Add-AzKeyVaultManagedStorageAccount

  • Referenz
Modul:
Az.KeyVault

Fügt dem angegebenen Schlüsseltresor ein vorhandenes Azure Storage-Konto hinzu, damit seine Schlüssel vom Key Vault-Dienst verwaltet werden.

Syntax

Add-AzKeyVaultManagedStorageAccount
   [-VaultName] <String>
   [-AccountName] <String>
   [-AccountResourceId] <String>
   [-ActiveKeyName] <String>
   [-DisableAutoRegenerateKey]
   [-RegenerationPeriod <TimeSpan>]
   [-Disable]
   [-Tag <Hashtable>]
   [-DefaultProfile <IAzureContextContainer>]
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]

Beschreibung

Richtet ein vorhandenes Azure Storage-Konto mit Key Vault für Speicherkontoschlüssel ein, die vom Key Vault verwaltet werden sollen. Das Speicherkonto muss bereits vorhanden sein. Die Speicherschlüssel werden niemals für den Anrufer verfügbar gemacht. Key Vault generiert und wechselt den aktiven Schlüssel basierend auf dem Regenerationszeitraum automatisch. Eine Übersicht über dieses Feature finden Sie unter azure Key Vault verwaltetes Speicherkonto – PowerShell .

Beispiele

Beispiel 1: Festlegen eines Azure Storage-Kontos mit Key Vault zum Verwalten seiner Schlüssel

$storage = Get-AzStorageAccount -ResourceGroupName "mystorageResourceGroup" -StorageAccountName "mystorage"
$servicePrincipal = Get-AzADServicePrincipal -ServicePrincipalName cfa8b339-82a2-471a-a3c9-0fc0be7a4093
New-AzRoleAssignment -ObjectId $servicePrincipal.Id -RoleDefinitionName 'Storage Account Key Operator Service Role' -Scope $storage.Id
$userPrincipalId = $(Get-AzADUser -SearchString "developer@contoso.com").Id
Set-AzKeyVaultAccessPolicy -VaultName $keyVaultName -ObjectId $userPrincipalId -PermissionsToStorage get, set
$regenerationPeriod = [System.Timespan]::FromDays(90)
Add-AzKeyVaultManagedStorageAccount -VaultName 'myvault' -AccountName 'mystorageaccount' -AccountResourceId '/subscriptions/<subscription id>/resourceGroups/myresourcegroup/providers/Microsoft.Storage/storageAccounts/mystorageaccount' -ActiveKeyName 'key1' -RegenerationPeriod $regenerationPeriod

Id                  : https://myvault.vault.azure.net:443/storage/mystorageaccount
Vault Name          : myvault
AccountName         : mystorageaccount
Account Resource Id : /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx/resourceGroups/myrg/providers/Microsoft.St
                      orage/storageAccounts/mystorageaccount
Active Key Name     : key1
Auto Regenerate Key : True
Regeneration Period : 90.00:00:00
Enabled             : True
Created             : 5/21/2018 11:55:58 PM
Updated             : 5/21/2018 11:55:58 PM
Tags                :

Legt ein Speicherkonto mit Key Vault fest, damit seine Schlüssel vom Key Vault verwaltet werden. Der aktive Schlüsselsatz ist "key1". Dieser Schlüssel wird verwendet, um SAS-Token zu generieren. Der Schlüsseltresor generiert "key2" nach dem Regenerationszeitraum ab dem Zeitpunkt dieses Befehls neu und legt ihn als aktiven Schlüssel fest. Dieser automatische Regenerationsprozess wird zwischen "key1" und "key2" mit einer Lücke von 90 Tagen fortgesetzt.

