Configurare le chiavi gestite dal cliente nello stesso tenant per un nuovo account di archiviazione

Archiviazione di Azure crittografa tutti i dati in un account di archiviazione inattivo. Per impostazione predefinita, i dati vengono crittografati con chiavi gestite da Microsoft. Per un controllo aggiuntivo sulle chiavi di crittografia, è possibile gestire le proprie chiavi. Le chiavi gestite dal cliente devono essere archiviate in un Key Vault di Azure o in un modello di sicurezza hardware gestito di Azure Key Vault.

Questo articolo illustra come configurare la crittografia con chiavi gestite dal cliente al momento della creazione di un nuovo account di archiviazione. Le chiavi gestite dal cliente vengono archiviate in un insieme di credenziali delle chiavi.

Per informazioni su come configurare le chiavi gestite dal cliente per un account di archiviazione esistente, vedere Configurare chiavi gestite dal cliente in un insieme di credenziali delle chiavi di Azure per un account di archiviazione esistente.

Nota

Azure Key Vault e Azure Key Vault Managed HSM supportano le stesse API e interfacce di gestione per la configurazione delle chiavi gestite dal cliente. Qualsiasi azione supportata per Key Vault di Azure è supportata anche per Azure Key Vault Managed HSM.

Configurare l'insieme di credenziali delle chiavi

È possibile usare un insieme di credenziali delle chiavi nuovo o esistente per archiviare le chiavi gestite dal cliente. L'account di archiviazione e l'insieme di credenziali delle chiavi possono trovarsi in aree o sottoscrizioni diverse nello stesso tenant. Per altre informazioni su Azure Key Vault, vedere Panoramica di Azure Key Vault e Informazioni su Azure Key Vault?.

L'uso delle chiavi gestite dal cliente con crittografia di Archiviazione di Azure richiede che sia l'eliminazione temporanea che la protezione dell'eliminazione siano abilitate per l'insieme di credenziali delle chiavi. L'eliminazione temporanea è abilitata per impostazione predefinita quando si crea un nuovo insieme di credenziali delle chiavi e non può essere disabilitato. È possibile abilitare la protezione di eliminazione quando si crea l'insieme di credenziali delle chiavi o dopo la creazione.

Azure Key Vault supporta l'autorizzazione con il controllo degli accessi in base al ruolo di Azure tramite un modello di autorizzazione RBAC di Azure. Microsoft consiglia di usare il modello di autorizzazione controllo degli accessi in base al ruolo di Azure sui criteri di accesso all'insieme di credenziali delle chiavi. Per altre informazioni, vedere Concedere l'autorizzazione alle applicazioni per accedere a un insieme di credenziali delle chiavi di Azure usando il controllo degli accessi in base al ruolo di Azure.

Azure portal

Per informazioni su come creare un insieme di credenziali delle chiavi con la portale di Azure, vedere Guida introduttiva: Creare un insieme di credenziali delle chiavi usando l'portale di Azure. Quando si crea l'insieme di credenziali delle chiavi, selezionare Abilita protezione di eliminazione, come illustrato nell'immagine seguente.

Per abilitare l'eliminazione della protezione in un insieme di credenziali delle chiavi esistente, seguire questa procedura:

1. Passare all'insieme di credenziali delle chiavi nel portale di Azure.
2. In Impostazioni scegliere Proprietà.
3. Nella sezione Elimina protezione scegliere Abilita protezione di eliminazione.

PowerShell

Per creare un nuovo insieme di credenziali delle chiavi con PowerShell, installare la versione 2.0.0 o successiva del modulo Az.KeyVault PowerShell. Chiamare quindi New-AzKeyVault per creare un nuovo insieme di credenziali delle chiavi. Con la versione 2.0.0 e successiva del modulo Az.KeyVault, l'eliminazione temporanea è abilitata per impostazione predefinita quando si crea un nuovo insieme di credenziali delle chiavi.

Nell'esempio seguente viene creato un nuovo insieme di credenziali delle chiavi con l'eliminazione temporanea e la protezione di eliminazione abilitata. Il modello di autorizzazione dell'insieme di credenziali delle chiavi è impostato per l'uso del controllo degli accessi in base al ruolo di Azure. Ricordarsi di sostituire i valori segnaposto tra parentesi quadre con i propri valori.

$rgName = "<resource_group>"
$location = "<location>"
$kvName = "<key-vault>"

$keyVault = New-AzKeyVault -Name $kvName `
    -ResourceGroupName $rgName `
    -Location $location `
    -EnablePurgeProtection `
    -EnableRbacAuthorization

Per informazioni su come abilitare l'eliminazione della protezione in un insieme di credenziali delle chiavi esistente con PowerShell, vedere Panoramica del ripristino di Azure Key Vault.

Dopo aver creato l'insieme di credenziali delle chiavi, è necessario assegnare il ruolo Key Vault Crypto Officer a se stessi. Questo ruolo consente di creare una chiave nell'insieme di credenziali delle chiavi. Nell'esempio seguente viene assegnato questo ruolo a un utente, con ambito all'insieme di credenziali delle chiavi:

New-AzRoleAssignment -SignInName "<user-email>" `
    -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $keyVault.ResourceId

Per altre informazioni su come assegnare un ruolo di controllo degli accessi in base al ruolo con PowerShell, vedere Assegnare ruoli di Azure usando Azure PowerShell.

Interfaccia della riga di comando di Azure

Per creare un nuovo insieme di credenziali delle chiavi usando l'interfaccia della riga di comando di Azure, chiamare az keyvault create. Nell'esempio seguente viene creato un nuovo insieme di credenziali delle chiavi con l'eliminazione temporanea e la protezione di eliminazione abilitata. Il modello di autorizzazione dell'insieme di credenziali delle chiavi è impostato per l'uso del controllo degli accessi in base al ruolo di Azure. Ricordarsi di sostituire i valori segnaposto tra parentesi quadre con i propri valori.

rgName="<resource_group>"
location="<location>"
kvName="<key-vault>"

az keyvault create \
    --name $kvName \
    --resource-group $rgName \
    --location $location \
    --enable-purge-protection \
    --enable-rbac-authorization

Per informazioni su come abilitare la protezione di eliminazione in un insieme di credenziali delle chiavi esistente con l'interfaccia della riga di comando di Azure, vedere Panoramica di Azure Key Vault ripristino.

Dopo aver creato l'insieme di credenziali delle chiavi, è necessario assegnare il ruolo Key Vault Crypto Officer a se stessi. Questo ruolo consente di creare una chiave nell'insieme di credenziali delle chiavi. Nell'esempio seguente viene assegnato questo ruolo a un utente, con ambito all'insieme di credenziali delle chiavi:

kvResourceId=$(az keyvault show --resource-group $rgName \
    --name $kvName \
    --query id \
    --output tsv)

az role assignment create --assignee "<user-email>" \
    --role "Key Vault Crypto Officer" \
    --scope $kvResourceId

Per altre informazioni su come assegnare un ruolo di controllo degli accessi in base al ruolo con l'interfaccia della riga di comando di Azure, vedere Assegnare ruoli di Azure tramite l'interfaccia della riga di comando di Azure.

Aggiungere una chiave

Aggiungere quindi una chiave all'insieme di credenziali delle chiavi. Prima di aggiungere la chiave, assicurarsi di aver assegnato a te stesso il ruolo Key Vault Crypto Officer.

La crittografia di Archiviazione di Azure supporta le chiavi RSA e RSA-HSM di dimensioni 2048, 3072 e 4096. Per altre informazioni sui tipi di chiavi supportati, vedere Informazioni sulle chiavi.

Azure portal

Per informazioni su come aggiungere una chiave con la portale di Azure, vedere Avvio rapido: Impostare e recuperare una chiave da Azure Key Vault usando il portale di Azure.

PowerShell

Per aggiungere una chiave con PowerShell, chiamare Add-AzKeyVaultKey. Ricordarsi di sostituire i valori segnaposto tra parentesi quadre con i propri valori e di usare le variabili definite negli esempi precedenti.

$keyName = "<key-name>"

$key = Add-AzKeyVaultKey -VaultName $keyVault.VaultName `
    -Name $keyName `
    -Destination 'Software'

Interfaccia della riga di comando di Azure

Per aggiungere una chiave con l'interfaccia della riga di comando di Azure, chiamare az keyvault key create. Ricordarsi di sostituire i valori segnaposto tra parentesi quadre con i propri valori.

keyName="<key-name>"

az keyvault key create \
    --name $keyName \
    --vault-name $kvName

Usare un'identità gestita assegnata dall'utente per autorizzare l'accesso all'insieme di credenziali delle chiavi

Quando si abilitano le chiavi gestite dal cliente per un nuovo account di archiviazione, è necessario specificare un'identità gestita assegnata dall'utente. Un account di archiviazione esistente supporta l'uso di un'identità gestita assegnata dall'utente o un'identità gestita assegnata dal sistema per configurare le chiavi gestite dal cliente.

Quando si configurano chiavi gestite dal cliente con un'identità gestita assegnata dall'utente, viene usata l'identità gestita assegnata dall'utente per autorizzare l'accesso all'insieme di credenziali delle chiavi che contiene la chiave. È necessario creare l'identità assegnata dall'utente prima di configurare le chiavi gestite dal cliente.

Un'identità gestita assegnata dall'utente è una risorsa di Azure autonoma. Per altre informazioni sulle identità gestite assegnate dall'utente, vedere Tipi di identità gestiti. Per informazioni su come creare e gestire un'identità gestita assegnata dall'utente, vedere Gestire le identità gestite assegnate dall'utente.

L'identità gestita assegnata dall'utente deve disporre delle autorizzazioni per accedere alla chiave nell'insieme di credenziali delle chiavi. Assegnare il ruolo utente Key Vault Crittografia del servizio crypto all'identità gestita assegnata dall'utente con ambito dell'insieme di credenziali delle chiavi per concedere queste autorizzazioni.

Azure portal

Prima di poter configurare le chiavi gestite dal cliente con un'identità gestita assegnata dall'utente, è necessario assegnare il ruolo utente Key Vault Crittografia del servizio crittografico all'identità gestita assegnata dall'utente, con ambito all'insieme di credenziali delle chiavi. Questo ruolo concede le autorizzazioni di identità gestite assegnate dall'utente per accedere alla chiave nell'insieme di credenziali delle chiavi. Per altre informazioni sull'assegnazione dei ruoli di controllo degli accessi in base al ruolo di Azure con la portale di Azure, vedere Assegnare ruoli di Azure usando la portale di Azure.

Quando si configurano chiavi gestite dal cliente con la portale di Azure, è possibile selezionare un'identità assegnata dall'utente esistente tramite l'interfaccia utente del portale.

PowerShell

Nell'esempio seguente viene illustrato come recuperare l'identità gestita assegnata dall'utente e assegnarlo al ruolo di controllo degli accessi in base al ruolo richiesto, con ambito nell'insieme di credenziali delle chiavi. Ricordarsi di sostituire i valori segnaposto tra parentesi quadre con i propri valori e di usare le variabili definite negli esempi precedenti:

$userIdentity = Get-AzUserAssignedIdentity -Name <user-assigned-identity> `
    -ResourceGroupName $rgName

$principalId = $userIdentity.PrincipalId

New-AzRoleAssignment -ObjectId $principalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

Interfaccia della riga di comando di Azure

Nell'esempio seguente viene illustrato come recuperare l'identità gestita assegnata dall'utente e assegnarlo al ruolo di controllo degli accessi in base al ruolo richiesto, con ambito nell'insieme di credenziali delle chiavi. Ricordarsi di sostituire i valori segnaposto tra parentesi quadre con i propri valori e di usare le variabili definite negli esempi precedenti:

identityResourceId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query id \
    --output tsv)

principalId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query principalId \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId \
    --assignee-principal-type ServicePrincipal

Configurare le chiavi gestite dal cliente per un nuovo account di archiviazione

Quando si configura la crittografia con chiavi gestite dal cliente per un nuovo account di archiviazione, è possibile scegliere di aggiornare automaticamente la versione della chiave usata per la crittografia di Archiviazione di Azure ogni volta che è disponibile una nuova versione nell'insieme di credenziali delle chiavi associato. In alternativa, è possibile specificare in modo esplicito una versione della chiave da usare per la crittografia fino a quando la versione della chiave non viene aggiornata manualmente.

È necessario usare un'identità gestita assegnata dall'utente esistente per autorizzare l'accesso all'insieme di credenziali delle chiavi quando si configurano chiavi gestite dal cliente durante la creazione dell'account di archiviazione. L'identità gestita assegnata dall'utente deve disporre delle autorizzazioni appropriate per accedere all'insieme di credenziali delle chiavi. Per altre informazioni, vedere Eseguire l'autenticazione in Azure Key Vault.

Configurare la crittografia per l'aggiornamento automatico delle versioni delle chiavi

Archiviazione di Azure può aggiornare automaticamente la chiave gestita dal cliente usata per la crittografia per usare la versione più recente della chiave dall'insieme di credenziali delle chiavi. Archiviazione di Azure controlla ogni giorno l'insieme di credenziali delle chiavi per una nuova versione della chiave. Quando una nuova versione diventa disponibile, Archiviazione di Azure inizia automaticamente usando la versione più recente della chiave per la crittografia.

Importante

Archiviazione di Azure controlla l'insieme di credenziali delle chiavi solo una volta al giorno. Quando si ruota una chiave, assicurarsi di attendere 24 ore prima di disabilitare la versione precedente.

Azure portal

Per configurare le chiavi gestite dal cliente per un nuovo account di archiviazione con l'aggiornamento automatico della versione della chiave, seguire questa procedura:

1. Nella portale di Azure passare alla pagina Account di archiviazione e selezionare il pulsante Crea per creare un nuovo account.

2. Seguire i passaggi descritti in Creare un account di archiviazione per compilare i campi nelle schede Basics, Advanced, Networking e Data Protection .

3. Nella scheda Crittografia indicare per quali servizi si vuole abilitare il supporto per le chiavi gestite dal cliente nel campo Abilita supporto per le chiavi gestite dal cliente .

4. Nel campo Tipo di crittografia selezionare Chiavi gestite dal cliente (CMK).

5. Nel campo Chiave di crittografia scegliere Selezionare un insieme di credenziali delle chiavi e una chiave e specificare l'insieme di credenziali delle chiavi e la chiave.

6. Per il campo Identità assegnata dall'utente selezionare un'identità gestita assegnata dall'utente esistente.

   

7. Selezionare il pulsante Rivedi per convalidare e creare l'account.

È anche possibile configurare chiavi gestite dal cliente con l'aggiornamento manuale della versione della chiave quando si crea un nuovo account di archiviazione. Seguire i passaggi descritti in Configurare la crittografia per l'aggiornamento manuale delle versioni delle chiavi.

PowerShell

Per configurare le chiavi gestite dal cliente per un nuovo account di archiviazione con aggiornamento automatico della versione della chiave, chiamare New-AzStorageAccount, come illustrato nell'esempio seguente. Usare la variabile creata in precedenza per l'ID risorsa per l'identità gestita assegnata dall'utente. È necessario anche l'URI e il nome della chiave dell'insieme di credenziali delle chiavi:

$accountName = "<storage-account>"

New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Kind StorageV2 `
    -SkuName Standard_LRS `
    -Location $location `
    -AllowBlobPublicAccess $false `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

Interfaccia della riga di comando di Azure

Per configurare le chiavi gestite dal cliente per un nuovo account di archiviazione con aggiornamento automatico della versione della chiave, chiamare az storage account create, come illustrato nell'esempio seguente. Usare la variabile creata in precedenza per l'ID risorsa per l'identità gestita assegnata dall'utente. È necessario anche l'URI e il nome della chiave dell'insieme di credenziali delle chiavi:

accountName="<storage-account>"

az storage account create \
    --name $accountName \
    --resource-group $rgName \
    --location $location \
    --sku Standard_LRS \
    --kind StorageV2 \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-vault <key-vault-uri> \
    --encryption-key-name $keyName \
    --encryption-key-source Microsoft.Keyvault \
    --key-vault-user-identity-id $identityResourceId

Configurare la crittografia per l'aggiornamento manuale delle versioni delle chiavi

Se si preferisce aggiornare manualmente la versione della chiave, specificare in modo esplicito la versione quando si configura la crittografia con chiavi gestite dal cliente durante la creazione dell'account di archiviazione. In questo caso, Archiviazione di Azure non aggiornerà automaticamente la versione della chiave quando viene creata una nuova versione nell'insieme di credenziali delle chiavi. Per usare una nuova versione della chiave, è necessario aggiornare manualmente la versione usata per la crittografia di Archiviazione di Azure.

È necessario usare un'identità gestita assegnata dall'utente esistente per autorizzare l'accesso all'insieme di credenziali delle chiavi quando si configurano chiavi gestite dal cliente durante la creazione dell'account di archiviazione. L'identità gestita assegnata dall'utente deve disporre delle autorizzazioni appropriate per accedere all'insieme di credenziali delle chiavi. Per altre informazioni, vedere Eseguire l'autenticazione in Azure Key Vault.

Azure portal

Per configurare le chiavi gestite dal cliente con l'aggiornamento manuale della versione della chiave nel portale di Azure, specificare l'URI della chiave, inclusa la versione, durante la creazione dell'account di archiviazione. Per specificare una chiave come URI, seguire questa procedura:

1. Nella portale di Azure passare alla pagina Account di archiviazione e selezionare il pulsante Crea per creare un nuovo account.

2. Seguire i passaggi descritti in Creare un account di archiviazione per compilare i campi nelle schede Basics, Advanced, Networking e Data Protection .

3. Nella scheda Crittografia indicare per quali servizi si vuole abilitare il supporto per le chiavi gestite dal cliente nel campo Abilita supporto per le chiavi gestite dal cliente .

4. Nel campo Tipo di crittografia selezionare Chiavi gestite dal cliente (CMK).

5. Per individuare l'URI della chiave nel portale di Azure, passare all'insieme di credenziali delle chiavi e selezionare l'impostazione Chiavi. Selezionare la chiave desiderata e quindi selezionare la chiave per visualizzarne le versioni. Selezionare una versione chiave per visualizzare le impostazioni per tale versione.

6. Copiare il valore del campo Identificatore chiave , che fornisce l'URI.

   

7. Nelle impostazioni della chiave di crittografia per l'account di archiviazione scegliere l'opzione Invio dell'URI della chiave .

8. Incollare l'URI copiato nel campo URI chiave . Includere la versione della chiave nell'URI per configurare l'aggiornamento manuale della versione della chiave.

9. Specificare un'identità gestita assegnata dall'utente scegliendo il collegamento Seleziona un'identità .

   

10. Selezionare il pulsante Rivedi per convalidare e creare l'account.

PowerShell

Per configurare le chiavi gestite dal cliente con l'aggiornamento manuale della versione della chiave, specificare in modo esplicito la versione della chiave quando si configura la crittografia durante la creazione dell'account di archiviazione. Chiamare Set-AzStorageAccount per aggiornare le impostazioni di crittografia dell'account di archiviazione, come illustrato nell'esempio seguente e includere l'opzione -KeyvaultEncryption per abilitare le chiavi gestite dal cliente per l'account di archiviazione.

Ricordarsi di sostituire i valori segnaposto tra parentesi quadre con i propri valori e di usare le variabili definite negli esempi precedenti.

$accountName = "<storage-account>"

New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Kind StorageV2 `
    -SkuName Standard_LRS `
    -Location $location `
    -AllowBlobPublicAccess $false `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

Quando si aggiorna manualmente la versione della chiave, è necessario aggiornare le impostazioni di crittografia dell'account di archiviazione per usare la nuova versione. Prima di tutto, chiamare Get-AzKeyVaultKey per ottenere la versione più recente della chiave. Chiamare quindi Set-AzStorageAccount per aggiornare le impostazioni di crittografia dell'account di archiviazione per usare la nuova versione della chiave, come illustrato nell'esempio precedente.

