Ügyfél által felügyelt kulcsok konfigurálása ugyanabban a bérlőben egy meglévő tárfiókhoz

Az Azure Storage titkosítja egy inaktív tárfiók összes adatát. Alapértelmezés szerint az adatok a Microsoft által felügyelt kulcsokkal lesznek titkosítva. A titkosítási kulcsok további szabályozásához kezelheti a saját kulcsait. Az ügyfél által felügyelt kulcsokat az Azure Key Vaultban vagy a Key Vault felügyelt hardveres biztonsági modellben (HSM) kell tárolni.

Ez a cikk bemutatja, hogyan konfigurálhatja a titkosítást egy meglévő tárfiók ügyfél által felügyelt kulcsaival, ha a tárfiók és a kulcstartó ugyanabban a bérlőben található. Az ügyfél által felügyelt kulcsok egy kulcstartóban vannak tárolva.

Ha tudni szeretné, hogyan konfigurálhat ügyfél által felügyelt kulcsokat egy új tárfiókhoz, olvassa el az Ügyfél által felügyelt kulcsok konfigurálása egy Azure-kulcstartóban egy új tárfiókhoz című témakört.

A felügyelt HSM-ben tárolt ügyfél által felügyelt kulcsokkal történő titkosítás konfigurálásáról további információt az Azure Key Vault felügyelt HSM-ben tárolt ügyfél által felügyelt kulcsokkal történő titkosítás konfigurálása című témakörben talál.

Megjegyzés:

Az Azure Key Vault és az Azure Key Vault felügyelt HSM ugyanazokat az API-kat és felügyeleti felületeket támogatja az ügyfél által felügyelt kulcsok konfigurálásához. Az Azure Key Vaulthoz támogatott műveletek az Azure Key Vault által felügyelt HSM-hez is támogatottak.

A kulcstartó konfigurálása

Az ügyfél által felügyelt kulcsok tárolásához használhat új vagy meglévő kulcstartót. Előfordulhat, hogy a tárfiók és a kulcstartó ugyanabban a bérlőben különböző régiókban vagy előfizetésekben található. Az Azure Key Vaultról további információt az Azure Key Vault áttekintése és az Azure Key Vault bemutatása című témakörben talál.

Az ügyfél által felügyelt kulcsok Azure Storage-titkosítással való használatához engedélyezni kell a helyreállítható törlés és a törlés elleni védelmet a kulcstartóhoz. A helyreállítható törlés alapértelmezés szerint engedélyezve van egy új kulcstartó létrehozásakor, és nem tiltható le. A kulcstartó létrehozásakor vagy a létrehozása után engedélyezheti a törlés elleni védelmet.

Az Azure Key Vault egy Azure RBAC-engedélymodellen keresztül támogatja az Azure RBAC-vel való engedélyezést. A Microsoft az Azure RBAC-engedélymodell használatát javasolja a kulcstartó hozzáférési szabályzatai alapján. További információ: Engedély megadása alkalmazások számára egy Azure-kulcstartóhoz való hozzáféréshez az Azure RBAC használatával.

Azure Portal

A kulcstartók Azure Portallal való létrehozásáról a következő rövid útmutatóban olvashat : Kulcstartó létrehozása az Azure Portal használatával. A kulcstartó létrehozásakor válassza a Törlés elleni védelem engedélyezése lehetőséget az alábbi képen látható módon.

Ha engedélyezni szeretné a törlés elleni védelmet egy meglévő kulcstartón, kövesse az alábbi lépéseket:

1. Lépjen a kulcstartóra az Azure Portalon.
2. A Gépház csoportban válassza a Tulajdonságok lehetőséget.
3. A Törlés elleni védelem szakaszban válassza a Törlés elleni védelem engedélyezése lehetőséget.

PowerShell

Ha új kulcstartót szeretne létrehozni a PowerShell-lel, telepítse az Az.KeyVault PowerShell modul 2.0.0-s vagy újabb verzióját. Ezután hívja meg a New-AzKeyVaultot egy új kulcstartó létrehozásához. Az Az.KeyVault modul 2.0.0-s és újabb verziójával alapértelmezés szerint engedélyezve van a helyreállítható törlés egy új kulcstartó létrehozásakor.

Az alábbi példa egy új kulcstartót hoz létre, amelyen engedélyezve van a helyreállítható törlés és a törlés elleni védelem. A key vault engedélymodellje az Azure RBAC használatára van beállítva. Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire.

