Cmdlet Set-AzStorageAccount memodifikasi akun Azure Storage.
Anda dapat menggunakan cmdlet ini untuk mengubah jenis akun, memperbarui domain pelanggan, atau mengatur tag pada akun Storage.
Perintah mengatur domain kustom dan tag untuk akun Storage.
Contoh 5: Atur Encryption KeySource ke Keyvault
Set-AzStorageAccount -ResourceGroupName "MyResourceGroup" -Name "mystorageaccount" -AssignIdentity
$account = Get-AzStorageAccount -ResourceGroupName "MyResourceGroup" -Name "mystorageaccount"
$keyVault = New-AzKeyVault -VaultName "MyKeyVault" -ResourceGroupName "MyResourceGroup" -Location "EastUS2"
$key = Add-AzKeyVaultKey -VaultName "MyKeyVault" -Name "MyKey" -Destination 'Software'
Set-AzKeyVaultAccessPolicy -VaultName "MyKeyVault" -ObjectId $account.Identity.PrincipalId -PermissionsToKeys wrapkey,unwrapkey,get
# In case to enable key auto rotation, don't set KeyVersion
Set-AzStorageAccount -ResourceGroupName "MyResourceGroup" -Name "mystorageaccount" -KeyvaultEncryption -KeyName $key.Name -KeyVersion $key.Version -KeyVaultUri $keyVault.VaultUri
# In case to enable key auto rotation after set keyvault properties with KeyVersion, can update account by set KeyVersion to empty
Set-AzStorageAccount -ResourceGroupName "MyResourceGroup" -Name "mystorageaccount" -KeyvaultEncryption -KeyName $key.Name -KeyVersion "" -KeyVaultUri $keyVault.VaultUri
Perintah ini mengatur Encryption KeySource dengan Keyvault baru yang dibuat.
Jika ingin mengaktifkan rotasi otomatis kunci, jangan atur keyversion saat mengatur properti Keyvault untuk pertama kalinya, atau bersihkan dengan mengatur properti keyvault lagi dengan keyversion sebagai kosong.
Contoh 6: Atur Encryption KeySource ke "Microsoft. Penyimpanan"
Perintah memperbarui akun Penyimpanan dengan mengaktifkan Autentikasi Azure Files Microsoft Entra Domain Services.
Contoh 11: Perbarui akun Penyimpanan dengan mengaktifkan File Active Directory Domain Autentikasi Layanan, lalu tampilkan pengaturan autentikasi Berbasis Identitas File
Perintah memperbarui akun Penyimpanan dengan mengaktifkan Autentikasi Layanan Azure Files Active Directory Domain, lalu memperlihatkan pengaturan autentikasi Berbasis Identitas File
Contoh 12: Atur MinimumTlsVersion, AllowBlobPublicAccess dan AllowSharedKeyAccess
Perintah ini memperbarui akun Penyimpanan dengan pengaturan RoutingPreference: PublishMicrosoftEndpoint sebagai false, PublishInternetEndpoint sebagai true, dan RoutingChoice sebagai MicrosoftRouting.
Contoh 14: Memperbarui akun Penyimpanan dengan KeyExpirationPeriod dan SasExpirationPeriod dengan SasExpirationAction
Perintah ini memperbarui akun Storage dengan KeyExpirationPeriod dan SasExpirationPeriod dengan SasExpirationAction, lalu menampilkan properti terkait akun yang diperbarui.
