Membuat dan mengelola cakupan enkripsi

Cakupan enkripsi memungkinkan Anda mengelola enkripsi pada tingkat blob atau kontainer tersendiri. Anda dapat menggunakan cakupan enkripsi untuk membuat batas aman antara data yang berada di akun penyimpanan yang sama, tetapi milik pelanggan yang berbeda. Untuk informasi selengkapnya tentang cakupan enkripsi, lihat Cakupan enkripsi untuk penyimpanan Blob.

Artikel ini menunjukkan cara membuat cakupan enkripsi. Artikel ini juga menunjukkan cara menentukan cakupan enkripsi saat Anda membuat blob atau kontainer.

Membuat cakupan enkripsi

Anda dapat membuat cakupan enkripsi yang dilindungi dengan kunci yang dikelola Microsoft atau dengan kunci yang dikelola pelanggan yang disimpan di Azure Key Vault atau di Azure Key Vault Managed Hardware Security Model (HSM). Untuk membuat cakupan enkripsi dengan kunci yang dikelola pelanggan, Anda harus terlebih dahulu membuat brankas kunci atau HSM terkelola dan menambahkan kunci yang ingin Anda gunakan untuk cakupan. Brankas kunci atau HSM terkelola harus mengaktifkan perlindungan penghapusan menyeluruh.

Akun penyimpanan dan brankas kunci dapat berada di penyewa yang sama, atau di penyewa yang berbeda. Dalam kedua kasus, akun penyimpanan dan brankas kunci dapat berada di wilayah yang berbeda.

Cakupan enkripsi diaktifkan secara otomatis saat Anda membuatnya. Setelah membuat cakupan enkripsi, Anda dapat menentukannya saat membuat blob. Anda juga dapat menentukan cakupan enkripsi default saat membuat kontainer yang secara otomatis berlaku untuk semua blob dalam kontainer.

Saat mengonfigurasi cakupan enkripsi, Anda ditagih selama minimal satu bulan (30 hari). Setelah bulan pertama, biaya untuk cakupan enkripsi diproratakan setiap jam. Untuk informasi selengkapnya, lihat Penagihan untuk cakupan enkripsi.

Portal

Untuk membuat cakupan enkripsi di portal Microsoft Azure, ikuti langkah-langkah berikut:

1. Navigasikan ke akun penyimpanan Anda di portal Microsoft Azure.

2. Di bawah Keamanan + jaringan pilih Enkripsi.

3. Pilih tab Cakupan Enkripsi.

4. Klik tombol Tambahkan untuk menambahkan cakupan enkripsi baru.

5. Di panel Buat Cakupan Enkripsi, masukkan nama untuk cakupan baru.

6. Pilih jenis dukungan kunci enkripsi yang diinginkan, baik Kunci yang dikelola Microsoft atau Kunci yang dikelola pelanggan.

   • Jika Anda memilih Kunci yang dikelola Microsoft, klik Buat untuk membuat cakupan enkripsi.
   • Jika Anda memilih Kunci yang dikelola pelanggan, pilih langganan dan tentukan brankas kunci dan kunci yang akan digunakan untuk cakupan enkripsi ini. Jika brankas kunci yang diinginkan berada di wilayah yang berbeda, pilih Masukkan URI kunci dan tentukan URI kunci.

7. Jika enkripsi infrastruktur diaktifkan untuk akun penyimpanan, enkripsi tersebut akan secara otomatis diaktifkan untuk cakupan enkripsi baru. Jika tidak, Anda dapat memilih apakah akan mengaktifkan enkripsi infrastruktur untuk cakupan enkripsi.

   

PowerShell

Untuk membuat cakupan enkripsi dengan PowerShell, instal modul Az.Storage PowerShell versi 3.4.0 atau yang lebih baru.

Membuat cakupan enkripsi yang dilindungi oleh kunci yang dikelola Microsoft

Untuk membuat cakupan enkripsi yang dilindungi oleh kunci yang dikelola Microsoft, panggil perintah New-AzStorageEncryptionScope dengan -StorageEncryption parameter .