$rgName = "<resource_group>"
$location = "<location>"
$kvName = "<key-vault>"

$keyVault = New-AzKeyVault -Name $kvName `
    -ResourceGroupName $rgName `
    -Location $location `
    -EnablePurgeProtection `
    -EnableRbacAuthorization

Ha tudni szeretné, hogyan engedélyezheti a kiürítési védelmet egy meglévő kulcstartón a PowerShell-lel, tekintse meg az Azure Key Vault helyreállításának áttekintését.

Miután létrehozta a kulcstartót, hozzá kell rendelnie a Key Vault crypto officer szerepkört saját magához. Ez a szerepkör lehetővé teszi egy kulcs létrehozását a kulcstartóban. Az alábbi példa hozzárendeli ezt a szerepkört egy felhasználóhoz, amely a kulcstartóra terjed ki:

New-AzRoleAssignment -SignInName "<user-email>" `
    -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $keyVault.ResourceId

További információ az RBAC-szerepkörök PowerShell-lel való hozzárendeléséről: Azure-szerepkörök hozzárendelése az Azure PowerShell használatával.

Azure CLI

Ha új kulcstartót szeretne létrehozni az Azure CLI használatával, hívja meg az keyvault create parancsot. Az alábbi példa egy új kulcstartót hoz létre, amelyen engedélyezve van a helyreállítható törlés és a törlés elleni védelem. A key vault engedélymodellje az Azure RBAC használatára van beállítva. Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire.

rgName="<resource_group>"
location="<location>"
kvName="<key-vault>"

az keyvault create \
    --name $kvName \
    --resource-group $rgName \
    --location $location \
    --enable-purge-protection \
    --enable-rbac-authorization

Ha tudni szeretné, hogyan engedélyezheti a törlés elleni védelmet egy meglévő kulcstartón az Azure CLI-vel, tekintse meg az Azure Key Vault helyreállításának áttekintését.

Miután létrehozta a kulcstartót, hozzá kell rendelnie a Key Vault crypto officer szerepkört saját magához. Ez a szerepkör lehetővé teszi egy kulcs létrehozását a kulcstartóban. Az alábbi példa hozzárendeli ezt a szerepkört egy felhasználóhoz, amely a kulcstartóra terjed ki:

kvResourceId=$(az keyvault show --resource-group $rgName \
    --name $kvName \
    --query id \
    --output tsv)

az role assignment create --assignee "<user-email>" \
    --role "Key Vault Crypto Officer" \
    --scope $kvResourceId

Az RBAC-szerepkörök Azure CLI-vel való hozzárendelésével kapcsolatos további információkért lásd : Azure-szerepkörök hozzárendelése az Azure CLI használatával.

Kulcs hozzáadása

Ezután adjon hozzá egy kulcsot a kulcstartóhoz. Mielőtt hozzáadja a kulcsot, győződjön meg arról, hogy a Key Vault crypto officer szerepkört saját magához rendelte.

Az Azure Storage-titkosítás támogatja a 2048-es, 3072-es és 4096-os méretű RSA- és RSA-HSM-kulcsokat. A támogatott kulcstípusokról további információt a Kulcsok ismertetése című témakörben talál.

Azure Portal

Ha tudni szeretné, hogyan adhat hozzá kulcsot az Azure Portalhoz, olvassa el a gyorsútmutatót: Kulcs beállítása és lekérése az Azure Key Vaultból az Azure Portal használatával.

PowerShell

Kulcs PowerShell-lel való hozzáadásához hívja meg az Add-AzKeyVaultKey parancsot. Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire, és használja az előző példákban definiált változókat.

$keyName = "<key-name>"

$key = Add-AzKeyVaultKey -VaultName $keyVault.VaultName `
    -Name $keyName `
    -Destination 'Software'

Azure CLI

Ha egy kulcsot szeretne hozzáadni az Azure CLI-vel, hívja meg az keyvault key create parancsot. Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire.

keyName="<key-name>"

az keyvault key create \
    --name $keyName \
    --vault-name $kvName

Felügyelt identitás kiválasztása a kulcstartóhoz való hozzáférés engedélyezéséhez

Ha engedélyezi az ügyfél által felügyelt kulcsokat egy meglévő tárfiókhoz, meg kell adnia egy felügyelt identitást, amellyel engedélyezheti a kulcsot tartalmazó kulcstartóhoz való hozzáférést. A felügyelt identitásnak engedéllyel kell rendelkeznie a kulcs eléréséhez a kulcstartóban.

