Delen via


Door de klant beheerde sleutels configureren in dezelfde tenant voor een nieuw opslagaccount

Azure Storage versleutelt alle gegevens in een opslagaccount-at-rest. Standaard worden gegevens versleuteld met door Microsoft beheerde sleutels. Voor extra controle over versleutelingssleutels kunt u uw eigen sleutels beheren. Door de klant beheerde sleutels moeten worden opgeslagen in een Azure Key Vault of in een azure Key Vault Managed Hardware Security Model (HSM).

In dit artikel wordt beschreven hoe u versleuteling configureert met door de klant beheerde sleutels op het moment dat u een nieuw opslagaccount maakt. De door de klant beheerde sleutels worden opgeslagen in een sleutelkluis.

Zie Door de klant beheerde sleutels voor een bestaand opslagaccount configureren in een Azure-sleutelkluis voor een bestaand opslagaccount voor meer informatie over het configureren van door de klant beheerde sleutels.

Notitie

Azure Key Vault en Azure Key Vault Managed HSM ondersteunen dezelfde API's en beheerinterfaces voor de configuratie van door de klant beheerde sleutels. Elke actie die wordt ondersteund voor Azure Key Vault, wordt ook ondersteund voor beheerde HSM van Azure Key Vault.

De sleutelkluis configureren

U kunt een nieuwe of bestaande sleutelkluis gebruiken om door de klant beheerde sleutels op te slaan. Het opslagaccount en de sleutelkluis bevinden zich mogelijk in verschillende regio's of abonnementen in dezelfde tenant. Zie Overzicht van Azure Key Vault en wat is Azure Key Vault? voor meer informatie over Azure Key Vault.

Voor het gebruik van door de klant beheerde sleutels met Azure Storage-versleuteling moet zowel voorlopig verwijderen als beveiliging tegen opschonen zijn ingeschakeld voor de sleutelkluis. Voorlopig verwijderen is standaard ingeschakeld wanneer u een nieuwe sleutelkluis maakt en niet kan worden uitgeschakeld. U kunt beveiliging tegen opschonen inschakelen wanneer u de sleutelkluis maakt of nadat deze is gemaakt.

Azure Key Vault ondersteunt autorisatie met Azure RBAC via een Azure RBAC-machtigingsmodel. Microsoft raadt aan het Azure RBAC-machtigingsmodel te gebruiken via toegangsbeleid voor key vault. Zie Machtigingen verlenen aan toepassingen voor toegang tot een Azure-sleutelkluis met behulp van Azure RBAC voor meer informatie.

Zie de quickstart: Een sleutelkluis maken met behulp van Azure Portal voor meer informatie over het maken van een sleutelkluis met behulp van Azure Portal. Wanneer u de sleutelkluis maakt, selecteert u Opschoningsbeveiliging inschakelen, zoals wordt weergegeven in de volgende afbeelding.

Schermopname van het inschakelen van beveiliging tegen opschonen bij het maken van een sleutelkluis.

Voer de volgende stappen uit om beveiliging tegen opschonen in te schakelen voor een bestaande sleutelkluis:

  1. Navigeer naar uw sleutelkluis in Azure Portal.
  2. Kies Eigenschappen onder Instellingen.
  3. Kies Beveiliging tegen opschonen inschakelen in de sectie Beveiliging tegen opschonen.

Een sleutel toevoegen

Voeg vervolgens een sleutel toe aan de sleutelkluis. Voordat u de sleutel toevoegt, moet u ervoor zorgen dat u de rol Key Vault Crypto Officer aan uzelf hebt toegewezen.

Azure Storage-versleuteling ondersteunt RSA- en RSA-HSM-sleutels van grootte 2048, 3072 en 4096. Zie Over sleutels voor meer informatie over ondersteunde sleuteltypen.

Zie quickstart: Een sleutel instellen en ophalen uit Azure Key Vault met behulp van Azure Portal voor meer informatie over het toevoegen van een sleutel met azure Portal.

