Membuat akun yang mendukung kunci yang dikelola pelanggan untuk tabel dan antrean

Artikel
05/11/2023

Azure Storage mengenkripsi semua data di akun penyimpanan saat tidak aktif. Secara default, Penyimpanan antrean dan penyimpanan Tabel menggunakan kunci yang dicakup ke layanan dan dikelola oleh Microsoft. Anda juga dapat memilih untuk menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data antrean atau tabel. Untuk menggunakan kunci yang dikelola pelanggan dengan antrean dan tabel, Anda harus terlebih dahulu membuat akun penyimpanan yang menggunakan kunci enkripsi yang dicakup ke akun, bukan ke layanan. Setelah membuat akun yang menggunakan kunci enkripsi akun untuk data antrean dan tabel, Anda dapat mengonfigurasi kunci yang dikelola pelanggan untuk akun penyimpanan tersebut.

Artikel ini menjelaskan cara membuat akun penyimpanan yang mengandalkan kunci yang dicakup ke akun. Saat akun pertama kali dibuat, Microsoft menggunakan kunci akun untuk mengenkripsi data di akun dan Microsoft mengelola kunci tersebut. Anda selanjutnya dapat mengonfigurasi kunci yang dikelola pelanggan untuk akun tersebut untuk memanfaatkan keuntungan tersebut, termasuk kemampuan untuk memberikan kunci Anda sendiri, memperbarui versi kunci, memutar kunci, dan mencabut kontrol akses.

Membuat akun yang menggunakan kunci enkripsi akun

Anda harus mengonfigurasi akun penyimpanan baru untuk menggunakan kunci enkripsi akun untuk antrean dan tabel pada saat Anda membuat akun penyimpanan. Cakupan kunci enkripsi tidak dapat diubah setelah akun dibuat.

Akun penyimpanan harus berjenis v2 tujuan umum. Anda dapat membuat akun penyimpanan dan mengonfigurasinya untuk mengandalkan kunci enkripsi akun dengan menggunakan portal Microsoft Azure, PowerShell, Azure CLI atau templat Azure Resource Manager.

Untuk selengkapnya tentang pembuatan akun penyimpanan, lihat Membuat akun penyimpanan.

Catatan

Hanya penyimpanan Antrean dan Tabel yang dapat dikonfigurasi secara opsional untuk mengenkripsi data dengan kunci enkripsi akun saat akun penyimpanan dibuat. Penyimpanan Blob dan Azure Files selalu menggunakan kunci enkripsi akun untuk mengenkripsi data.

Untuk membuat akun penyimpanan yang bergantung pada kunci enkripsi akun dengan portal Microsoft Azure, ikuti langkah-langkah berikut:

Dari menu portal kiri, pilih Akun penyimpanan untuk menampilkan daftar akun penyimpanan Anda.
Pada halaman Akun penyimpanan, pilih Baru.
Isi bidang pada tab Dasar.
Pada tab Tingkat Lanjut, temukan bagian Tabel dan Antrean, lalu pilih Aktifkan dukungan untuk kunci yang dikelola pelanggan.

Untuk menggunakan PowerShell untuk membuat akun penyimpanan yang mengandalkan kunci enkripsi akun, pastikan Anda telah menginstal modul Azure PowerShell versi 3.4.0 atau yang lebih baru. Untuk informasi selengkapnya, lihat Menginstal modul Azure PowerShell.

Selanjutnya, buat akun penyimpanan v2 tujuan umum dengan memanggil perintah New-AzStorageAccount, dengan parameter yang sesuai:

Sertakan opsi -EncryptionKeyTypeForQueue dan atur nilainya ke Account untuk menggunakan kunci enkripsi akun untuk mengenkripsi data di penyimpanan Antrean.
Sertakan opsi -EncryptionKeyTypeForTable dan atur nilainya ke Account untuk menggunakan kunci enkripsi akun untuk mengenkripsi data di penyimpanan Tabel.

Contoh berikut menunjukkan cara membuat akun penyimpanan v2 tujuan umum yang dikonfigurasi untuk penyimpanan geo-redundan akses baca (RA-GRS) dan yang menggunakan kunci enkripsi akun untuk mengenkripsi data untuk penyimpanan Antrean dan Tabel. Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung dengan nilai Anda sendiri:

New-AzStorageAccount -ResourceGroupName <resource_group> `
    -AccountName <storage-account> `
    -Location <location> `
    -SkuName "Standard_RAGRS" `
    -Kind StorageV2 `
    -EncryptionKeyTypeForTable Account `
    -EncryptionKeyTypeForQueue Account

Untuk menggunakan Azure CLI untuk membuat akun penyimpanan yang mengandalkan kunci enkripsi akun, pastikan Anda telah menginstal Azure CLI versi 2.0.80 atau yang lebih baru. Untuk informasi selengkapnya, lihat Menginstal Azure CLI.

