Tworzenie zakresów szyfrowania i zarządzanie nimi

Zakresy szyfrowania umożliwiają zarządzanie szyfrowaniem na poziomie pojedynczego obiektu blob lub kontenera. Zakresy szyfrowania umożliwiają tworzenie bezpiecznych granic między danymi, które są przechowywane na tym samym koncie przechowywania, ale należą do różnych klientów. Aby uzyskać więcej informacji na temat zakresów szyfrowania, zobacz Zakresy szyfrowania dla usługi Blob Storage.

W tym artykule pokazano, jak utworzyć zakres szyfrowania. Przedstawiono również sposób określania zakresu szyfrowania podczas tworzenia obiektu blob lub kontenera.

Tworzenie zakresu szyfrowania

Można utworzyć zakres szyfrowania chroniony za pomocą klucza zarządzanego przez firmę Microsoft lub klucz zarządzany przez klienta, który jest przechowywany w usłudze Azure Key Vault lub w zarządzanym modelu zabezpieczeń sprzętu usługi Azure Key Vault (HSM). Aby utworzyć zakres szyfrowania przy użyciu klucza zarządzanego przez klienta, musisz najpierw utworzyć magazyn kluczy lub zarządzany moduł HSM i dodać klucz, którego zamierzasz użyć dla zakresu. Magazyn kluczy lub zarządzany moduł HSM musi mieć włączoną ochronę przeczyszczania.

Konto przechowywania i magazyn kluczy mogą być zlokalizowane w tej samej dzierżawie lub w różnych dzierżawach. W obu przypadkach konto przechowywania i skrytka na klucze mogą znajdować się w różnych regionach.

Zakres szyfrowania jest automatycznie włączany podczas jego tworzenia. Po utworzeniu zakresu szyfrowania można określić go podczas tworzenia obiektu blob. Można również określić domyślny zakres szyfrowania podczas tworzenia kontenera, który jest automatycznie stosowany do wszystkich obiektów blob w kontenerze.

Podczas konfigurowania zakresu szyfrowania są naliczane opłaty za co najmniej jeden miesiąc (30 dni). Po pierwszym miesiącu opłaty za zakres szyfrowania są proporcjonalnie naliczane co godzinę. Aby uzyskać więcej informacji, zobacz Rozliczenia dla zakresów szyfrowania.

Portal

Aby utworzyć zakres szyfrowania w witrynie Azure Portal, wykonaj następujące kroki:

1. Przejdź do swojego konta magazynowego w portalu Azure.

2. W obszarze Zabezpieczenia i sieć wybierz pozycję Szyfrowanie.

3. Wybierz kartę Zakresy szyfrowania .

4. Kliknij przycisk Dodaj , aby dodać nowy zakres szyfrowania.

5. W okienku Tworzenie zakresu szyfrowania wprowadź nazwę nowego zakresu.

6. Wybierz żądany typ obsługi klucza szyfrowania — klucze zarządzane przez firmę Microsoft lub klucze zarządzane przez klienta.

   • Jeśli wybrano klucze zarządzane przez firmę Microsoft, kliknij przycisk Utwórz , aby utworzyć zakres szyfrowania.
   • W przypadku wybrania kluczy zarządzanych przez klienta wybierz subskrypcję i określ magazyn kluczy oraz klucz do użycia dla tego zakresu szyfrowania. Jeśli żądany magazyn kluczy znajduje się w innym regionie, wybierz pozycję Wprowadź identyfikator URI klucza i określ identyfikator URI klucza.

7. Jeśli szyfrowanie infrastruktury jest włączone dla konta magazynu, zostanie ono automatycznie włączone dla nowego zakresu szyfrowania. W przeciwnym razie możesz wybrać, czy włączyć szyfrowanie infrastruktury dla zakresu szyfrowania.

   

PowerShell

Aby utworzyć zakres szyfrowania za pomocą programu PowerShell, zainstaluj moduł Az.Storage PowerShell w wersji 3.4.0 lub nowszej.

Tworzenie zakresu szyfrowania chronionego przez klucze zarządzane przez firmę Microsoft

Aby utworzyć zakres szyfrowania chroniony przez klucze zarządzane przez firmę Microsoft, wywołaj polecenie New-AzStorageEncryptionScope za pomocą parametru -StorageEncryption .

Jeśli szyfrowanie infrastruktury jest włączone dla konta magazynu, zostanie ono automatycznie włączone dla nowego zakresu szyfrowania. W przeciwnym razie możesz wybrać, czy włączyć szyfrowanie infrastruktury dla zakresu szyfrowania. Aby utworzyć nowy zakres z szyfrowaniem infrastruktury, dołącz parametr -RequireInfrastructureEncryption.