Een door de gebruiker toegewezen beheerde identiteit gebruiken om toegang tot de sleutelkluis te autoriseren

Wanneer u door de klant beheerde sleutels inschakelt voor een nieuw opslagaccount, moet u een door de gebruiker toegewezen beheerde identiteit opgeven. Een bestaand opslagaccount ondersteunt het gebruik van een door de gebruiker toegewezen beheerde identiteit of een door het systeem toegewezen beheerde identiteit om door de klant beheerde sleutels te configureren.

Wanneer u door de klant beheerde sleutels configureert met een door de gebruiker toegewezen beheerde identiteit, wordt de door de gebruiker toegewezen beheerde identiteit gebruikt om toegang te verlenen tot de sleutelkluis die de sleutel bevat. U moet de door de gebruiker toegewezen identiteit maken voordat u door de klant beheerde sleutels configureert.

Een door de gebruiker toegewezen beheerde identiteit is een zelfstandige Azure-resource. Zie Beheerde identiteitstypen voor meer informatie over door de gebruiker toegewezen beheerde identiteiten. Zie Door de gebruiker toegewezen beheerde identiteiten beheren voor meer informatie over het maken en beheren van een door de gebruiker toegewezen beheerde identiteiten.

De door de gebruiker toegewezen beheerde identiteit moet machtigingen hebben voor toegang tot de sleutel in de sleutelkluis. Wijs de rol Key Vault Crypto Service Encryption User toe aan de door de gebruiker toegewezen beheerde identiteit met sleutelkluisbereik om deze machtigingen te verlenen.

Voordat u door de klant beheerde sleutels kunt configureren met een door de gebruiker toegewezen beheerde identiteit, moet u de rol Crypto Service-versleutelingsgebruiker van Key Vault toewijzen aan de door de gebruiker toegewezen beheerde identiteit, met het bereik van de sleutelkluis. Deze rol verleent de door de gebruiker toegewezen beheerde identiteit machtigingen voor toegang tot de sleutel in de sleutelkluis. Zie Azure-rollen toewijzen met behulp van Azure Portal voor meer informatie over het toewijzen van Azure RBAC-rollen met azure Portal.

Wanneer u door de klant beheerde sleutels configureert met Azure Portal, kunt u een bestaande door de gebruiker toegewezen identiteit selecteren via de gebruikersinterface van de portal.

Door de klant beheerde sleutels configureren voor een nieuw opslagaccount

Wanneer u versleuteling configureert met door de klant beheerde sleutels voor een nieuw opslagaccount, kunt u ervoor kiezen om automatisch de sleutelversie bij te werken die wordt gebruikt voor Azure Storage-versleuteling wanneer er een nieuwe versie beschikbaar is in de bijbehorende sleutelkluis. U kunt ook expliciet een sleutelversie opgeven die moet worden gebruikt voor versleuteling totdat de sleutelversie handmatig wordt bijgewerkt.

U moet een bestaande door de gebruiker toegewezen beheerde identiteit gebruiken om toegang tot de sleutelkluis te autoriseren wanneer u door de klant beheerde sleutels configureert tijdens het maken van het opslagaccount. De door de gebruiker toegewezen beheerde identiteit moet over de juiste machtigingen beschikken om toegang te krijgen tot de sleutelkluis. Zie Verifiëren bij Azure Key Vault voor meer informatie.

Versleuteling configureren voor het automatisch bijwerken van sleutelversies

Azure Storage kan automatisch de door de klant beheerde sleutel bijwerken die wordt gebruikt voor versleuteling om de meest recente sleutelversie uit de sleutelkluis te gebruiken. Azure Storage controleert de sleutelkluis dagelijks op een nieuwe versie van de sleutel. Wanneer er een nieuwe versie beschikbaar komt, begint Azure Storage automatisch met het gebruik van de nieuwste versie van de sleutel voor versleuteling.

Belangrijk

Azure Storage controleert de sleutelkluis slechts eenmaal per dag op een nieuwe sleutelversie. Wanneer u een sleutel draait, wacht u 24 uur voordat u de oudere versie uitschakelt.

