Olyan fiók létrehozása, amely támogatja az ügyfél által felügyelt kulcsokat a táblákhoz és üzenetsorokhoz

Az Azure Storage titkosítja egy inaktív tárfiók összes adatát. Alapértelmezés szerint a Queue Storage és a Table Storage egy olyan kulcsot használ, amely a szolgáltatásra terjed ki, és amelyet a Microsoft kezel. Dönthet úgy is, hogy ügyfél által felügyelt kulcsokkal titkosítja az üzenetsor- vagy táblaadatokat. Ha az ügyfél által felügyelt kulcsokat üzenetsorokkal és táblákkal szeretné használni, először létre kell hoznia egy tárfiókot, amely a fiókra hatókörrel rendelkező titkosítási kulcsot használ, nem pedig a szolgáltatásra. Miután létrehozott egy fiókot, amely a fiók titkosítási kulcsát használja az üzenetsor- és táblaadatokhoz, konfigurálhatja az ügyfél által felügyelt kulcsokat az adott tárfiókhoz.

Ez a cikk azt ismerteti, hogyan hozhat létre olyan tárfiókot, amely a fiók hatókörébe tartozó kulcsra támaszkodik. A fiók első létrehozásakor a Microsoft a fiókkulcs használatával titkosítja a fiókban lévő adatokat, és a Microsoft kezeli a kulcsot. Ezt követően konfigurálhatja az ügyfél által felügyelt kulcsokat a fiókhoz, hogy kihasználhassa ezeket az előnyöket, beleértve a saját kulcsok megadásának lehetőségét, a kulcsverzió frissítését, a kulcsok elforgatását és a hozzáférés-vezérlés visszavonását.

Fiók létrehozása, amely a fiók titkosítási kulcsát használja

Konfigurálnia kell egy új tárfiókot, hogy a tárfiók létrehozásakor a fiók titkosítási kulcsát használja az üzenetsorokhoz és táblákhoz. A titkosítási kulcs hatóköre nem módosítható a fiók létrehozása után.

A tárfióknak általános célú v2 típusúnak kell lennie. A tárfiókot a Azure Portal, a PowerShell, az Azure CLI vagy egy Azure Resource Manager sablon használatával hozhatja létre és konfigurálhatja úgy, hogy a fiók titkosítási kulcsára támaszkodjon.

További információ a tárfiók létrehozásáról: Tárfiók létrehozása.

Megjegyzés

A tárfiók létrehozásakor csak a Queue és a Table Storage konfigurálható úgy, hogy a fiók titkosítási kulcsával titkosítja az adatokat. A Blob Storage és Azure Files mindig a fiók titkosítási kulcsával titkosítja az adatokat.

Azure Portal

Ha olyan tárfiókot szeretne létrehozni, amely a fiók titkosítási kulcsára támaszkodik a Azure Portal, kövesse az alábbi lépéseket:

1. A bal oldali portál menüjében válassza a Tárfiókok lehetőséget a tárfiókok listájának megjelenítéséhez.

2. A Tárfiókok lapon válassza az Új lehetőséget.

3. Töltse ki az Alapok lapon található mezőket .

4. A Speciális lapon keresse meg a Táblák és üzenetsorok szakaszt , és válassza az Ügyfél által felügyelt kulcsok támogatásának engedélyezése lehetőséget.

   

PowerShell

Ha a PowerShell használatával olyan tárfiókot szeretne létrehozni, amely a fiók titkosítási kulcsára támaszkodik, győződjön meg arról, hogy telepítette a Azure PowerShell modul 3.4.0-s vagy újabb verzióját. További információ: A Azure PowerShell modul telepítése.

Ezután hozzon létre egy általános célú v2-tárfiókot a New-AzStorageAccount parancs meghívásával a megfelelő paraméterekkel:

• Adja meg a -EncryptionKeyTypeForQueue lehetőséget, és állítsa be az értékét úgy, hogy Account a fiók titkosítási kulcsával titkosítsa az adatokat a Queue Storage-ban.
• Adja meg a -EncryptionKeyTypeForTable lehetőséget, és állítsa be az értékét úgy, hogy Account a fióktitkosítási kulcs használatával titkosítsa az adatokat a Table Storage-ban.

