Door de klant beheerde sleutels configureren in dezelfde tenant voor een nieuw opslagaccount

Artikel
03/23/2023

Azure Storage versleutelt alle gegevens in een opslagaccount-at-rest. Standaard worden gegevens versleuteld met door Microsoft beheerde sleutels. Voor extra controle over versleutelingssleutels kunt u uw eigen sleutels beheren. Door de klant beheerde sleutels moeten worden opgeslagen in een Azure Key Vault of in een azure Key Vault Managed Hardware Security Model (HSM).

In dit artikel wordt beschreven hoe u versleuteling configureert met door de klant beheerde sleutels op het moment dat u een nieuw opslagaccount maakt. De door de klant beheerde sleutels worden opgeslagen in een sleutelkluis.

Zie Door de klant beheerde sleutels voor een bestaand opslagaccount configureren in een Azure-sleutelkluis voor een bestaand opslagaccount voor meer informatie over het configureren van door de klant beheerde sleutels.

Notitie

Azure Key Vault en Azure Key Vault Managed HSM ondersteunen dezelfde API's en beheerinterfaces voor de configuratie van door de klant beheerde sleutels. Elke actie die wordt ondersteund voor Azure Key Vault, wordt ook ondersteund voor beheerde HSM van Azure Key Vault.

De sleutelkluis configureren

U kunt een nieuwe of bestaande sleutelkluis gebruiken om door de klant beheerde sleutels op te slaan. Het opslagaccount en de sleutelkluis bevinden zich mogelijk in verschillende regio's of abonnementen in dezelfde tenant. Zie Overzicht van Azure Key Vault en wat is Azure Key Vault? voor meer informatie over Azure Key Vault.

Voor het gebruik van door de klant beheerde sleutels met Azure Storage-versleuteling moet zowel voorlopig verwijderen als beveiliging tegen opschonen zijn ingeschakeld voor de sleutelkluis. Voorlopig verwijderen is standaard ingeschakeld wanneer u een nieuwe sleutelkluis maakt en niet kan worden uitgeschakeld. U kunt beveiliging tegen opschonen inschakelen wanneer u de sleutelkluis maakt of nadat deze is gemaakt.

Azure Key Vault ondersteunt autorisatie met Azure RBAC via een Azure RBAC-machtigingsmodel. Microsoft raadt aan het Azure RBAC-machtigingsmodel te gebruiken via toegangsbeleid voor key vault. Zie Machtigingen verlenen aan toepassingen voor toegang tot een Azure-sleutelkluis met behulp van Azure RBAC voor meer informatie.

Zie de quickstart: Een sleutelkluis maken met behulp van Azure Portal voor meer informatie over het maken van een sleutelkluis met behulp van Azure Portal. Wanneer u de sleutelkluis maakt, selecteert u Opschoningsbeveiliging inschakelen, zoals wordt weergegeven in de volgende afbeelding.

Schermopname van het inschakelen van beveiliging tegen opschonen bij het maken van een sleutelkluis.

Voer de volgende stappen uit om beveiliging tegen opschonen in te schakelen voor een bestaande sleutelkluis:

Navigeer naar uw sleutelkluis in Azure Portal.
Kies Eigenschappen onder Instellingen.
Kies Beveiliging tegen opschonen inschakelen in de sectie Beveiliging tegen opschonen.

Als u een nieuwe sleutelkluis wilt maken met PowerShell, installeert u versie 2.0.0 of hoger van de Az.KeyVault PowerShell-module. Roep vervolgens New-AzKeyVault aan om een nieuwe sleutelkluis te maken. Met versie 2.0.0 en hoger van de Az.KeyVault-module is voorlopig verwijderen standaard ingeschakeld wanneer u een nieuwe sleutelkluis maakt.