Beispiel 2: Festlegen eines klassischen Azure Storage-Kontos mit Key Vault zum Verwalten seiner Schlüssel

$regenerationPeriod = [System.Timespan]::FromDays(90)
Add-AzKeyVaultManagedStorageAccount -VaultName 'myvault' -AccountName 'mystorageaccount' -AccountResourceId '/subscriptions/<subscription id>/resourceGroups/myresourcegroup/providers/Microsoft.ClassicStorage/storageAccounts/mystorageaccount' -ActiveKeyName 'Primary' -RegenerationPeriod $regenerationPeriod

Id                  : https://myvault.vault.azure.net:443/storage/mystorageaccount
Vault Name          : myvault
AccountName         : mystorageaccount
Account Resource Id : /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx/resourceGroups/myvault/providers/Microsoft.Cl
                      assicStorage/storageAccounts/mystorageaccount
Active Key Name     : Primary
Auto Regenerate Key : True
Regeneration Period : 90.00:00:00
Enabled             : True
Created             : 5/21/2018 11:55:58 PM
Updated             : 5/21/2018 11:55:58 PM
Tags                :

Legt ein klassisches Speicherkonto mit Key Vault fest, damit seine Schlüssel vom Key Vault verwaltet werden. Der aktive Schlüsselsatz ist "Primär". Dieser Schlüssel wird verwendet, um SAS-Token zu generieren. Der Schlüsseltresor generiert nach dem Regenerationszeitraum den Schlüssel "Sekundär" aus dem Zeitpunkt dieses Befehls und legt ihn als aktiven Schlüssel fest. Dieser automatische Regenerationsprozess wird zwischen "Primär" und "Sekundär" mit einer Lücke von 90 Tagen fortgesetzt.

Parameter

-AccountName

Name des vom Schlüsseltresor verwalteten Speicherkontos. Cmdlet erstellt den FQDN eines verwalteten Speicherkontonamens aus dem Tresornamen, der aktuell ausgewählten Umgebung und dem Namen des verwalteten Speicherkontos.

Type:String
Aliases:StorageAccountName, Name
Position:1
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False

-AccountResourceId

Azure-Ressourcen-ID des Speicherkontos.

Type:String
Aliases:StorageAccountResourceId
Position:2
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False

-ActiveKeyName

Name des Speicherkontoschlüssels, der zum Generieren von Sas-Token verwendet werden muss.

Type:String
Position:3
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False

-Confirm

Hiermit werden Sie vor der Ausführung des Cmdlets zur Bestätigung aufgefordert.

Type:SwitchParameter
Aliases:cf
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-DefaultProfile

Anmeldeinformationen, Konto, Mandant und Abonnement für die Kommunikation mit Azure

Type:IAzureContextContainer
Aliases:AzContext, AzureRmContext, AzureCredential
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-Disable

Deaktiviert die Verwendung des Schlüssels des verwalteten Speicherkontos für die Generierung von Sas-Token.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-DisableAutoRegenerateKey

Schlüssel automatisch neu generieren. Wenn true, wird der inaktive Schlüssel des verwalteten Speicherkontos automatisch neu generiert und nach dem Regenerationszeitraum zum neuen aktiven Schlüssel. Wenn "false" lautet, werden die Schlüssel des verwalteten Speicherkontos nicht automatisch neu generiert.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-RegenerationPeriod

Regenerationszeitraum. Wenn der Schlüssel automatisch neu generiert wird, gibt dieser Wert den Zeitbereich an, nach dem die inaktiven Keygets des verwalteten Speicherkontos automatisch neu generiert und zum neuen aktiven Schlüssel werden.

Type:Nullable<T>[TimeSpan]
Position:Named
Default value:None
Required:False
Accept pipeline input:True
Accept wildcard characters:False

-Tag

Schlüssel-Wert-Paare in Form einer Hashtabelle. Beispiel: @{key0="value0"; key1=$null; key2="value2"}

Type:Hashtable
Aliases:Tags
Position:Named
Default value:None
Required:False
Accept pipeline input:True
Accept wildcard characters:False

-VaultName

Name des Tresors. Cmdlet erstellt den FQDN eines Tresors basierend auf dem Namen und der aktuell ausgewählten Umgebung.

Type:String
Position:0
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False

-WhatIf

Zeigt, was geschieht, wenn das Cmdlet ausgeführt wird. Das Cmdlet wird nicht ausgeführt.

Type:SwitchParameter
Aliases:wi
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

Eingaben

String

Nullable<T>[[System.TimeSpan, System.Private.CoreLib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=7cec85d7bea7798e]]

Hashtable

Ausgaben

PSKeyVaultManagedStorageAccount