L’applet de commande Set-AzStorageAccount modifie un compte de stockage Azure.
Vous pouvez utiliser cette applet de commande pour modifier le type de compte, mettre à jour un domaine client ou définir des balises sur un compte de stockage.
La commande définit le domaine personnalisé et les balises d’un compte de stockage.
Exemple 5 : Définir KeySource de chiffrement sur KeyVault
Set-AzStorageAccount -ResourceGroupName "MyResourceGroup" -Name "mystorageaccount" -AssignIdentity
$account = Get-AzStorageAccount -ResourceGroupName "MyResourceGroup" -Name "mystorageaccount"
$keyVault = New-AzKeyVault -VaultName "MyKeyVault" -ResourceGroupName "MyResourceGroup" -Location "EastUS2"
$key = Add-AzKeyVaultKey -VaultName "MyKeyVault" -Name "MyKey" -Destination 'Software'
Set-AzKeyVaultAccessPolicy -VaultName "MyKeyVault" -ObjectId $account.Identity.PrincipalId -PermissionsToKeys wrapkey,unwrapkey,get
# In case to enable key auto rotation, don't set KeyVersion
Set-AzStorageAccount -ResourceGroupName "MyResourceGroup" -Name "mystorageaccount" -KeyvaultEncryption -KeyName $key.Name -KeyVersion $key.Version -KeyVaultUri $keyVault.VaultUri
# In case to enable key auto rotation after set keyvault properties with KeyVersion, can update account by set KeyVersion to empty
Set-AzStorageAccount -ResourceGroupName "MyResourceGroup" -Name "mystorageaccount" -KeyvaultEncryption -KeyName $key.Name -KeyVersion "" -KeyVaultUri $keyVault.VaultUri
Cette commande définit Encryption KeySource avec un coffre de clés créé.
Si vous souhaitez activer la rotation automatique des clés, ne définissez pas de keyversion lors de la première définition des propriétés keyvault pour la première fois, ou nettoyez-la en définissant à nouveau les propriétés de coffre de clés avec keyversion comme étant vides.
Exemple 6 : Définir KeySource de chiffrement sur « Microsoft.Storage »
Cette première commande obtient la propriété NetworkRuleSet à partir d’un compte de stockage, et la deuxième commande la définit sur un autre compte de stockage.
Exemple 9 : Mettre à niveau un compte de stockage avec le type « Stockage » ou « BlobStorage » vers le compte de stockage de type « StorageV2 »
La commande met à niveau un compte de stockage avec le type « Stockage » ou « BlobStorage » vers le compte de stockage de type « StorageV2 ».
Exemple 10 : Mettez à jour un compte de stockage en activant Azure Files Microsoft Entra Domain Services Authentication et en définissant DefaultSharePermission.
La commande met à jour un compte de stockage en activant l’authentification Microsoft Entra Domain Services Azure Files.
Exemple 11 : Mettre à jour un compte de stockage en activant l’authentification du service de domaine Files Active Directory, puis afficher le paramètre d’authentification basé sur l’identité de fichier
La commande met à jour un compte de stockage en activant l’authentification du service de domaine Azure Files Active Directory, puis affiche le paramètre d’authentification basé sur l’identité de fichier
Exemple 12 : Définir MinimumTlsVersion, AllowBlobPublicAccess et AllowSharedKeyAccess
Cette commande met à jour un compte de stockage avec le paramètre RoutingPreference : PublishMicrosoftEndpoint en tant que false, PublishInternetEndpoint comme true et RoutingChoice en tant que MicrosoftRouting.
Exemple 14 : Mettre à jour un compte de stockage avec KeyExpirationPeriod et SasExpirationPeriod avec SasExpirationAction
Cette commande met à jour un compte de stockage avec KeyExpirationPeriod et SasExpirationPeriod avec SasExpirationAction, puis affiche les propriétés associées au compte mis à jour.
