Delen via


Versleutelingsbereiken maken en beheren

Met een versleutelingsbereik kunt u versleuteling op het niveau van een afzonderlijke blob of container beheren. U kunt versleutelingsbereiken gebruiken om veilige grenzen te maken tussen gegevens die zich in hetzelfde opslagaccount bevinden, maar tot verschillende klanten behoren. Zie Versleutelingsbereiken voor Blob Storage voor meer informatie over versleutelingsbereiken.

In dit artikel wordt beschreven hoe u een versleutelingsbereik maakt. U ziet ook hoe u een versleutelingsbereik opgeeft wanneer u een blob of container maakt.

Een versleutelingsbereik maken

U kunt een versleutelingsbereik maken dat is beveiligd met een door Microsoft beheerde sleutel of met een door de klant beheerde sleutel die is opgeslagen in een Azure Key Vault of in een door de klant beheerde Azure Key Vault-HSM (Managed Hardware Security Model). Als u een versleutelingsbereik wilt maken met een door de klant beheerde sleutel, moet u eerst een sleutelkluis of beheerde HSM maken en de sleutel toevoegen die u voor het bereik wilt gebruiken. Voor de sleutelkluis of beheerde HSM moet beveiliging tegen opschonen zijn ingeschakeld.

Het opslagaccount en de sleutelkluis kunnen zich in dezelfde tenant of in verschillende tenants bevinden. In beide gevallen kunnen het opslagaccount en de sleutelkluis zich in verschillende regio's bevinden.

Een versleutelingsbereik wordt automatisch ingeschakeld wanneer u het maakt. Nadat u het versleutelingsbereik hebt gemaakt, kunt u dit opgeven wanneer u een blob maakt. U kunt ook een standaardversleutelingsbereik opgeven wanneer u een container maakt, die automatisch van toepassing is op alle blobs in de container.

Wanneer u een versleutelingsbereik configureert, wordt u minimaal één maand (30 dagen) gefactureerd. Na de eerste maand worden de kosten voor een versleutelingsbereik naar rato per uur berekend. Zie Facturering voor versleutelingsbereiken voor meer informatie.

Voer de volgende stappen uit om een versleutelingsbereik te maken in Azure Portal:

  1. Ga in Azure Portal naar uw opslagaccount.

  2. Selecteer Versleuteling onder Beveiliging en netwerken.

  3. Selecteer het tabblad Versleutelingsbereiken .

  4. Klik op de knop Toevoegen om een nieuw versleutelingsbereik toe te voegen.

  5. Voer in het deelvenster Versleutelingsbereik maken een naam in voor het nieuwe bereik.

  6. Selecteer het gewenste type ondersteuning voor versleutelingssleutels, ofwel door Microsoft beheerde sleutels of door de klant beheerde sleutels.

    • Als u door Microsoft beheerde sleutels hebt geselecteerd, klikt u op Maken om het versleutelingsbereik te maken.
    • Als u door de klant beheerde sleutels hebt geselecteerd, selecteert u een abonnement en geeft u een sleutelkluis en een sleutel op die u voor dit versleutelingsbereik wilt gebruiken. Als de gewenste sleutelkluis zich in een andere regio bevindt, selecteert u De sleutel-URI invoeren en geeft u de sleutel-URI op.
  7. Als infrastructuurversleuteling is ingeschakeld voor het opslagaccount, wordt deze automatisch ingeschakeld voor het nieuwe versleutelingsbereik. Anders kunt u kiezen of u infrastructuurversleuteling wilt inschakelen voor het versleutelingsbereik.

    Screenshot showing how to create encryption scope in Azure portal

Versleutelingsbereiken voor opslagaccount vermelden

Als u de versleutelingsbereiken voor een opslagaccount in Azure Portal wilt weergeven, gaat u naar de instelling Versleutelingsbereiken voor het opslagaccount. In dit deelvenster kunt u een versleutelingsbereik in- of uitschakelen of de sleutel voor een versleutelingsbereik wijzigen.

Screenshot showing list of encryption scopes in Azure portal

Als u details wilt weergeven voor een door de klant beheerde sleutel, inclusief de sleutel-URI en versie en of de sleutelversie automatisch wordt bijgewerkt, volgt u de koppeling in de kolom Sleutel .

Screenshot showing details for a key used with an encryption scope

Een container maken met een standaardversleutelingsbereik

Wanneer u een container maakt, kunt u een standaardversleutelingsbereik opgeven. Blobs in die container gebruiken dat bereik standaard.

Een afzonderlijke blob kan worden gemaakt met een eigen versleutelingsbereik, tenzij de container zodanig is geconfigureerd dat alle blobs het standaardbereik gebruiken. Zie Versleutelingsbereiken voor containers en blobs voor meer informatie.