In het volgende voorbeeld wordt een nieuwe sleutelkluis gemaakt waarvoor voorlopig verwijderen en beveiliging tegen opschonen is ingeschakeld. Het machtigingsmodel van de sleutelkluis is ingesteld op het gebruik van Azure RBAC. Vergeet niet om de tijdelijke aanduidingen tussen vierkante haken te vervangen door uw eigen waarden.

$rgName = "<resource_group>"
$location = "<location>"
$kvName = "<key-vault>"

$keyVault = New-AzKeyVault -Name $kvName `
    -ResourceGroupName $rgName `
    -Location $location `
    -EnablePurgeProtection `
    -EnableRbacAuthorization

Zie het overzicht van herstel van Azure Key Vault voor meer informatie over het inschakelen van beveiliging tegen opschonen van een bestaande sleutelkluis met PowerShell.

Nadat u de sleutelkluis hebt gemaakt, moet u de rol Key Vault Crypto Officer aan uzelf toewijzen. Met deze rol kunt u een sleutel maken in de sleutelkluis. In het volgende voorbeeld wordt deze rol toegewezen aan een gebruiker met het bereik van de sleutelkluis:

New-AzRoleAssignment -SignInName "<user-email>" `
    -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $keyVault.ResourceId

Zie Azure-rollen toewijzen met behulp van Azure PowerShell voor meer informatie over het toewijzen van een RBAC-rol met PowerShell.

Als u een nieuwe sleutelkluis wilt maken met behulp van Azure CLI, roept u az keyvault create aan. In het volgende voorbeeld wordt een nieuwe sleutelkluis gemaakt waarvoor voorlopig verwijderen en beveiliging tegen opschonen is ingeschakeld. Het machtigingsmodel van de sleutelkluis is ingesteld op het gebruik van Azure RBAC. Vergeet niet om de tijdelijke aanduidingen tussen vierkante haken te vervangen door uw eigen waarden.

rgName="<resource_group>"
location="<location>"
kvName="<key-vault>"

az keyvault create \
    --name $kvName \
    --resource-group $rgName \
    --location $location \
    --enable-purge-protection \
    --enable-rbac-authorization

Zie het overzicht van herstel van Azure Key Vault voor meer informatie over het inschakelen van beveiliging tegen opschonen van een bestaande sleutelkluis met Azure CLI.

kvResourceId=$(az keyvault show --resource-group $rgName \
    --name $kvName \
    --query id \
    --output tsv)

az role assignment create --assignee "<user-email>" \
    --role "Key Vault Crypto Officer" \
    --scope $kvResourceId

Zie Azure-rollen toewijzen met behulp van Azure CLI voor meer informatie over het toewijzen van een RBAC-rol met Behulp van Azure CLI.

Een sleutel toevoegen

Voeg vervolgens een sleutel toe aan de sleutelkluis. Voordat u de sleutel toevoegt, moet u ervoor zorgen dat u de rol Key Vault Crypto Officer aan uzelf hebt toegewezen.

Azure Storage-versleuteling ondersteunt RSA- en RSA-HSM-sleutels van grootte 2048, 3072 en 4096. Zie Over sleutels voor meer informatie over ondersteunde sleuteltypen.

Zie quickstart: Een sleutel instellen en ophalen uit Azure Key Vault met behulp van Azure Portal voor meer informatie over het toevoegen van een sleutel met azure Portal.

Als u een sleutel wilt toevoegen met PowerShell, roept u Add-AzKeyVaultKey aan. Vergeet niet om de tijdelijke aanduidingen tussen haakjes te vervangen door uw eigen waarden en om de variabelen te gebruiken die in de vorige voorbeelden zijn gedefinieerd.