Pamiętaj, aby zastąpić wartości symboli zastępczych w przykładzie własnymi wartościami:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$scopeName = "<encryption-scope>"

New-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName1 `
    -StorageEncryption

Utwórz zakres szyfrowania chroniony przez klucze zarządzane przez klienta w tej samej dzierżawie

Aby utworzyć zakres szyfrowania chroniony kluczami zarządzanymi przez klienta, które są przechowywane w składnicy kluczy lub w zarządzanym module HSM i znajdują się w tej samej dzierżawie co konto magazynu, należy najpierw skonfigurować klucze zarządzane przez klienta dla konta magazynu. Musisz przypisać tożsamość zarządzaną do konta magazynu, które powinno mieć uprawnienia dostępu do skarbca kluczy. Tożsamość zarządzana może być tożsamością zarządzaną przypisaną przez użytkownika lub tożsamością zarządzaną przypisaną przez system. Aby dowiedzieć się więcej na temat konfigurowania kluczy zarządzanych przez klienta, przeczytaj Konfigurowanie kluczy zarządzanych przez klienta w tej samej dzierżawie dla istniejącego konta magazynowego.

Aby udzielić tożsamości zarządzanej uprawnień dostępu do magazynu kluczy, przypisz tożsamości zarządzanej rolę użytkownika szyfrowania usługi kryptograficznej Key Vault.

Aby skonfigurować klucze zarządzane przez klienta do użycia z zakresem szyfrowania, należy włączyć ochronę przeczyszczania w magazynie kluczy lub zarządzanym module HSM.

W poniższym przykładzie pokazano, jak skonfigurować zakres szyfrowania przy użyciu tożsamości zarządzanej przypisanej przez system. Pamiętaj, aby zastąpić wartości symboli zastępczych w przykładzie własnymi wartościami:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$keyVaultName = "<key-vault>"
$scopeName = "<encryption-scope>"

# Assign a system-assigned managed identity to the storage account.
$storageAccount = Set-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -AssignIdentity

# Assign the necessary permissions to the managed identity 
# so that it can access the key vault.
$principalId = $storageAccount.Identity.PrincipalId
$keyVault = Get-AzKeyVault $keyVaultName

New-AzRoleAssignment -ObjectId $storageAccount.Identity.PrincipalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

Następnie wywołaj polecenie New-AzStorageEncryptionScope za pomocą parametru -KeyvaultEncryption i określ identyfikator URI klucza. Zawieranie wersji klucza w identyfikatorze URI klucza jest opcjonalne. Jeśli pominięto wersję klucza, zakres szyfrowania będzie automatycznie używać najnowszej wersji klucza. Jeśli uwzględnisz wersję klucza, musisz ręcznie zaktualizować wersję klucza, aby użyć innej wersji.

Format identyfikatora URI klucza jest podobny do następujących przykładów i można go skonstruować z właściwości VaultUri magazynu kluczy i nazwy klucza:

# Without the key version
https://<key-vault>.vault.azure.net/keys/<key>

# With the key version
https://<key-vault>.vault.azure.net/keys/<key>/<version>

Jeśli szyfrowanie infrastruktury jest włączone dla konta magazynu, zostanie ono automatycznie włączone dla nowego zakresu szyfrowania. W przeciwnym razie możesz wybrać, czy włączyć szyfrowanie infrastruktury dla zakresu szyfrowania. Aby utworzyć nowy zakres z szyfrowaniem infrastruktury, dołącz parametr -RequireInfrastructureEncryption.

Pamiętaj, aby zastąpić wartości symboli zastępczych w przykładzie własnymi wartościami:

$keyUri = $keyVault.VaultUri + "keys/" + $keyName

New-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName `
    -KeyUri $keyUri `
    -KeyvaultEncryption

Tworzenie obszaru szyfrowania chronionego przez klucze zarządzane przez klienta w innej dzierżawie

Aby utworzyć zakres szyfrowania chroniony za pomocą kluczy zarządzanych przez klienta, które są przechowywane w magazynie kluczy lub zarządzanym module HSM i znajdują się w innej dzierżawie niż konto magazynu, należy najpierw skonfigurować klucze zarządzane przez klienta dla tego konta magazynu. Musisz skonfigurować tożsamość zarządzaną przypisaną przez użytkownika dla konta magazynu, które ma uprawnienia dostępu do magazynu kluczy w innej dzierżawie. Aby dowiedzieć się więcej na temat konfigurowania kluczy zarządzanych przez użytkownika między tenantami, zobacz artykuł Konfigurowanie kluczy zarządzanych przez użytkownika między tenantami dla istniejącego konta magazynu.