Volg deze stappen om door de klant beheerde sleutels te configureren voor een nieuw opslagaccount met automatisch bijwerken van de sleutelversie:

  1. Ga in Azure Portal naar de pagina Opslagaccounts en selecteer de knop Maken om een nieuw account te maken.

  2. Volg de stappen die worden beschreven in Een opslagaccount maken om de velden in te vullen op de tabbladen Basisbeginselen, Geavanceerd, Netwerken en Gegevensbescherming .

  3. Geef op het tabblad Versleuteling aan voor welke services u ondersteuning wilt inschakelen voor door de klant beheerde sleutels in het veld Ondersteuning voor door de klant beheerde sleutels inschakelen.

  4. Selecteer in het veld Versleutelingstype de optie Door de klant beheerde sleutels (CMK).

  5. Kies in het veld Versleutelingssleutel een sleutelkluis en sleutel selecteren en geef de sleutelkluis en sleutel op.

  6. Selecteer een bestaande door de gebruiker toegewezen beheerde identiteit voor het veld Door de gebruiker toegewezen identiteit .

    Schermopname van het configureren van door de klant beheerde sleutels voor een nieuw opslagaccount in Azure Portal.

  7. Selecteer de knop Controleren om het account te valideren en te maken.

U kunt ook door de klant beheerde sleutels configureren met handmatig bijwerken van de sleutelversie wanneer u een nieuw opslagaccount maakt. Volg de stappen die worden beschreven in Versleuteling configureren voor het handmatig bijwerken van sleutelversies.

Versleuteling configureren voor handmatig bijwerken van sleutelversies

Als u de sleutelversie liever handmatig bijwerkt, geeft u expliciet de versie op wanneer u versleuteling configureert met door de klant beheerde sleutels tijdens het maken van het opslagaccount. In dit geval werkt Azure Storage de sleutelversie niet automatisch bij wanneer er een nieuwe versie wordt gemaakt in de sleutelkluis. Als u een nieuwe sleutelversie wilt gebruiken, moet u de versie die wordt gebruikt voor Azure Storage-versleuteling handmatig bijwerken.

U moet een bestaande door de gebruiker toegewezen beheerde identiteit gebruiken om toegang tot de sleutelkluis te autoriseren wanneer u door de klant beheerde sleutels configureert tijdens het maken van het opslagaccount. De door de gebruiker toegewezen beheerde identiteit moet over de juiste machtigingen beschikken om toegang te krijgen tot de sleutelkluis. Zie Verifiëren bij Azure Key Vault voor meer informatie.

Als u door de klant beheerde sleutels wilt configureren met handmatig bijwerken van de sleutelversie in Azure Portal, geeft u de sleutel-URI op, inclusief de versie, tijdens het maken van het opslagaccount. Voer de volgende stappen uit om een sleutel op te geven als een URI:

  1. Ga in Azure Portal naar de pagina Opslagaccounts en selecteer de knop Maken om een nieuw account te maken.

  2. Volg de stappen die worden beschreven in Een opslagaccount maken om de velden in te vullen op de tabbladen Basisbeginselen, Geavanceerd, Netwerken en Gegevensbescherming .

  3. Geef op het tabblad Versleuteling aan voor welke services u ondersteuning wilt inschakelen voor door de klant beheerde sleutels in het veld Ondersteuning voor door de klant beheerde sleutels inschakelen.

  4. Selecteer in het veld Versleutelingstype de optie Door de klant beheerde sleutels (CMK).

  5. Als u de sleutel-URI in Azure Portal wilt vinden, gaat u naar uw sleutelkluis en selecteert u de instelling Sleutels . Selecteer de gewenste sleutel en selecteer vervolgens de sleutel om de versies ervan weer te geven. Selecteer een sleutelversie om de instellingen voor die versie weer te geven.

  6. Kopieer de waarde van het veld Sleutel-id , die de URI levert.

    Schermopname van sleutel-URI van key vault in Azure Portal.

  7. Kies in de instellingen voor de versleutelingssleutel voor uw opslagaccount de optie Sleutel-URI invoeren.

  8. Plak de URI die u in het veld Sleutel-URI hebt gekopieerd. Neem de sleutelversie op de URI op om handmatig bijwerken van de sleutelversie te configureren.

