Das Cmdlet Set-AzStorageAccount ändert ein Azure Storage-Konto.
Mit diesem Cmdlet können Sie den Kontotyp ändern, eine Kundendomäne aktualisieren oder Tags für ein Speicherkonto festlegen.
Mit dem Befehl werden die benutzerdefinierte Domäne und Tags für ein Speicherkonto festgelegt.
Beispiel 5: Festlegen von Verschlüsselungsschlüsselquelle auf Keyvault
Set-AzStorageAccount -ResourceGroupName "MyResourceGroup" -Name "mystorageaccount" -AssignIdentity
$account = Get-AzStorageAccount -ResourceGroupName "MyResourceGroup" -Name "mystorageaccount"
$keyVault = New-AzKeyVault -VaultName "MyKeyVault" -ResourceGroupName "MyResourceGroup" -Location "EastUS2"
$key = Add-AzKeyVaultKey -VaultName "MyKeyVault" -Name "MyKey" -Destination 'Software'
Set-AzKeyVaultAccessPolicy -VaultName "MyKeyVault" -ObjectId $account.Identity.PrincipalId -PermissionsToKeys wrapkey,unwrapkey,get
# In case to enable key auto rotation, don't set KeyVersion
Set-AzStorageAccount -ResourceGroupName "MyResourceGroup" -Name "mystorageaccount" -KeyvaultEncryption -KeyName $key.Name -KeyVersion $key.Version -KeyVaultUri $keyVault.VaultUri
# In case to enable key auto rotation after set keyvault properties with KeyVersion, can update account by set KeyVersion to empty
Set-AzStorageAccount -ResourceGroupName "MyResourceGroup" -Name "mystorageaccount" -KeyvaultEncryption -KeyName $key.Name -KeyVersion "" -KeyVaultUri $keyVault.VaultUri
Dieser Befehl legt Verschlüsselungsschlüsselquelle mit einem neuen erstellten Keyvault fest.
Wenn Sie die automatische Drehung von Schlüsseln aktivieren möchten, legen Sie beim erstmaligen Festlegen von Keyvault-Eigenschaften keine Keyversion fest, oder bereinigen Sie sie erneut, indem Sie keyvault-Eigenschaften erneut mit keyversion als leer festlegen.
Beispiel 6: Festlegen der Verschlüsselungsschlüsselquelle auf "Microsoft.Storage"
Der Befehl aktualisiert ein Speicherkonto mit dem Typ "Storage" oder "BlobStorage" auf "StorageV2".
Beispiel 10: Aktualisieren eines Speicherkontos durch Aktivieren der Azure Files Microsoft Entra Domain Services-Authentifizierung und Festlegen von DefaultSharePermission.
Der Befehl aktualisiert ein Speicherkonto, indem azure Files Microsoft Entra Domain Services Authentication aktiviert wird.
Beispiel 11: Aktualisieren eines Speicherkontos durch Aktivieren der Active Directory-Domänendienstauthentifizierung für Dateien und Anzeigen der Einstellung "Dateiidentitätsbasierte Authentifizierung"
Der Befehl aktualisiert ein Speicherkonto, indem die Azure Files Active Directory Domain Service-Authentifizierung aktiviert wird, und zeigt dann die Einstellung "Dateiidentitätsbasierte Authentifizierung" an.
Beispiel 12: Festlegen von MinimumTlsVersion, AllowBlobPublicAccess und AllowSharedKeyAccess
Mit diesem Befehl wird ein Speicherkonto mit routingPreference-Einstellung aktualisiert: PublishMicrosoftEndpoint als "false", "PublishInternetEndpoint" als "true" und "RoutingChoice" als "MicrosoftRouting".
Beispiel 14: Aktualisieren eines Speicherkontos mit KeyExpirationPeriod und SasExpirationPeriod mit SasExpirationAction
Dieser Befehl aktualisiert ein Speicherkonto mit KeyExpirationPeriod und SasExpirationPeriod mit SasExpirationAction, und zeigt dann die aktualisierten kontobezogenen Eigenschaften an.