$keyName = "<key-name>"

$key = Add-AzKeyVaultKey -VaultName $keyVault.VaultName `
    -Name $keyName `
    -Destination 'Software'

Als u een sleutel wilt toevoegen met Azure CLI, roept u az keyvault key create aan. Vergeet niet om de tijdelijke aanduidingen tussen vierkante haken te vervangen door uw eigen waarden.

keyName="<key-name>"

az keyvault key create \
    --name $keyName \
    --vault-name $kvName

Een door de gebruiker toegewezen beheerde identiteit gebruiken om toegang tot de sleutelkluis te autoriseren

Wanneer u door de klant beheerde sleutels inschakelt voor een nieuw opslagaccount, moet u een door de gebruiker toegewezen beheerde identiteit opgeven. Een bestaand opslagaccount ondersteunt het gebruik van een door de gebruiker toegewezen beheerde identiteit of een door het systeem toegewezen beheerde identiteit om door de klant beheerde sleutels te configureren.

Wanneer u door de klant beheerde sleutels configureert met een door de gebruiker toegewezen beheerde identiteit, wordt de door de gebruiker toegewezen beheerde identiteit gebruikt om toegang te verlenen tot de sleutelkluis die de sleutel bevat. U moet de door de gebruiker toegewezen identiteit maken voordat u door de klant beheerde sleutels configureert.

Een door de gebruiker toegewezen beheerde identiteit is een zelfstandige Azure-resource. Zie Beheerde identiteitstypen voor meer informatie over door de gebruiker toegewezen beheerde identiteiten. Zie Door de gebruiker toegewezen beheerde identiteiten beheren voor meer informatie over het maken en beheren van een door de gebruiker toegewezen beheerde identiteiten.

De door de gebruiker toegewezen beheerde identiteit moet machtigingen hebben voor toegang tot de sleutel in de sleutelkluis. Wijs de rol Key Vault Crypto Service Encryption User toe aan de door de gebruiker toegewezen beheerde identiteit met sleutelkluisbereik om deze machtigingen te verlenen.

Voordat u door de klant beheerde sleutels kunt configureren met een door de gebruiker toegewezen beheerde identiteit, moet u de rol Crypto Service-versleutelingsgebruiker van Key Vault toewijzen aan de door de gebruiker toegewezen beheerde identiteit, met het bereik van de sleutelkluis. Deze rol verleent de door de gebruiker toegewezen beheerde identiteit machtigingen voor toegang tot de sleutel in de sleutelkluis. Zie Azure-rollen toewijzen met behulp van Azure Portal voor meer informatie over het toewijzen van Azure RBAC-rollen met azure Portal.

Wanneer u door de klant beheerde sleutels configureert met Azure Portal, kunt u een bestaande door de gebruiker toegewezen identiteit selecteren via de gebruikersinterface van de portal.

In het volgende voorbeeld ziet u hoe u de door de gebruiker toegewezen beheerde identiteit ophaalt en hieraan de vereiste RBAC-rol toewijst, die is gericht op de sleutelkluis. Vergeet niet om de tijdelijke aanduidingen tussen haakjes te vervangen door uw eigen waarden en om de variabelen te gebruiken die in de vorige voorbeelden zijn gedefinieerd:

$userIdentity = Get-AzUserAssignedIdentity -Name <user-assigned-identity> `
    -ResourceGroupName $rgName

$principalId = $userIdentity.PrincipalId

New-AzRoleAssignment -ObjectId $principalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

identityResourceId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query id \
    --output tsv)

principalId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query principalId \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId \
    --assignee-principal-type ServicePrincipal

Door de klant beheerde sleutels configureren voor een nieuw opslagaccount

Wanneer u versleuteling configureert met door de klant beheerde sleutels voor een nieuw opslagaccount, kunt u ervoor kiezen om automatisch de sleutelversie bij te werken die wordt gebruikt voor Azure Storage-versleuteling wanneer er een nieuwe versie beschikbaar is in de bijbehorende sleutelkluis. U kunt ook expliciet een sleutelversie opgeven die moet worden gebruikt voor versleuteling totdat de sleutelversie handmatig wordt bijgewerkt.

U moet een bestaande door de gebruiker toegewezen beheerde identiteit gebruiken om toegang tot de sleutelkluis te autoriseren wanneer u door de klant beheerde sleutels configureert tijdens het maken van het opslagaccount. De door de gebruiker toegewezen beheerde identiteit moet over de juiste machtigingen beschikken om toegang te krijgen tot de sleutelkluis. Zie Verifiëren bij Azure Key Vault voor meer informatie.

Versleuteling configureren voor het automatisch bijwerken van sleutelversies

Azure Storage kan automatisch de door de klant beheerde sleutel bijwerken die wordt gebruikt voor versleuteling om de meest recente sleutelversie uit de sleutelkluis te gebruiken. Azure Storage controleert de sleutelkluis dagelijks op een nieuwe versie van de sleutel. Wanneer er een nieuwe versie beschikbaar komt, begint Azure Storage automatisch met het gebruik van de nieuwste versie van de sleutel voor versleuteling.

Belangrijk

Azure Storage controleert de sleutelkluis slechts eenmaal per dag op een nieuwe sleutelversie. Wanneer u een sleutel draait, wacht u 24 uur voordat u de oudere versie uitschakelt.

Volg deze stappen om door de klant beheerde sleutels te configureren voor een nieuw opslagaccount met automatisch bijwerken van de sleutelversie:

Ga in Azure Portal naar de pagina Opslagaccounts en selecteer de knop Maken om een nieuw account te maken.
Volg de stappen die worden beschreven in Een opslagaccount maken om de velden in te vullen op de tabbladen Basisbeginselen, Geavanceerd, Netwerken en Gegevensbescherming .
Geef op het tabblad Versleuteling aan voor welke services u ondersteuning wilt inschakelen voor door de klant beheerde sleutels in het veld Ondersteuning voor door de klant beheerde sleutels inschakelen.
Selecteer in het veld Versleutelingstype de optie Door de klant beheerde sleutels (CMK).
Kies in het veld Versleutelingssleutel een sleutelkluis en sleutel selecteren en geef de sleutelkluis en sleutel op.
Selecteer een bestaande door de gebruiker toegewezen beheerde identiteit voor het veld Door de gebruiker toegewezen identiteit .
Selecteer de knop Controleren om het account te valideren en te maken.

U kunt ook door de klant beheerde sleutels configureren met handmatig bijwerken van de sleutelversie wanneer u een nieuw opslagaccount maakt. Volg de stappen die worden beschreven in Versleuteling configureren voor het handmatig bijwerken van sleutelversies.

Als u door de klant beheerde sleutels wilt configureren voor een nieuw opslagaccount met het automatisch bijwerken van de sleutelversie, roept u New-AzStorageAccount aan, zoals wordt weergegeven in het volgende voorbeeld. Gebruik de variabele die u eerder hebt gemaakt voor de resource-id voor de door de gebruiker toegewezen beheerde identiteit. U hebt ook de sleutelkluis-URI en sleutelnaam nodig:

$accountName = "<storage-account>"

New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Kind StorageV2 `
    -SkuName Standard_LRS `
    -Location $location `
    -AllowBlobPublicAccess $false `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

Als u door de klant beheerde sleutels wilt configureren voor een nieuw opslagaccount met het automatisch bijwerken van de sleutelversie, roept u az storage account create aan, zoals wordt weergegeven in het volgende voorbeeld. Gebruik de variabele die u eerder hebt gemaakt voor de resource-id voor de door de gebruiker toegewezen beheerde identiteit. U hebt ook de sleutelkluis-URI en sleutelnaam nodig:

accountName="<storage-account>"

az storage account create \
    --name $accountName \
    --resource-group $rgName \
    --location $location \
    --sku Standard_LRS \
    --kind StorageV2 \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-vault <key-vault-uri> \
    --encryption-key-name $keyName \
    --encryption-key-source Microsoft.Keyvault \
    --key-vault-user-identity-id $identityResourceId

Versleuteling configureren voor handmatig bijwerken van sleutelversies

Als u de sleutelversie liever handmatig bijwerkt, geeft u expliciet de versie op wanneer u versleuteling configureert met door de klant beheerde sleutels tijdens het maken van het opslagaccount. In dit geval werkt Azure Storage de sleutelversie niet automatisch bij wanneer er een nieuwe versie wordt gemaakt in de sleutelkluis. Als u een nieuwe sleutelversie wilt gebruiken, moet u de versie die wordt gebruikt voor Azure Storage-versleuteling handmatig bijwerken.