  9. Geef een door de gebruiker toegewezen beheerde identiteit op door de koppeling Een identiteit selecteren te kiezen.

    Schermopname van het invoeren van de sleutel-URI in Azure Portal.

  10. Selecteer de knop Controleren om het account te valideren en te maken.

De sleutel wijzigen

U kunt de sleutel die u gebruikt voor Azure Storage-versleuteling op elk gewenst moment wijzigen.

Notitie

Wanneer u de sleutel of sleutelversie wijzigt, wordt de beveiliging van de hoofdversleutelingssleutel gewijzigd, maar blijven de gegevens in uw Azure Storage-account altijd versleuteld. Er zijn geen aanvullende acties van uw kant vereist om ervoor te zorgen dat uw gegevens worden beschermd. Het wijzigen van de sleutel of het roteren van de sleutelversie heeft geen invloed op de prestaties. Er is geen downtime verbonden aan het wijzigen van de sleutel of het roteren van de sleutelversie.

Voer de volgende stappen uit om de sleutel te wijzigen met Azure Portal:

  1. Navigeer naar uw opslagaccount en geef de versleutelingsinstellingen weer.
  2. Selecteer de sleutelkluis en kies een nieuwe sleutel.
  3. Sla uw wijzigingen op.

Als de nieuwe sleutel zich in een andere sleutelkluis bevindt, moet u de beheerde identiteit toegang verlenen tot de sleutel in de nieuwe kluis. Als u kiest voor het handmatig bijwerken van de sleutelversie, moet u ook de sleutelkluis-URI bijwerken.

Toegang intrekken tot een opslagaccount dat gebruikmaakt van door de klant beheerde sleutels

Als u de toegang tot een opslagaccount dat gebruikmaakt van door de klant beheerde sleutels tijdelijk wilt intrekken, schakelt u de sleutel uit die momenteel wordt gebruikt in de sleutelkluis. Er is geen invloed op de prestaties of downtime die is gekoppeld aan het uitschakelen en opnieuw inschakelen van de sleutel.

Nadat de sleutel is uitgeschakeld, kunnen clients geen bewerkingen aanroepen die lezen van of schrijven naar een blob of de metagegevens ervan. Zie Toegang intrekken tot een opslagaccount dat gebruikmaakt van door de klant beheerde sleutels voor informatie over welke bewerkingen mislukken.

Let op

Wanneer u de sleutel in de sleutelkluis uitschakelt, blijven de gegevens in uw Azure Storage-account versleuteld, maar worden deze niet meer toegankelijk totdat u de sleutel opnieuw kunt activeren.

Voer de volgende stappen uit om een door de klant beheerde sleutel uit te schakelen met Azure Portal:

  1. Navigeer naar de sleutelkluis die de sleutel bevat.

  2. Selecteer Onder Objecten de optie Sleutels.

  3. Klik met de rechtermuisknop op de toets en selecteer Uitschakelen.

    Schermopname van het uitschakelen van een door de klant beheerde sleutel in de sleutelkluis.

Als u de sleutel uitschakelt, mislukken pogingen om toegang te krijgen tot gegevens in het opslagaccount met foutcode 403 (verboden). Zie Toegang intrekken tot een opslagaccount dat gebruikmaakt van door de klant beheerde sleutels voor een lijst met opslagaccountbewerkingen die worden beïnvloed door het uitschakelen van de sleutel.

Overschakelen naar door Microsoft beheerde sleutels

U kunt op elk gewenst moment overschakelen van door de klant beheerde sleutels naar door Microsoft beheerde sleutels met behulp van Azure Portal, PowerShell of De Azure CLI.

Als u wilt overschakelen van door de klant beheerde sleutels naar door Microsoft beheerde sleutels in Azure Portal, voert u de volgende stappen uit:

  1. Navigeer naar uw opslagaccount.

  2. Selecteer Versleuteling onder Beveiliging en netwerken.

  3. Wijzig het versleutelingstype in door Microsoft beheerde sleutels.

    Schermopname die laat zien hoe u overschakelt naar door Microsoft beheerde sleutels voor een opslagaccount.

Volgende stappen