Creare un account che supporti le chiavi gestite dal cliente per tabelle e code

Articolo
05/11/2023

Archiviazione di Azure crittografa tutti i dati in un account di archiviazione inattivo. Per impostazione predefinita, l'archiviazione code e l'archiviazione tabelle usano una chiave con ambito per il servizio e gestita da Microsoft. È anche possibile scegliere di usare chiavi gestite dal cliente per crittografare i dati della coda o della tabella. Per usare chiavi gestite dal cliente con code e tabelle, è innanzitutto necessario creare un account di archiviazione che usa una chiave di crittografia con ambito per l'account, anziché per il servizio. Dopo aver creato un account che usa la chiave di crittografia dell'account per i dati della coda e della tabella, è possibile configurare le chiavi gestite dal cliente per tale account di archiviazione.

Questo articolo descrive come creare un account di archiviazione basato su una chiave con ambito per l'account. Quando l'account viene creato per la prima volta, Microsoft usa la chiave dell'account per crittografare i dati nell'account e Microsoft gestisce la chiave. Successivamente è possibile configurare le chiavi gestite dal cliente per l'account per sfruttare questi vantaggi, inclusa la possibilità di fornire chiavi personalizzate, aggiornare la versione della chiave, ruotare le chiavi e revocare i controlli di accesso.

Creare un account che usa la chiave di crittografia dell'account

È necessario configurare un nuovo account di archiviazione per usare la chiave di crittografia dell'account per le code e le tabelle al momento della creazione dell'account di archiviazione. L'ambito della chiave di crittografia non può essere modificato dopo la creazione dell'account.

L'account di archiviazione deve essere di tipo per utilizzo generico v2. È possibile creare l'account di archiviazione e configurarlo in modo che si basi sulla chiave di crittografia dell'account usando il modello di portale di Azure, PowerShell, l'interfaccia della riga di comando di Azure o un modello di Azure Resource Manager.

Per altre informazioni sulla creazione di un account di archiviazione, vedere Creare un account di archiviazione.

Nota

Solo l'archiviazione code e tabelle può essere configurata facoltativamente per crittografare i dati con la chiave di crittografia dell'account quando viene creato l'account di archiviazione. Archiviazione BLOB e File di Azure usare sempre la chiave di crittografia dell'account per crittografare i dati.

Per creare un account di archiviazione che si basa sulla chiave di crittografia dell'account con il portale di Azure, seguire questa procedura:

Nel menu del portale a sinistra selezionare Account di archiviazione per visualizzare un elenco degli account di archiviazione.
Nella pagina Account di archiviazione selezionare Nuovo.
Compilare i campi nella scheda Informazioni di base .
Nella scheda Avanzate individuare la sezione Tabelle e code e selezionare Abilita supporto per le chiavi gestite dal cliente.

Per usare PowerShell per creare un account di archiviazione basato sulla chiave di crittografia dell'account, assicurarsi di aver installato il modulo Azure PowerShell versione 3.4.0 o successiva. Per altre informazioni, vedere Installare il modulo Azure PowerShell.

Creare quindi un account di archiviazione per utilizzo generico v2 chiamando il comando New-AzStorageAccount con i parametri appropriati:

Includere l'opzione e impostarne il -EncryptionKeyTypeForQueue valore su Account per usare la chiave di crittografia dell'account per crittografare i dati nell'archiviazione code.
Includere l'opzione e impostarne il -EncryptionKeyTypeForTable valore su Account per usare la chiave di crittografia dell'account per crittografare i dati nell'archiviazione tabelle.

L'esempio seguente illustra come creare un account di archiviazione per utilizzo generico v2 configurato per l'archiviazione con ridondanza geografica e accesso in lettura (RA-GRS) e che usa la chiave di crittografia dell'account per crittografare i dati sia per l'archiviazione code che per l'archiviazione tabelle. Ricordarsi di sostituire i valori segnaposto tra parentesi quadre con i propri valori:

New-AzStorageAccount -ResourceGroupName <resource_group> `
    -AccountName <storage-account> `
    -Location <location> `
    -SkuName "Standard_RAGRS" `
    -Kind StorageV2 `
    -EncryptionKeyTypeForTable Account `
    -EncryptionKeyTypeForQueue Account

Per usare l'interfaccia della riga di comando di Azure per creare un account di archiviazione basato sulla chiave di crittografia dell'account, assicurarsi di aver installato l'interfaccia della riga di comando di Azure versione 2.0.80 o successiva. Per altre informazioni, vedere Installare l'interfaccia della riga di comando di Azure.

