzer zuweisen, die auf den Bereich des Schlüsseltresors bezogen ist. Mit dieser Rolle werden der benutzerseitig zugewiesenen verwalteten Identität Berechtigungen für den Zugriff auf den Schlüssel im Schlüsseltresor gewährt. Weitere Informationen zum Zuweisen von Azure RBAC-Rollen im Azure-Portal finden Sie unter Zuweisen von Azure-Rollen über das Azure-Portal.

Wenn Sie kundenseitig verwaltete Schlüssel über das Azure-Portal konfigurieren, können Sie über die Portalbenutzeroberfläche eine vorhandene benutzerseitig zugewiesene Identität auswählen.

PowerShell

Im folgenden Beispiel wird gezeigt, wie Sie die benutzerseitig zugewiesene verwaltete Identität abrufen und ihr die erforderliche RBAC-Rolle zuweisen, die auf den Bereich des Schlüsseltresors bezogen ist. Denken Sie daran, die Platzhalterwerte in Klammern durch Ihre eigenen Werte zu ersetzen und die in den vorherigen Beispielen definierten Variablen zu verwenden:

$userIdentity = Get-AzUserAssignedIdentity -Name <user-assigned-identity> `
    -ResourceGroupName $rgName

$principalId = $userIdentity.PrincipalId

New-AzRoleAssignment -ObjectId $principalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

Azure-Befehlszeilenschnittstelle

Im folgenden Beispiel wird gezeigt, wie Sie die benutzerseitig zugewiesene verwaltete Identität abrufen und ihr die erforderliche RBAC-Rolle zuweisen, die auf den Bereich des Schlüsseltresors bezogen ist. Denken Sie daran, die Platzhalterwerte in Klammern durch Ihre eigenen Werte zu ersetzen und die in den vorherigen Beispielen definierten Variablen zu verwenden:

identityResourceId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query id \
    --output tsv)

principalId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query principalId \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId \
    --assignee-principal-type ServicePrincipal

Verwenden einer systemseitig zugewiesenen verwalteten Identität zum Autorisieren des Zugriffs

Eine systemseitig zugewiesene verwaltete Identität ist einer Instanz eines Azure-Diensts zugeordnet, in diesem Fall einem Azure Storage-Konto. Sie müssen einem Speicherkonto explizit eine systemseitig zugewiesene verwaltete Identität zuweisen, bevor Sie mit der systemseitig zugewiesenen verwalteten Identität den Zugriff auf den Schlüsseltresor autorisieren können, der Ihren kundenseitig verwalteten Schlüssel enthält.

Nur vorhandene Speicherkonten können eine systemseitig zugewiesene Identität zum Autorisieren des Zugriffs auf den Schlüsseltresor verwenden. Neue Speicherkonten müssen eine benutzerseitig zugewiesene Identität verwenden, wenn kundenseitig verwaltete Schlüssel bei der Kontoerstellung konfiguriert werden.

Die systemseitig zugewiesene verwaltete Identität muss über Berechtigungen für den Zugriff auf den Schlüssel in dem Schlüsseltresor verfügen. Weisen Sie der systemseitig zugewiesenen verwalteten Identität im Bereich des Schlüsseltresors die Rolle Key Vault Crypto Service Encryption-Benutzer zu, um diese Berechtigungen zu gewähren.

Azure portal

Bevor Sie kundenseitig verwaltete Schlüssel mit einer systemseitig zugewiesenen verwalteten Identität konfigurieren können, müssen Sie der systemseitig zugewiesenen verwalteten Identität die Rolle Key Vault Crypto Service Encryption-Benutzer zuweisen, die auf den Bereich des Schlüsseltresors bezogen ist. Mit dieser Rolle werden der systemseitig zugewiesenen verwalteten Identität Berechtigungen für den Zugriff auf den Schlüssel im Schlüsseltresor gewährt. Weitere Informationen zum Zuweisen von Azure RBAC-Rollen im Azure-Portal finden Sie unter Zuweisen von Azure-Rollen über das Azure-Portal.

