Een account maken dat ondersteuning biedt voor door de klant beheerde sleutels voor tabellen en wachtrijen

Azure Storage versleutelt alle gegevens in een opslagaccount at rest. Queue Storage en Table Storage gebruiken standaard een sleutel die is afgestemd op de service en die wordt beheerd door Microsoft. U kunt er ook voor kiezen om door de klant beheerde sleutels te gebruiken om wachtrij- of tabelgegevens te versleutelen. Als u door de klant beheerde sleutels wilt gebruiken met wachtrijen en tabellen, moet u eerst een opslagaccount maken dat gebruikmaakt van een versleutelingssleutel die is afgestemd op het account in plaats van op de service. Nadat u een account hebt gemaakt dat gebruikmaakt van de accountversleutelingssleutel voor wachtrij- en tabelgegevens, kunt u door de klant beheerde sleutels configureren voor dat opslagaccount.

In dit artikel wordt beschreven hoe u een opslagaccount maakt dat afhankelijk is van een sleutel die is afgestemd op het account. Wanneer het account voor het eerst wordt gemaakt, gebruikt Microsoft de accountsleutel om de gegevens in het account te versleutelen en beheert Microsoft de sleutel. U kunt vervolgens door de klant beheerde sleutels voor het account configureren om te profiteren van deze voordelen, waaronder de mogelijkheid om uw eigen sleutels op te geven, de sleutelversie bij te werken, de sleutels te roteren en toegangsbeheer in te trekken.

Een account maken dat gebruikmaakt van de accountversleutelingssleutel

U moet een nieuw opslagaccount configureren voor het gebruik van de accountversleutelingssleutel voor wachtrijen en tabellen op het moment dat u het opslagaccount maakt. Het bereik van de versleutelingssleutel kan niet worden gewijzigd nadat het account is gemaakt.

Het opslagaccount moet van het type algemeen gebruik v2 zijn. U kunt het opslagaccount maken en configureren om te vertrouwen op de versleutelingssleutel van het account met behulp van de Azure Portal, PowerShell, Azure CLI of een Azure Resource Manager-sjabloon.

Zie Een opslagaccount maken voor meer informatie over het maken van een opslagaccount.

Notitie

Alleen wachtrij- en tabelopslag kunnen optioneel worden geconfigureerd voor het versleutelen van gegevens met de versleutelingssleutel van het account wanneer het opslagaccount wordt gemaakt. Blob Storage en Azure Files altijd de accountversleutelingssleutel gebruiken om gegevens te versleutelen.

Azure-portal

Voer de volgende stappen uit om een opslagaccount te maken dat afhankelijk is van de versleutelingssleutel van het account met de Azure Portal:

1. Selecteer opslagaccounts in het menu aan de linkerkant van de portal om een lijst met uw opslagaccounts weer te geven.

2. Selecteer op de pagina Opslagaccountsde optie Nieuw.

3. Vul de velden in op het tabblad Basisinformatie .

4. Zoek op het tabblad Geavanceerd de sectie Tabellen en wachtrijen en selecteer Ondersteuning inschakelen voor door de klant beheerde sleutels.

   

PowerShell

Als u PowerShell wilt gebruiken om een opslagaccount te maken dat afhankelijk is van de versleutelingssleutel van het account, moet u de module Azure PowerShell versie 3.4.0 of hoger hebben geïnstalleerd. Zie De Azure PowerShell-module installeren voor meer informatie.

Maak vervolgens een v2-opslagaccount voor algemeen gebruik door de opdracht New-AzStorageAccount aan te roepen, met de juiste parameters:

• Neem de optie op en stel de -EncryptionKeyTypeForQueue waarde ervan in op Account om de accountversleutelingssleutel te gebruiken voor het versleutelen van gegevens in Queue Storage.
• Neem de optie op en stel de -EncryptionKeyTypeForTable waarde in op Account om de accountversleutelingssleutel te gebruiken voor het versleutelen van gegevens in Table Storage.

In het volgende voorbeeld ziet u hoe u een v2-opslagaccount voor algemeen gebruik maakt dat is geconfigureerd voor geografisch redundante opslag met leestoegang (RA-GRS) en dat gebruikmaakt van de versleutelingssleutel van het account voor het versleutelen van gegevens voor zowel wachtrij- als tabelopslag. Vergeet niet om de tijdelijke aanduidingen tussen haakjes te vervangen door uw eigen waarden:

New-AzStorageAccount -ResourceGroupName <resource_group> `
    -AccountName <storage-account> `
    -Location <location> `
    -SkuName "Standard_RAGRS" `
    -Kind StorageV2 `
    -EncryptionKeyTypeForTable Account `
    -EncryptionKeyTypeForQueue Account

Azure-CLI

Als u Azure CLI wilt gebruiken om een opslagaccount te maken dat afhankelijk is van de accountversleutelingssleutel, moet u Azure CLI versie 2.0.80 of hoger hebben geïnstalleerd. Zie De Azure CLI installeren voor meer informatie.

Maak vervolgens een v2-opslagaccount voor algemeen gebruik door de opdracht az storage account create aan te roepen, met de juiste parameters:

• Neem de optie op en stel de --encryption-key-type-for-queue waarde ervan in op Account om de accountversleutelingssleutel te gebruiken voor het versleutelen van gegevens in Queue Storage.
• Neem de optie op en stel de --encryption-key-type-for-table waarde in op Account om de accountversleutelingssleutel te gebruiken voor het versleutelen van gegevens in Table Storage.