Als u door de klant beheerde sleutels wilt configureren met handmatig bijwerken van de sleutelversie in Azure Portal, geeft u de sleutel-URI op, inclusief de versie, tijdens het maken van het opslagaccount. Voer de volgende stappen uit om een sleutel op te geven als een URI:

Ga in Azure Portal naar de pagina Opslagaccounts en selecteer de knop Maken om een nieuw account te maken.
Volg de stappen die worden beschreven in Een opslagaccount maken om de velden in te vullen op de tabbladen Basisbeginselen, Geavanceerd, Netwerken en Gegevensbescherming .
Geef op het tabblad Versleuteling aan voor welke services u ondersteuning wilt inschakelen voor door de klant beheerde sleutels in het veld Ondersteuning voor door de klant beheerde sleutels inschakelen.
Selecteer in het veld Versleutelingstype de optie Door de klant beheerde sleutels (CMK).
Als u de sleutel-URI in Azure Portal wilt vinden, gaat u naar uw sleutelkluis en selecteert u de instelling Sleutels . Selecteer de gewenste sleutel en selecteer vervolgens de sleutel om de versies ervan weer te geven. Selecteer een sleutelversie om de instellingen voor die versie weer te geven.
Kopieer de waarde van het veld Sleutel-id , die de URI levert.
Kies in de instellingen voor de versleutelingssleutel voor uw opslagaccount de optie Sleutel-URI invoeren.
Plak de URI die u in het veld Sleutel-URI hebt gekopieerd. Neem de sleutelversie op de URI op om handmatig bijwerken van de sleutelversie te configureren.
Geef een door de gebruiker toegewezen beheerde identiteit op door de koppeling Een identiteit selecteren te kiezen.
Selecteer de knop Controleren om het account te valideren en te maken.

Als u door de klant beheerde sleutels wilt configureren met handmatig bijwerken van de sleutelversie, geeft u expliciet de sleutelversie op wanneer u versleuteling configureert tijdens het maken van het opslagaccount. Roep Set-AzStorageAccount aan om de versleutelingsinstellingen van het opslagaccount bij te werken, zoals wordt weergegeven in het volgende voorbeeld, en neem de optie -KeyvaultEncryption op om door de klant beheerde sleutels voor het opslagaccount in te schakelen.

Vergeet niet om de tijdelijke aanduidingen tussen haakjes te vervangen door uw eigen waarden en om de variabelen te gebruiken die in de vorige voorbeelden zijn gedefinieerd.

$accountName = "<storage-account>"

New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Kind StorageV2 `
    -SkuName Standard_LRS `
    -Location $location `
    -AllowBlobPublicAccess $false `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

Wanneer u de sleutelversie handmatig bijwerkt, moet u de versleutelingsinstellingen van het opslagaccount bijwerken om de nieuwe versie te gebruiken. Roep eerst Get-AzKeyVaultKey aan om de nieuwste versie van de sleutel op te halen. Roep Vervolgens Set-AzStorageAccount aan om de versleutelingsinstellingen van het opslagaccount bij te werken voor het gebruik van de nieuwe versie van de sleutel, zoals wordt weergegeven in het vorige voorbeeld.