Jika enkripsi infrastruktur diaktifkan untuk akun penyimpanan, enkripsi tersebut akan secara otomatis diaktifkan untuk cakupan enkripsi baru. Jika tidak, Anda dapat memilih apakah akan mengaktifkan enkripsi infrastruktur untuk cakupan enkripsi. Untuk membuat cakupan baru dengan enkripsi infrastruktur yang diaktifkan, sertakan parameter -RequireInfrastructureEncryption.

Ingatlah untuk mengganti nilai tempat penampung dalam contoh dengan nilai Anda sendiri:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$scopeName = "<encryption-scope>"

New-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName1 `
    -StorageEncryption

Membuat cakupan enkripsi yang dilindungi oleh kunci yang dikelola pelanggan di penyewa yang sama

Untuk membuat cakupan enkripsi yang dilindungi oleh kunci yang dikelola pelanggan yang disimpan dalam brankas kunci atau HSM terkelola yang berada di penyewa yang sama dengan akun penyimpanan, pertama-tama konfigurasikan kunci yang dikelola pelanggan untuk akun penyimpanan. Anda harus menetapkan identitas terkelola ke akun penyimpanan yang memiliki izin untuk mengakses brankas kunci. Identitas terkelola dapat berupa identitas terkelola yang ditetapkan pengguna atau identitas terkelola yang ditetapkan sistem. Untuk mempelajari selengkapnya tentang mengonfigurasi kunci yang dikelola pelanggan, lihat Mengonfigurasi kunci yang dikelola pelanggan di penyewa yang sama untuk akun penyimpanan yang ada.

Untuk memberikan izin identitas terkelola untuk mengakses brankas kunci, tetapkan peran Pengguna Enkripsi Layanan Kripto Key Vault peran identitas terkelola.

Untuk mengonfigurasi kunci yang dikelola pelanggan untuk digunakan dengan cakupan enkripsi, perlindungan hapus menyeluruh harus diaktifkan pada brankas kunci atau HSM terkelola.

Contoh berikut menunjukkan cara mengonfigurasi cakupan enkripsi dengan identitas terkelola yang ditetapkan sistem. Ingatlah untuk mengganti nilai tempat penampung dalam contoh dengan nilai Anda sendiri:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$keyVaultName = "<key-vault>"
$scopeName = "<encryption-scope>"

# Assign a system-assigned managed identity to the storage account.
$storageAccount = Set-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -AssignIdentity

# Assign the necessary permissions to the managed identity 
# so that it can access the key vault.
$principalId = $storageAccount.Identity.PrincipalId
$keyVault = Get-AzKeyVault $keyVaultName

New-AzRoleAssignment -ObjectId $storageAccount.Identity.PrincipalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

Selanjutnya, panggil perintah New-AzStorageEncryptionScope dengan parameter -KeyvaultEncryption dan tentukan URI kunci. Menyertakan versi kunci pada URI kunci bersifat opsional. Jika Anda mengabaikan versi kunci, maka cakupan enkripsi akan secara otomatis menggunakan versi kunci terbaru. Jika Anda menyertakan versi kunci, maka Anda harus memperbarui versi kunci secara manual untuk menggunakan versi yang berbeda.

Format URI kunci mirip dengan contoh berikut, dan dapat dibangun dari properti VaultUri brankas kunci dan nama kunci:

# Without the key version
https://<key-vault>.vault.azure.net/keys/<key>

# With the key version
https://<key-vault>.vault.azure.net/keys/<key>/<version>

Jika enkripsi infrastruktur diaktifkan untuk akun penyimpanan, enkripsi tersebut akan secara otomatis diaktifkan untuk cakupan enkripsi baru. Jika tidak, Anda dapat memilih apakah akan mengaktifkan enkripsi infrastruktur untuk cakupan enkripsi. Untuk membuat cakupan baru dengan enkripsi infrastruktur yang diaktifkan, sertakan parameter -RequireInfrastructureEncryption.

