Creación y administración de ámbitos de cifrado

Los ámbitos de cifrado permiten administrar el cifrado en un blob o contenedor individual. Se pueden usar ámbitos de cifrado para crear límites seguros entre los datos que residen en la misma cuenta de almacenamiento, pero que pertenecen a clientes distintos. Para obtener más información sobre los ámbitos de cifrado, vea Ámbitos de cifrado para Blob Storage.

En este artículo se muestra cómo crear un ámbito de cifrado. También se muestra cómo especificar un ámbito de cifrado al crear un blob o un contenedor.

Creación de un ámbito de cifrado

Puede crear un ámbito de cifrado protegido con una clave administrada por Microsoft o con una clave administrada por el cliente que se almacena en azure Key Vault o en un modelo de seguridad de hardware administrado (HSM) de Azure Key Vault. Para crear un ámbito de cifrado con una clave administrada por el cliente, primero debe crear un almacén de claves o un HSM administrado y agregar la clave que quiere usar para el ámbito. El almacén de claves o el HSM administrado deben tener habilitada la protección de purga.

La cuenta de almacenamiento y el almacén de claves pueden estar en el mismo inquilino o en inquilinos diferentes. En cualquier caso, la cuenta de almacenamiento y el almacén de claves pueden estar en regiones diferentes.

Un ámbito de cifrado se habilita automáticamente al crearlo. Después de crear el ámbito de cifrado, puede especificarlo al crear un blob. También puede especificar un ámbito de cifrado predeterminado al crear un contenedor, que se aplica automáticamente a todos los blobs del contenedor.

Al configurar un ámbito de cifrado, se le factura por un mínimo de un mes (30 días). Después del primer mes, los cargos por un alcance de cifrado se prorratean por hora. Para más información, consulte Facturación para ámbitos de cifrado.

Portal

Para crear un ámbito de cifrado en Azure Portal, siga estos pasos:

1. Vaya a la cuenta de almacenamiento en Azure Portal.

2. En Seguridad y redes , seleccione Cifrado.

3. Seleccione la pestaña Ámbitos de cifrado .

4. Haga clic en el botón Agregar para agregar un nuevo ámbito de cifrado.

5. En el panel Crear ámbito de cifrado , escriba un nombre para el nuevo ámbito.

6. Seleccione el tipo deseado de compatibilidad con claves de cifrado, ya sea claves administradas por Microsoft o claves administradas por el cliente.

   • Si seleccionó claves administradas por Microsoft, haga clic en Crear para crear el ámbito de cifrado.
   • Si seleccionó Claves administradas por el cliente, seleccione una suscripción y especifique un almacén de claves y una clave que se usará para este ámbito de cifrado. Si el almacén de claves deseado está en otra región, seleccione Entrar URI de clave y especifique el URI de clave.

7. Si el cifrado de infraestructura está habilitado para la cuenta de almacenamiento, se habilitará automáticamente para el nuevo ámbito de cifrado. De lo contrario, puede elegir si desea habilitar el cifrado de infraestructura para el ámbito de cifrado.

   

PowerShell

Para crear un ámbito de cifrado con PowerShell, instale el módulo Az.Storage de PowerShell, versión 3.4.0 o posterior.

Creación de un ámbito de cifrado protegido por claves administradas por Microsoft

Para crear un ámbito de cifrado protegido por claves administradas por Microsoft, llame al comando New-AzStorageEncryptionScope con el -StorageEncryption parámetro .

Si el cifrado de infraestructura está habilitado para la cuenta de almacenamiento, se habilitará automáticamente para el nuevo ámbito de cifrado. De lo contrario, puede elegir si desea habilitar el cifrado de infraestructura para el ámbito de cifrado. Para crear el nuevo ámbito con el cifrado de infraestructura habilitado, incluya el -RequireInfrastructureEncryption parámetro .