Als u door de klant beheerde sleutels wilt configureren met handmatig bijwerken van de sleutelversie, geeft u expliciet de sleutelversie op wanneer u versleuteling configureert tijdens het maken van het opslagaccount. Roep az storage account update aan om de versleutelingsinstellingen van het opslagaccount bij te werken, zoals wordt weergegeven in het volgende voorbeeld. Neem de parameter op en stel deze in om Microsoft.Keyvault door de --encryption-key-source klant beheerde sleutels voor het account in te schakelen.

Vergeet niet om de tijdelijke aanduidingen tussen vierkante haken te vervangen door uw eigen waarden.

accountName="<storage-account>"

key_vault_uri=$(az keyvault show \
    --name <key-vault> \
    --resource-group <resource_group> \
    --query properties.vaultUri \
    --output tsv)

key_version=$(az keyvault key list-versions \
    --name <key> \
    --vault-name <key-vault> \
    --query [-1].kid \
    --output tsv | cut -d '/' -f 6)

az storage account create \
    --name $accountName \
    --resource-group $rgName \
    --location $location \
    --sku Standard_LRS \
    --kind StorageV2 \
    --allow-blob-public-access false \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-vault $keyVaultUri \
    --encryption-key-name $keyName \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-version $keyVersion \
    --key-vault-user-identity-id $identityResourceId

Wanneer u de sleutelversie handmatig bijwerkt, moet u de versleutelingsinstellingen van het opslagaccount bijwerken om de nieuwe versie te gebruiken. Voer eerst een query uit voor de sleutelkluis-URI door az keyvault show aan te roepen en voor de sleutelversie door az keyvault key list-versions aan te roepen. Roep vervolgens az storage account update aan om de versleutelingsinstellingen van het opslagaccount bij te werken voor het gebruik van de nieuwe versie van de sleutel, zoals wordt weergegeven in het vorige voorbeeld.

De sleutel wijzigen

U kunt de sleutel die u gebruikt voor Azure Storage-versleuteling op elk gewenst moment wijzigen.

Notitie

Wanneer u de sleutel of sleutelversie wijzigt, wordt de beveiliging van de hoofdversleutelingssleutel gewijzigd, maar blijven de gegevens in uw Azure Storage-account altijd versleuteld. Er zijn geen aanvullende acties van uw kant vereist om ervoor te zorgen dat uw gegevens worden beschermd. Het wijzigen van de sleutel of het roteren van de sleutelversie heeft geen invloed op de prestaties. Er is geen downtime verbonden aan het wijzigen van de sleutel of het roteren van de sleutelversie.

Voer de volgende stappen uit om de sleutel te wijzigen met Azure Portal:

Navigeer naar uw opslagaccount en geef de versleutelingsinstellingen weer.
Selecteer de sleutelkluis en kies een nieuwe sleutel.
Sla uw wijzigingen op.

Als de nieuwe sleutel zich in een andere sleutelkluis bevindt, moet u de beheerde identiteit toegang verlenen tot de sleutel in de nieuwe kluis. Als u kiest voor het handmatig bijwerken van de sleutelversie, moet u ook de sleutelkluis-URI bijwerken.

Toegang intrekken tot een opslagaccount dat gebruikmaakt van door de klant beheerde sleutels

Als u de toegang tot een opslagaccount dat gebruikmaakt van door de klant beheerde sleutels tijdelijk wilt intrekken, schakelt u de sleutel uit die momenteel wordt gebruikt in de sleutelkluis. Er is geen invloed op de prestaties of downtime die is gekoppeld aan het uitschakelen en opnieuw inschakelen van de sleutel.

Nadat de sleutel is uitgeschakeld, kunnen clients geen bewerkingen aanroepen die lezen van of schrijven naar een blob of de metagegevens ervan. Zie Toegang intrekken tot een opslagaccount dat gebruikmaakt van door de klant beheerde sleutels voor informatie over welke bewerkingen mislukken.

Let op

Wanneer u de sleutel in de sleutelkluis uitschakelt, blijven de gegevens in uw Azure Storage-account versleuteld, maar worden deze niet meer toegankelijk totdat u de sleutel opnieuw kunt activeren.

