Configuración de claves administradas por el cliente en el mismo inquilino para una nueva cuenta de almacenamiento

Azure Storage cifra todos los datos de las cuentas de almacenamiento en reposo. De manera predeterminada, los datos se cifran con claves administradas por Microsoft. Para tener un mayor control sobre las claves de cifrado, puede administrar sus propias claves. Las claves administradas por el cliente deben estar almacenadas en Azure Key Vault o en el modelo de seguridad de hardware (HSM) administrado de Azure Key Vault.

En este artículo se muestra cómo configurar el cifrado con claves administradas por el cliente en el momento en que se crea una nueva cuenta de almacenamiento. Las claves administradas por el cliente se almacenan en un almacén de claves.

Para aprender a configurar claves administradas por el cliente para una cuenta de almacenamiento existente, consulte Configuración de claves administradas por el cliente en un almacén de claves de Azure para una cuenta de almacenamiento existente.

Nota:

Azure Key Vault y HSM administrado por Azure Key Vault admiten las mismas API e interfaces de administración para la configuración de claves administradas por el cliente. Cualquier acción que se admita para Azure Key Vault también se admite para HSM administrado por Azure Key Vault.

Configuración del almacén de claves

Puede usar un almacén de claves nuevo o existente para almacenar las claves administradas por el cliente. La cuenta de almacenamiento y el almacén de claves pueden estar en distintas regiones o suscripciones del mismo inquilino. Para más información sobre Azure Key Vault, consulte Introducción a Azure Key Vault y ¿Qué es Azure Key Vault?

El uso de claves administradas del cliente con el cifrado de Azure Storage requiere la eliminación temporal y la protección de purga estén habilitadas en el almacén de claves. La eliminación temporal está habilitada de manera predeterminada al crear un almacén de claves y no se puede deshabilitar. Puede habilitar la protección de purga cuando cree el almacén de claves o después de crearlo.

Azure Key Vault admite la autorización con Azure RBAC mediante un modelo de permisos de Azure RBAC. Microsoft recomienda usar el modelo de permisos de RBAC de Azure sobre las directivas de acceso del almacén de claves. Para más información, consulte Concesión de permisos a las aplicaciones para que accedan a una instancia de Azure Key Vault mediante Azure RBAC.

Azure Portal

Para obtener información sobre cómo crear un almacén de claves con Azure Portal, consulte Inicio rápido: Creación de un almacén de claves mediante Azure Portal. Al crear el almacén de claves, seleccione Habilitar protección de purga, como se muestra en la siguiente imagen.

Para habilitar la protección de purga en un almacén de claves existente, siga estos pasos:

1. Vaya al almacén de claves en Azure Portal.
2. En Configuración, elija Propiedades.
3. En la sección Protección de purga, elija Habilitar protección de purga.

PowerShell

Para crear un nuevo almacén de claves con PowerShell, instale la versión 2.0.0 o posterior del módulo Az.KeyVault de PowerShell. Luego llame a New-AzKeyVault para crear un nuevo almacén de claves. Con la versión 2.0.0 y posteriores del módulo Az.KeyVault, la eliminación temporal está habilitada de forma predeterminada cuando se crea un nuevo almacén de claves.

En el ejemplo siguiente se crea un nuevo almacén de claves con la eliminación temporal y la protección de purga habilitadas. El modelo de permisos del almacén de claves se establece para usar RBAC de Azure. No olvide reemplazar los valores del marcador de posición entre corchetes con sus propios valores.

$rgName = "<resource_group>"
$location = "<location>"
$kvName = "<key-vault>"

$keyVault = New-AzKeyVault -Name $kvName `
    -ResourceGroupName $rgName `
    -Location $location `
    -EnablePurgeProtection `
    -EnableRbacAuthorization

Para más información sobre cómo habilitar la protección de purga en un almacén de claves existente con PowerShell, consulte Introducción a la recuperación de Azure Key Vault.

Después de haber creado el almacén de claves, deberá asignarse el rol Agente criptográfico de Key Vault. Este rol permite crear una clave en el almacén de claves. En el ejemplo siguiente se asigna este rol a un usuario, con ámbito al almacén de claves:

New-AzRoleAssignment -SignInName "<user-email>" `
    -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $keyVault.ResourceId

Para más información sobre cómo asignar un rol RBAC con PowerShell, consulte Asignación de roles de Azure mediante Azure PowerShell.