Ingatlah untuk mengganti nilai tempat penampung dalam contoh dengan nilai Anda sendiri:

$keyUri = $keyVault.VaultUri + "keys/" + $keyName

New-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName `
    -KeyUri $keyUri `
    -KeyvaultEncryption

Membuat cakupan enkripsi yang dilindungi oleh kunci yang dikelola pelanggan di penyewa yang berbeda

Untuk membuat cakupan enkripsi yang dilindungi oleh kunci yang dikelola pelanggan yang disimpan dalam brankas kunci atau HSM terkelola yang berada di penyewa yang berbeda dari akun penyimpanan, pertama-tama konfigurasikan kunci yang dikelola pelanggan untuk akun penyimpanan. Anda harus mengonfigurasi identitas terkelola yang ditetapkan pengguna untuk akun penyimpanan yang memiliki izin untuk mengakses brankas kunci di penyewa lain. Untuk mempelajari selengkapnya tentang mengonfigurasi kunci yang dikelola pelanggan lintas penyewa, lihat Mengonfigurasi kunci lintas penyewa yang dikelola pelanggan untuk akun penyimpanan yang ada.

Untuk mengonfigurasi kunci yang dikelola pelanggan untuk digunakan dengan cakupan enkripsi, perlindungan hapus menyeluruh harus diaktifkan pada brankas kunci atau HSM terkelola.

Setelah mengonfigurasi kunci yang dikelola pelanggan lintas penyewa untuk akun penyimpanan, Anda dapat membuat cakupan enkripsi pada akun penyimpanan dalam satu penyewa yang dilingkup ke kunci di brankas kunci di penyewa lain. Anda akan memerlukan URI kunci untuk membuat cakupan enkripsi lintas penyewa.

Ingatlah untuk mengganti nilai tempat penampung dalam contoh dengan nilai Anda sendiri:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$scopeName = "<encryption-scope>"

# Construct the key URI from the key vault URI and key name.
$keyUri = $kvUri + "keys/" + $keyName

New-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName `
    -KeyUri $keyUri `
    -KeyvaultEncryption

Azure CLI

Untuk membuat cakupan enkripsi dengan Azure CLI, instal Azure CLI versi 2.20.0 atau yang lebih baru terlebih dahulu.

Membuat cakupan enkripsi yang dilindungi oleh kunci yang dikelola Microsoft

Untuk membuat cakupan enkripsi yang dilindungi oleh kunci yang dikelola Microsoft, panggil perintah az storage account encryption-scope create , menentukan --key-source parameter sebagai Microsoft.Storage.

Jika enkripsi infrastruktur diaktifkan untuk akun penyimpanan, enkripsi tersebut akan secara otomatis diaktifkan untuk cakupan enkripsi baru. Jika tidak, Anda dapat memilih apakah akan mengaktifkan enkripsi infrastruktur untuk cakupan enkripsi. Untuk membuat cakupan baru dengan enkripsi infrastruktur yang diaktifkan, sertakan parameter --require-infrastructure-encryption dan atur nilainya menjadi true.

Ingatlah untuk mengganti nilai tempat penampung dengan nilai Anda sendiri:

az storage account encryption-scope create \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.Storage

Membuat cakupan enkripsi yang dilindungi oleh kunci yang dikelola pelanggan di penyewa yang sama

Untuk membuat cakupan enkripsi yang dilindungi oleh kunci yang dikelola pelanggan yang disimpan dalam brankas kunci atau HSM terkelola yang berada di penyewa yang sama dengan akun penyimpanan, pertama-tama konfigurasikan kunci yang dikelola pelanggan untuk akun penyimpanan. Anda harus menetapkan identitas terkelola ke akun penyimpanan yang memiliki izin untuk mengakses brankas kunci. Identitas terkelola dapat berupa identitas terkelola yang ditetapkan pengguna atau identitas terkelola yang ditetapkan sistem. Untuk mempelajari selengkapnya tentang mengonfigurasi kunci yang dikelola pelanggan, lihat Mengonfigurasi kunci yang dikelola pelanggan di penyewa yang sama untuk akun penyimpanan yang ada.

Untuk memberikan izin identitas terkelola untuk mengakses brankas kunci, tetapkan peran Pengguna Enkripsi Layanan Kripto Key Vault peran identitas terkelola.

Untuk mengonfigurasi kunci yang dikelola pelanggan untuk digunakan dengan cakupan enkripsi, perlindungan hapus menyeluruh harus diaktifkan pada brankas kunci atau HSM terkelola.