Contoh 15: Memperbarui akun Penyimpanan ke enkripsi Keyvault, dan mengakses Keyvault dengan identitas yang ditetapkan pengguna
# Create KeyVault (no need if using exist keyvault)
$keyVault = New-AzKeyVault -VaultName $keyvaultName -ResourceGroupName $resourceGroupName -Location eastus2euap -EnablePurgeProtection
$key = Add-AzKeyVaultKey -VaultName $keyvaultName -Name $keyname -Destination 'Software'
# create user assigned identity and grant access to keyvault (no need if using exist user assigned identity)
$userId = New-AzUserAssignedIdentity -ResourceGroupName $resourceGroupName -Name $userIdName
Set-AzKeyVaultAccessPolicy -VaultName $keyvaultName -ResourceGroupName $resourceGroupName -ObjectId $userId.PrincipalId -PermissionsToKeys get,wrapkey,unwrapkey -BypassObjectIdValidation
$useridentityId= $userId.Id
# Update Storage account with Keyvault encryption and access Keyvault with user assigned identity, then show properties
$account = Set-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName `
-IdentityType UserAssigned -UserAssignedIdentityId $useridentityId `
-KeyVaultUri $keyVault.VaultUri -KeyName $keyname -KeyVaultUserAssignedIdentityId $useridentityId
$account.Encryption.EncryptionIdentity.EncryptionUserAssignedIdentity
/subscriptions/{subscription-id}/resourceGroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myuserid
$account.Encryption.KeyVaultProperties
KeyName : wrappingKey
KeyVersion :
KeyVaultUri : https://mykeyvault.vault.azure.net:443
CurrentVersionedKeyIdentifier : https://mykeyvault.vault.azure.net/keys/wrappingKey/8e74036e0d534e58b3bd84b319e31d8f
LastKeyRotationTimestamp : 4/12/2021 8:17:57 AM
Perintah ini pertama-tama membuat keyvault dan identitas yang ditetapkan pengguna, lalu memperbarui akun penyimpanan dengan enkripsi keyvault, keyvault akses akses penyimpanan dengan identitas yang ditetapkan pengguna.
Contoh 16: Memperbarui akun Penyimpanan terenkripsi Keyvault, dari akses Keyvault dengan identitas yang ditetapkan pengguna, untuk mengakses Keyvault dengan identitas yang ditetapkan sistem
# Assign System identity to the account, and give the system assigned identity access to the keyvault
$account = Set-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName -IdentityType SystemAssignedUserAssigned
Set-AzKeyVaultAccessPolicy -VaultName $keyvaultName -ResourceGroupName $resourceGroupName -ObjectId $account.Identity.PrincipalId -PermissionsToKeys get,wrapkey,unwrapkey -BypassObjectIdValidation
# Update account from access Keyvault with user assigned identity to access Keyvault with system assigned identity
$account = Set-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName -IdentityType SystemAssignedUserAssigned -KeyName $keyname -KeyVaultUri $keyvaultUri -KeyVaultUserAssignedIdentityId ""
# EncryptionUserAssignedIdentity is empty, so the account access keyvault with system assigned identity
$account.Encryption.EncryptionIdentity
EncryptionUserAssignedIdentity
------------------------------
$account.Encryption.KeyVaultProperties
KeyName : wrappingKey
KeyVersion :
KeyVaultUri : https://mykeyvault.vault.azure.net:443
CurrentVersionedKeyIdentifier : https://mykeyvault.vault.azure.net/keys/wrappingKey/8e74036e0d534e58b3bd84b319e31d8f
LastKeyRotationTimestamp : 4/12/2021 8:17:57 AM
Perintah ini pertama-tama menetapkan identitas Sistem ke akun, dan memberikan akses identitas yang ditetapkan sistem ke keyvault; kemudian memperbarui akun Penyimpanan untuk mengakses Keyvault dengan identitas yang ditetapkan sistem.
Contoh 17: Memperbarui Keyvault dan identitas yang ditetapkan pengguna untuk mengakses keyvault
# Update to another user assigned identity
$account = Set-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName -IdentityType SystemAssignedUserAssigned -UserAssignedIdentityId $useridentity2 -KeyVaultUserAssignedIdentityId $useridentity2
# Update to encrypt with another keyvault
$account = Set-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName -KeyVaultUri $keyvaultUri2 -KeyName $keyname2 -KeyVersion $keyversion2
Perintah ini pertama-tama memperbarui identitas yang ditetapkan pengguna untuk mengakses keyvault, lalu memperbarui keyvault untuk enkripsi.
Untuk memperbarui Keyvault dan identitas yang ditetapkan pengguna, kita perlu memperbarui dengan 2 langkah di atas.
