Creación de una cuenta que admita las claves administradas por el cliente para tablas y colas
Azure Storage cifra todos los datos de las cuentas de almacenamiento en reposo. De forma predeterminada, Queue Storage y Table Storage usan una clave cuyo ámbito es el servicio y que administra Microsoft. También puede optar por usar las claves administradas por el cliente para cifrar los datos de la cola o la tabla. Para usar claves administradas por el cliente con colas y tablas, primero debe crear una cuenta de almacenamiento que use una clave de cifrado cuyo ámbito sea la cuenta, en lugar del servicio. Después de crear una cuenta que use la clave de cifrado de la cuenta para los datos de la cola y la tabla, puede configurar las claves administradas por el cliente para esa cuenta de almacenamiento.
En este artículo se describe cómo crear una cuenta de almacenamiento que se basa en una clave cuyo ámbito es la cuenta. Cuando la cuenta se crea por primera vez, Microsoft usa la clave de cuenta para cifrar los datos de la cuenta y administra la clave. Posteriormente, puede configurar las claves administradas por el cliente para la cuenta con el fin de aprovechar estas ventajas, incluida la capacidad de proporcionar sus propias claves, actualizar la versión de la clave, rotar las claves y revocar los controles de acceso.
Creación de una cuenta que use la clave de cifrado de la cuenta
Debe configurar una nueva cuenta de almacenamiento para usar la clave de cifrado de la cuenta para las colas y tablas en el momento de crear la cuenta de almacenamiento. El ámbito de la clave de cifrado no se puede cambiar una vez creada la cuenta.
La cuenta de almacenamiento debe ser de tipo de uso general v2. Puede crear la cuenta de almacenamiento y configurarla para que se base en la clave de cifrado de la cuenta mediante Azure Portal, PowerShell, la CLI de Azure o una plantilla de Azure Resource Manager.
Para obtener más información sobre la creación de una cuenta de almacenamiento, consulte Creación de una cuenta de almacenamiento.
Nota:
Solo puede configurar Queue Storage y Table Storage para cifrar datos con la clave de cifrado de la cuenta cuando se crea la cuenta de almacenamiento. Blob Storage y Azure Files siempre usan la clave de cifrado de la cuenta para cifrar los datos.
Para crear una cuenta de almacenamiento que se base en la clave de cifrado de la cuenta con Azure Portal, siga estos pasos:
En el menú izquierdo del portal, seleccione Cuentas de almacenamiento para mostrar una lista de las cuentas de almacenamiento.
En la página Cuentas de almacenamiento, seleccione Nuevo.
Rellene los campos de la pestaña Elementos básicos.
En la pestaña Avanzadas, busque la sección Tablas y colas y seleccione Enable support for customer-managed keys (Habilitar la compatibilidad con claves administradas por el cliente).
Después de crear una cuenta que se base en la clave de cifrado de cuenta, puede configurar las claves administradas por el cliente que se almacenan en Azure Key Vault o en el modelo de seguridad de hardware administrado de Key Vault (HSM). Para obtener información sobre cómo almacenar las claves administradas por el cliente en un almacén de claves, consulte Configuración del cifrado con claves que administra el cliente en Azure Key Vault. Para obtener información sobre cómo almacenar las claves administradas por el cliente en un HSM administrado, consulte Configuración del cifrado con claves que administra el cliente en HSM administrado de Azure Key Vault.
Verificación de la clave de cifrado de la cuenta
Después de crear la cuenta, puede comprobar que la cuenta de almacenamiento use una clave de cifrado que tenga como ámbito la cuenta; para ello, use Azure Portal, PowerShell o la CLI de Azure.
Para comprobar que un servicio de una cuenta de almacenamiento usa una clave de cifrado que está en el ámbito de la cuenta con Azure Portal, siga estos pasos:
Vaya a la nueva cuenta de almacenamiento en Azure Portal.
En la sección Seguridad y redes, seleccione Cifrado.
Si la cuenta de almacenamiento se creó para tener como base la clave de cifrado de la cuenta, verá en la pestaña Cifrado que las claves administradas por el cliente se pueden habilitar para los cuatro servicios de Azure Storage: blobs, archivos, tablas y colas.
Después de comprobar que la cuenta de almacenamiento usa una clave de cifrado que está en el ámbito de la cuenta, puede habilitar las claves administradas por el cliente para esta. Los cuatro servicios de Azure Storage (blobs, archivos, tablas y colas) usarán la clave administrada por el cliente para el cifrado.
Precios y facturación
Una cuenta de almacenamiento que se crea para usar una clave de cifrado en el ámbito de la cuenta se factura por la capacidad de almacenamiento de tablas y las transacciones a una tarifa distinta a la de una cuenta que usa la clave de ámbito de servicio predeterminada. Para más información, consulte Precios de Azure Table Storage.
Pasos siguientes
- Cifrado de Azure Storage para datos en reposo
- Claves administradas por el cliente para el cifrado de Azure Storage
- Configuración del cifrado con claves administradas por el cliente almacenadas en Azure Key Vault
- Configuración del cifrado con claves administradas por el cliente almacenadas en HSM administrado de Azure Key Vault.