Contoh berikut menunjukkan cara mengonfigurasi cakupan enkripsi dengan identitas terkelola yang ditetapkan sistem. Ingatlah untuk mengganti nilai tempat penampung dalam contoh dengan nilai Anda sendiri:

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --assign-identity

principalId=$(az storage account show --name <storage-account> \
    --resource-group <resource_group> \
    --query identity.principalId \
    --output tsv)

$kvResourceId=$(az keyvault show \
    --resource-group <resource-group> \
    --name <key-vault> \
    --query id \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId

Selanjutnya, panggil perintah az storage account encryption-scope dengan parameter --key-uri dan tentukan URI kunci. Menyertakan versi kunci pada URI kunci bersifat opsional. Jika Anda mengabaikan versi kunci, maka cakupan enkripsi akan secara otomatis menggunakan versi kunci terbaru. Jika Anda menyertakan versi kunci, maka Anda harus memperbarui versi kunci secara manual untuk menggunakan versi yang berbeda.

Format URI kunci mirip dengan contoh berikut, dan dapat dibangun dari properti vaultUri brankas kunci dan nama kunci:

# Without the key version
https://<key-vault>.vault.azure.net/keys/<key>

# With the key version
https://<key-vault>.vault.azure.net/keys/<key>/<version>

Jika enkripsi infrastruktur diaktifkan untuk akun penyimpanan, enkripsi tersebut akan secara otomatis diaktifkan untuk cakupan enkripsi baru. Jika tidak, Anda dapat memilih apakah akan mengaktifkan enkripsi infrastruktur untuk cakupan enkripsi. Untuk membuat cakupan baru dengan enkripsi infrastruktur yang diaktifkan, sertakan parameter --require-infrastructure-encryption dan atur nilainya menjadi true.

Ingatlah untuk mengganti nilai tempat penampung dalam contoh dengan nilai Anda sendiri:

az storage account encryption-scope create \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.KeyVault \
    --key-uri <key-uri>

Membuat cakupan enkripsi yang dilindungi oleh kunci yang dikelola pelanggan di penyewa yang berbeda

Untuk membuat cakupan enkripsi yang dilindungi oleh kunci yang dikelola pelanggan yang disimpan dalam brankas kunci atau HSM terkelola yang berada di penyewa yang berbeda dari akun penyimpanan, pertama-tama konfigurasikan kunci yang dikelola pelanggan untuk akun penyimpanan. Anda harus mengonfigurasi identitas terkelola yang ditetapkan pengguna untuk akun penyimpanan yang memiliki izin untuk mengakses brankas kunci di penyewa lain. Untuk mempelajari selengkapnya tentang mengonfigurasi kunci yang dikelola pelanggan lintas penyewa, lihat Mengonfigurasi kunci lintas penyewa yang dikelola pelanggan untuk akun penyimpanan yang ada.

Untuk mengonfigurasi kunci yang dikelola pelanggan untuk digunakan dengan cakupan enkripsi, perlindungan hapus menyeluruh harus diaktifkan pada brankas kunci atau HSM terkelola.

Setelah mengonfigurasi kunci yang dikelola pelanggan lintas penyewa untuk akun penyimpanan, Anda dapat membuat cakupan enkripsi pada akun penyimpanan dalam satu penyewa yang dilingkup ke kunci di brankas kunci di penyewa lain. Anda akan memerlukan URI kunci untuk membuat cakupan enkripsi lintas penyewa.

Ingatlah untuk mengganti nilai tempat penampung dalam contoh dengan nilai Anda sendiri:

az storage account encryption-scope create \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.KeyVault \
    --key-uri <key-uri>

Mencantumkan cakupan enkripsi untuk akun penyimpanan

Portal

Untuk melihat cakupan enkripsi untuk akun penyimpanan di portal Microsoft Azure, navigasi ke pengaturan Cakupan Enkripsi untuk akun penyimpanan. Dari panel ini, Anda bisa mengaktifkan atau menonaktifkan cakupan enkripsi atau mengubah kunci untuk cakupan enkripsi.