Contoh 18: Memperbarui akun Penyimpanan dengan AllowCrossTenantReplication
Perintah ini memperbarui akun Penyimpanan dengan mengatur AllowCrossTenantReplication ke false, lalu menampilkan properti terkait akun yang diperbarui.
Contoh 18: Memperbarui akun Penyimpanan dengan mengaktifkan PublicNetworkAccess
Perintah memperbarui properti kebijakan kekekalan tingkat akun pada akun penyimpanan yang ada, dan menampilkan hasilnya.
Akun penyimpanan harus dibuat dengan mengaktifkan kekekalan tingkat akun dengan penerapan versi.
Kebijakan imutabilitas tingkat akun akan diwariskan dan diterapkan ke objek yang tidak memiliki kebijakan kekekalan eksplisit di tingkat objek.
Contoh 20: Memperbarui akun Penyimpanan dengan mengaktifkan Sftp dan localuser
Perintah ini memperbarui akun Storage dengan mengaktifkan Sftp dan localuser.
Agar berhasil menjalankan perintah, akun Penyimpanan harus sudah mengaktifkan Namespace Hierarkis.
Contoh 21: Memperbarui akun Penyimpanan dengan Keyvault dari penyewa lain (akses Keyvault dengan FederatedClientId)
Perintah ini memperbarui akun Penyimpanan dengan mengatur Zona ke 1 dan ZonePlacementPolicy ke Apa pun, lalu menampilkan properti terkait akun yang diperbarui.
Contoh 24: Mengaktifkan Replikasi Prioritas Geografis Blob pada akun Penyimpanan
Perintah ini memungkinkan Replikasi Geo Priority Blob pada akun Penyimpanan.
Parameter
-AccessTier
Menentukan tingkat akses akun Penyimpanan yang dimodifikasi cmdlet ini.
Nilai yang dapat diterima untuk parameter ini adalah: Panas dan Dingin.
Jika Anda mengubah tingkat akses, itu dapat mengakibatkan biaya tambahan. Untuk informasi selengkapnya, lihat Azure Blob Storage: Tingkat penyimpanan panas dan dingin.
Jika akun Penyimpanan memiliki Kind as StorageV2 atau BlobStorage, Anda dapat menentukan parameter AccessTier .
Jika akun Penyimpanan memiliki Kind as Storage, jangan tentukan parameter AccessTier .
Menentukan pengidentifikasi keamanan (SID) untuk Azure Storage. Parameter ini harus diatur ketika -EnableActiveDirectoryDomainServicesForFile diatur ke true.
Atur batasi penyalinan ke dan dari Akun Penyimpanan dalam penyewa Microsoft Entra atau dengan Private Links ke VNet yang sama. Nilai yang mungkin termasuk: 'PrivateLink', 'AAD'
Menunjukkan apakah akun penyimpanan mengizinkan permintaan untuk diotorisasi dengan kunci akses akun melalui Kunci Bersama. Jika false, semua permintaan, termasuk tanda tangan akses bersama, harus diotorisasi dengan Microsoft Entra ID. Nilai defaultnya adalah null, yang setara dengan true.
Menunjukkan apakah Replikasi Prioritas Geografis Blob diaktifkan untuk akun penyimpanan.
Fitur ini menyediakan replikasi geografis yang ditingkatkan dengan perjanjian tingkat layanan untuk replikasi prioritas guna meningkatkan tujuan waktu pemulihan (RTO).
Hanya tersedia untuk jenis akun penyimpanan geo-redundan (GRS, GZRS, RAGRS, RAGZRS).
Menunjukkan apakah akun penyimpanan dapat mendukung berbagi file besar dengan kapasitas lebih dari 5 TiB atau tidak.
Setelah akun diaktifkan, fitur tidak dapat dinonaktifkan.
Saat ini hanya didukung untuk jenis replikasi LRS dan ZRS, oleh karena itu konversi akun ke akun geo-redundan tidak akan dimungkinkan.
Pelajari lebih lanjut di https://go.microsoft.com/fwlink/?linkid=2086047
Periode imutabilitas untuk blob dalam kontainer sejak pembuatan kebijakan dalam beberapa hari.
Properti ini hanya dapat diubah ketika akun dibuat dengan '-EnableAccountLevelImmutability'.