Wenn Sie über das Azure-Portal kundenseitig verwaltete Schlüssel mit einer systemseitig zugewiesenen verwalteten Identität konfigurieren, wird die systemseitig zugewiesene verwaltete Identität im Hintergrund dem Speicherkonto zugewiesen.

PowerShell

Rufen Sie zuerst Set-AzStorageAccount auf, um Ihrem Speicherkonto eine systemseitig zugewiesene verwaltete Identität zuzuweisen:

$accountName = "<storage-account>"

$storageAccount = Set-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -AssignIdentity

Weisen Sie als Nächstes der systemseitig zugewiesenen verwalteten Identität die erforderliche RBAC-Rolle zu, die auf den Schlüsseltresor zugeschnitten ist. Denken Sie daran, die Platzhalterwerte in Klammern durch Ihre eigenen Werte zu ersetzen und die in den vorherigen Beispielen definierten Variablen zu verwenden:

$principalId = $storageAccount.Identity.PrincipalId

New-AzRoleAssignment -ObjectId $storageAccount.Identity.PrincipalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

Azure-Befehlszeilenschnittstelle

Um den Zugriff auf den Schlüsseltresor mit einer vom System zugewiesenen verwalteten Identität zu authentifizieren, weisen Sie zunächst die vom System zugewiesene verwaltete Identität dem Speicherkonto zu, indem Sie az storage account update aufrufen:

accountName="<storage-account>"

az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --assign-identity

Weisen Sie als Nächstes der systemseitig zugewiesenen verwalteten Identität die erforderliche RBAC-Rolle zu, die auf den Schlüsseltresor zugeschnitten ist. Denken Sie daran, die Platzhalterwerte in Klammern durch Ihre eigenen Werte zu ersetzen und die in den vorherigen Beispielen definierten Variablen zu verwenden:

principalId=$(az storage account show --name $accountName \
    --resource-group $rgName \
    --query identity.principalId \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId

Konfigurieren von kundenseitig verwalteten Schlüsseln für ein vorhandenes Konto

Beim Konfigurieren der Verschlüsselung mit kundenseitig verwalteten Schlüsseln für ein vorhandenes Speicherkonto können Sie festlegen, dass die für die Azure Storage-Verschlüsselung verwendete Schlüsselversion automatisch aktualisiert wird, wenn im zugeordneten Schlüsseltresor eine neue Version verfügbar ist. Alternativ können Sie explizit eine Schlüsselversion angeben, die für die Verschlüsselung verwendet werden soll, bis die Schlüsselversion manuell aktualisiert wird.

Wenn die Schlüsselversion automatisch oder manuell geändert wird, ändert sich der Schutz des Stammverschlüsselungsschlüssels, aber die Daten in Ihrem Azure Storage-Konto bleiben jederzeit verschlüsselt. Es sind keine zusätzlichen Maßnahmen Ihrerseits erforderlich, um sicherzustellen, dass Ihre Daten geschützt sind. Das Rotieren der Schlüsselversion hat keine Auswirkungen auf die Leistung. Mit dem Rotieren der Schlüsselversion ist keine Downtime verbunden.

Sie können entweder eine systemseitig zugewiesene oder benutzerseitig zugewiesene verwaltete Identität verwenden, um den Zugriff auf den Schlüsseltresor zu autorisieren, wenn Sie kundenseitig verwaltete Schlüssel für ein vorhandenes Speicherkonto konfigurieren.

Hinweis

Um einen Schlüssel zu drehen, erstellen Sie eine neue Version des Schlüssels in Azure Key Vault. Azure Storage behandelt die Schlüsseldrehung nicht, somit müssen Sie die Drehung des Schlüssels im Schlüsseltresor verwalten. Sie können die automatische Drehung von Schlüsseln in Azure Key Vault konfigurieren oder den Schlüssel manuell drehen.