Recuerde reemplazar los valores de marcador de posición en el ejemplo por sus propios valores:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$scopeName = "<encryption-scope>"

New-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName1 `
    -StorageEncryption

Creación de un ámbito de cifrado protegido por claves administradas por el cliente en el mismo inquilino

Para crear un ámbito de cifrado protegido por claves administradas por el cliente almacenadas en un almacén de claves o HSM administrado que se encuentra en el mismo inquilino que la cuenta de almacenamiento, configure primero las claves administradas por el cliente para la cuenta de almacenamiento. Debe asignar una identidad administrada a la cuenta de almacenamiento que tenga permisos para acceder a la bóveda de claves. La identidad administrada puede ser una identidad administrada asignada por el usuario o una identidad administrada asignada por el sistema. Para más información sobre cómo configurar claves administradas por el cliente, consulte Configuración de claves administradas por el cliente en el mismo inquilino para una cuenta de almacenamiento existente.

Para conceder los permisos de identidad administrada para acceder al almacén de claves, asigne el rol de usuario de cifrado del servicio criptográfico de Key Vault a la identidad administrada.

Para configurar las claves administradas por el cliente para su uso con un ámbito de cifrado, la protección de purga debe estar habilitada en el almacén de claves o en el HSM administrado.

En el ejemplo siguiente se muestra cómo configurar un ámbito de cifrado con una identidad administrada asignada por el sistema. Recuerde reemplazar los valores de marcador de posición en el ejemplo por sus propios valores:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$keyVaultName = "<key-vault>"
$scopeName = "<encryption-scope>"

# Assign a system-assigned managed identity to the storage account.
$storageAccount = Set-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -AssignIdentity

# Assign the necessary permissions to the managed identity 
# so that it can access the key vault.
$principalId = $storageAccount.Identity.PrincipalId
$keyVault = Get-AzKeyVault $keyVaultName

New-AzRoleAssignment -ObjectId $storageAccount.Identity.PrincipalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

A continuación, llame al comando New-AzStorageEncryptionScope con el -KeyvaultEncryption parámetro y especifique el URI de clave. La inclusión de la versión de la clave en el URI de clave es opcional. Si omite la versión de la clave, el ámbito de cifrado usará automáticamente la versión de clave más reciente. Si incluyes la versión de la clave, entonces debes actualizarla manualmente para utilizar una diferente.

El formato del URI de clave es similar a los ejemplos siguientes y se puede construir a partir de la propiedad VaultUri del almacén de claves y el nombre de clave:

# Without the key version
https://<key-vault>.vault.azure.net/keys/<key>

# With the key version
https://<key-vault>.vault.azure.net/keys/<key>/<version>

Si el cifrado de infraestructura está habilitado para la cuenta de almacenamiento, se habilitará automáticamente para el nuevo ámbito de cifrado. De lo contrario, puede elegir si desea habilitar el cifrado de infraestructura para el ámbito de cifrado. Para crear el nuevo ámbito con el cifrado de infraestructura habilitado, incluya el -RequireInfrastructureEncryption parámetro .

Recuerde reemplazar los valores de marcador de posición en el ejemplo por sus propios valores:

$keyUri = $keyVault.VaultUri + "keys/" + $keyName

New-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName `
    -KeyUri $keyUri `
    -KeyvaultEncryption

Creación de un ámbito de cifrado protegido por claves administradas por el cliente en un inquilino diferente

Para crear un ámbito de cifrado protegido por claves administradas por el cliente almacenadas en un almacén de claves o HSM administrado que se encuentra en un inquilino diferente de la cuenta de almacenamiento, configure primero las claves administradas por el cliente para la cuenta de almacenamiento. Debe configurar una identidad administrada asignada por el usuario para la cuenta de almacenamiento que tenga permisos para acceder al almacén de claves en el otro inquilino. Para más información sobre cómo configurar claves administradas por el cliente entre inquilinos, consulte Configuración de claves administradas por el cliente entre inquilinos para una cuenta de almacenamiento existente.

Para configurar las claves administradas por el cliente para su uso con un ámbito de cifrado, la protección de purga debe estar habilitada en el almacén de claves o en el HSM administrado.

Después de configurar las claves administradas por el cliente entre inquilinos para la cuenta de almacenamiento, puede crear un ámbito de cifrado en la cuenta de almacenamiento de un inquilino cuyo ámbito sea una clave en un almacén de claves del otro inquilino. Necesitará el URI de clave para crear el ámbito de cifrado entre inquilinos.