CLI de Azure

Para crear un nuevo almacén de claves con la CLI de Azure, llame al comando az keyvault create. En el ejemplo siguiente se crea un nuevo almacén de claves con la eliminación temporal y la protección de purga habilitadas. El modelo de permisos del almacén de claves se establece para usar RBAC de Azure. No olvide reemplazar los valores del marcador de posición entre corchetes con sus propios valores.

rgName="<resource_group>"
location="<location>"
kvName="<key-vault>"

az keyvault create \
    --name $kvName \
    --resource-group $rgName \
    --location $location \
    --enable-purge-protection \
    --enable-rbac-authorization

Para más información sobre cómo habilitar la protección de purga en un almacén de claves existente con la CLI de Azure, consulte Introducción a la recuperación de Azure Key Vault.

Después de haber creado el almacén de claves, deberá asignarse el rol Agente criptográfico de Key Vault. Este rol permite crear una clave en el almacén de claves. En el ejemplo siguiente se asigna este rol a un usuario, con ámbito al almacén de claves:

kvResourceId=$(az keyvault show --resource-group $rgName \
    --name $kvName \
    --query id \
    --output tsv)

az role assignment create --assignee "<user-email>" \
    --role "Key Vault Crypto Officer" \
    --scope $kvResourceId

Para más información sobre cómo asignar un rol RBAC con CLI de Azure, consulte Asignación de roles de Azure mediante CLI de Azure.

Adición de una clave

A continuación, agregue una clave al almacén de claves. Antes de agregar la clave, asegúrese de que se le ha asignado el rol Key Vault Crypto Officer.

El cifrado de Azure Storage admite claves RSA y RSA-HSM de los tamaños 2048, 3072 y 4096. Para más información sobre los tipos de clave admitidos, consulte Acerca de las claves.

Azure Portal

Para obtener información sobre cómo agregar una clave con Azure Portal, consulte Inicio rápido: Establecimiento y recuperación de una clave de Azure Key Vault mediante Azure Portal.

PowerShell

Para agregar una clave con PowerShell, llame a Add-AzKeyVaultKey. Recuerde reemplazar los valores de marcador de posición entre corchetes por sus propios valores y usar las variables definidas en los ejemplos anteriores.

$keyName = "<key-name>"

$key = Add-AzKeyVaultKey -VaultName $keyVault.VaultName `
    -Name $keyName `
    -Destination 'Software'

CLI de Azure

Para agregar una clave con la CLI de Azure, llame a az keyvault key create. No olvide reemplazar los valores del marcador de posición entre corchetes con sus propios valores.

keyName="<key-name>"

az keyvault key create \
    --name $keyName \
    --vault-name $kvName

Uso de una identidad administrada asignada por el usuario para autorizar el acceso a un almacén de claves

Si habilita claves administradas por el cliente para una nueva cuenta de almacenamiento, debe especificar una identidad administrada asignada por el usuario. Si configura claves administradas por el cliente en una cuenta de almacenamiento existente, puede usar una identidad administrada asignada por el usuario o asignada por el sistema.

Al configurar claves administradas por el cliente con una identidad administrada asignada por el usuario, la identidad administrada asignada por el usuario se usa para autorizar el acceso al almacén de claves que contiene la clave. Debe crear la identidad asignada por el usuario antes de configurar las claves administradas por el cliente.

Se crea una identidad administrada asignada por el usuario como recurso de Azure independiente. Para más información sobre las identidades administradas asignadas por el usuario, consulte Tipos de identidad administrada. Para más información sobre cómo crear y administrar una identidad administrada asignada por el usuario, consulte Administración de identidades administradas asignadas por el usuario.

La identidad administrada asignada por el usuario debe tener los permisos para acceder a la clave en el almacén. Asigne el rol Usuario de cifrado del servicio criptográfico de Key Vault a la identidad administrada asignada por el usuario con el ámbito del almacén de claves para conceder estos permisos.

Azure Portal

Para poder configurar claves administradas por el cliente con una identidad administrada asignada por el usuario, debe asignar el rol de usuario de cifrado de servicios criptográficos Key Vault a la identidad administrada asignada por el usuario, con ámbito en el almacén de claves. Este rol concede los permisos de identidad administrada asignada por el usuario para acceder a la clave del almacén de claves. Para más información sobre cómo asignar roles de Azure RBAC con Azure Portal, consulte Asignación de roles de Azure mediante Azure Portal.