Konfigurieren der Verschlüsselung für die automatische Aktualisierung von Schlüsselversionen

Azure Storage kann den kundenseitig verwalteten Schlüssel, der für die Verschlüsselung verwendet wird, automatisch aktualisieren, um die neueste Schlüsselversion aus dem Schlüsseltresor zu verwenden. Azure Storage überprüft den Schlüsseltresor täglich auf eine neue Version des Schlüssels. Sobald eine neue Version verfügbar ist, beginnt Azure Storage automatisch mit der Verwendung der neuesten Version des Schlüssels für die Verschlüsselung.

Wichtig

Azure Storage überprüft den Schlüsseltresor nur einmal täglich auf eine neue Schlüsselversion. Wenn Sie einen Schlüssel drehen, warten Sie 24 Stunden, bevor Sie die ältere Version deaktivieren.

Azure portal

Führen Sie die folgenden Schritte aus, um kundenseitig verwaltete Schlüssel für ein vorhandenes Konto mit automatischer Aktualisierung der Schlüsselversion im Azure-Portal zu konfigurieren:

1. Navigieren Sie zum Speicherkonto.

2. Wählen Sie unter Sicherheit + Netzwerk die Option Verschlüsselung aus. Standardmäßig ist die Schlüsselverwaltung auf Von Microsoft verwaltete Schlüssel festgelegt, wie in der folgenden Abbildung dargestellt:

   

3. Wählen Sie die Option Kundenseitig verwaltete Schlüssel aus. Wenn das Konto zuvor für Kundenseitig verwaltete Schlüssel mit manueller Aktualisierung der Schlüsselversion konfiguriert wurde, wählen Sie am unteren Seitenrand die Option Schlüssel ändern aus.

4. Wählen Sie die Option Select from Key Vault (Aus Schlüsseltresor wählen).

5. Wählen Sie Schlüsseltresor und Schlüssel auswählen aus.

6. Wählen Sie den Schlüsseltresor mit dem Schlüssel aus, den Sie verwenden möchten. Sie können auch einen neuen Schlüsseltresor erstellen.

7. Wählen Sie den Schlüssel aus dem Schlüsseltresor aus. Sie können auch einen neuen Schlüssel erstellen.

   

8. Wählen Sie den Identitätstyp aus, mit dem der Zugriff auf den Schlüsseltresor authentifiziert werden soll. Zu den Optionen gehören System zugewiesen (Standard) oder Benutzer zugewiesen. Weitere Informationen zu den einzelnen Typen von verwalteten Identitäten finden Sie unter Verwaltete Identitätstypen.

   1. Wenn Sie System zugewiesen auswählen, wird die vom System zugewiesene verwaltete Identität für das Speicherkonto unter den Hüllen erstellt, sofern sie nicht bereits vorhanden ist.
   2. Wenn Sie Benutzer zugewiesen auswählen, müssen Sie eine vorhandene Benutzer zugewiesene Identität auswählen, die über Berechtigungen für den Zugriff auf den Schlüsseltresor verfügt. Informationen zum Erstellen einer nutzerzugewiesenen Identität finden Sie unter Nutzerzugewiesene verwaltete Identitäten verwalten.

   

9. Speichern Sie die Änderungen.

Nachdem Sie den Schlüssel angegeben haben, sehen Sie im Azure-Portal, dass die automatische Aktualisierung der Schlüsselversion aktiviert ist. Außerdem wird die Schlüsselversion angezeigt, die derzeit für die Verschlüsselung verwendet wird. Im Portal werden auch der Typ der verwalteten Identität, mit der der Zugriff auf den Schlüsseltresor autorisiert wird, und die Prinzipal-ID für die verwaltete Identität angezeigt.

PowerShell

Um kundenseitig verwaltete Schlüssel für ein vorhandenes Konto mit automatischer Aktualisierung der Schlüsselversion mit PowerShell zu konfigurieren, installieren Sie das Modul Az.Storage, Version 2.0.0 oder höher.