Creare quindi un account di archiviazione per utilizzo generico v2 chiamando il comando az storage account create con i parametri appropriati:

Includere l'opzione e impostarne il --encryption-key-type-for-queue valore su Account per usare la chiave di crittografia dell'account per crittografare i dati nell'archiviazione code.
Includere l'opzione e impostarne il --encryption-key-type-for-table valore su Account per usare la chiave di crittografia dell'account per crittografare i dati nell'archiviazione tabelle.

az storage account create \
    --name <storage-account> \
    --resource-group <resource-group> \
    --location <location> \
    --sku Standard_RAGRS \
    --kind StorageV2 \
    --encryption-key-type-for-table Account \
    --encryption-key-type-for-queue Account

L'esempio JSON seguente crea un account di archiviazione per utilizzo generico v2 configurato per l'archiviazione con ridondanza geografica e accesso in lettura (RA-GRS) e che usa la chiave di crittografia dell'account per crittografare i dati sia per l'archiviazione code che per l'archiviazione tabelle. Ricordarsi di sostituire i valori segnaposto tra parentesi angolari con i propri valori:

"resources": [
    {
        "type": "Microsoft.Storage/storageAccounts",
        "apiVersion": "2019-06-01",
        "name": "[parameters('<storage-account>')]",
        "location": "[parameters('<location>')]",
        "dependsOn": [],
        "tags": {},
        "sku": {
            "name": "[parameters('Standard_RAGRS')]"
        },
        "kind": "[parameters('StorageV2')]",
        "properties": {
            "accessTier": "[parameters('<accessTier>')]",
            "supportsHttpsTrafficOnly": "[parameters('supportsHttpsTrafficOnly')]",
            "largeFileSharesState": "[parameters('<largeFileSharesState>')]",
            "encryption": {
                "services": {
                    "queue": {
                        "keyType": "Account"
                    },
                    "table": {
                        "keyType": "Account"
                    }
                },
                "keySource": "Microsoft.Storage"
            }
        }
    }
],

Dopo aver creato un account che si basa sulla chiave di crittografia dell'account, è possibile configurare le chiavi gestite dal cliente archiviate in Azure Key Vault o in Key Vault modello di protezione hardware gestito ( HSM). Per informazioni su come archiviare le chiavi gestite dal cliente in un insieme di credenziali delle chiavi, vedere Configurare la crittografia con chiavi gestite dal cliente archiviate in Azure Key Vault. Per informazioni su come archiviare le chiavi gestite dal cliente in un modulo di protezione hardware gestito, vedere Configurare la crittografia con chiavi gestite dal cliente archiviate in Azure Key Vault modulo di protezione hardware gestito.

Verificare la chiave di crittografia dell'account

Dopo aver creato l'account, è possibile verificare che l'account di archiviazione usi una chiave di crittografia con ambito per l'account usando il portale di Azure, PowerShell o l'interfaccia della riga di comando di Azure.

Per verificare che un servizio in un account di archiviazione usi una chiave di crittografia con ambito per l'account con il portale di Azure, seguire questa procedura:

Passare al nuovo account di archiviazione nel portale di Azure.
Nella sezione Sicurezza e rete selezionare Crittografia.
Se l'account di archiviazione è stato creato per basarsi sulla chiave di crittografia dell'account, nella scheda Crittografia è possibile abilitare le chiavi gestite dal cliente per tutti e quattro i servizi di archiviazione di Azure: BLOB, file, tabelle e code.

Per verificare che un servizio in un account di archiviazione usi la chiave di crittografia dell'account con PowerShell, chiamare il comando Get-AzStorageAccount . Questo comando restituisce un set di proprietà dell'account di archiviazione e i relativi valori. Cercare il KeyType campo per ogni servizio all'interno della Encryption proprietà e verificare che sia impostato su Account.

$account = Get-AzStorageAccount -ResourceGroupName <resource-group> `
    -StorageAccountName <storage-account>
$account.Encryption.Services.Queue
$account.Encryption.Services.Table

Per verificare che un servizio in un account di archiviazione usi la chiave di crittografia dell'account con l'interfaccia della riga di comando di Azure, chiamare il comando az storage account show . Questo comando restituisce un set di proprietà dell'account di archiviazione e i relativi valori. Cercare il keyType campo per ogni servizio all'interno della proprietà di crittografia e verificare che sia impostato su Account.

az storage account show \
    --name <storage-account> \
    --resource-group <resource-group>

Dopo aver verificato che l'account di archiviazione usa una chiave di crittografia con ambito per l'account, è possibile abilitare le chiavi gestite dal cliente per l'account. Tutti e quattro i servizi di Archiviazione di Azure, ovvero BLOB, file, tabelle e code, useranno quindi la chiave gestita dal cliente per la crittografia.

Prezzi e fatturazione

Un account di archiviazione creato per l'uso di una chiave di crittografia con ambito per l'account viene fatturato per la capacità di archiviazione tabelle e le transazioni a una tariffa diversa rispetto a un account che usa la chiave predefinita con ambito servizio. Per informazioni dettagliate, vedere Prezzi di Archiviazione tabelle di Azure.

Creare un account che supporti le chiavi gestite dal cliente per tabelle e code

Creare un account che usa la chiave di crittografia dell'account

Verificare la chiave di crittografia dell'account

Prezzi e fatturazione

Passaggi successivi

Risorse aggiuntive