Untuk melihat detail untuk kunci yang dikelola pelanggan, termasuk URI dan versi kunci dan apakah versi kunci diperbarui secara otomatis, ikuti tautan di kolom Kunci.

PowerShell

Untuk mencantumkan cakupan enkripsi yang tersedia untuk akun penyimpanan dengan PowerShell, panggil perintah Get-AzStorageEncryptionScope. Ingatlah untuk mengganti nilai tempat penampung dalam contoh dengan nilai Anda sendiri:

Get-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName

Untuk mencantumkan semua cakupan enkripsi dalam grup sumber daya menurut akun penyimpanan, gunakan sintaks alur:

Get-AzStorageAccount -ResourceGroupName $rgName | Get-AzStorageEncryptionScope

Azure CLI

Untuk mencantumkan cakupan enkripsi yang tersedia untuk akun penyimpanan dengan Azure CLI, panggil perintah az storage account encryption-scope list. Ingatlah untuk mengganti nilai tempat penampung dalam contoh dengan nilai Anda sendiri:

az storage account encryption-scope list \
    --account-name <storage-account> \
    --resource-group <resource-group>

Membuat kontainer dengan cakupan enkripsi default

Saat membuat kontainer, Anda dapat menentukan cakupan enkripsi default. Blob dalam kontainer tersebut akan menggunakan cakupan tersebut secara default.

Blob individu dapat dibuat dengan cakupan enkripsinya sendiri, kecuali kontainer dikonfigurasi untuk mengharuskan semua blob menggunakan cakupan default. Untuk informasi selengkapnya, lihat Cakupan enkripsi untuk kontainer dan blob.

Portal

Untuk membuat kontainer dengan cakupan enkripsi default di portal Microsoft Azure, pertama-tama buat cakupan enkripsi seperti yang dijelaskan dalam Membuat cakupan enkripsi. Selanjutnya, ikuti langkah-langkah berikut untuk membuat kontainer:

1. Navigasi ke daftar kontainer di akun penyimpanan Anda, dan pilih tombol Tambahkan untuk membuat kontainer.

2. Perluas pengaturan Tingkat Lanjut di panel Kontainer Baru.

3. Di geser turun Cakupan enkripsi, pilih cakupan enkripsi default untuk kontainer.

4. Untuk mengharuskan semua blob dalam kontainer menggunakan cakupan enkripsi default, pilih kotak centang untuk Menggunakan cakupan enkripsi ini untuk semua blob dalam kontainer. Jika kotak centang ini dipilih, maka blob individu dalam kontainer tidak dapat mengambil alih cakupan enkripsi default.

   

PowerShell

Untuk membuat kontainer dengan cakupan enkripsi default dengan PowerShell, panggil perintah New-AzStorageContainer yang menentukan cakupan untuk parameter -DefaultEncryptionScope. Untuk memaksa semua blob dalam kontainer menggunakan cakupan default kontainer, atur parameter -PreventEncryptionScopeOverride ke true.

$containerName1 = "container1"
$ctx = New-AzStorageContext -StorageAccountName $accountName -UseConnectedAccount

# Create a container with a default encryption scope that cannot be overridden.
New-AzStorageContainer -Name $containerName1 `
    -Context $ctx `
    -DefaultEncryptionScope $scopeName1 `
    -PreventEncryptionScopeOverride $true

Azure CLI

Untuk membuat kontainer dengan cakupan enkripsi default dengan Azure CLI, panggil perintah az storage container create yang menentukan cakupan untuk parameter --default-encryption-scope. Untuk memaksa semua blob dalam kontainer menggunakan cakupan default kontainer, atur parameter --prevent-encryption-scope-override ke true.

Contoh berikut menggunakan akun Microsoft Entra Anda untuk mengotorisasi operasi untuk membuat kontainer. Anda juga dapat menggunakan kunci akses akun. Untuk informasi selengkapnya, lihat Izin akses ke data blob atau antrean dengan Azure CLI.

az storage container create \
    --account-name <storage-account> \
    --resource-group <resource-group> \
    --name <container> \
    --default-encryption-scope <encryption-scope> \
    --prevent-encryption-scope-override true \
    --auth-mode login

Jika klien mencoba menentukan cakupan saat mengunggah blob ke kontainer yang memiliki cakupan enkripsi default dan kontainer dikonfigurasi untuk mencegah blob mengambil alih cakupan default, maka operasi gagal dengan pesan yang menunjukkan bahwa permintaan dilarang oleh kebijakan enkripsi kontainer.