Rufen Sie als Nächstes Set-AzStorageAccount auf, um die Verschlüsselungseinstellungen des Speicherkontos zu aktualisieren. Fügen Sie den Parameter KeyvaultEncryption ein, um kundenseitig verwaltete Schlüssel für das Speicherkonto zu aktivieren, und legen Sie KeyVersion auf eine leere Zeichenfolge fest, um die automatische Aktualisierung der Schlüsselversion zu aktivieren. Wenn das Speicherkonto zuvor für kundenseitig verwaltete Schlüssel mit einer bestimmten Schlüsselversion konfiguriert war, ermöglicht das Festlegen der Schlüsselversion auf eine leere Zeichenfolge die künftige automatische Aktualisierung der Schlüsselversion.

$accountName = "<storage-account>"

# Use this form of the command with a user-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyvaultEncryption `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion "" `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

# Use this form of the command with a system-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -KeyvaultEncryption `
    -KeyName $key.Name `
    -KeyVersion "" `
    -KeyVaultUri $keyVault.VaultUri

Azure-Befehlszeilenschnittstelle

Um kundenseitig verwaltete Schlüssel für ein vorhandenes Konto mit automatischer Aktualisierung der Schlüsselversion mit der Azure CLI zu konfigurieren, installieren Sie Azure CLI, Version 2.4.0 oder höher. Weitere Informationen finden Sie unter Installieren der Azure-Befehlszeilenschnittstelle.

Rufen Sie als Nächstes az storage account update auf, um die Verschlüsselungseinstellungen des Speicherkontos zu aktualisieren. Fügen Sie den Parameter --encryption-key-source ein, und legen Sie ihn auf Microsoft.Keyvault fest, um kundenseitig verwaltete Schlüssel für das Konto zu aktivieren. Legen Sie encryption-key-version auf eine leere Zeichenfolge fest, um die automatische Aktualisierung der Schlüsselversion zu aktivieren. Wenn das Speicherkonto zuvor für kundenseitig verwaltete Schlüssel mit einer bestimmten Schlüsselversion konfiguriert war, ermöglicht das Festlegen der Schlüsselversion auf eine leere Zeichenfolge die künftige automatische Aktualisierung der Schlüsselversion.

accountName="<storage-account>"

keyVaultUri=$(az keyvault show \
    --name $kvName \
    --resource-group $rgName \
    --query properties.vaultUri \
    --output tsv)

# Use this form of the command with a user-assigned managed identity.
az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-name $keyName \
    --encryption-key-version "" \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $keyVaultUri \
    --key-vault-user-identity-id $identityResourceId

# Use this form of the command with a system-assigned managed identity.
az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --encryption-key-name $keyName \
    --encryption-key-version "" \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $keyVaultUri

Konfigurieren der Verschlüsselung für die manuelle Aktualisierung von Schlüsselversionen

Wenn Sie die Schlüsselversion manuell aktualisieren möchten, geben Sie die Version explizit an, wenn Sie die Verschlüsselung mit kundenseitig verwalteten Schlüsseln konfigurieren. In diesem Fall aktualisiert Azure Storage die Schlüsselversion nicht automatisch, wenn eine neue Version im Schlüsseltresor erstellt wird. Um eine neue Schlüsselversion zu verwenden, müssen Sie die für die Azure Storage-Verschlüsselung verwendete Version manuell aktualisieren.

Azure portal

Um kundenseitig verwaltete Schlüssel mit der manuellen Aktualisierung der Schlüsselversion im Azure-Portal zu konfigurieren, geben Sie den Schlüssel-URI einschließlich der Version an. Gehen Sie wie folgt vor, um einen Schlüssel als URI anzugeben:

1. Um den Schlüssel-URI im Azure-Portal anzuzeigen, navigieren Sie zu Ihrem Schlüsseltresor, und wählen die Einstellung Schlüssel aus. Wählen Sie den gewünschten Schlüssel aus, und klicken Sie darauf, um dessen Versionen anzuzeigen. Wählen Sie eine Schlüsselversion aus, um die Einstellungen für diese Version anzuzeigen.