Voer de volgende stappen uit om een door de klant beheerde sleutel uit te schakelen met Azure Portal:

Navigeer naar de sleutelkluis die de sleutel bevat.
Selecteer Onder Objecten de optie Sleutels.
Klik met de rechtermuisknop op de toets en selecteer Uitschakelen.

Als u een door de klant beheerde sleutel wilt intrekken met PowerShell, roept u de opdracht Update-AzKeyVaultKey aan, zoals wordt weergegeven in het volgende voorbeeld. Vergeet niet om de tijdelijke aanduidingen tussen haakjes te vervangen door uw eigen waarden om de variabelen te definiëren of gebruik de variabelen die in de vorige voorbeelden zijn gedefinieerd.

$kvName  = "<key-vault-name>"
$keyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it

# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $keyName -VaultName $kvName

# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $kvName -Name $keyName -Enable $enabled

Als u een door de klant beheerde sleutel wilt intrekken met Azure CLI, roept u de opdracht az keyvault key set-attributes aan, zoals wordt weergegeven in het volgende voorbeeld. Vergeet niet om de tijdelijke aanduidingen tussen haakjes te vervangen door uw eigen waarden om de variabelen te definiëren of gebruik de variabelen die in de vorige voorbeelden zijn gedefinieerd.

kvName="<key-vault-name>"
keyName="<key-name>"
enabled="false"
# "false" to disable the key / "true" to enable it:

# Check the current state of the key (before and after enabling/disabling it)
az keyvault key show \
    --vault-name $kvName \
    --name $keyName

# Disable (or enable) the key
az keyvault key set-attributes \
    --vault-name $kvName \
    --name $keyName \
    --enabled $enabled

Als u de sleutel uitschakelt, mislukken pogingen om toegang te krijgen tot gegevens in het opslagaccount met foutcode 403 (verboden). Zie Toegang intrekken tot een opslagaccount dat gebruikmaakt van door de klant beheerde sleutels voor een lijst met opslagaccountbewerkingen die worden beïnvloed door het uitschakelen van de sleutel.

Overschakelen naar door Microsoft beheerde sleutels

U kunt op elk gewenst moment overschakelen van door de klant beheerde sleutels naar door Microsoft beheerde sleutels met behulp van Azure Portal, PowerShell of De Azure CLI.

Als u wilt overschakelen van door de klant beheerde sleutels naar door Microsoft beheerde sleutels in Azure Portal, voert u de volgende stappen uit:

Navigeer naar uw opslagaccount.
Selecteer Versleuteling onder Beveiliging en netwerken.
Wijzig het versleutelingstype in door Microsoft beheerde sleutels.

Als u wilt overschakelen van door de klant beheerde sleutels naar door Microsoft beheerde sleutels met PowerShell, roept u Set-AzStorageAccount aan met de -StorageEncryption optie, zoals wordt weergegeven in het volgende voorbeeld. Vergeet niet om de tijdelijke aanduidingen tussen haakjes te vervangen door uw eigen waarden en om de variabelen te gebruiken die in de vorige voorbeelden zijn gedefinieerd.

Set-AzStorageAccount -ResourceGroupName $storageAccount.ResourceGroupName `
    -AccountName $storageAccount.StorageAccountName `
    -StorageEncryption

Als u wilt overschakelen van door de klant beheerde sleutels naar door Microsoft beheerde sleutels met Azure CLI, roept u az storage account update aan en stelt u het --encryption-key-source parameter Microsoft.Storagein op , zoals wordt weergegeven in het volgende voorbeeld. Vergeet niet om de tijdelijke aanduidingen tussen haakjes te vervangen door uw eigen waarden en om de variabelen te gebruiken die in de vorige voorbeelden zijn gedefinieerd.

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-source Microsoft.Storage

Share via