Exemple 15 : Mettre à jour un compte de stockage vers le chiffrement keyvault et accéder au coffre de clés avec l’identité affectée par l’utilisateur
# Create KeyVault (no need if using exist keyvault)
$keyVault = New-AzKeyVault -VaultName $keyvaultName -ResourceGroupName $resourceGroupName -Location eastus2euap -EnablePurgeProtection
$key = Add-AzKeyVaultKey -VaultName $keyvaultName -Name $keyname -Destination 'Software'
# create user assigned identity and grant access to keyvault (no need if using exist user assigned identity)
$userId = New-AzUserAssignedIdentity -ResourceGroupName $resourceGroupName -Name $userIdName
Set-AzKeyVaultAccessPolicy -VaultName $keyvaultName -ResourceGroupName $resourceGroupName -ObjectId $userId.PrincipalId -PermissionsToKeys get,wrapkey,unwrapkey -BypassObjectIdValidation
$useridentityId= $userId.Id
# Update Storage account with Keyvault encryption and access Keyvault with user assigned identity, then show properties
$account = Set-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName `
-IdentityType UserAssigned -UserAssignedIdentityId $useridentityId `
-KeyVaultUri $keyVault.VaultUri -KeyName $keyname -KeyVaultUserAssignedIdentityId $useridentityId
$account.Encryption.EncryptionIdentity.EncryptionUserAssignedIdentity
/subscriptions/{subscription-id}/resourceGroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myuserid
$account.Encryption.KeyVaultProperties
KeyName : wrappingKey
KeyVersion :
KeyVaultUri : https://mykeyvault.vault.azure.net:443
CurrentVersionedKeyIdentifier : https://mykeyvault.vault.azure.net/keys/wrappingKey/8e74036e0d534e58b3bd84b319e31d8f
LastKeyRotationTimestamp : 4/12/2021 8:17:57 AM
Cette commande crée d’abord un coffre de clés et une identité affectée par l’utilisateur, puis met à jour un compte de stockage avec le chiffrement keyvault, le coffre de clés d’accès au stockage avec l’identité affectée par l’utilisateur.
Exemple 16 : Mettre à jour un compte de stockage chiffré KeyVault, à partir du coffre de clés d’accès avec l’identité affectée par l’utilisateur, pour accéder au coffre de clés avec l’identité affectée par le système
# Assign System identity to the account, and give the system assigned identity access to the keyvault
$account = Set-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName -IdentityType SystemAssignedUserAssigned
Set-AzKeyVaultAccessPolicy -VaultName $keyvaultName -ResourceGroupName $resourceGroupName -ObjectId $account.Identity.PrincipalId -PermissionsToKeys get,wrapkey,unwrapkey -BypassObjectIdValidation
# Update account from access Keyvault with user assigned identity to access Keyvault with system assigned identity
$account = Set-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName -IdentityType SystemAssignedUserAssigned -KeyName $keyname -KeyVaultUri $keyvaultUri -KeyVaultUserAssignedIdentityId ""
# EncryptionUserAssignedIdentity is empty, so the account access keyvault with system assigned identity
$account.Encryption.EncryptionIdentity
EncryptionUserAssignedIdentity
------------------------------
$account.Encryption.KeyVaultProperties
KeyName : wrappingKey
KeyVersion :
KeyVaultUri : https://mykeyvault.vault.azure.net:443
CurrentVersionedKeyIdentifier : https://mykeyvault.vault.azure.net/keys/wrappingKey/8e74036e0d534e58b3bd84b319e31d8f
LastKeyRotationTimestamp : 4/12/2021 8:17:57 AM
Cette commande affecte d’abord l’identité système au compte et donne à l’identité affectée par le système l’accès au coffre de clés ; met ensuite à jour le compte de stockage pour accéder au coffre de clés avec l’identité affectée par le système.
Exemple 17 : Mettre à jour à la fois keyvault et l’identité affectée par l’utilisateur pour accéder au coffre de clés
# Update to another user assigned identity
$account = Set-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName -IdentityType SystemAssignedUserAssigned -UserAssignedIdentityId $useridentity2 -KeyVaultUserAssignedIdentityId $useridentity2
# Update to encrypt with another keyvault
$account = Set-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName -KeyVaultUri $keyvaultUri2 -KeyName $keyname2 -KeyVersion $keyversion2
Cette commande met d’abord à jour l’identité affectée par l’utilisateur pour accéder au coffre de clés, puis mettez à jour le coffre de clés pour le chiffrement.
Pour mettre à jour à la fois keyvault et l’identité affectée par l’utilisateur, nous avons besoin de la mise à jour avec les 2 étapes ci-dessus.