2. Kopieren Sie den Wert im Feld Schlüsselbezeichner, das den URI enthält.

   

3. Wählen Sie in den Einstellungen für den Verschlüsselungsschlüssel für Ihr Speicherkonto die Option Schlüssel-URI eingeben aus.

4. Fügen Sie den kopierten URI in das Feld Schlüssel-URI ein. Lassen Sie die Schlüsselversion aus dem URI aus, um eine automatische Aktualisierung der Schlüsselversion zu ermöglichen.

   

5. Geben Sie das Abonnement an, das den Schlüsseltresor enthält.

6. Geben Sie entweder eine vom System oder vom Benutzer zugewiesene verwaltete Identität an.

7. Speichern Sie die Änderungen.

PowerShell

Um kundenseitig verwaltete Schlüssel mit der manuellen Aktualisierung der Schlüsselversion zu konfigurieren, geben Sie die Schlüsselversion explizit an, wenn Sie die Verschlüsselung für das Speicherkonto konfigurieren. Rufen Sie Set-AzStorageAccount auf, um die Verschlüsselungseinstellungen des Speicherkontos zu aktualisieren, wie im folgenden Beispiel gezeigt, und fügen Sie die Option -KeyvaultEncryption ein, um kundenseitig verwaltete Schlüssel für das Speicherkonto zu aktivieren.

Denken Sie daran, die Platzhalterwerte in Klammern durch Ihre eigenen Werte zu ersetzen und die in den vorherigen Beispielen definierten Variablen zu verwenden.

$accountName = "<storage-account>"

# Use this form of the command with a user-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyvaultEncryption `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

# Use this form of the command with a system-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -KeyvaultEncryption `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version

Wenn Sie die Schlüsselversion manuell aktualisieren, müssen Sie die Verschlüsselungseinstellungen des Speicherkontos aktualisieren, damit die neue Version verwendet wird. Rufen Sie zunächst Get-AzKeyVaultKey auf, um die neueste Version des Schlüssels abzurufen. Rufen Sie dann Set-AzStorageAccount auf, um die Verschlüsselungseinstellungen des Speicherkontos zu aktualisieren, damit wie im vorherigen Beispiel gezeigt die neue Version des Schlüssels verwendet wird.

Azure-Befehlszeilenschnittstelle

Um kundenseitig verwaltete Schlüssel mit der manuellen Aktualisierung der Schlüsselversion zu konfigurieren, geben Sie die Schlüsselversion explizit an, wenn Sie die Verschlüsselung für das Speicherkonto konfigurieren. Rufen Sie az storage account update wie im folgenden Beispiel gezeigt auf, um die Verschlüsselungseinstellungen des Speicherkontos zu aktualisieren. Fügen Sie den Parameter --encryption-key-source ein, und legen Sie ihn auf Microsoft.Keyvault fest, um kundenseitig verwaltete Schlüssel für das Speicherkonto zu aktivieren.

Denken Sie daran, die Platzhalterwerte in den spitzen Klammern durch Ihre eigenen Werte zu ersetzen.

accountName="<storage-account>"

keyVaultUri=$(az keyvault show \
    --name $kvName \
    --resource-group $rgName \
    --query properties.vaultUri \
    --output tsv)

keyVersion=$(az keyvault key list-versions \
    --name $keyName \
    --vault-name $kvName \
    --query [-1].kid \
    --output tsv | cut -d '/' -f 6)

# Use this form of the command with a user-assigned managed identity
az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-name $keyName \
    --encryption-key-version $keyVersion \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $keyVaultUri \
    --key-vault-user-identity-id $identityResourceId

# Use this form of the command with a system-assigned managed identity
az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --encryption-key-name $keyName \
    --encryption-key-version $keyVersion \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $keyVaultUri

Wenn Sie die Schlüsselversion manuell aktualisieren, müssen Sie die Verschlüsselungseinstellungen des Speicherkontos aktualisieren, damit die neue Version verwendet wird. Rufen Sie zunächst az keyvault show zum Abfragen des Schlüsseltresor-URIs und az keyvault key list-versions zum Abfragen der Schlüsselversion auf. Rufen Sie dann az storage account update auf, um die Verschlüsselungseinstellungen des Speicherkontos zu aktualisieren, damit wie im vorherigen Beispiel gezeigt die neue Version des Schlüssels verwendet wird.