Mengunggah blob dengan cakupan enkripsi

Saat mengunggah blob, Anda dapat menentukan cakupan enkripsi untuk blob tersebut atau menggunakan cakupan enkripsi default untuk kontainer, jika telah ditentukan.

Catatan

Saat Anda mengunggah blob baru dengan cakupan enkripsi, Anda tidak dapat mengubah tingkat penyimpanan default untuk blob tersebut. Anda juga tidak dapat mengubah tingkat penyimpanan untuk blob yang ada yang menggunakan cakupan enkripsi. Untuk informasi selengkapnya tentang tingkat akses, lihat Tingkat akses Hot, Cool, dan Archive untuk data blob.

Portal

Untuk mengunggah blob dengan cakupan enkripsi melalui portal Microsoft Azure, pertama-tama buat cakupan enkripsi seperti yang dijelaskan dalam Membuat cakupan enkripsi. Selanjutnya, ikuti langkah-langkah berikut untuk membuat blob:

1. Navigasi ke kontainer tempat Anda ingin mengunggah blob.

2. Pilih tombol Unggah dan temukan blob untuk diunggah.

3. Perluas pengaturan Tingkat Lanjut di panel Unggah blob.

4. Temukan bagian geser turun Cakupan enkripsi. Secara default, blob dibuat dengan cakupan enkripsi default untuk kontainer, jika telah ditentukan. Jika kontainer mengharuskan blob menggunakan cakupan enkripsi default, bagian ini dinonaktifkan.

5. Untuk menentukan cakupan yang berbeda untuk blob yang Anda unggah, pilih Pilih cakupan yang ada, kemudian pilih cakupan yang diinginkan dari geser turun.

   

PowerShell

Untuk mengunggah blob dengan cakupan enkripsi melalui PowerShell, panggil perintah Set-AzStorageBlobContent dan berikan cakupan enkripsi untuk blob.

$containerName2 = "container2"
$localSrcFile = "C:\temp\helloworld.txt"
$ctx = New-AzStorageContext -StorageAccountName $accountName -UseConnectedAccount

# Create a container with no default scope defined.
New-AzStorageContainer -Name $containerName2 -Context $ctx

# Upload a block upload with an encryption scope specified.
Set-AzStorageBlobContent -Context $ctx `
    -Container $containerName2 `
    -File $localSrcFile `
    -Blob "helloworld.txt" `
    -BlobType Block `
    -EncryptionScope $scopeName2

Azure CLI

Untuk mengunggah blob dengan cakupan enkripsi melalui Azure CLI, panggil perintah az storage blob upload dan berikan cakupan enkripsi untuk blob.

Jika Anda menggunakan Azure Cloud Shell, ikuti langkah-langkah yang dijelaskan di Unggah blob untuk membuat file di direktori akar. Anda kemudian dapat mengunggah file ini ke blob menggunakan sampel berikut.

az storage blob upload \
    --account-name <storage-account> \
    --container-name <container> \
    --file <file> \
    --name <file> \
    --encryption-scope <encryption-scope>

Mengubah kunci enkripsi untuk cakupan

Untuk mengubah kunci yang melindungi cakupan enkripsi dari kunci yang dikelola Microsoft ke kunci yang dikelola pelanggan, pertama-tama pastikan bahwa Anda telah mengaktifkan kunci yang dikelola pelanggan dengan Azure Key Vault atau Key Vault HSM untuk akun penyimpanan. Untuk informasi selengkapnya, lihat Mengonfigurasi enkripsi dengan kunci yang dikelola pelanggan yang disimpan di Azure Key Vault atau Mengonfigurasi enkripsi dengan kunci yang dikelola pelanggan yang disimpan di Azure Key Vault.