A kulcstartóhoz való hozzáférést engedélyező felügyelt identitás lehet felhasználó által hozzárendelt vagy rendszer által hozzárendelt felügyelt identitás. A rendszer által hozzárendelt és a felhasználó által hozzárendelt felügyelt identitásokról további információt a Felügyelt identitástípusok című témakörben talál.

Hozzáférés engedélyezése felhasználó által hozzárendelt felügyelt identitással

Ha engedélyezi az ügyfél által felügyelt kulcsokat egy új tárfiókhoz, meg kell adnia egy felhasználó által hozzárendelt felügyelt identitást. Egy meglévő tárfiók támogatja a felhasználó által hozzárendelt felügyelt identitás vagy egy rendszer által hozzárendelt felügyelt identitás használatát az ügyfél által felügyelt kulcsok konfigurálásához.

Ha az ügyfél által felügyelt kulcsokat felhasználó által hozzárendelt felügyelt identitással konfigurálja, a rendszer a felhasználó által hozzárendelt felügyelt identitással engedélyezi a hozzáférést a kulcsot tartalmazó kulcstartóhoz. Az ügyfél által felügyelt kulcsok konfigurálása előtt létre kell hoznia a felhasználó által hozzárendelt identitást.

A felhasználó által hozzárendelt felügyelt identitás egy önálló Azure-erőforrás. A felhasználó által hozzárendelt felügyelt identitásokról további információt a Felügyelt identitástípusok című témakörben talál. A felhasználó által hozzárendelt felügyelt identitások létrehozásáról és kezeléséről a felhasználó által hozzárendelt felügyelt identitások kezelése című témakörben olvashat.

A felhasználó által hozzárendelt felügyelt identitásnak engedélyekkel kell rendelkeznie a kulcs eléréséhez a kulcstartóban. Rendelje hozzá a Key Vault titkosítási szolgáltatástitkosítási felhasználói szerepkörét a felhasználó által hozzárendelt felügyelt identitáshoz a Key Vault hatókörével, hogy megadja ezeket az engedélyeket.

Azure Portal

Ahhoz, hogy az ügyfél által felügyelt kulcsokat felhasználó által hozzárendelt felügyelt identitással konfigurálhassa, hozzá kell rendelnie a Key Vault titkosítási szolgáltatás titkosítási felhasználói szerepkörét a felhasználó által hozzárendelt felügyelt identitáshoz, amely a kulcstartóra terjed ki. Ez a szerepkör hozzáférést biztosít a felhasználó által hozzárendelt felügyelt identitásnak a kulcshoz való hozzáféréshez a kulcstartóban. További információ az Azure RBAC-szerepkörök Azure Portallal való hozzárendeléséről: Azure-szerepkörök hozzárendelése az Azure Portal használatával.

Ha ügyfél által felügyelt kulcsokat konfigurál az Azure Portallal, a portál felhasználói felületén kiválaszthat egy meglévő felhasználó által hozzárendelt identitást.

PowerShell

Az alábbi példa bemutatja, hogyan kérhető le a felhasználó által hozzárendelt felügyelt identitás, és hogyan rendelhető hozzá a szükséges RBAC-szerepkör, amely a kulcstartóra terjed ki. Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire, és használja az előző példákban definiált változókat:

$userIdentity = Get-AzUserAssignedIdentity -Name <user-assigned-identity> `
    -ResourceGroupName $rgName

$principalId = $userIdentity.PrincipalId

New-AzRoleAssignment -ObjectId $principalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

Azure CLI

Az alábbi példa bemutatja, hogyan kérhető le a felhasználó által hozzárendelt felügyelt identitás, és hogyan rendelhető hozzá a szükséges RBAC-szerepkör, amely a kulcstartóra terjed ki. Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire, és használja az előző példákban definiált változókat:

identityResourceId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query id \
    --output tsv)

principalId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query principalId \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId \
    --assignee-principal-type ServicePrincipal

Hozzáférés engedélyezése rendszer által hozzárendelt felügyelt identitással

A rendszer által hozzárendelt felügyelt identitás egy Azure-szolgáltatás egy példányához van társítva, ebben az esetben egy Azure Storage-fiókhoz. A rendszer által hozzárendelt felügyelt identitást explicit módon kell hozzárendelnie egy tárfiókhoz, mielőtt a rendszer által hozzárendelt felügyelt identitással engedélyezheti az ügyfél által felügyelt kulcsot tartalmazó kulcstartóhoz való hozzáférést.