Mode kebijakan. Nilai yang mungkin termasuk: 'Tidak Terkunci', 'Terkunci', 'Dinonaktifkan.
Status dinonaktifkan menonaktifkan kebijakan.
Status tidak terkunci memungkinkan peningkatan dan penurunan waktu retensi kekekalan dan juga memungkinkan pengalihan properti allowProtectedAppendWrites.
Status terkunci hanya memungkinkan peningkatan waktu retensi yang tidak dapat diubah.
Kebijakan hanya dapat dibuat dalam status Dinonaktifkan atau Tidak Terkunci dan dapat dialihkan di antara kedua status. Hanya kebijakan dalam status Tidak Terkunci yang dapat beralih ke status Terkunci yang tidak dapat dikembalikan.
Properti ini hanya dapat diubah ketika akun dibuat dengan '-EnableAccountLevelImmutability'.
Menunjukkan apakah akan menggunakan Microsoft KeyVault atau tidak untuk kunci enkripsi saat menggunakan Enkripsi Layanan Penyimpanan.
Jika KeyName, KeyVersion, dan KeyVaultUri semuanya diatur, KeySource akan diatur ke Microsoft. Keyvault apakah parameter ini diatur atau tidak.
Atur ClientId dari aplikasi multi-penyewa yang akan digunakan bersama dengan identitas yang ditetapkan pengguna untuk enkripsi sisi server lintas penyewa yang dikelola pelanggan di akun penyimpanan.
Atur id sumber daya untuk Identitas yang ditetapkan pengguna yang digunakan untuk mengakses Azure KeyVault enkripsi Akun Penyimpanan, id harus berada di UserAssignIdentityId akun penyimpanan.
NetworkRuleSet digunakan untuk menentukan sekumpulan aturan konfigurasi untuk firewall dan jaringan virtual, serta untuk mengatur nilai untuk properti jaringan seperti layanan yang diizinkan untuk melewati aturan dan cara menangani permintaan yang tidak cocok dengan aturan yang ditentukan.
Tindakan yang akan dilakukan ketika SasExpirationPeriod dilanggar. Tindakan 'Log' dapat digunakan untuk tujuan audit dan tindakan 'Blokir' dapat digunakan untuk memblokir dan menolak penggunaan token SAS yang tidak mematuhi periode kedaluwarsa kebijakan SAS.
Premium_LRS - Penyimpanan premium yang berlebihan secara lokal.
Standard_GZRS - Penyimpanan redundansi zona redundan geografis.
Standard_RAGZRS - Akses baca penyimpanan redundansi zona redundan secara geografis.
StandardV2_LRS - Penyimpanan redundan lokal untuk Provisi File v2.
StandardV2_GRS - Penyimpanan geo-redundan untuk Provisi File v2.
StandardV2_ZRS - Penyimpanan zona-redundan untuk Provisi File v2.
StandardV2_GZRS - Penyimpanan redundansi zona redundan geografis untuk Provisi File v2.
PremiumV2_LRS - Penyimpanan premium yang berlebihan secara lokal untuk Provisi File v2.
PremiumV2_ZRS - Penyimpanan redundan zona premium untuk Provisi File v2.
Anda tidak dapat mengubah jenis Standard_ZRS dan Premium_LRS ke tipe akun lainnya.
Anda tidak dapat mengubah jenis akun lain menjadi Standard_ZRS atau Premium_LRS.
Atur id sumber daya untuk Identitas yang ditetapkan pengguna Akun Penyimpanan baru, identitas akan digunakan dengan layanan manajemen utama seperti Azure KeyVault.
Cmdlet ini mendukung parameter umum: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutBuffer, -OutVariable, -PipelineVariable, -ProgressAction, -Verbose, -WarningAction, dan -WarningVariable. Untuk informasi selengkapnya, lihat about_CommonParameters.
Sumber untuk konten ini dapat ditemukan di GitHub, yang juga dapat Anda gunakan untuk membuat dan meninjau masalah dan menarik permintaan. Untuk informasi selengkapnya, lihat panduan kontributor kami.