Selanjutnya, buat akun penyimpanan v2 tujuan umum dengan memanggil perintah az storage account create, dengan parameter yang sesuai:

Sertakan opsi --encryption-key-type-for-queue dan atur nilainya ke Account untuk menggunakan kunci enkripsi akun untuk mengenkripsi data di penyimpanan Antrean.
Sertakan opsi --encryption-key-type-for-table dan atur nilainya ke Account untuk menggunakan kunci enkripsi akun untuk mengenkripsi data di penyimpanan Tabel.

az storage account create \
    --name <storage-account> \
    --resource-group <resource-group> \
    --location <location> \
    --sku Standard_RAGRS \
    --kind StorageV2 \
    --encryption-key-type-for-table Account \
    --encryption-key-type-for-queue Account

Contoh JSON berikut membuat akun penyimpanan v2 tujuan umum yang dikonfigurasi untuk penyimpanan geo-redundan akses baca (RA-GRS) dan yang menggunakan kunci enkripsi akun untuk mengenkripsi data untuk penyimpanan Antrean dan Tabel. Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung sudut dengan nilai Anda sendiri:

"resources": [
    {
        "type": "Microsoft.Storage/storageAccounts",
        "apiVersion": "2019-06-01",
        "name": "[parameters('<storage-account>')]",
        "location": "[parameters('<location>')]",
        "dependsOn": [],
        "tags": {},
        "sku": {
            "name": "[parameters('Standard_RAGRS')]"
        },
        "kind": "[parameters('StorageV2')]",
        "properties": {
            "accessTier": "[parameters('<accessTier>')]",
            "supportsHttpsTrafficOnly": "[parameters('supportsHttpsTrafficOnly')]",
            "largeFileSharesState": "[parameters('<largeFileSharesState>')]",
            "encryption": {
                "services": {
                    "queue": {
                        "keyType": "Account"
                    },
                    "table": {
                        "keyType": "Account"
                    }
                },
                "keySource": "Microsoft.Storage"
            }
        }
    }
],

Setelah membuat akun yang mengandalkan kunci enkripsi akun, Anda dapat mengonfigurasi kunci yang dikelola pelanggan yang disimpan di Azure Key Vault atau di Key Vault Managed Hardware Security Model (HSM). Untuk mempelajari cara menyimpan kunci yang dikelola pelanggan dalam brankas kunci, lihat Mengonfigurasi enkripsi dengan kunci yang dikelola pelanggan yang disimpan di Azure Key Vault. Untuk mempelajari cara menyimpan kunci yang dikelola pelanggan di HSM terkelola, lihat Mengonfigurasi enkripsi dengan kunci yang dikelola pelanggan yang disimpan di Azure Key Vault Managed HSM.

Memverifikasi kunci enkripsi akun

Setelah membuat akun, Anda dapat memverifikasi bahwa akun penyimpanan menggunakan kunci enkripsi yang tercakup ke akun dengan menggunakan portal Microsoft Azure, PowerShell, atau Azure CLI.

Untuk memverifikasi bahwa layanan di akun penyimpanan menggunakan kunci enkripsi yang tercakup ke akun dengan portal Microsoft Azure, ikuti langkah-langkah berikut:

Navigasikan ke akun penyimpanan baru Anda di portal Microsoft Azure.
Di bagian Keamanan + Jaringan, pilih Enkripsi.
Jika akun penyimpanan dibuat untuk mengandalkan kunci enkripsi akun, Anda akan melihat pada tab Enkripsi bahwa kunci yang dikelola pelanggan dapat diaktifkan untuk keempat layanan Azure Storage: blob, file, tabel, dan antrean.

Untuk memverifikasi bahwa layanan di akun penyimpanan menggunakan kunci enkripsi akun, panggil perintah Get-AzStorageAccount. Perintah ini mengembalikan set properti akun penyimpanan dan nilainya. Cari bidang KeyType untuk setiap layanan dalam properti Encryption dan pastikan telah disetel ke Account.

$account = Get-AzStorageAccount -ResourceGroupName <resource-group> `
    -StorageAccountName <storage-account>
$account.Encryption.Services.Queue
$account.Encryption.Services.Table

Untuk memverifikasi bahwa layanan di akun penyimpanan menggunakan kunci enkripsi akun dengan Azure CLI, panggil perintah az storage account show. Perintah ini mengembalikan set properti akun penyimpanan dan nilainya. Cari bidang keyType untuk setiap layanan dalam properti enkripsi dan pastikan telah disetel ke Account.

az storage account show \
    --name <storage-account> \
    --resource-group <resource-group>

Setelah memverifikasi bahwa akun penyimpanan menggunakan kunci enkripsi yang tercakup ke akun, Anda dapat mengaktifkan kunci yang dikelola pelanggan untuk akun tersebut. Keempat layanan Azure Storage: blob, file, tabel, dan antrean, nantinya akan menggunakan kunci yang dikelola pelanggan untuk enkripsi.

Harga dan tagihan

Akun penyimpanan yang dibuat untuk menggunakan kunci enkripsi yang dicakup ke akun ditagih untuk kapasitas penyimpanan Tabel dan transaksi dengan harga yang berbeda dari akun yang menggunakan kunci cakupan layanan default. Untuk detailnya, lihat Harga Azure Table Storage.

Membuat akun yang mendukung kunci yang dikelola pelanggan untuk tabel dan antrean

Membuat akun yang menggunakan kunci enkripsi akun

Memverifikasi kunci enkripsi akun

Harga dan tagihan

Langkah berikutnya

Sumber Daya Tambahan: