Over door Azure Key Vault beheerde opslagaccountsleutels (verouderd)

Belangrijk

We raden u aan Azure Storage-integratie te gebruiken met Microsoft Entra ID, de cloudservice voor identiteits- en toegangsbeheer van Microsoft. Microsoft Entra-integratie is beschikbaar voor Azure-blobs en -wachtrijen en biedt OAuth2-tokentoegang tot Azure Storage (net als Azure Key Vault). Met Microsoft Entra ID kunt u uw clienttoepassing verifiëren met behulp van een toepassing of gebruikersidentiteit, in plaats van referenties van het opslagaccount. U kunt een door Microsoft Entra beheerde identiteit gebruiken wanneer u op Azure uitvoert. Door beheerde identiteiten te gebruiken, zijn clientverificatie en opslag van referenties in of met uw toepassing niet meer nodig. Gebruik de onderstaande oplossing alleen als Microsoft Entra-verificatie niet mogelijk is.

Een Azure-opslagaccount gebruikt referenties die bestaan uit een accountnaam en een sleutel. De sleutel wordt automatisch gegenereerd en fungeert als een wachtwoord in plaats van een cryptografische sleutel. Key Vault beheert de sleutels voor opslagaccounts door ze periodiek opnieuw te genereren in het opslagaccount en biedt SAS-tokens (Shared Access Signature) voor gedelegeerde toegang tot resources in uw opslagaccount.

U kunt de functie voor sleutels van beheerde opslagaccounts van Key Vault gebruiken om de sleutels voor een Azure-opslagaccount op te vragen (synchroniseren) en om de sleutels periodiek opnieuw te genereren (roteren). U kunt sleutels beheren voor zowel opslagaccounts als klassieke opslagaccounts.

Azure Storage-accountsleutelbeheer

In Key Vault kunnen Azure Storage-accountsleutels worden beheerd:

• Intern kan Key Vault sleutels synchroniseren met een Azure Storage-account.
• Key Vault genereert de sleutels regelmatig opnieuw (roteren van sleutels).
• Sleutelwaarden worden nooit geretourneerd als antwoord op een oproepende functie.
• Key Vault beheert sleutels voor opslagaccounts en klassieke opslagaccounts.

Zie voor meer informatie:

• Toegangssleutels voor opslagaccounts
• Beheer van opslagaccountsleutels in Azure Key Vault

Toegangsbeheer voor opslagaccount

De volgende machtigingen kunnen worden gebruikt voor het autoriseren van een gebruiker of toepassingsprincipal om bewerkingen onder een beheerd opslagaccount uit te voeren:

• Machtigingen voor beheerde opslagaccounts en SAS-definitiebewerkingen

  • ophalen: Informatie over een opslagaccount ophalen
  • lijst: Opslagaccounts weergeven die worden beheerd door een Key Vault
  • update: Een opslagaccount bijwerken
  • verwijderen: Een opslagaccount verwijderen
  • herstellen: Een verwijderd opslagaccount herstellen
  • back-up: een back-up maken van een opslagaccount
  • herstellen: een back-up van een opslagaccount herstellen naar een Key Vault
  • set: Een opslagaccount maken of bijwerken
  • regeneratekey: Een opgegeven sleutelwaarde voor een opslagaccount opnieuw genereren
  • getsas: Informatie ophalen over een SAS-definitie voor een opslagaccount
  • listsas: SAS-definities voor opslag weergeven voor een opslagaccount
  • deletesas: Een SAS-definitie verwijderen uit een opslagaccount
  • setsas: Een nieuwe SAS-definitie/-kenmerken voor een opslagaccount maken of bijwerken

• Machtigingen voor bevoorrechte bewerkingen

  • opschonen: een beheerd opslagaccount opschonen (permanent verwijderen)

Zie Opslagaccountbewerkingen in de REST API-naslag voor Key Vault voor meer informatie. Raadpleeg Kluizen: maken of bijwerken en Kluizen: toegangsbeleid bijwerken voor meer informatie over het instellen van machtigingen.

Volgende stappen

• Opslagaccountsleutels beheren met Key Vault en de Azure CLI
• Informatie over Key Vault
• Informatie over sleutels, geheimen en certificaten
• Aanbevolen procedures voor geheimenbeheer in Key Vault
• Gids voor Key Vault-ontwikkelaars