Beispiel 15: Aktualisieren eines Speicherkontos auf keyvault-Verschlüsselung und Zugreifen auf Keyvault mit der vom Benutzer zugewiesenen Identität
# Create KeyVault (no need if using exist keyvault)
$keyVault = New-AzKeyVault -VaultName $keyvaultName -ResourceGroupName $resourceGroupName -Location eastus2euap -EnablePurgeProtection
$key = Add-AzKeyVaultKey -VaultName $keyvaultName -Name $keyname -Destination 'Software'
# create user assigned identity and grant access to keyvault (no need if using exist user assigned identity)
$userId = New-AzUserAssignedIdentity -ResourceGroupName $resourceGroupName -Name $userIdName
Set-AzKeyVaultAccessPolicy -VaultName $keyvaultName -ResourceGroupName $resourceGroupName -ObjectId $userId.PrincipalId -PermissionsToKeys get,wrapkey,unwrapkey -BypassObjectIdValidation
$useridentityId= $userId.Id
# Update Storage account with Keyvault encryption and access Keyvault with user assigned identity, then show properties
$account = Set-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName `
-IdentityType UserAssigned -UserAssignedIdentityId $useridentityId `
-KeyVaultUri $keyVault.VaultUri -KeyName $keyname -KeyVaultUserAssignedIdentityId $useridentityId
$account.Encryption.EncryptionIdentity.EncryptionUserAssignedIdentity
/subscriptions/{subscription-id}/resourceGroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myuserid
$account.Encryption.KeyVaultProperties
KeyName : wrappingKey
KeyVersion :
KeyVaultUri : https://mykeyvault.vault.azure.net:443
CurrentVersionedKeyIdentifier : https://mykeyvault.vault.azure.net/keys/wrappingKey/8e74036e0d534e58b3bd84b319e31d8f
LastKeyRotationTimestamp : 4/12/2021 8:17:57 AM
Dieser Befehl erstellt zuerst einen Keyvault und eine vom Benutzer zugewiesene Identität und aktualisiert dann ein Speicherkonto mit Keyvault-Verschlüsselung, den Zugriffstastenzugriff auf den Speicherzugriff mit der vom Benutzer zugewiesenen Identität.
Beispiel 16: Aktualisieren eines verschlüsselten Keyvault-Speicherkontos von Access Keyvault mit zugewiesener Identität des Benutzers für den Zugriff auf Keyvault mit der vom System zugewiesenen Identität
# Assign System identity to the account, and give the system assigned identity access to the keyvault
$account = Set-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName -IdentityType SystemAssignedUserAssigned
Set-AzKeyVaultAccessPolicy -VaultName $keyvaultName -ResourceGroupName $resourceGroupName -ObjectId $account.Identity.PrincipalId -PermissionsToKeys get,wrapkey,unwrapkey -BypassObjectIdValidation
# Update account from access Keyvault with user assigned identity to access Keyvault with system assigned identity
$account = Set-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName -IdentityType SystemAssignedUserAssigned -KeyName $keyname -KeyVaultUri $keyvaultUri -KeyVaultUserAssignedIdentityId ""
# EncryptionUserAssignedIdentity is empty, so the account access keyvault with system assigned identity
$account.Encryption.EncryptionIdentity
EncryptionUserAssignedIdentity
------------------------------
$account.Encryption.KeyVaultProperties
KeyName : wrappingKey
KeyVersion :
KeyVaultUri : https://mykeyvault.vault.azure.net:443
CurrentVersionedKeyIdentifier : https://mykeyvault.vault.azure.net/keys/wrappingKey/8e74036e0d534e58b3bd84b319e31d8f
LastKeyRotationTimestamp : 4/12/2021 8:17:57 AM
Mit diesem Befehl wird dem Konto zuerst die Systemidentität zugewiesen und dem System der Schlüsselvault zugewiesene Identität zugewiesen; aktualisiert dann das Speicherkonto, um auf Keyvault mit der vom System zugewiesenen Identität zuzugreifen.
Beispiel 17: Aktualisieren von Keyvault und der vom Benutzer zugewiesenen Identität für den Zugriff auf Keyvault
# Update to another user assigned identity
$account = Set-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName -IdentityType SystemAssignedUserAssigned -UserAssignedIdentityId $useridentity2 -KeyVaultUserAssignedIdentityId $useridentity2
# Update to encrypt with another keyvault
$account = Set-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName -KeyVaultUri $keyvaultUri2 -KeyName $keyname2 -KeyVersion $keyversion2
Dieser Befehl aktualisiert zuerst die vom Benutzer zugewiesene Identität für den Zugriff auf keyvault, und aktualisieren Sie dann den Keyvault für die Verschlüsselung.
Um sowohl Keyvault als auch die vom Benutzer zugewiesene Identität zu aktualisieren, müssen wir mit den obigen 2 Schritten aktualisieren.
Beispiel 18: Aktualisieren eines Speicherkontos mit AllowCrossTenantReplication
Mit diesem Befehl wird ein Speicherkonto aktualisiert, indem "AllowCrossTenantReplication" auf "false" festgelegt wird, und dann die aktualisierten kontobezogenen Eigenschaften angezeigt werden.
Beispiel 18: Aktualisieren eines Speicherkontos durch Aktivieren von PublicNetworkAccess
Der Befehl aktualisiert die Richtlinieneigenschaften auf Kontoebene für ein vorhandenes Speicherkonto und zeigt das Ergebnis an.
Das Speicherkonto muss mit aktivierter Unveränderlichkeit auf Kontoebene mit Versionsverwaltung erstellt werden.