Recuerde reemplazar los valores de marcador de posición en el ejemplo por sus propios valores:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$scopeName = "<encryption-scope>"

# Construct the key URI from the key vault URI and key name.
$keyUri = $kvUri + "keys/" + $keyName

New-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName `
    -KeyUri $keyUri `
    -KeyvaultEncryption

Azure CLI

Para crear un ámbito de cifrado con la CLI de Azure, instale primero la versión 2.20.0 o posterior de la CLI de Azure.

Creación de un ámbito de cifrado protegido por claves administradas por Microsoft

Para crear un ámbito de cifrado protegido por claves administradas por Microsoft, llame al comando az storage account encryption-scope create y especifique el --key-source parámetro como Microsoft.Storage.

Si el cifrado de infraestructura está habilitado para la cuenta de almacenamiento, se habilitará automáticamente para el nuevo ámbito de cifrado. De lo contrario, puede elegir si desea habilitar el cifrado de infraestructura para el ámbito de cifrado. Para crear el nuevo ámbito con el cifrado de infraestructura habilitado, incluya el --require-infrastructure-encryption parámetro y establezca su valor en true.

Recuerde reemplazar los valores de marcador de posición por los propios:

az storage account encryption-scope create \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.Storage

Creación de un ámbito de cifrado protegido por claves administradas por el cliente en el mismo inquilino

Para crear un ámbito de cifrado protegido por claves administradas por el cliente almacenadas en un almacén de claves o HSM administrado que se encuentra en el mismo inquilino que la cuenta de almacenamiento, configure primero las claves administradas por el cliente para la cuenta de almacenamiento. Debe asignar una identidad administrada a la cuenta de almacenamiento que tenga permisos para acceder a la bóveda de claves. La identidad administrada puede ser una identidad administrada asignada por el usuario o una identidad administrada asignada por el sistema. Para más información sobre cómo configurar claves administradas por el cliente, consulte Configuración de claves administradas por el cliente en el mismo inquilino para una cuenta de almacenamiento existente.

Para conceder los permisos de identidad administrada para acceder al almacén de claves, asigne el rol de usuario de cifrado del servicio criptográfico de Key Vault a la identidad administrada.

Para configurar las claves administradas por el cliente para su uso con un ámbito de cifrado, la protección de purga debe estar habilitada en el almacén de claves o en el HSM administrado.

En el ejemplo siguiente se muestra cómo configurar un ámbito de cifrado con una identidad administrada asignada por el sistema. Recuerde reemplazar los valores de marcador de posición en el ejemplo por sus propios valores:

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --assign-identity

principalId=$(az storage account show --name <storage-account> \
    --resource-group <resource_group> \
    --query identity.principalId \
    --output tsv)

$kvResourceId=$(az keyvault show \
    --resource-group <resource-group> \
    --name <key-vault> \
    --query id \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId

A continuación, llame al comando az storage account encryption-scope con el parámetro --key-uri y especifique el URI de la clave. La inclusión de la versión de la clave en el URI de clave es opcional. Si omite la versión de la clave, el ámbito de cifrado usará automáticamente la versión de clave más reciente. Si incluyes la versión de la clave, entonces debes actualizarla manualmente para utilizar una diferente.

El formato del URI de clave es similar a los ejemplos siguientes y se puede construir a partir de la propiedad vaultUri del almacén de claves y el nombre de clave:

# Without the key version
https://<key-vault>.vault.azure.net/keys/<key>

# With the key version
https://<key-vault>.vault.azure.net/keys/<key>/<version>

Si el cifrado de infraestructura está habilitado para la cuenta de almacenamiento, se habilitará automáticamente para el nuevo ámbito de cifrado. De lo contrario, puede elegir si desea habilitar el cifrado de infraestructura para el ámbito de cifrado. Para crear el nuevo ámbito con el cifrado de infraestructura habilitado, incluya el --require-infrastructure-encryption parámetro y establezca su valor en true.

Recuerde reemplazar los valores de marcador de posición en el ejemplo por sus propios valores:

az storage account encryption-scope create \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.KeyVault \
    --key-uri <key-uri>

Creación de un ámbito de cifrado protegido por claves administradas por el cliente en un inquilino diferente

Para crear un ámbito de cifrado protegido por claves administradas por el cliente almacenadas en un almacén de claves o HSM administrado que se encuentra en un inquilino diferente de la cuenta de almacenamiento, configure primero las claves administradas por el cliente para la cuenta de almacenamiento. Debe configurar una identidad administrada asignada por el usuario para la cuenta de almacenamiento que tenga permisos para acceder al almacén de claves en el otro inquilino. Para más información sobre cómo configurar claves administradas por el cliente entre inquilinos, consulte Configuración de claves administradas por el cliente entre inquilinos para una cuenta de almacenamiento existente.