Az alábbi példa bemutatja, hogyan hozhat létre egy általános célú v2-tárfiókot, amely az olvasási hozzáférésű georedundáns tároláshoz (RA-GRS) van konfigurálva, és amely a fiók titkosítási kulcsával titkosítja az adatokat a Queue és a Table Storage számára is. Ne felejtse el lecserélni a szögletes zárójelben lévő helyőrző értékeket a saját értékeire:

New-AzStorageAccount -ResourceGroupName <resource_group> `
    -AccountName <storage-account> `
    -Location <location> `
    -SkuName "Standard_RAGRS" `
    -Kind StorageV2 `
    -EncryptionKeyTypeForTable Account `
    -EncryptionKeyTypeForQueue Account

Azure CLI

Ha az Azure CLI-vel olyan tárfiókot szeretne létrehozni, amely a fiók titkosítási kulcsára támaszkodik, győződjön meg arról, hogy az Azure CLI 2.0.80-es vagy újabb verzióját telepítette. További információ: Az Azure CLI telepítése.

Ezután hozzon létre egy általános célú v2-tárfiókot az az storage account create parancs meghívásával a megfelelő paraméterekkel:

• Adja meg a --encryption-key-type-for-queue lehetőséget, és állítsa be az értékét úgy, hogy Account a fiók titkosítási kulcsával titkosítsa az adatokat a Queue Storage-ban.
• Adja meg a --encryption-key-type-for-table lehetőséget, és állítsa be az értékét úgy, hogy Account a fióktitkosítási kulcs használatával titkosítsa az adatokat a Table Storage-ban.

Az alábbi példa bemutatja, hogyan hozhat létre egy általános célú v2-tárfiókot, amely az olvasási hozzáférésű georedundáns tároláshoz (RA-GRS) van konfigurálva, és amely a fiók titkosítási kulcsával titkosítja az adatokat a Queue és a Table Storage számára is. Ne felejtse el lecserélni a szögletes zárójelben lévő helyőrző értékeket a saját értékeire:

az storage account create \
    --name <storage-account> \
    --resource-group <resource-group> \
    --location <location> \
    --sku Standard_RAGRS \
    --kind StorageV2 \
    --encryption-key-type-for-table Account \
    --encryption-key-type-for-queue Account

Sablon

Az alábbi JSON-példa egy általános célú v2-tárfiókot hoz létre, amely az olvasási hozzáférésű georedundáns tároláshoz (RA-GRS) van konfigurálva, és a fiók titkosítási kulcsával titkosítja az adatokat a Queue és a Table Storage számára is. Ne felejtse el a szögletes zárójelek helyőrző értékeit a saját értékeire cserélni:

"resources": [
    {
        "type": "Microsoft.Storage/storageAccounts",
        "apiVersion": "2019-06-01",
        "name": "[parameters('<storage-account>')]",
        "location": "[parameters('<location>')]",
        "dependsOn": [],
        "tags": {},
        "sku": {
            "name": "[parameters('Standard_RAGRS')]"
        },
        "kind": "[parameters('StorageV2')]",
        "properties": {
            "accessTier": "[parameters('<accessTier>')]",
            "supportsHttpsTrafficOnly": "[parameters('supportsHttpsTrafficOnly')]",
            "largeFileSharesState": "[parameters('<largeFileSharesState>')]",
            "encryption": {
                "services": {
                    "queue": {
                        "keyType": "Account"
                    },
                    "table": {
                        "keyType": "Account"
                    }
                },
                "keySource": "Microsoft.Storage"
            }
        }
    }
],

Miután létrehozott egy fiókot, amely a fiók titkosítási kulcsára támaszkodik, konfigurálhatja az azure Key Vault vagy Key Vault felügyelt hardveres biztonsági modellben (HSM) tárolt ügyfél által felügyelt kulcsokat. Az ügyfél által felügyelt kulcsok kulcstartóban való tárolásáról az Azure Key Vault-ben tárolt ügyfél által felügyelt kulcsokkal történő titkosítás konfigurálása című témakörben olvashat. Az ügyfél által felügyelt kulcsok felügyelt HSM-ben való tárolásáról további információt a Titkosítás konfigurálása az Azure Key Vault felügyelt HSM-ben tárolt ügyfél által felügyelt kulcsokkal című témakörben talál.