Csak a meglévő tárfiókok használhatnak rendszer által hozzárendelt identitást a kulcstartóhoz való hozzáférés engedélyezéséhez. Az új tárfiókok felhasználó által hozzárendelt identitást használnak, ha az ügyfél által felügyelt kulcsok konfigurálva vannak a fióklétrehozáskor.

A rendszer által hozzárendelt felügyelt identitásnak engedélyekkel kell rendelkeznie a kulcs eléréséhez a kulcstartóban. Rendelje hozzá a Key Vault titkosítási szolgáltatástitkosítási felhasználói szerepkört a rendszer által hozzárendelt felügyelt identitáshoz a Key Vault hatókörével, hogy megadja ezeket az engedélyeket.

Azure Portal

Ahhoz, hogy az ügyfél által felügyelt kulcsokat rendszer által hozzárendelt felügyelt identitással konfigurálhassa, hozzá kell rendelnie a Key Vault titkosítási szolgáltatás titkosítási felhasználói szerepkörét a rendszer által hozzárendelt felügyelt identitáshoz, amely a kulcstartóra terjed ki. Ez a szerepkör hozzáférést biztosít a rendszer által hozzárendelt felügyelt identitásnak a kulcshoz való hozzáféréshez a kulcstartóban. További információ az Azure RBAC-szerepkörök Azure Portallal való hozzárendeléséről: Azure-szerepkörök hozzárendelése az Azure Portal használatával.

Ha ügyfél által felügyelt kulcsokat konfigurál az Azure Portalon egy rendszer által hozzárendelt felügyelt identitással, a rendszer által hozzárendelt felügyelt identitás a tárfiókhoz lesz rendelve a fedelek alatt.

PowerShell

Ha egy rendszer által hozzárendelt felügyelt identitást szeretne hozzárendelni a tárfiókhoz, először hívja meg a Set-AzStorageAccount parancsot:

$accountName = "<storage-account>"

$storageAccount = Set-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -AssignIdentity

Ezután rendelje hozzá a rendszer által hozzárendelt felügyelt identitáshoz a szükséges RBAC-szerepkört, amely a kulcstartóra terjed ki. Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire, és használja az előző példákban definiált változókat:

$principalId = $storageAccount.Identity.PrincipalId

New-AzRoleAssignment -ObjectId $storageAccount.Identity.PrincipalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

Azure CLI

A kulcstartóhoz való hozzáférés rendszer által hozzárendelt felügyelt identitással való hitelesítéséhez először rendelje hozzá a rendszer által hozzárendelt felügyelt identitást a tárfiókhoz az az storage account update meghívásával:

accountName="<storage-account>"

az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --assign-identity

Ezután rendelje hozzá a rendszer által hozzárendelt felügyelt identitáshoz a szükséges RBAC-szerepkört, amely a kulcstartóra terjed ki. Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire, és használja az előző példákban definiált változókat:

principalId=$(az storage account show --name $accountName \
    --resource-group $rgName \
    --query identity.principalId \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId

Ügyfél által felügyelt kulcsok konfigurálása meglévő fiókhoz

Ha egy meglévő tárfiók ügyfél által felügyelt kulcsaival konfigurálja a titkosítást, dönthet úgy, hogy automatikusan frissíti az Azure Storage-titkosításhoz használt kulcsverziót, amikor a társított kulcstartóban új verzió érhető el. Másik lehetőségként explicit módon megadhatja a titkosításhoz használandó kulcsverziót, amíg a kulcsverzió manuálisan nem frissül.

A kulcsverzió módosításakor – akár automatikusan, akár manuálisan – megváltozik a gyökértitkosítási kulcs védelme, de az Azure Storage-fiókban lévő adatok mindig titkosítva maradnak. Nincs szükség további műveletre az adatok védelmének biztosításához. A kulcsverzió elforgatása nem befolyásolja a teljesítményt. A kulcsverzió elforgatása nem jár állásidővel.