Para configurar las claves administradas por el cliente para su uso con un ámbito de cifrado, la protección de purga debe estar habilitada en el almacén de claves o en el HSM administrado.

Después de configurar las claves administradas por el cliente entre inquilinos para la cuenta de almacenamiento, puede crear un ámbito de cifrado en la cuenta de almacenamiento de un inquilino cuyo ámbito sea una clave en un almacén de claves del otro inquilino. Necesitará el URI de clave para crear el ámbito de cifrado entre inquilinos.

Recuerde reemplazar los valores de marcador de posición en el ejemplo por sus propios valores:

az storage account encryption-scope create \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.KeyVault \
    --key-uri <key-uri>

Enumeración de ámbitos de cifrado para la cuenta de almacenamiento

Portal

Para ver los ámbitos de cifrado de una cuenta de almacenamiento en Azure Portal, vaya a la configuración Ámbitos de cifrado de la cuenta de almacenamiento. En este panel, puede habilitar o deshabilitar un ámbito de cifrado o cambiar la clave de un ámbito de cifrado.

Para ver los detalles de una clave administrada por el cliente, incluido el URI de clave y la versión y si la versión de la clave se actualiza automáticamente, siga el vínculo de la columna Clave .

PowerShell

Para enumerar los ámbitos de cifrado disponibles para una cuenta de almacenamiento con PowerShell, llame al comando Get-AzStorageEncryptionScope . Recuerde reemplazar los valores de marcador de posición en el ejemplo por sus propios valores:

Get-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName

Para enumerar todos los ámbitos de cifrado de un grupo de recursos por cuenta de almacenamiento, use la sintaxis de canalización:

Get-AzStorageAccount -ResourceGroupName $rgName | Get-AzStorageEncryptionScope

Azure CLI

Para enumerar los ámbitos de cifrado disponibles para una cuenta de almacenamiento con la CLI de Azure, llame al comando az storage account encryption-scope list . Recuerde reemplazar los valores de marcador de posición en el ejemplo por sus propios valores:

az storage account encryption-scope list \
    --account-name <storage-account> \
    --resource-group <resource-group>

Creación de un contenedor con un ámbito de cifrado predeterminado

Al crear un contenedor, puede especificar un ámbito de cifrado predeterminado. Los blobs de ese contenedor usarán ese ámbito de forma predeterminada.

Se puede crear un blob individual con su propio ámbito de cifrado, a menos que el contenedor esté configurado para requerir que todos los blobs usen el ámbito predeterminado. Para más información, consulte Ámbitos de cifrado para contenedores y blobs.

Portal

Para crear un contenedor con un ámbito de cifrado predeterminado en Azure Portal, cree primero el ámbito de cifrado como se describe en Creación de un ámbito de cifrado. A continuación, siga estos pasos para crear el contenedor:

1. Vaya a la lista de contenedores de la cuenta de almacenamiento y seleccione el botón Agregar para crear un contenedor.

2. Expanda la configuración avanzada en el panel Nuevo contenedor .

3. En la lista desplegable Ámbito de cifrado, seleccione el ámbito de cifrado predeterminado para el contenedor.

4. Para requerir que todos los blobs del contenedor usen el ámbito de cifrado predeterminado, active la casilla Usar este ámbito de cifrado para todos los blobs del contenedor. Si esta casilla está activada, un blob individual del contenedor no puede invalidar el ámbito de cifrado predeterminado.

   

PowerShell

Para crear un contenedor con un ámbito de cifrado predeterminado con PowerShell, llame al comando New-AzStorageContainer y especifique el ámbito del -DefaultEncryptionScope parámetro . Para forzar a todos los blobs de un contenedor a usar el ámbito predeterminado del contenedor, establezca el parámetro -PreventEncryptionScopeOverride en true.