In het volgende voorbeeld ziet u hoe u een v2-opslagaccount voor algemeen gebruik maakt dat is geconfigureerd voor geografisch redundante opslag met leestoegang (RA-GRS) en dat gebruikmaakt van de versleutelingssleutel van het account voor het versleutelen van gegevens voor zowel wachtrij- als tabelopslag. Vergeet niet om de tijdelijke aanduidingen tussen haakjes te vervangen door uw eigen waarden:

az storage account create \
    --name <storage-account> \
    --resource-group <resource-group> \
    --location <location> \
    --sku Standard_RAGRS \
    --kind StorageV2 \
    --encryption-key-type-for-table Account \
    --encryption-key-type-for-queue Account

Sjabloon

In het volgende JSON-voorbeeld wordt een v2-opslagaccount voor algemeen gebruik gemaakt dat is geconfigureerd voor geografisch redundante opslag met leestoegang (RA-GRS) en dat gebruikmaakt van de versleutelingssleutel van het account voor het versleutelen van gegevens voor zowel wachtrij- als tabelopslag. Vergeet niet om de waarden van de tijdelijke aanduidingen tussen punthaken te vervangen door uw eigen waarden:

"resources": [
    {
        "type": "Microsoft.Storage/storageAccounts",
        "apiVersion": "2019-06-01",
        "name": "[parameters('<storage-account>')]",
        "location": "[parameters('<location>')]",
        "dependsOn": [],
        "tags": {},
        "sku": {
            "name": "[parameters('Standard_RAGRS')]"
        },
        "kind": "[parameters('StorageV2')]",
        "properties": {
            "accessTier": "[parameters('<accessTier>')]",
            "supportsHttpsTrafficOnly": "[parameters('supportsHttpsTrafficOnly')]",
            "largeFileSharesState": "[parameters('<largeFileSharesState>')]",
            "encryption": {
                "services": {
                    "queue": {
                        "keyType": "Account"
                    },
                    "table": {
                        "keyType": "Account"
                    }
                },
                "keySource": "Microsoft.Storage"
            }
        }
    }
],

Nadat u een account hebt gemaakt dat afhankelijk is van de accountversleutelingssleutel, kunt u door de klant beheerde sleutels configureren die zijn opgeslagen in Azure Key Vault of in Key Vault Managed Hardware Security Model (HSM). Zie Versleuteling configureren met door de klant beheerde sleutels die zijn opgeslagen in Azure Key Vault voor meer informatie over het opslaan van door de klant beheerde sleutels in een sleutelkluis. Zie Versleuteling configureren met door de klant beheerde sleutels die zijn opgeslagen in Azure Key Vault beheerde HSM voor meer informatie over het opslaan van door de klant beheerde sleutels in een beheerde HSM.

De accountversleutelingssleutel controleren

Nadat u het account hebt gemaakt, kunt u controleren of het opslagaccount een versleutelingssleutel gebruikt die is afgestemd op het account met behulp van de Azure Portal, PowerShell of Azure CLI.

Azure-portal

Voer de volgende stappen uit om te controleren of een service in een opslagaccount gebruikmaakt van een versleutelingssleutel die is afgestemd op het account met de Azure Portal:

1. Navigeer naar het nieuwe opslagaccount in Azure Portal.

2. Selecteer versleuteling in de sectie Beveiliging en netwerken.

3. Als het opslagaccount is gemaakt om te vertrouwen op de versleutelingssleutel van het account, ziet u op het tabblad Versleuteling dat door de klant beheerde sleutels kunnen worden ingeschakeld voor alle vier Azure Storage-services: blobs, bestanden, tabellen en wachtrijen.

   

PowerShell

Als u wilt controleren of een service in een opslagaccount gebruikmaakt van de versleutelingssleutel voor het account met PowerShell, roept u de opdracht Get-AzStorageAccount aan . Met deze opdracht wordt een set eigenschappen van het opslagaccount en de bijbehorende waarden geretourneerd. Zoek het KeyType veld voor elke service in de Encryption eigenschap en controleer of deze is ingesteld op Account.

$account = Get-AzStorageAccount -ResourceGroupName <resource-group> `
    -StorageAccountName <storage-account>
$account.Encryption.Services.Queue
$account.Encryption.Services.Table

Azure-CLI

Als u wilt controleren of een service in een opslagaccount gebruikmaakt van de versleutelingssleutel voor het account met Azure CLI, roept u de opdracht az storage account show aan . Met deze opdracht wordt een set eigenschappen van het opslagaccount en de bijbehorende waarden geretourneerd. Zoek het keyType veld voor elke service in de versleutelingseigenschap en controleer of deze is ingesteld op Account.

az storage account show \
    --name <storage-account> \
    --resource-group <resource-group>

Sjabloon

N.v.t.

Nadat u hebt gecontroleerd of het opslagaccount gebruikmaakt van een versleutelingssleutel die is afgestemd op het account, kunt u door de klant beheerde sleutels inschakelen voor het account. Alle vier Azure Storage-services( blobs, bestanden, tabellen en wachtrijen) gebruiken vervolgens de door de klant beheerde sleutel voor versleuteling.

Prijzen en facturering

Een opslagaccount dat is gemaakt voor het gebruik van een versleutelingssleutel die is afgestemd op het account, wordt gefactureerd voor table-opslagcapaciteit en transacties tegen een andere snelheid dan een account dat gebruikmaakt van de standaardsleutel voor servicebereik. Zie Prijzen voor Azure Table Storage voor meer informatie.

Volgende stappen

• Azure Storage-versleuteling voor inactieve gegevens
• Door de klant beheerde sleutels voor Azure Storage-versleuteling
• Versleuteling configureren met door de klant beheerde sleutels die zijn opgeslagen in Azure Key Vault
• Versleuteling configureren met door de klant beheerde sleutels die zijn opgeslagen in Azure Key Vault Managed HSM