Interfaccia della riga di comando di Azure

Per configurare le chiavi gestite dal cliente con l'aggiornamento manuale della versione della chiave, specificare in modo esplicito la versione della chiave quando si configura la crittografia durante la creazione dell'account di archiviazione. Chiamare az storage account update per aggiornare le impostazioni di crittografia dell'account di archiviazione, come illustrato nell'esempio seguente. Includere il --encryption-key-source parametro e impostarlo su Microsoft.Keyvault per abilitare le chiavi gestite dal cliente per l'account.

Ricordarsi di sostituire i valori segnaposto tra parentesi quadre con i propri valori.

accountName="<storage-account>"

key_vault_uri=$(az keyvault show \
    --name <key-vault> \
    --resource-group <resource_group> \
    --query properties.vaultUri \
    --output tsv)

key_version=$(az keyvault key list-versions \
    --name <key> \
    --vault-name <key-vault> \
    --query [-1].kid \
    --output tsv | cut -d '/' -f 6)

az storage account create \
    --name $accountName \
    --resource-group $rgName \
    --location $location \
    --sku Standard_LRS \
    --kind StorageV2 \
    --allow-blob-public-access false \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-vault $keyVaultUri \
    --encryption-key-name $keyName \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-version $keyVersion \
    --key-vault-user-identity-id $identityResourceId

Quando si aggiorna manualmente la versione della chiave, è necessario aggiornare le impostazioni di crittografia dell'account di archiviazione per usare la nuova versione. Prima di tutto, eseguire una query sull'URI dell'insieme di credenziali delle chiavi chiamando az keyvault show e per la versione della chiave chiamando az keyvault key list-version. Chiamare quindi az storage account update per aggiornare le impostazioni di crittografia dell'account di archiviazione per usare la nuova versione della chiave, come illustrato nell'esempio precedente.

Modificare la chiave

È possibile modificare la chiave usata per la crittografia di Archiviazione di Azure in qualsiasi momento.

Nota

Quando si modifica la chiave o la versione della chiave, la protezione della chiave di crittografia radice cambia, ma i dati nell'account di archiviazione di Azure rimangono crittografati in ogni momento. Non è necessaria alcuna azione aggiuntiva per assicurarsi che i dati siano protetti. La modifica della chiave o la rotazione della versione della chiave non influisce sulle prestazioni. Non vi è tempo di inattività associato alla modifica della chiave o alla rotazione della versione della chiave.

Azure portal

Per modificare la chiave con la portale di Azure, seguire questa procedura:

1. Passare all'account di archiviazione e visualizzare le impostazioni di crittografia .
2. Selezionare l'insieme di credenziali delle chiavi e scegliere una nuova chiave.
3. Salvare le modifiche.

PowerShell

Per modificare la chiave con PowerShell, chiamare Set-AzStorageAccount e specificare il nuovo nome della chiave e la versione. Se la nuova chiave si trova in un insieme di credenziali delle chiavi diverso, è necessario aggiornare anche l'URI dell'insieme di credenziali delle chiavi.

Interfaccia della riga di comando di Azure

Per modificare la chiave con l'interfaccia della riga di comando di Azure, chiamare az storage account update e specificare il nuovo nome e la nuova versione della chiave. Se la nuova chiave si trova in un insieme di credenziali delle chiavi diverso, è necessario aggiornare anche l'URI dell'insieme di credenziali delle chiavi.

Se la nuova chiave si trova in un insieme di credenziali delle chiavi diverso, è necessario concedere all'identità gestita l'accesso alla chiave nel nuovo insieme di credenziali. Se si sceglie l'aggiornamento manuale della versione della chiave, è anche necessario aggiornare l'URI dell'insieme di credenziali delle chiavi.

Revocare l'accesso a un account di archiviazione che usa chiavi gestite dal cliente

Per revocare temporaneamente l'accesso a un account di archiviazione che usa chiavi gestite dal cliente, disabilitare la chiave attualmente usata nell'insieme di credenziali delle chiavi. Non vi è alcun impatto sulle prestazioni o tempi di inattività associati alla disabilitazione e alla ripetizione della chiave.

Dopo aver disabilitato la chiave, i client non possono chiamare operazioni di lettura o scrittura in un BLOB o nei relativi metadati. Per informazioni sulle operazioni che avranno esito negativo, vedere Revocare l'accesso a un account di archiviazione che usa chiavi gestite dal cliente.