Portal

Untuk mengubah kunci yang melindungi cakupan di portal Microsoft Azure, ikuti langkah-langkah berikut:

1. Navigasi ke tab Cakupan Enkripsi untuk melihat daftar cakupan enkripsi untuk akun penyimpanan.
2. Pilih tombol Lainnya di sebelah cakupan yang ingin Anda ubah.
3. Di panel Edit cakupan enkripsi, Anda dapat mengubah jenis enkripsi dari kunci yang dikelola Microsoft menjadi kunci yang dikelola pelanggan atau sebaliknya.
4. Untuk memilih kunci baru yang dikelola pelanggan, pilih Gunakan kunci baru dan tentukan brankas kunci, kunci, dan versi kunci.

PowerShell

Untuk mengubah kunci yang melindungi cakupan enkripsi dari kunci yang dikelola pelanggan ke kunci yang dikelola Microsoft dengan PowerShell, panggil perintah Update-AzStorageEncryptionScope dan berikan parameter -StorageEncryption:

Update-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName2 `
    -StorageEncryption

Selanjutnya, panggil perintah Update-AzStorageEncryptionScope dan berikan parameter -KeyUri dan -KeyvaultEncryption:

Update-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName1 `
    -KeyUri $keyUri `
    -KeyvaultEncryption

Azure CLI

Untuk mengubah kunci yang melindungi cakupan enkripsi dari kunci yang dikelola pelanggan ke kunci yang dikelola Microsoft dengan Azure CLI, panggil perintah az storage account encryption-scope update dan berikan parameter --key-source dengan nilai Microsoft.Storage:

az storage account encryption-scope update \
    --account-name <storage-account> \
    --resource-group <resource-group>
    --name <encryption-scope> \
    --key-source Microsoft.Storage

Selanjutnya, panggil perintah az storage account encryption-scope update, berikan parameter --key-uri dan berikan parameter --key-source dengan nilai Microsoft.KeyVault:

az storage account encryption-scope update \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.KeyVault \
    --key-uri <key-uri>

Menonaktifkan cakupan enkripsi

Nonaktifkan cakupan enkripsi apa pun yang tidak diperlukan untuk menghindari biaya yang tidak perlu. Untuk informasi selengkapnya, lihat Penagihan untuk cakupan enkripsi.

Portal

Untuk menonaktifkan cakupan enkripsi di portal Microsoft Azure, navigasi ke pengaturan Cakupan Enkripsi untuk akun penyimpanan, pilih cakupan enkripsi yang diinginkan, dan pilih Nonaktifkan.

PowerShell

Untuk menonaktifkan cakupan enkripsi dengan PowerShell, panggil perintah Update-AzStorageEncryptionScope dan sertakan parameter -State dengan nilai disabled, seperti yang ditunjukkan dalam contoh berikut. Untuk mengaktifkan kembali cakupan enkripsi, panggil perintah yang sama dengan parameter -State yang diatur ke enabled. Ingatlah untuk mengganti nilai tempat penampung dalam contoh dengan nilai Anda sendiri:

Update-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName1 `
    -State disabled

Azure CLI

Untuk menonaktifkan cakupan enkripsi dengan Azure CLI, panggil perintah az storage account encryption-scope update dan sertakan parameter --state dengan nilai Disabled, seperti yang ditunjukkan dalam contoh berikut. Untuk mengaktifkan kembali cakupan enkripsi, panggil perintah yang sama dengan parameter --state yang diatur ke Enabled. Ingatlah untuk mengganti nilai tempat penampung dalam contoh dengan nilai Anda sendiri:

az storage account encryption-scope update \
    --account-name <storage-account> \
    --resource-group <resource-group> \
    --name <encryption-scope> \
    --state Disabled

Penting

Tidak mungkin untuk menghapus cakupan enkripsi. Untuk menghindari biaya tak terduga, pastikan untuk menonaktifkan cakupan enkripsi yang saat ini tidak Anda perlukan.

Langkah berikutnya

• Enkripsi Layanan Azure Storage untuk data yang tidak digunakan
• Cakupan enkripsi untuk penyimpanan Blob
• Kunci yang dikelola pelanggan untuk enkripsi Azure Storage
• Mengaktifkan enkripsi infrastruktur untuk enkripsi ganda data