$containerName1 = "container1"
$ctx = New-AzStorageContext -StorageAccountName $accountName -UseConnectedAccount

# Create a container with a default encryption scope that cannot be overridden.
New-AzStorageContainer -Name $containerName1 `
    -Context $ctx `
    -DefaultEncryptionScope $scopeName1 `
    -PreventEncryptionScopeOverride $true

Azure CLI

Para crear un contenedor con un ámbito de cifrado predeterminado con la CLI de Azure, llame al comando az storage container create y especifique el ámbito del --default-encryption-scope parámetro . Para forzar a todos los blobs de un contenedor a usar el ámbito predeterminado del contenedor, establezca el parámetro --prevent-encryption-scope-override en true.

En el ejemplo siguiente se usa la cuenta de Microsoft Entra para autorizar la operación de creación del contenedor. También puede usar la clave de acceso de la cuenta. Para más información, consulte el artículo en el que se explica cómo autorizar el acceso a los datos de blobs o colas con la CLI de Azure.

az storage container create \
    --account-name <storage-account> \
    --resource-group <resource-group> \
    --name <container> \
    --default-encryption-scope <encryption-scope> \
    --prevent-encryption-scope-override true \
    --auth-mode login

Si un cliente intenta especificar un ámbito al cargar un blob en un contenedor que tiene un ámbito de cifrado predeterminado y el contenedor está configurado para evitar que los blobs invaliden el ámbito predeterminado, se produce un error en la operación con un mensaje que indica que la solicitud está prohibida por la directiva de cifrado de contenedor.

Carga de un blob con un ámbito de cifrado

Al cargar un blob, puede especificar un ámbito de cifrado para ese blob o usar el ámbito de cifrado predeterminado para el contenedor, si se ha especificado uno.

Nota:

Al cargar un nuevo blob con un ámbito de cifrado, no se puede cambiar el nivel de acceso predeterminado para ese blob. Tampoco puede cambiar el nivel de acceso de un blob existente que use un ámbito de cifrado. Para más información sobre los niveles de acceso, consulte Niveles de acceso frecuente, esporádico y de archivo de los datos de blobs.

Portal

Para cargar un blob con un ámbito de cifrado a través de Azure Portal, cree primero el ámbito de cifrado como se describe en Creación de un ámbito de cifrado. A continuación, siga estos pasos para crear el blob:

1. Vaya al contenedor al que desea cargar el blob.

2. Seleccione el botón Cargar y busque el blob que se va a cargar.

3. Expanda la configuración Avanzado en el panel Cargar blob.

4. Busque la sección desplegable Ámbito de cifrado . De forma predeterminada, el blob se crea con el ámbito de cifrado predeterminado para el contenedor, si se ha especificado uno. Si el contenedor requiere que los blobs usen el ámbito de cifrado predeterminado, esta sección está deshabilitada.

5. Para especificar un ámbito diferente para el blob que va a cargar, seleccione Elegir un ámbito existente y, a continuación, seleccione el ámbito deseado en la lista desplegable.

   

PowerShell

Para cargar un blob con un ámbito de cifrado a través de PowerShell, llame al comando Set-AzStorageBlobContent y proporcione el ámbito de cifrado para el blob.

$containerName2 = "container2"
$localSrcFile = "C:\temp\helloworld.txt"
$ctx = New-AzStorageContext -StorageAccountName $accountName -UseConnectedAccount

# Create a container with no default scope defined.
New-AzStorageContainer -Name $containerName2 -Context $ctx

# Upload a block upload with an encryption scope specified.
Set-AzStorageBlobContent -Context $ctx `
    -Container $containerName2 `
    -File $localSrcFile `
    -Blob "helloworld.txt" `
    -BlobType Block `
    -EncryptionScope $scopeName2

Azure CLI

Para cargar un blob con un ámbito de cifrado a través de la CLI de Azure, llame al comando az storage blob upload y proporcione el ámbito de cifrado para el blob.