Attenzione

Quando si disabilita la chiave nell'insieme di credenziali delle chiavi, i dati nell'account di archiviazione di Azure rimangono crittografati, ma diventa inaccessibile finché non si riabilita la chiave.

Azure portal

Per disabilitare una chiave gestita dal cliente con la portale di Azure, seguire questa procedura:

1. Passare all'insieme di credenziali delle chiavi che contiene la chiave.

2. In Oggetti selezionare Chiavi.

3. Fare clic con il pulsante destro del mouse sulla chiave e scegliere Disabilita.

   

PowerShell

Per revocare una chiave gestita dal cliente con PowerShell, chiamare il comando Update-AzKeyVaultKey , come illustrato nell'esempio seguente. Ricordarsi di sostituire i valori segnaposto tra parentesi quadre con i propri valori per definire le variabili oppure usare le variabili definite negli esempi precedenti.

$kvName  = "<key-vault-name>"
$keyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it

# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $keyName -VaultName $kvName

# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $kvName -Name $keyName -Enable $enabled

Interfaccia della riga di comando di Azure

Per revocare una chiave gestita dal cliente con l'interfaccia della riga di comando di Azure, chiamare il comando az keyvault key set-attributes , come illustrato nell'esempio seguente. Ricordarsi di sostituire i valori segnaposto tra parentesi quadre con i propri valori per definire le variabili oppure usare le variabili definite negli esempi precedenti.

kvName="<key-vault-name>"
keyName="<key-name>"
enabled="false"
# "false" to disable the key / "true" to enable it:

# Check the current state of the key (before and after enabling/disabling it)
az keyvault key show \
    --vault-name $kvName \
    --name $keyName

# Disable (or enable) the key
az keyvault key set-attributes \
    --vault-name $kvName \
    --name $keyName \
    --enabled $enabled

La disabilitazione della chiave causerà tentativi di accesso ai dati nell'account di archiviazione con codice di errore 403 (Non consentito). Per un elenco di operazioni dell'account di archiviazione interessate dalla disabilitazione della chiave, vedere Revocare l'accesso a un account di archiviazione che usa chiavi gestite dal cliente.

Tornare alle chiavi gestite da Microsoft

È possibile passare da chiavi gestite dal cliente a chiavi gestite da Microsoft in qualsiasi momento, usando l'portale di Azure, PowerShell o l'interfaccia della riga di comando di Azure.

Azure portal

Per passare dalle chiavi gestite dal cliente alle chiavi gestite da Microsoft nel portale di Azure, seguire questa procedura:

1. Passare all'account di archiviazione.

2. In Sicurezza e rete selezionare Crittografia.

3. Modificare il tipo di crittografia in chiavi gestite da Microsoft.

   

PowerShell

Per passare dalle chiavi gestite dal cliente alle chiavi gestite da Microsoft con PowerShell, chiamare Set-AzStorageAccount con l'opzione, come illustrato nell'esempio -StorageEncryption seguente. Ricordarsi di sostituire i valori segnaposto tra parentesi quadre con i propri valori e di usare le variabili definite negli esempi precedenti.

Set-AzStorageAccount -ResourceGroupName $storageAccount.ResourceGroupName `
    -AccountName $storageAccount.StorageAccountName `
    -StorageEncryption  

Interfaccia della riga di comando di Azure

Per passare dalle chiavi gestite dal cliente alle chiavi gestite da Microsoft con l'interfaccia della riga di comando di Azure, chiamare az storage account update e impostare su , come illustrato nell'esempio --encryption-key-source parameterMicrosoft.Storageseguente. Ricordarsi di sostituire i valori segnaposto tra parentesi quadre con i propri valori e di usare le variabili definite negli esempi precedenti.

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-source Microsoft.Storage

Passaggi successivi

• Crittografia del servizio di archiviazione di Azure per dati inattivi
• Chiavi gestite dal cliente per la crittografia di Archiviazione di Azure
• Configurare le chiavi gestite dal cliente in un insieme di credenziali delle chiavi di Azure per un account di archiviazione esistente
• Configurare la crittografia con chiavi gestite dal cliente archiviate in Azure Key Vault HSM gestito