Ändern des Schlüssels

Sie können den Schlüssel, den Sie für die Azure Storage-Verschlüsselung verwenden, jederzeit ändern.

Hinweis

Wenn Sie den Schlüssel oder die Schlüsselversion ändern, ändert sich der Schutz des Stammverschlüsselungsschlüssels, die Daten in Ihrem Azure Storage-Konto bleiben jedoch zu jedem Zeitpunkt verschlüsselt. Es sind keine zusätzlichen Maßnahmen Ihrerseits erforderlich, um sicherzustellen, dass Ihre Daten geschützt sind. Das Ändern des Schlüssels oder das Rotieren der Schlüsselversion wirkt sich nicht auf die Leistung aus. Mit dem Ändern des Schlüssels oder dem Rotieren der Schlüsselversion ist keine Downtime verbunden.

Azure portal

Führen Sie die folgenden Schritte aus, um den Schlüssel im Azure-Portal zu ändern:

1. Navigieren Sie zu Ihrem Speicherkonto, und zeigen Sie die Einstellungen zur Verschlüsselung an.
2. Wählen Sie den Schlüsseltresor und dann einen neuen Schlüssel aus.
3. Speichern Sie die Änderungen.

PowerShell

Um den Schlüssel mit PowerShell zu ändern, rufen Sie Set-AzStorageAccount auf, und geben Sie den neuen Schlüsselnamen und die neue Version an. Wenn sich der neue Schlüssel in einem anderen Schlüsseltresor befindet, müssen Sie auch den Schlüsseltresor-URI aktualisieren.

Azure-Befehlszeilenschnittstelle

Um den Schlüssel mit der Azure CLI zu ändern, rufen Sie az storage account update auf, und geben Sie den neuen Schlüsselnamen und die neue Version an. Wenn sich der neue Schlüssel in einem anderen Schlüsseltresor befindet, müssen Sie auch den Schlüsseltresor-URI aktualisieren.

Wenn sich der neue Schlüssel in einem anderen Schlüsseltresor befindet, müssen Sie der verwalteten Identität Zugriff auf den Schlüssel im neuen Tresor gewähren. Wenn Sie sich für die manuelle Aktualisierung der Schlüsselversion entscheiden, müssen Sie auch den Schlüsseltresor-URI aktualisieren.

Widerrufen des Zugriffs auf ein Speicherkonto, das kundenseitig verwaltete Schlüssel verwendet

Wenn Sie den Zugriff auf ein Speicherkonto, das kundenseitig verwaltete Schlüssel verwendet, vorübergehend widerrufen möchten, deaktivieren Sie den Schlüssel, der zurzeit im Schlüsseltresor verwendet wird. Das Deaktivieren und erneute Aktivieren des Schlüssels hat keine Auswirkungen auf die Leistung und verursacht keine Downtime.

Nachdem der Schlüssel deaktiviert wurde, können Clients keine Vorgänge mehr aufrufen, bei denen Lese- oder Schreibvorgänge für ein Blob oder die zugehörigen Metadaten durchgeführt werden. Informationen dazu, welche Vorgänge nicht erfolgreich ausgeführt werden, finden Sie unter Widerrufen des Zugriffs auf ein Speicherkonto, das kundenseitig verwaltete Schlüssel verwendet.

Achtung

Wenn Sie den Schlüssel im Schlüsseltresor deaktivieren, bleiben die Daten in Ihrem Azure Storage-Konto verschlüsselt, sind jedoch nicht zugänglich, bis Sie den Schlüssel erneut aktivieren.