Si usa Azure Cloud Shell, siga los pasos descritos en Carga de un blob para crear un archivo en el directorio raíz. Después, puede cargar este archivo en un blob mediante el ejemplo siguiente.

az storage blob upload \
    --account-name <storage-account> \
    --container-name <container> \
    --file <file> \
    --name <file> \
    --encryption-scope <encryption-scope>

Cambio de la clave de cifrado de un ámbito

Para cambiar la clave que protege un ámbito de cifrado de una clave administrada por Microsoft a una clave administrada por el cliente, primero asegúrese de que ha habilitado claves administradas por el cliente con Azure Key Vault o HSM de Key Vault para la cuenta de almacenamiento. Para más información, consulte Configuración del cifrado con claves administradas por el cliente almacenadas en Azure Key Vault o Configuración del cifrado con claves administradas por el cliente almacenadas en Azure Key Vault.

Portal

Para cambiar la clave que protege un ámbito en Azure Portal, siga estos pasos:

1. Vaya a la pestaña Ámbitos de cifrado para ver la lista de ámbitos de cifrado de la cuenta de almacenamiento.
2. Seleccione el botón Más situado junto al ámbito que desea modificar.
3. En el panel Editar ámbito de cifrado , puede cambiar el tipo de cifrado de la clave administrada por Microsoft a la clave administrada por el cliente o viceversa.
4. Para seleccionar una nueva clave administrada por el cliente, seleccione Usar una nueva clave y especifique el almacén de claves, la clave y la versión de la clave.

PowerShell

Para cambiar la clave que protege un ámbito de cifrado de una clave administrada por el cliente a una clave administrada por Microsoft con PowerShell, llame al comando Update-AzStorageEncryptionScope y pase el -StorageEncryption parámetro :

Update-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName2 `
    -StorageEncryption

A continuación, llame al comando Update-AzStorageEncryptionScope y pase los parámetros -KeyUri y -KeyvaultEncryption:

Update-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName1 `
    -KeyUri $keyUri `
    -KeyvaultEncryption

Azure CLI

Para cambiar la clave que protege un ámbito de cifrado de una clave administrada por el cliente a una clave administrada por Microsoft con la CLI de Azure, llame al comando az storage account encryption-scope update y pase el parámetro con el --key-source valor Microsoft.Storage:

az storage account encryption-scope update \
    --account-name <storage-account> \
    --resource-group <resource-group>
    --name <encryption-scope> \
    --key-source Microsoft.Storage

Después, llame al comando az storage account encryption-scope update, pase el parámetro --key-uri y también el parámetro --key-source con el valor Microsoft.KeyVault:

az storage account encryption-scope update \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.KeyVault \
    --key-uri <key-uri>

Deshabilitar un ámbito de cifrado

Deshabilite los ámbitos de cifrado que no sean necesarios para evitar cargos innecesarios. Para más información, consulte Facturación para ámbitos de cifrado.

Portal

Para deshabilitar un ámbito de cifrado en Azure Portal, vaya a la configuración Ámbitos de cifrado de la cuenta de almacenamiento, seleccione el ámbito de cifrado deseado y seleccione Deshabilitar.

PowerShell

Para deshabilitar un ámbito de cifrado con PowerShell, llame al comando Update-AzStorageEncryptionScope e incluya el -State parámetro con un valor de disabled, como se muestra en el ejemplo siguiente. Para volver a habilitar un ámbito de cifrado, llame al mismo comando con el parámetro -State establecido en enabled. Recuerde reemplazar los valores de marcador de posición en el ejemplo por sus propios valores:

Update-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName1 `
    -State disabled

Azure CLI

Para deshabilitar un ámbito de cifrado con la CLI de Azure, llame al comando az storage account encryption-scope update e incluya el --state parámetro con un valor de Disabled, como se muestra en el ejemplo siguiente. Para volver a habilitar un ámbito de cifrado, llame al mismo comando con el parámetro --state establecido en Enabled. Recuerde reemplazar los valores de marcador de posición en el ejemplo por sus propios valores:

az storage account encryption-scope update \
    --account-name <storage-account> \
    --resource-group <resource-group> \
    --name <encryption-scope> \
    --state Disabled

Importante

No es posible eliminar un ámbito de cifrado. Para evitar costos inesperados, asegúrese de deshabilitar los ámbitos de cifrado que no necesite actualmente.

Pasos siguientes

• Cifrado de Azure Storage para datos en reposo
• Ámbitos de cifrado para Blob Storage
• Claves administradas por el cliente para el cifrado de Azure Storage
• Habilitación del cifrado de infraestructura para el cifrado doble de datos