Rendszer által hozzárendelt vagy felhasználó által hozzárendelt felügyelt identitással engedélyezheti a kulcstartóhoz való hozzáférést, amikor ügyfél által felügyelt kulcsokat konfigurál egy meglévő tárfiókhoz.

Megjegyzés:

Kulcs elforgatásához hozzon létre egy új verziót az Azure Key Vaultban. Az Azure Storage nem kezeli a kulcsváltást, ezért a kulcs elforgatását a kulcstartóban kell kezelnie. Konfigurálhatja a kulcs automatikus elforgatását az Azure Key Vaultban , vagy manuálisan is elforgathatja a kulcsot.

Titkosítás konfigurálása a kulcsverziók automatikus frissítéséhez

Az Azure Storage automatikusan frissítheti a titkosításhoz használt ügyfél által kezelt kulcsot a kulcstartó legújabb kulcsverziójának használatához. Az Azure Storage naponta ellenőrzi a kulcstartót a kulcs új verziójáért. Amikor egy új verzió elérhetővé válik, az Azure Storage automatikusan elkezdi használni a kulcs legújabb verzióját a titkosításhoz.

Fontos

Az Azure Storage naponta csak egyszer ellenőrzi a kulcstartót egy új kulcsverzióhoz. A kulcs elforgatásakor mindenképpen várjon 24 órát, mielőtt letiltja a régebbi verziót.

Azure Portal

Ha egy meglévő fiók ügyfél által felügyelt kulcsait szeretné konfigurálni a kulcsverzió automatikus frissítésével az Azure Portalon, kövesse az alábbi lépéseket:

1. Navigate to your storage account.

2. A Biztonság + hálózatkezelés területen válassza a Titkosítás lehetőséget. Alapértelmezés szerint a kulcskezelés a Microsoft által felügyelt kulcsok értékre van állítva az alábbi képen látható módon:

   

3. Válassza az Ügyfél által felügyelt kulcsok lehetőséget. Ha a fiók korábban ügyfél által felügyelt kulcsokhoz lett konfigurálva a kulcsverzió manuális frissítésével, válassza a Kulcs módosítása lehetőséget a lap alján.

4. Válassza a Kiválasztás a Key Vaultból lehetőséget.

5. Válassza a Kulcstartó és kulcs kiválasztása lehetőséget.

6. Válassza ki a használni kívánt kulcsot tartalmazó kulcstartót. Új kulcstartót is létrehozhat.

7. Válassza ki a kulcsot a kulcstartóból. Új kulcsot is létrehozhat.

   

8. Válassza ki a kulcstartóhoz való hozzáférés hitelesítéséhez használni kívánt identitástípust. A beállítások közé tartoznak a rendszer által hozzárendelt (alapértelmezett) vagy a felhasználó által hozzárendelt lehetőségek. A felügyelt identitástípusokról további információt a Felügyelt identitástípusok című témakörben talál.

   1. Ha a Rendszer által hozzárendelt lehetőséget választja, a tárfiók rendszer által hozzárendelt felügyelt identitása a fedő alatt jön létre, ha még nem létezik.
   2. Ha a felhasználó által hozzárendelt identitást választja, ki kell választania egy meglévő, felhasználó által hozzárendelt identitást, amely rendelkezik a kulcstartó eléréséhez szükséges engedélyekkel. A felhasználó által hozzárendelt identitások létrehozásáról további információt a felhasználó által hozzárendelt felügyelt identitások kezelése című témakörben talál.

   

9. Módosítások mentése.

A kulcs megadása után az Azure Portal jelzi, hogy a kulcsverzió automatikus frissítése engedélyezve van, és megjeleníti a titkosításhoz jelenleg használt kulcsverziót. A portál a felügyelt identitáshoz való hozzáférés engedélyezéséhez használt felügyelt identitás típusát és a felügyelt identitás egyszerű azonosítóját is megjeleníti.

PowerShell

Ha egy meglévő fiók ügyfél által felügyelt kulcsait szeretné konfigurálni a kulcsverzió PowerShell-lel való automatikus frissítésével, telepítse az Az.Storage modult, amely a 2.0.0-s vagy újabb verziót használja.