Al configurar las claves administradas por el cliente con Azure Portal, puede seleccionar una identidad asignada por el usuario existente mediante la interfaz de usuario del portal.

PowerShell

En el ejemplo siguiente se muestra cómo recuperar la identidad administrada asignada por el usuario y asignarla al rol RBAC necesario, con ámbito en el almacén de claves. Recuerde reemplazar los valores de marcador de posición entre corchetes por sus propios valores y usar las variables definidas en los ejemplos anteriores:

$userIdentity = Get-AzUserAssignedIdentity -Name <user-assigned-identity> `
    -ResourceGroupName $rgName

$principalId = $userIdentity.PrincipalId

New-AzRoleAssignment -ObjectId $principalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

CLI de Azure

En el ejemplo siguiente se muestra cómo recuperar la identidad administrada asignada por el usuario y asignarla al rol RBAC necesario, con ámbito en el almacén de claves. Recuerde reemplazar los valores de marcador de posición entre corchetes por sus propios valores y usar las variables definidas en los ejemplos anteriores:

identityResourceId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query id \
    --output tsv)

principalId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query principalId \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId \
    --assignee-principal-type ServicePrincipal

Configuración de claves administradas por el cliente para una nueva cuenta de almacenamiento

Al configurar el cifrado con claves administradas por el cliente para una nueva cuenta de almacenamiento, puede optar por actualizar automáticamente la versión de la clave que se usa para el cifrado de Azure Storage siempre que haya disponible una versión nueva en el almacén de claves asociado. Como alternativa, puede especificar explícitamente la versión de la clave que se usará para el cifrado hasta que la versión de la clave se actualice manualmente.

Debe usar una identidad administrada asignada por el usuario existente para autorizar el acceso al almacén de claves al configurar las claves administradas por el cliente cuando crea la cuenta de almacenamiento. La identidad administrada asignada por el usuario debe tener los permisos adecuados para acceder al almacén de claves. Para obtener más información, consulte Autenticar en Azure Key Vault.

Configuración del cifrado para la actualización automática de las versiones de clave

Azure Storage puede actualizar automáticamente la clave administrada por el cliente que se usa para el cifrado, de modo que se use la versión más reciente de esta del almacén de claves. Azure Storage comprueba el almacén de claves diariamente para obtener una nueva versión de la clave. Cuando hay disponible una versión nueva, Azure Storage empieza automáticamente a usar la versión más reciente de la clave para el cifrado.

Importante

Azure Storage comprueba solo una vez al día el almacén de claves para obtener una nueva versión de la clave. Al girar una clave, asegúrese de esperar 24 horas antes de deshabilitar la versión anterior.

Azure Portal

Para configurar las claves administradas por el cliente de una nueva cuenta de almacenamiento con la actualización automática de la versión de clave, siga estos pasos:

1. En Azure Portal, vaya a la página Cuentas de almacenamiento y seleccione el botón Crear para crear una cuenta.

2. Siga los pasos descritos en Crear una cuenta de almacenamiento para rellenar los campos de las pestañas Conceptos básicos, Opciones avanzadas, Redes y Protección de datos.

3. En la pestaña Cifrado, indique para qué servicios desea habilitar la compatibilidad con las claves administradas por el cliente en el campo Enable support for customer-managed keys (Habilitar la compatibilidad con claves administradas por el cliente).

4. En el campo Tipo de cifrado, seleccione Claves administradas por el cliente (CMK).

5. En el campo Clave de cifrado, elija Seleccionar una clave y un almacén de claves, y especifique la clave y el almacén de claves.

6. En el campo Identidad asignada por el usuario, seleccione una identidad administrada asignada por el usuario existente.

   

7. Seleccione el botón Revisar para ejecutar la validación y crear la cuenta.

También puede configurar las claves administradas por el cliente con la actualización manual de las versiones de la clave cuando crea una cuenta de almacenamiento. Siga los pasos que se indican en Configuración del cifrado para la actualización manual de las versiones de la clave.