Als u een container wilt maken met een standaardversleutelingsbereik in Azure Portal, maakt u eerst het versleutelingsbereik, zoals beschreven in Een versleutelingsbereik maken. Volg vervolgens deze stappen om de container te maken:

  1. Navigeer naar de lijst met containers in uw opslagaccount en selecteer de knop Toevoegen om een container te maken.

  2. Vouw de geavanceerde instellingen in het deelvenster Nieuwe container uit.

  3. Selecteer in de vervolgkeuzelijst Versleutelingsbereik het standaardversleutelingsbereik voor de container.

  4. Als u wilt vereisen dat alle blobs in de container gebruikmaken van het standaardversleutelingsbereik, schakelt u het selectievakje in om dit versleutelingsbereik te gebruiken voor alle blobs in de container. Als dit selectievakje is ingeschakeld, kan een afzonderlijke blob in de container het standaardversleutelingsbereik niet overschrijven.

    Screenshot showing container with default encryption scope

Als een client probeert een bereik op te geven bij het uploaden van een blob naar een container met een standaardversleutelingsbereik en de container is geconfigureerd om te voorkomen dat blobs het standaardbereik overschrijven, mislukt de bewerking met een bericht dat aangeeft dat de aanvraag niet is toegestaan door het containerversleutelingsbeleid.

Een blob uploaden met een versleutelingsbereik

Wanneer u een blob uploadt, kunt u een versleutelingsbereik voor die blob opgeven of het standaardversleutelingsbereik voor de container gebruiken als deze is opgegeven.

Notitie

Wanneer u een nieuwe blob uploadt met een versleutelingsbereik, kunt u de standaardtoegangslaag voor die blob niet wijzigen. U kunt ook de toegangslaag voor een bestaande blob die gebruikmaakt van een versleutelingsbereik niet wijzigen. Zie dynamische, statische en archieftoegangslagen voor blobgegevens voor meer informatie over toegangslagen.

Als u een blob wilt uploaden met een versleutelingsbereik via Azure Portal, maakt u eerst het versleutelingsbereik zoals beschreven in Een versleutelingsbereik maken. Volg vervolgens deze stappen om de blob te maken:

  1. Navigeer naar de container waarnaar u de blob wilt uploaden.

  2. Selecteer de knop Uploaden en zoek de blob die u wilt uploaden.

  3. Vouw de geavanceerde instellingen in het deelvenster Blob uploaden uit.

  4. Zoek de vervolgkeuzelijst Versleutelingsbereik . De blob wordt standaard gemaakt met het standaardversleutelingsbereik voor de container, als er een is opgegeven. Als voor de container is vereist dat blobs het standaardversleutelingsbereik gebruiken, is deze sectie uitgeschakeld.

  5. Als u een ander bereik wilt opgeven voor de blob die u uploadt, selecteert u Een bestaand bereik kiezen en selecteert u vervolgens het gewenste bereik in de vervolgkeuzelijst.

    Screenshot showing how to upload a blob with an encryption scope

De versleutelingssleutel voor een bereik wijzigen

Als u de sleutel die een versleutelingsbereik beveiligt van een door Microsoft beheerde sleutel wilt wijzigen in een door de klant beheerde sleutel, moet u eerst controleren of u door de klant beheerde sleutels hebt ingeschakeld met Azure Key Vault of Key Vault HSM voor het opslagaccount. Zie Versleuteling configureren met door de klant beheerde sleutels die zijn opgeslagen in Azure Key Vault of Versleuteling configureren met door de klant beheerde sleutels die zijn opgeslagen in Azure Key Vault.

Voer de volgende stappen uit om de sleutel te wijzigen die een bereik beveiligt in Azure Portal:

  1. Navigeer naar het tabblad Versleutelingsbereiken om de lijst met versleutelingsbereiken voor het opslagaccount weer te geven.
  2. Selecteer de knop Meer naast het bereik dat u wilt wijzigen.
  3. In het deelvenster Versleutelingsbereik bewerken kunt u het versleutelingstype wijzigen van door Microsoft beheerde sleutel in door de klant beheerde sleutel of omgekeerd.
  4. Als u een nieuwe door de klant beheerde sleutel wilt selecteren, selecteert u Een nieuwe sleutel gebruiken en geeft u de sleutelkluis, sleutel en sleutelversie op.

Een versleutelingsbereik uitschakelen

Schakel versleutelingsbereiken uit die niet nodig zijn om onnodige kosten te voorkomen. Zie Facturering voor versleutelingsbereiken voor meer informatie.

Als u een versleutelingsbereik wilt uitschakelen in Azure Portal, gaat u naar de instelling Versleutelingsbereiken voor het opslagaccount, selecteert u het gewenste versleutelingsbereik en selecteert u Uitschakelen.

Volgende stappen