Azure portal

Führen Sie zum Deaktivieren eines kundenseitig verwalteten Schlüssels über das Azure-Portal die folgenden Schritte aus:

1. Navigieren Sie zu dem Schlüsseltresor, der den Schlüssel enthält.

2. Wählen Sie unter Objekte die Option Schlüssel aus.

3. Klicken Sie mit der rechten Maustaste auf den Schlüssel, und wählen Sie Deaktivieren aus.

   

PowerShell

Zum Widerrufen eines kundenseitig verwalteten Schlüssels mit PowerShell rufen Sie den Befehl Update-AzKeyVaultKey auf, wie im folgenden Beispiel gezeigt wird. Denken Sie daran, zum Definieren der Variablen die Platzhalterwerte in Klammern durch Ihre eigenen Werte zu ersetzen, oder verwenden Sie die in den vorhergehenden Beispielen definierten Variablen.

$kvName  = "<key-vault-name>"
$keyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it

# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $keyName -VaultName $kvName

# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $kvName -Name $keyName -Enable $enabled

Azure-Befehlszeilenschnittstelle

Zum Widerrufen eines kundenseitig verwalteten Schlüssels mit der Azure CLI rufen Sie den Befehl az keyvault key set-attributes auf, wie im folgenden Beispiel gezeigt wird. Denken Sie daran, zum Definieren der Variablen die Platzhalterwerte in Klammern durch Ihre eigenen Werte zu ersetzen, oder verwenden Sie die in den vorhergehenden Beispielen definierten Variablen.

kvName="<key-vault-name>"
keyName="<key-name>"
enabled="false"
# "false" to disable the key / "true" to enable it:

# Check the current state of the key (before and after enabling/disabling it)
az keyvault key show \
    --vault-name $kvName \
    --name $keyName

# Disable (or enable) the key
az keyvault key set-attributes \
    --vault-name $kvName \
    --name $keyName \
    --enabled $enabled

Zurückwechseln zu von Microsoft verwalteten Schlüsseln

Sie können jederzeit über das Azure-Portal, mit PowerShell oder der Azure CLI von kundenseitig verwalteten Schlüsseln zu von Microsoft verwalteten Schlüsseln zurückwechseln.

Azure portal

Führen Sie die folgenden Schritte aus, um im Azure-Portal von kundenseitig verwalteten Schlüsseln zu von Microsoft verwalteten Schlüsseln zurückzuwechseln:

1. Navigieren Sie zum Speicherkonto.

2. Wählen Sie unter Sicherheit + Netzwerk die Option Verschlüsselung aus.

3. Ändern Sie den Verschlüsselungstyp in von Microsoft verwaltete Schlüssel.

   

PowerShell

Wenn Sie mit PowerShell von kundenseitig verwalteten Schlüsseln zu von Microsoft verwalteten Schlüsseln zurückwechseln möchten, rufen Sie Set-AzStorageAccount mit der Option -StorageEncryption auf, wie im folgenden Beispiel gezeigt wird. Denken Sie daran, die Platzhalterwerte in Klammern durch Ihre eigenen Werte zu ersetzen und die in den vorherigen Beispielen definierten Variablen zu verwenden.

Set-AzStorageAccount -ResourceGroupName $storageAccount.ResourceGroupName `
    -AccountName $storageAccount.StorageAccountName `
    -StorageEncryption  

Azure-Befehlszeilenschnittstelle

Wenn Sie mit Azure CLI von kundenseitig verwalteten Schlüsseln zu von Microsoft verwalteten Schlüsseln zurückwechseln möchten, rufen Sie az storage account update auf, und legen Sie --encryption-key-source parameter auf Microsoft.Storage fest, wie im folgenden Beispiel gezeigt wird. Denken Sie daran, die Platzhalterwerte in Klammern durch Ihre eigenen Werte zu ersetzen und die in den vorherigen Beispielen definierten Variablen zu verwenden.

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-source Microsoft.Storage

Nächste Schritte

• Azure Storage encryption for data at rest (Azure Storage-Verschlüsselung für ruhende Daten)
• Kundenseitig verwaltete Schlüssel für die Azure Storage-Verschlüsselung
• Konfigurieren von kundenseitig verwalteten Schlüsseln in einem Azure-Schlüsseltresor für ein neues Speicherkonto