PowerShell

Para configurar las claves administradas por el cliente para una nueva cuenta de almacenamiento con la actualización automática de las versiones de la clave, llame a New-AzStorageAccount, como se muestra en el ejemplo siguiente. Use la variable que creó anteriormente para el identificador de recurso de la identidad administrada asignada por el usuario. También necesitará el identificador URI del almacén de claves y el nombre de la clave:

$accountName = "<storage-account>"

New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Kind StorageV2 `
    -SkuName Standard_LRS `
    -Location $location `
    -AllowBlobPublicAccess $false `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

CLI de Azure

Para configurar las claves administradas por el cliente para una nueva cuenta de almacenamiento con la actualización automática de las versiones de la clave, llame a az storage account create, como se muestra en el ejemplo siguiente. Use la variable que creó anteriormente para el identificador de recurso de la identidad administrada asignada por el usuario. También necesitará el identificador URI del almacén de claves y el nombre de la clave:

accountName="<storage-account>"

az storage account create \
    --name $accountName \
    --resource-group $rgName \
    --location $location \
    --sku Standard_LRS \
    --kind StorageV2 \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-vault <key-vault-uri> \
    --encryption-key-name $keyName \
    --encryption-key-source Microsoft.Keyvault \
    --key-vault-user-identity-id $identityResourceId

Configuración del cifrado para la actualización manual de las versiones de la clave

Si prefiere actualizar manualmente la versión de la clave, especifique de manera explícita la versión cuando configure el cifrado con las claves administradas por el cliente al crear la cuenta de almacenamiento. En este caso, Azure Storage no actualizará automáticamente las versiones de la clave cuando se cree una nueva versión en el almacén de claves. Para usar una nueva versión de clave, debe actualizar manualmente la versión usada para el cifrado de Azure Storage.

Debe usar una identidad administrada asignada por el usuario existente para autorizar el acceso al almacén de claves al configurar las claves administradas por el cliente cuando crea la cuenta de almacenamiento. La identidad administrada asignada por el usuario debe tener los permisos adecuados para acceder al almacén de claves. Para obtener más información, consulte Autenticar en Azure Key Vault.

Azure Portal

Para configurar las claves administradas por el cliente con la actualización manual de la versión de clave en Azure Portal, especifique el URI de la clave, incluida la versión, al momento de crear la cuenta de almacenamiento. Para especificar una clave como URI, siga estos pasos:

1. En Azure Portal, vaya a la página Cuentas de almacenamiento y seleccione el botón Crear para crear una cuenta.

2. Siga los pasos descritos en Crear una cuenta de almacenamiento para rellenar los campos de las pestañas Conceptos básicos, Opciones avanzadas, Redes y Protección de datos.

3. En la pestaña Cifrado, indique para qué servicios desea habilitar la compatibilidad con las claves administradas por el cliente en el campo Enable support for customer-managed keys (Habilitar la compatibilidad con claves administradas por el cliente).

4. En el campo Tipo de cifrado, seleccione Claves administradas por el cliente (CMK).

5. Para buscar el URI de la clave en Azure Portal, vaya al almacén de claves y seleccione la opción de configuración Claves. Seleccione la clave cuyas versiones desee ver. Seleccione cualquiera de las versiones de clave para ver su configuración.

6. Copie el valor del campo Identificador de clave, que proporciona el URI.

   

7. En las opciones de Clave de cifrado de la cuenta de almacenamiento, elija la opción Escribir el URI de la clave.

8. Pegue el identificador URI que ha copiado en el campo URI de clave. Incluya la versión de la clave en el URI para configurar la actualización manual de la versión de la clave.

9. Para especificar una identidad administrada asignada por el usuario, elija el vínculo Seleccionar una identidad.

   

10. Seleccione el botón Revisar para ejecutar la validación y crear la cuenta.

PowerShell

Para configurar las claves administradas por el cliente con la actualización manual de la versión de la clave, indique de manera explícita la versión de la clave al configurar el cifrado cuando cree la cuenta de almacenamiento. Llame a Set-AzStorageAccount para actualizar la configuración de cifrado de la cuenta de almacenamiento, como se muestra en el ejemplo siguiente, e incluya la opción -KeyvaultEncryption para habilitar las claves administradas por el cliente para la cuenta de almacenamiento.

Recuerde reemplazar los valores de marcador de posición entre corchetes por sus propios valores y usar las variables definidas en los ejemplos anteriores.