Die Unveränderlichkeitsrichtlinie auf Kontoebene wird geerbt und auf Objekte angewendet, die keine explizite Unveränderlichkeitsrichtlinie auf Objektebene besitzen.
Beispiel 20: Aktualisieren eines Speicherkontos durch Aktivieren von Sftp und localuser
Mit diesem Befehl wird ein Speicherkonto aktualisiert, indem Sftp und localuser aktiviert werden.
Um den Befehl erfolgreich auszuführen, sollte das Speicherkonto bereits den hierarchischen Namespace aktivieren.
Beispiel 21: Aktualisieren eines Speicherkontos mit Keyvault von einem anderen Mandanten (Access Keyvault mit FederatedClientId)
Mit diesem Befehl wird ein Speicherkonto aktualisiert, indem "EnableSmbOAuth" auf "true" festgelegt wird. Anschließend werden die aktualisierten kontobezogenen Eigenschaften angezeigt.
Beispiel 23: Aktualisieren eines Speicherkontos mit Zonenplatzierungsrichtlinie
Mit diesem Befehl wird ein Speicherkonto aktualisiert, indem "Zone" auf "1" und "ZonePlacementPolicy" auf "Any" festgelegt wird. Anschließend werden die aktualisierten kontobezogenen Eigenschaften angezeigt.
Beispiel 24: Aktivieren der Blob-Geoprioritätsreplikation für ein Speicherkonto
Mit diesem Befehl wird die Blob-Geoprioritätsreplikation für ein Speicherkonto aktiviert.
Parameter
-AccessTier
Gibt die Zugriffsebene des Speicherkontos an, das dieses Cmdlet ändert.
Die zulässigen Werte für diesen Parameter sind: Hot und Cool.
Wenn Sie die Zugriffsebene ändern, kann dies zu zusätzlichen Gebühren führen. Weitere Informationen finden Sie unter Azure Blob Storage: Hot and cool storage tiers.
Wenn das Speicherkonto "Kind" als "StorageV2" oder "BlobStorage" aufweist, können Sie den AccessTier-Parameter angeben.
Wenn das Speicherkonto "Typ" als Speicher aufweist, geben Sie nicht den AccessTier-Parameter an.
Gibt die Sicherheits-ID (SID) für Azure Storage an. Dieser Parameter muss festgelegt werden, wenn -EnableActiveDirectoryDomainServicesForFile auf "true" festgelegt ist.
Gibt die primäre Domäne an, für die der AD-DNS-Server autoritativ ist. Dieser Parameter muss festgelegt werden, wenn -EnableActiveDirectoryDomainServicesForFile auf "true" festgelegt ist.
Gibt die abzurufende Active Directory-Gesamtstruktur an. Dieser Parameter muss festgelegt werden, wenn -EnableActiveDirectoryDomainServicesForFile auf "true" festgelegt ist.
Legen Sie die Beschränkung der Kopie auf und von Speicherkonten in einem Microsoft Entra-Mandanten oder mit privaten Links zum gleichen VNet fest. Mögliche Werte sind: 'PrivateLink', 'AAD'
Gibt an, ob das Speicherkonto Die Autorisierung von Anforderungen mit dem Kontozugriffsschlüssel über freigegebenen Schlüssel zulässt. Wenn false, müssen alle Anforderungen, einschließlich freigegebener Zugriffssignaturen, mit Microsoft Entra-ID autorisiert werden. Der Standardwert ist NULL, was "true" entspricht.
Generieren und Zuweisen einer neuen Speicherkontoidentität für dieses Speicherkonto für die Verwendung mit schlüsselverwaltungsdiensten wie Azure KeyVault.
Gibt an, ob die Blobreplikation mit geografischer Priorität für das Speicherkonto aktiviert ist.
Dieses Feature bietet eine erweiterte Georeplikation mit Service Level Agreement für die Prioritätsreplikation zur Verbesserung der Wiederherstellungszeitziele (RTO).
Nur für georedundante Speicherkontotypen (GRS, GZRS, RAGRS, RAGZRS) verfügbar.
Gibt an, ob das Speicherkonto große Dateifreigaben mit mehr als 5 TiB-Kapazität unterstützen kann.
Nachdem das Konto aktiviert wurde, kann das Feature nicht deaktiviert werden.
Derzeit nur für LRS- und ZRS-Replikationstypen unterstützt, daher wären Kontokonvertierungen in georedundante Konten nicht möglich.
Weitere Informationen in https://go.microsoft.com/fwlink/?linkid=2086047
Legen Sie den neuen Speicherkontoidentitätstyp fest, die Identität ist für die Verwendung mit schlüsselverwaltungsdiensten wie Azure KeyVault vorgesehen.