Ezután hívja meg a Set-AzStorageAccountot a tárfiók titkosítási beállításainak frissítéséhez. Adja meg a paramétert a KeyvaultEncryption tárfiók ügyfél által felügyelt kulcsainak engedélyezéséhez, és állítsa üres KeyVersion sztringre a kulcsverzió automatikus frissítésének engedélyezéséhez. Ha a tárfiók korábban ügyfél által felügyelt kulcsokhoz lett konfigurálva egy adott kulcsverzióval, akkor a kulcsverzió üres sztringre állítása lehetővé teszi a kulcsverzió előrehaladtának automatikus frissítését.

$accountName = "<storage-account>"

# Use this form of the command with a user-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyvaultEncryption `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion "" `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

# Use this form of the command with a system-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -KeyvaultEncryption `
    -KeyName $key.Name `
    -KeyVersion "" `
    -KeyVaultUri $keyVault.VaultUri

Azure CLI

Ha egy meglévő fiók ügyfél által felügyelt kulcsait szeretné konfigurálni a kulcsverzió Azure CLI-vel való automatikus frissítésével, telepítse az Azure CLI 2.4.0-s vagy újabb verzióját. További információ: Az Azure CLI telepítése.

Ezután hívja meg az az storage account update-et a tárfiók titkosítási beállításainak frissítéséhez. Adja meg a --encryption-key-source paramétert, és állítsa be úgy, hogy Microsoft.Keyvault engedélyezze az ügyfél által felügyelt kulcsokat a fiókhoz, és állítson be encryption-key-version egy üres sztringet a kulcsverzió automatikus frissítésének engedélyezéséhez. Ha a tárfiók korábban ügyfél által felügyelt kulcsokhoz lett konfigurálva egy adott kulcsverzióval, akkor a kulcsverzió üres sztringre állítása lehetővé teszi a kulcsverzió előrehaladtának automatikus frissítését.

accountName="<storage-account>"

keyVaultUri=$(az keyvault show \
    --name $kvName \
    --resource-group $rgName \
    --query properties.vaultUri \
    --output tsv)

# Use this form of the command with a user-assigned managed identity.
az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-name $keyName \
    --encryption-key-version "" \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $keyVaultUri \
    --key-vault-user-identity-id $identityResourceId

# Use this form of the command with a system-assigned managed identity.
az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --encryption-key-name $keyName \
    --encryption-key-version "" \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $keyVaultUri

Titkosítás konfigurálása a kulcsverziók manuális frissítéséhez

Ha inkább manuálisan szeretné frissíteni a kulcsverziót, akkor explicit módon adja meg azt a verziót, amikor ügyfél által felügyelt kulcsokkal konfigurálja a titkosítást. Ebben az esetben az Azure Storage nem frissíti automatikusan a kulcsverziót, amikor új verziót hoz létre a kulcstartóban. Új kulcsverzió használatához manuálisan kell frissítenie az Azure Storage-titkosításhoz használt verziót.

Azure Portal

Ha ügyfél által felügyelt kulcsokat szeretne konfigurálni a kulcsverzió manuális frissítésével az Azure Portalon, adja meg a kulcs URI-ját, beleértve a verziót is. A kulcs URI-ként való megadásához kövesse az alábbi lépéseket:

1. A kulcs URI-jának az Azure Portalon való megkereséséhez keresse meg a kulcstartót, és válassza a Kulcsok beállítást. Válassza ki a kívánt kulcsot, majd válassza ki a kulcsot a verzió megtekintéséhez. Válassza ki a kulcsverziót az adott verzió beállításainak megtekintéséhez.

2. Másolja ki az URI-t biztosító Kulcsazonosító mező értékét.

   

3. A tárfiók titkosítási kulcsbeállításaiban válassza az Enter key URI lehetőséget.

4. Illessze be a Kulcs URI mezőbe másolt URI-t . Hagyja ki a kulcsverziót az URI-ból a kulcsverzió automatikus frissítésének engedélyezéséhez.

   

5. Adja meg a kulcstartót tartalmazó előfizetést.

6. Adjon meg egy rendszer által hozzárendelt vagy felhasználó által hozzárendelt felügyelt identitást.

7. Módosítások mentése.

PowerShell

Ha az ügyfél által felügyelt kulcsokat a kulcsverzió manuális frissítésével szeretné konfigurálni, explicit módon adja meg a kulcsverziót, amikor a tárfiók titkosítását konfigurálja. Hívja meg a Set-AzStorageAccount parancsot a tárfiók titkosítási beállításainak frissítéséhez az alábbi példában látható módon, és adja meg a -KeyvaultEncryption lehetőséget a tárfiók ügyfél által felügyelt kulcsainak engedélyezéséhez.

Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire, és használja az előző példákban definiált változókat.

$accountName = "<storage-account>"

# Use this form of the command with a user-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyvaultEncryption `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

# Use this form of the command with a system-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -KeyvaultEncryption `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version

Amikor manuálisan frissíti a kulcsverziót, frissítenie kell a tárfiók titkosítási beállításait az új verzió használatához. Először hívja meg a Get-AzKeyVaultKey-t a kulcs legújabb verziójának lekéréséhez. Ezután hívja meg a Set-AzStorageAccountot , hogy frissítse a tárfiók titkosítási beállításait a kulcs új verziójának használatára, ahogyan az az előző példában is látható.

Azure CLI

Ha az ügyfél által felügyelt kulcsokat a kulcsverzió manuális frissítésével szeretné konfigurálni, explicit módon adja meg a kulcsverziót, amikor a tárfiók titkosítását konfigurálja. Hívja meg az az storage account update-et a tárfiók titkosítási beállításainak frissítéséhez, ahogyan az az alábbi példában látható. Adja meg a paramétert --encryption-key-source , és állítsa be úgy, hogy Microsoft.Keyvault engedélyezze az ügyfél által felügyelt kulcsokat a fiókhoz.

Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire.

accountName="<storage-account>"

keyVaultUri=$(az keyvault show \
    --name $kvName \
    --resource-group $rgName \
    --query properties.vaultUri \
    --output tsv)

keyVersion=$(az keyvault key list-versions \
    --name $keyName \
    --vault-name $kvName \
    --query [-1].kid \
    --output tsv | cut -d '/' -f 6)

# Use this form of the command with a user-assigned managed identity
az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-name $keyName \
    --encryption-key-version $keyVersion \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $keyVaultUri \
    --key-vault-user-identity-id $identityResourceId

# Use this form of the command with a system-assigned managed identity
az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --encryption-key-name $keyName \
    --encryption-key-version $keyVersion \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $keyVaultUri

Amikor manuálisan frissíti a kulcsverziót, frissítenie kell a tárfiók titkosítási beállításait az új verzió használatához. Először a key vault URI-jának lekérdezéséhez hívja meg az az keyvault show-t, a kulcsverziót pedig az keyvault key list-versions meghívásával. Ezután hívja meg az az storage account update-et , hogy frissítse a tárfiók titkosítási beállításait a kulcs új verziójának használatához, ahogy az az előző példában is látható.

A kulcs módosítása

Az Azure Storage-titkosításhoz használt kulcsot bármikor módosíthatja.

Megjegyzés:

A kulcs vagy kulcs verziójának módosításakor a gyökértitkosítási kulcs védelme megváltozik, de az Azure Storage-fiókban lévő adatok mindig titkosítva maradnak. Az adatok védelmének biztosításához nincs szükség további műveletre. A kulcs módosítása vagy a kulcsverzió elforgatása nem befolyásolja a teljesítményt. Nincs állásidő a kulcs módosításával vagy a kulcsverzió elforgatásával kapcsolatban.

Azure Portal

Ha módosítani szeretné a kulcsot az Azure Portalon, kövesse az alábbi lépéseket:

1. Lépjen a tárfiókra, és jelenítse meg a titkosítási beállításokat.
2. Válassza ki a kulcstartót, és válasszon egy új kulcsot.
3. Módosítások mentése.

PowerShell

A kulcs PowerShell-lel való módosításához hívja meg a Set-AzStorageAccount parancsot , és adja meg az új kulcs nevét és verzióját. Ha az új kulcs egy másik kulcstartóban található, akkor frissítenie kell a kulcstartó URI-t is.

Azure CLI

Ha módosítani szeretné a kulcsot az Azure CLI-vel, hívja meg az az storage account update-et , és adja meg az új kulcs nevét és verzióját. Ha az új kulcs egy másik kulcstartóban található, akkor frissítenie kell a kulcstartó URI-t is.

Ha az új kulcs egy másik kulcstartóban található, hozzáférést kell adnia a felügyelt identitásnak az új tárolóban lévő kulcshoz. Ha a kulcsverzió manuális frissítését választja, a kulcstartó URI-ját is frissítenie kell.