$accountName = "<storage-account>"

New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Kind StorageV2 `
    -SkuName Standard_LRS `
    -Location $location `
    -AllowBlobPublicAccess $false `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

Al actualizar manualmente la versión de la clave, deberá actualizar la configuración de cifrado de la cuenta de almacenamiento para que use la nueva versión. En primer lugar, llame a Get-AzKeyVaultKey para obtener la versión más reciente de la clave. A continuación, llame a Set-AzStorageAccount para actualizar la configuración de cifrado de la cuenta de almacenamiento y así poder usar la nueva versión de la clave, tal como se muestra en el ejemplo anterior.

CLI de Azure

Para configurar las claves administradas por el cliente con la actualización manual de la versión de la clave, indique de manera explícita la versión de la clave al configurar el cifrado cuando cree la cuenta de almacenamiento. Llame a az storage account update para actualizar la configuración de cifrado de la cuenta de almacenamiento, como se muestra en el ejemplo siguiente. Incluya el parámetro --encryption-key-source y establézcalo en Microsoft.Keyvault para habilitar las claves administradas por el cliente para la cuenta.

No olvide reemplazar los valores del marcador de posición entre corchetes con sus propios valores.

accountName="<storage-account>"

key_vault_uri=$(az keyvault show \
    --name <key-vault> \
    --resource-group <resource_group> \
    --query properties.vaultUri \
    --output tsv)

key_version=$(az keyvault key list-versions \
    --name <key> \
    --vault-name <key-vault> \
    --query [-1].kid \
    --output tsv | cut -d '/' -f 6)

az storage account create \
    --name $accountName \
    --resource-group $rgName \
    --location $location \
    --sku Standard_LRS \
    --kind StorageV2 \
    --allow-blob-public-access false \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-vault $keyVaultUri \
    --encryption-key-name $keyName \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-version $keyVersion \
    --key-vault-user-identity-id $identityResourceId

Al actualizar manualmente la versión de la clave, deberá actualizar la configuración de cifrado de la cuenta de almacenamiento para que use la nueva versión. En primer lugar, consulte el URI del almacén de claves mediante una llamada a az keyvault show y, para la versión de la clave, llame a az keyvault key list-versions. Luego, llame a az storage account update para actualizar la configuración de cifrado de la cuenta de almacenamiento y así poder usar la nueva versión de la clave, tal como se muestra en el ejemplo anterior.

Cambio de la clave

Puede cambiar la clave que usa para el cifrado de Azure Storage en cualquier momento.

Nota:

Al cambiar la clave o la versión de la clave, la protección de la clave de cifrado raíz cambiará, pero los datos de la cuenta de Azure Storage seguirán cifrados en todo momento. No se requiere ninguna acción adicional por su parte para asegurarse de que los datos están protegidos. Cambiar la clave o rotar la versión de la clave no afectará al rendimiento. No hay tiempo de inactividad asociado al cambio de clave o a la rotación de la versión de la clave.

Azure Portal

Para cambiar la clave con Azure Portal, haga lo siguiente:

1. Vaya a la cuenta de almacenamiento y muestre las opciones de configuración de cifrado.
2. Seleccione el almacén de claves y elija una clave nueva.
3. Guarde los cambios.

PowerShell

Para cambiar la clave con PowerShell, llame a Set-AzStorageAccount y proporcione el nombre y la versión de la nueva clave. Si la nueva clave se encuentra en otro almacén de claves, tiene que actualizar también el URI del almacén de claves.

CLI de Azure

Para cambiar la clave con la CLI de Azure, llame a az storage account update y proporcione el nombre y la versión de la nueva clave. Si la nueva clave se encuentra en otro almacén de claves, tiene que actualizar también el URI del almacén de claves.

Si la nueva clave está en otro almacén de claves, debe conceder a la identidad administrada acceso a la clave en el nuevo almacén. Si elige la actualización manual de la versión de la clave, también deberá actualizar el URI del almacén de claves.

Revocar el acceso a una cuenta de almacenamiento que usa claves administradas por el cliente

Para revocar temporalmente el acceso a una cuenta de almacenamiento que usa claves administradas por el cliente, deshabilite la clave que se usa actualmente en el almacén de claves. No hay ningún impacto en el rendimiento ni en el tiempo de inactividad asociados con deshabilitar y volver a habilitar la clave.