Der Unveränderlichkeitszeitraum für die Blobs im Container seit der Richtlinienerstellung in Tagen.
Diese Eigenschaft kann nur geändert werden, wenn das Konto mit "-EnableAccountLevelImmutability" erstellt wird.
Der Modus der Richtlinie. Mögliche Werte sind: 'Unlocked', 'Locked', 'Disabled.
Der Status "Deaktiviert" deaktiviert die Richtlinie.
Der entsperrte Zustand ermöglicht die Erhöhung und Verringerung der Unveränderlichkeit der Aufbewahrungszeit und ermöglicht außerdem das Umschalten der AllowProtectedAppendWrites-Eigenschaft.
Der gesperrte Zustand ermöglicht nur die Erhöhung der Unveränderlichkeitsaufbewahrungszeit.
Eine Richtlinie kann nur in einem Status "Deaktiviert" oder "Entsperrt" erstellt werden und kann zwischen den beiden Zuständen umgeschaltet werden. Nur eine Richtlinie in einem nicht gesperrten Zustand kann zu einem gesperrten Zustand wechseln, der nicht wiederhergestellt werden kann.
Diese Eigenschaft kann nur geändert werden, wenn das Konto mit "-EnableAccountLevelImmutability" erstellt wird.
Gibt an, ob Microsoft KeyVault für die Verschlüsselungsschlüssel bei Verwendung der Speicherdienstverschlüsselung verwendet werden soll.
Wenn KeyName, KeyVersion und KeyVaultUri alle festgelegt sind, wird KeySource auf Microsoft.Keyvault festgelegt, ob dieser Parameter festgelegt ist oder nicht.
Legen Sie die ClientId der mehrinstanzenfähigen Anwendung fest, die in Verbindung mit der vom Benutzer zugewiesenen Identität für mandantenübergreifende serverseitige Verschlüsselung mit vom Kunden verwalteten Schlüsseln auf dem Speicherkonto verwendet werden soll.
Wenn Sie die Key Vault-Verschlüsselung verwenden, indem Sie den parameter -KeyvaultEncryption angeben, verwenden Sie diese Option, um den URI für den Key Vault anzugeben.
Legen Sie die Ressourcen-ID für die vom Benutzer zugewiesene Identität fest, die für den Zugriff auf Azure KeyVault der Speicherkontoverschlüsselung verwendet wird, die ID muss sich in der UserAssignIdentityId des Speicherkontos befinden.
Wenn Sie die Key Vault-Verschlüsselung verwenden, indem Sie den parameter -KeyvaultEncryption angeben, verwenden Sie diese Option, um den URI für die Schlüsselversion anzugeben.
NetworkRuleSet wird verwendet, um eine Reihe von Konfigurationsregeln für Firewalls und virtuelle Netzwerke zu definieren sowie Werte für Netzwerkeigenschaften wie Dienste festzulegen, die die Regeln umgehen dürfen und wie Anforderungen behandelt werden, die keiner der definierten Regeln entsprechen.
Die Aktion, die ausgeführt werden soll, wenn SasExpirationPeriod verletzt wird. Die Aktion "Protokoll" kann für Überwachungszwecke verwendet werden, und die Aktion "Blockieren" kann verwendet werden, um die Verwendung von SAS-Token zu blockieren und zu verweigern, die nicht dem Ablaufzeitraum der Sas-Richtlinie entsprechen.
StandardV2_LRS – Lokal redundanter Speicher für die Dateibereitstellung v2.
StandardV2_GRS – Georedundanter Speicher für die Dateibereitstellung v2.
StandardV2_ZRS – Zonenredundanter Speicher für die Dateibereitstellung v2.
StandardV2_GZRS – Geo-redundanter zonenredundanter Speicher für die Dateibereitstellung v2.
PremiumV2_LRS – Lokal redundanter Premium-Speicher für die Dateibereitstellung v2.
PremiumV2_ZRS – Premium zonenredundanter Speicher für die Dateibereitstellung v2.
Sie können Standard_ZRS und Premium_LRS Typen nicht in andere Kontotypen ändern.
Sie können andere Kontotypen nicht in Standard_ZRS oder Premium_LRS ändern.
Legen Sie Ressourcen-IDs für die neue zugewiesene Identität des Speicherkontos fest, die Identität wird mit schlüsselverwaltungsdiensten wie Azure KeyVault verwendet.
Dieses Cmdlet unterstützt die allgemeinen Parameter -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutBuffer, -OutVariable, -PipelineVariable, -ProgressAction, -Verbose, -WarningAction und -WarningVariable. Weitere Informationen findest du unter about_CommonParameters.
Die Quelle für diesen Inhalt finden Sie auf GitHub, wo Sie auch Issues und Pull Requests erstellen und überprüfen können. Weitere Informationen finden Sie in unserem Leitfaden für Mitwirkende.