Ügyfél által felügyelt kulcsokat használó tárfiókhoz való hozzáférés visszavonása

Az ügyfél által felügyelt kulcsokat használó tárfiókhoz való hozzáférés ideiglenes visszavonásához tiltsa le a kulcstartóban jelenleg használt kulcsot. A kulcs letiltásával és ismételt letiltásával nincs hatással a teljesítményre vagy az állásidőre.

A kulcs letiltása után az ügyfelek nem hívhatnak meg olyan műveleteket, amelyek egy blobból vagy annak metaadataiból olvasnak vagy írnak. Az ügyfél által felügyelt kulcsokat használó tárfiók hozzáférésének visszavonása című témakörben talál további információt arról, hogy mely műveletek lesznek sikertelenek.

Figyelmeztetés

Ha letiltja a kulcsot a kulcstartóban, az Azure Storage-fiókban lévő adatok titkosítva maradnak, de az nem lesz elérhetetlen, amíg újra nem érhetővé nem teszi a kulcsot.

Azure Portal

Ha le szeretne tiltani egy ügyfél által felügyelt kulcsot az Azure Portalon, kövesse az alábbi lépéseket:

1. Lépjen a kulcsot tartalmazó kulcstartóra.

2. Az Objektumok területen válassza a Kulcsok lehetőséget.

3. Kattintson a jobb gombbal a kulcsra, és válassza a Letiltás lehetőséget.

   

PowerShell

Ha vissza szeretne vonni egy ügyfél által felügyelt kulcsot a PowerShell használatával, hívja meg az Update-AzKeyVaultKey parancsot az alábbi példában látható módon. Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire a változók definiálásához, vagy használja az előző példákban definiált változókat.

$kvName  = "<key-vault-name>"
$keyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it

# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $keyName -VaultName $kvName

# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $kvName -Name $keyName -Enable $enabled

Azure CLI

Ha vissza szeretne vonni egy ügyfél által felügyelt kulcsot az Azure CLI-vel, hívja meg az az keyvault key set-attributes parancsot az alábbi példában látható módon. Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire a változók definiálásához, vagy használja az előző példákban definiált változókat.

kvName="<key-vault-name>"
keyName="<key-name>"
enabled="false"
# "false" to disable the key / "true" to enable it:

# Check the current state of the key (before and after enabling/disabling it)
az keyvault key show \
    --vault-name $kvName \
    --name $keyName

# Disable (or enable) the key
az keyvault key set-attributes \
    --vault-name $kvName \
    --name $keyName \
    --enabled $enabled

Visszaváltás a Microsoft által felügyelt kulcsra

Az ügyfél által felügyelt kulcsok bármikor visszaállhatnak a Microsoft által felügyelt kulcsra az Azure Portal, a PowerShell vagy az Azure CLI használatával.

Azure Portal

Ha vissza szeretne váltani az ügyfél által felügyelt kulcsról a Microsoft által felügyelt kulcsokra az Azure Portalon, kövesse az alábbi lépéseket:

1. Navigate to your storage account.

2. A Biztonság + hálózatkezelés területen válassza a Titkosítás lehetőséget.

3. Módosítsa a titkosítás típusát a Microsoft által felügyelt kulcsra.

   

PowerShell

Ha vissza szeretne váltani az ügyfél által felügyelt kulcsokról a Microsoft által felügyelt kulcsokra a PowerShell használatával, hívja meg a Set-AzStorageAccount parancsot a -StorageEncryption beállítással, ahogyan az alábbi példában is látható. Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire, és használja az előző példákban definiált változókat.

Set-AzStorageAccount -ResourceGroupName $storageAccount.ResourceGroupName `
    -AccountName $storageAccount.StorageAccountName `
    -StorageEncryption  

Azure CLI

Ha vissza szeretne váltani az ügyfél által felügyelt kulcsról a Microsoft által felügyelt kulcsra az Azure CLI-vel, hívja meg az az storage account update-et , és állítsa be az --encryption-key-source parameterMicrosoft.Storageértéket az alábbi példában látható módon. Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire, és használja az előző példákban definiált változókat.

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-source Microsoft.Storage

Következő lépések

• Inaktív adatok Azure Storage-titkosítása
• Ügyfél által kezelt kulcsok az Azure Storage titkosításához
• Ügyfél által felügyelt kulcsok konfigurálása egy Azure-kulcstartóban egy új tárfiókhoz