Después de deshabilitar la clave, los clientes no pueden llamar a las operaciones que leen o escriben en un blob o en sus metadatos. Para obtener información sobre qué operaciones producirán errores, consulte Revocación del acceso a una cuenta de almacenamiento que usa claves administradas por el cliente.

Precaución

Al deshabilitar la clave en el almacén de claves, los datos de la cuenta de Azure Storage permanecerán cifrados, pero se volverán inaccesibles hasta que se pueda volver a habilitar la clave.

Azure Portal

Para deshabilitar una clave administrada por el cliente con Azure Portal, siga estos pasos:

1. Vaya al almacén de claves que contiene la clave.

2. En Objetos, seleccione Claves.

3. Haga clic con el botón derecho en la clave y seleccione Deshabilitar.

   

PowerShell

Para revocar una clave administrada por el cliente con PowerShell, llame al comando Update-AzKeyVaultKey, como se muestra en el siguiente ejemplo. Recuerde reemplazar los valores de marcador de posición entre corchetes por sus propios valores para definir las variables o use las variables definidas en los ejemplos anteriores.

$kvName  = "<key-vault-name>"
$keyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it

# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $keyName -VaultName $kvName

# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $kvName -Name $keyName -Enable $enabled

CLI de Azure

Para revocar una clave administrada por el cliente con la CLI de Azure, llame al comando az keyvault key set-attributes, como se muestra en el siguiente ejemplo. Recuerde reemplazar los valores de marcador de posición entre corchetes por sus propios valores para definir las variables o use las variables definidas en los ejemplos anteriores.

kvName="<key-vault-name>"
keyName="<key-name>"
enabled="false"
# "false" to disable the key / "true" to enable it:

# Check the current state of the key (before and after enabling/disabling it)
az keyvault key show \
    --vault-name $kvName \
    --name $keyName

# Disable (or enable) the key
az keyvault key set-attributes \
    --vault-name $kvName \
    --name $keyName \
    --enabled $enabled

Al deshabilitar la clave, se producirá un error al intentar acceder a los datos de la cuenta de almacenamiento con el código de error 403 (Prohibido). Para obtener una lista de las operaciones de la cuenta de almacenamiento que se verán afectadas al deshabilitar la clave, consulte Revocación del acceso a una cuenta de almacenamiento que usa claves administradas por el cliente.

Volver a las claves administradas por Microsoft

Puede cambiar de claves administradas por el cliente a claves administradas por Microsoft en cualquier momento, mediante Azure Portal, PowerShell o la CLI de Azure.

Azure Portal

Para cambiar de claves administradas por el cliente a claves administradas por Microsoft en Azure Portal, siga estos pasos:

1. Vaya a la cuenta de almacenamiento.

2. En Seguridad y redes, selecciona Cifrado.

3. Cambie el Tipo de cifrado a Claves administradas por Microsoft.

   

PowerShell

Para cambiar de claves administradas por el cliente de vuelta a claves administradas por Microsoft con PowerShell, llame a Set-AzStorageAccount con la opción -StorageEncryption, tal y como se muestra en el ejemplo siguiente. Recuerde reemplazar los valores de marcador de posición entre corchetes por sus propios valores y usar las variables definidas en los ejemplos anteriores.

Set-AzStorageAccount -ResourceGroupName $storageAccount.ResourceGroupName `
    -AccountName $storageAccount.StorageAccountName `
    -StorageEncryption  

CLI de Azure

Para cambiar de claves administradas por el cliente de vuelta a claves administradas por Microsoft con la CLI de Azure, llame a az storage account update y establezca el --encryption-key-source parameter en Microsoft.Storage, tal y como se muestra en el ejemplo siguiente. Recuerde reemplazar los valores de marcador de posición entre corchetes por sus propios valores y usar las variables definidas en los ejemplos anteriores.

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-source Microsoft.Storage

Pasos siguientes

• Cifrado de Azure Storage para datos en reposo
• Claves administradas por el cliente para el cifrado de Azure Storage
• Configuración de claves administradas por el cliente en un almacén de claves de Azure para una cuenta de almacenamiento existente
• Configuración del cifrado con claves administradas por el cliente almacenadas en HSM administrado de Azure Key Vault.