Exemple 18 : Mettre à jour un compte de stockage avec AllowCrossTenantReplication
Cette commande met à jour un compte de stockage en définissant AllowCrossTenantReplication sur false, puis affichez les propriétés associées au compte mis à jour.
Exemple 18 : Mettre à jour un compte de stockage en activant PublicNetworkAccess
La commande met à jour les propriétés de stratégie d’immuabilité au niveau du compte sur un compte de stockage existant et affiche le résultat.
Le compte de stockage doit être créé avec activer l’immuabilité au niveau du compte avec le contrôle de version.
La stratégie d’immuabilité au niveau du compte est héritée et appliquée aux objets qui ne possèdent pas de stratégie d’immuabilité explicite au niveau de l’objet.
Exemple 20 : Mettre à jour un compte de stockage en activant Sftp et localuser
Cette commande met à jour un compte de stockage en activant Sftp et localuser.
Pour exécuter la commande, le compte de stockage doit déjà activer l’espace de noms hiérarchique.
Exemple 21 : Mettre à jour un compte de stockage avec Keyvault à partir d’un autre locataire (access Keyvault avec FederatedClientId)
Cette commande met à jour un compte de stockage en définissant Zone sur 1 et ZonePlacementPolicy sur Any, puis affiche les propriétés associées au compte mis à jour.
Exemple 24 : Activer la réplication de la géo-priorité d’objet blob sur un compte de stockage
Cette commande active la réplication de la géoréplication des objets blob sur un compte de stockage.
Paramètres
-AccessTier
Spécifie le niveau d’accès du compte de stockage modifié par cette applet de commande.
Les valeurs acceptables pour ce paramètre sont les suivantes : chaud et froid.
Si vous modifiez le niveau d’accès, cela peut entraîner des frais supplémentaires. Pour plus d’informations, consultez Stockage Blob Azure : niveaux de stockage chaud et froid.
Si le compte de stockage a le type StorageV2 ou BlobStorage, vous pouvez spécifier le paramètre AccessTier .
Si le compte de stockage a le type de stockage, ne spécifiez pas le paramètre AccessTier .
Spécifie l’identificateur de sécurité (SID) pour stockage Azure. Ce paramètre doit être défini lorsque -EnableActiveDirectoryDomainServicesForFile a la valeur true.
Spécifie le domaine principal pour lequel le serveur DNS AD fait autorité. Ce paramètre doit être défini lorsque -EnableActiveDirectoryDomainServicesForFile a la valeur true.
Obtient ou définit l’autorisation ou l’interdiction de la réplication d’objets client Microsoft Entra. L’interprétation par défaut est vraie pour cette propriété.
Définissez la restriction de copie vers et depuis des comptes de stockage au sein d’un locataire Microsoft Entra ou avec des liaisons privées vers le même réseau virtuel. Les valeurs possibles sont les suivantes : 'PrivateLink', 'AAD'
Indique si le compte de stockage autorise l’autorisation des demandes avec la clé d’accès du compte via une clé partagée. Si la valeur est false, toutes les demandes, y compris les signatures d’accès partagé, doivent être autorisées avec l’ID Microsoft Entra. La valeur par défaut est Null, ce qui équivaut à true.
Générez et attribuez une nouvelle identité de compte de stockage pour ce compte de stockage à utiliser avec des services de gestion de clés comme Azure KeyVault.
Indique si la réplication prioritaire Géo d’objets blob est activée pour le compte de stockage.
Cette fonctionnalité fournit une géoréplication améliorée avec un contrat de niveau de service pour la réplication prioritaire afin d’améliorer les objectifs de temps de récupération (RTO).
Disponible uniquement pour les types de comptes de stockage géoredondants (GRS, GZRS, RAGRS, RAGZRS).
Indique si le compte de stockage peut prendre en charge des partages de fichiers volumineux avec plus de 5 Tio de capacité.
Une fois le compte activé, la fonctionnalité ne peut pas être désactivée.
Actuellement uniquement pris en charge pour les types de réplication LRS et ZRS, les conversions de comptes en comptes géoredondants ne seraient pas possibles.
En savoir plus dans https://go.microsoft.com/fwlink/?linkid=2086047
Période d’immuabilité pour les objets blob dans le conteneur depuis la création de la stratégie en jours.
Cette propriété ne peut être modifiée que lorsque le compte est créé avec « -EnableAccountLevelImmutability ».