A fiók titkosítási kulcsának ellenőrzése

A fiók létrehozása után az Azure Portal, a PowerShell vagy az Azure CLI használatával ellenőrizheti, hogy a tárfiók egy, a fiókra kiterjedő titkosítási kulcsot használ-e.

Azure Portal

Ha ellenőrizni szeretné, hogy egy tárfiókban lévő szolgáltatás olyan titkosítási kulcsot használ-e, amely a Azure Portal a fiókra terjed ki, kövesse az alábbi lépéseket:

1. Az Azure Portalon lépjen az új tárfiókjára.

2. A Biztonság + hálózatkezelés szakaszban válassza a Titkosítás lehetőséget.

3. Ha a tárfiókot úgy hozták létre, hogy a fiók titkosítási kulcsára támaszkodjon, a Titkosítás lapon láthatja, hogy az ügyfél által felügyelt kulcsok mind a négy Azure Storage-szolgáltatáshoz engedélyezhetők: blobok, fájlok, táblák és üzenetsorok.

   

PowerShell

Ha ellenőrizni szeretné, hogy egy tárfiókban lévő szolgáltatás használja-e a fióktitkosítási kulcsot a PowerShell-lel, hívja meg a Get-AzStorageAccount parancsot. Ez a parancs a tárfiók tulajdonságainak és értékeinek egy készletét adja vissza. Keresse meg a mezőt az KeyType egyes szolgáltatásokhoz a Encryption tulajdonságon belül, és ellenőrizze, hogy az értékre Accountvan-e állítva.

$account = Get-AzStorageAccount -ResourceGroupName <resource-group> `
    -StorageAccountName <storage-account>
$account.Encryption.Services.Queue
$account.Encryption.Services.Table

Azure CLI

Annak ellenőrzéséhez, hogy egy tárfiókban lévő szolgáltatás használja-e a fióktitkosítási kulcsot az Azure CLI-vel, hívja meg az az storage account show parancsot. Ez a parancs a tárfiók tulajdonságainak és értékeinek egy készletét adja vissza. Keresse meg az keyType egyes szolgáltatások mezőjét a titkosítási tulajdonságon belül, és ellenőrizze, hogy az értékre Accountvan-e állítva.

az storage account show \
    --name <storage-account> \
    --resource-group <resource-group>

Sablon

N/A

Miután ellenőrizte, hogy a tárfiók egy, a fiókra kiterjedő titkosítási kulcsot használ-e, engedélyezheti az ügyfél által felügyelt kulcsokat a fiókhoz. Ezután mind a négy Azure Storage-szolgáltatás – blobok, fájlok, táblák és üzenetsorok – az ügyfél által felügyelt kulcsot fogja használni a titkosításhoz.

Árak és számlázás

A fiókra hatókörrel rendelkező titkosítási kulcs használatára létrehozott tárfiókok a Table Storage-kapacitásért és a tranzakciókért az alapértelmezett szolgáltatáshatókörű kulcsot használó fióktól eltérő díjban lesznek kiszámlázva. Részletekért lásd: Az Azure Table Storage díjszabása.

Következő lépések

• Inaktív adatok Azure Storage-titkosítása
• Ügyfél által felügyelt kulcsok az Azure Storage titkosításához
• Titkosítás konfigurálása az Azure Key Vaultban tárolt, ügyfél által kezelt kulcsokkal
• Titkosítás konfigurálása az Azure Key Vault felügyelt HSM-ben tárolt ügyfél által felügyelt kulcsokkal