Mode de la stratégie. Les valeurs possibles sont les suivantes : « Déverrouillé », « Verrouillé », « Désactivé ».
L’état désactivé désactive la stratégie.
L’état déverrouillé permet d’augmenter et de diminuer le temps de rétention de l’immuabilité et permet également d’activer la propriété allowProtectedAppendWrites.
L’état verrouillé autorise uniquement l’augmentation du temps de rétention de l’immuabilité.
Une stratégie ne peut être créée que dans un état Désactivé ou déverrouillé et peut être bascule entre les deux états. Seule une stratégie dans un état déverrouillé peut passer à un état verrouillé qui ne peut pas être rétabli.
Cette propriété ne peut être modifiée que lorsque le compte est créé avec « -EnableAccountLevelImmutability ».
Indique s’il faut ou non utiliser Microsoft KeyVault pour les clés de chiffrement lors de l’utilisation du chiffrement du service de stockage.
Si KeyName, KeyVersion et KeyVaultUri sont tous définis, KeySource est défini sur Microsoft.Keyvault si ce paramètre est défini ou non.
Définissez ClientId de l’application multilocataire à utiliser conjointement avec l’identité affectée par l’utilisateur pour le chiffrement côté serveur géré par le client interlocataire sur le compte de stockage.
Lorsque vous utilisez Key Vault Encryption en spécifiant le paramètre -KeyvaultEncryption, utilisez cette option pour spécifier l’URI du coffre de clés.
Définissez l’ID de ressource pour l’identité affectée par l’utilisateur utilisée pour accéder au chiffrement de compte de stockage Azure KeyVault, l’ID doit se trouver dans userAssignIdentityId du compte de stockage.
Lorsque vous utilisez Key Vault Encryption en spécifiant le paramètre -KeyvaultEncryption, utilisez cette option pour spécifier l’URI de la version de clé.
NetworkRuleSet est utilisé pour définir un ensemble de règles de configuration pour les pare-feu et les réseaux virtuels, ainsi que pour définir des valeurs pour les propriétés réseau telles que les services autorisés à contourner les règles et comment gérer les requêtes qui ne correspondent à aucune des règles définies.
Le choix de routage définit le type de routage réseau choisi par l’utilisateur. Les valeurs possibles sont les suivantes : « MicrosoftRouting », « InternetRouting »
Action à effectuer lorsque SasExpirationPeriod est violée. L’action « Journal » peut être utilisée à des fins d’audit et l’action « Bloquer » peut être utilisée pour bloquer et refuser l’utilisation des jetons SAP qui ne respectent pas la période d’expiration de la stratégie sas.
Standard_RAGZRS : stockage géoredondant interredondant avec accès en lecture.
StandardV2_LRS - Stockage localement redondant pour le provisionnement de fichiers v2.
StandardV2_GRS - Stockage géoredondant pour le provisionnement de fichiers v2.
StandardV2_ZRS - Stockage redondant interzone pour le provisionnement de fichiers v2.
StandardV2_GZRS - Stockage redondant interzone géoredondant pour l’approvisionnement de fichiers v2.
PremiumV2_LRS - Stockage localement redondant Premium pour le provisionnement de fichiers v2.
PremiumV2_ZRS - Stockage redondant interzone Premium pour l’approvisionnement de fichiers v2.
Vous ne pouvez pas modifier les types Standard_ZRS et Premium_LRS en autres types de compte.
Vous ne pouvez pas modifier d’autres types de comptes en Standard_ZRS ou Premium_LRS.
Paires clé-valeur sous la forme d’une table de hachage définie en tant que balises sur le serveur. Par exemple : @{key0="value0 » ; key1=$null ; key2="value2"}
Définissez les ID de ressource pour la nouvelle identité affectée par l’utilisateur du compte de stockage, l’identité sera utilisée avec des services de gestion de clés comme Azure KeyVault.
Cette applet de commande prend en charge les paramètres courants : -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutBuffer, -OutVariable, -PipelineVariable, -ProgressAction, -Verbose, -WarningAction et -WarningVariable. Pour plus d’informations, consultez about_CommonParameters.
La source de ce contenu se trouve sur GitHub, où vous pouvez également créer et examiner les problèmes et les demandes de tirage. Pour plus d’informations, consultez notre guide du contributeur.