Aby skonfigurować klucze zarządzane przez klienta do użycia z zakresem szyfrowania, należy włączyć ochronę przeczyszczania w magazynie kluczy lub zarządzanym module HSM.

Po skonfigurowaniu kluczy zarządzanych przez klienta dla konta magazynu między dzierżawcami, można utworzyć zakres szyfrowania na koncie magazynu w jednej dzierżawie, który jest związany z kluczem w magazynie kluczy w innej dzierżawie. Aby utworzyć zakres szyfrowania między dzierżawami, potrzebny jest identyfikator URI klucza.

Pamiętaj, aby zastąpić wartości symboli zastępczych w przykładzie własnymi wartościami:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$scopeName = "<encryption-scope>"

# Construct the key URI from the key vault URI and key name.
$keyUri = $kvUri + "keys/" + $keyName

New-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName `
    -KeyUri $keyUri `
    -KeyvaultEncryption

Interfejs wiersza polecenia platformy Azure

Aby utworzyć zakres szyfrowania za pomocą interfejsu wiersza polecenia platformy Azure, najpierw zainstaluj interfejs wiersza polecenia platformy Azure w wersji 2.20.0 lub nowszej.

Tworzenie zakresu szyfrowania chronionego przez klucze zarządzane przez firmę Microsoft

Aby utworzyć zakres szyfrowania chroniony przez klucze zarządzane przez firmę Microsoft, wywołaj polecenie az storage account encryption-scope create , określając --key-source parametr jako Microsoft.Storage.

Jeśli szyfrowanie infrastruktury jest włączone dla konta magazynu, zostanie ono automatycznie włączone dla nowego zakresu szyfrowania. W przeciwnym razie możesz wybrać, czy włączyć szyfrowanie infrastruktury dla zakresu szyfrowania. Aby utworzyć nowy zakres z włączonym szyfrowaniem infrastruktury, dołącz --require-infrastructure-encryption parametr i ustaw jego wartość na true.

Pamiętaj, aby zastąpić wartości symboli zastępczych własnymi wartościami:

az storage account encryption-scope create \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.Storage

Utwórz zakres szyfrowania chroniony przez klucze zarządzane przez klienta w tej samej dzierżawie

Aby utworzyć zakres szyfrowania chroniony kluczami zarządzanymi przez klienta, które są przechowywane w składnicy kluczy lub w zarządzanym module HSM i znajdują się w tej samej dzierżawie co konto magazynu, należy najpierw skonfigurować klucze zarządzane przez klienta dla konta magazynu. Musisz przypisać tożsamość zarządzaną do konta magazynu, które powinno mieć uprawnienia dostępu do skarbca kluczy. Tożsamość zarządzana może być tożsamością zarządzaną przypisaną przez użytkownika lub tożsamością zarządzaną przypisaną przez system. Aby dowiedzieć się więcej na temat konfigurowania kluczy zarządzanych przez klienta, przeczytaj Konfigurowanie kluczy zarządzanych przez klienta w tej samej dzierżawie dla istniejącego konta magazynowego.

Aby udzielić tożsamości zarządzanej uprawnień dostępu do magazynu kluczy, przypisz tożsamości zarządzanej rolę użytkownika szyfrowania usługi kryptograficznej Key Vault.

Aby skonfigurować klucze zarządzane przez klienta do użycia z zakresem szyfrowania, należy włączyć ochronę przeczyszczania w magazynie kluczy lub zarządzanym module HSM.

W poniższym przykładzie pokazano, jak skonfigurować zakres szyfrowania przy użyciu tożsamości zarządzanej przypisanej przez system. Pamiętaj, aby zastąpić wartości symboli zastępczych w przykładzie własnymi wartościami:

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --assign-identity

principalId=$(az storage account show --name <storage-account> \
    --resource-group <resource_group> \
    --query identity.principalId \
    --output tsv)

$kvResourceId=$(az keyvault show \
    --resource-group <resource-group> \
    --name <key-vault> \
    --query id \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId

Następnie wywołaj polecenie az storage account encryption-scope za pomocą parametru --key-uri i określ identyfikator URI klucza. Zawieranie wersji klucza w identyfikatorze URI klucza jest opcjonalne. Jeśli pominięto wersję klucza, zakres szyfrowania będzie automatycznie używać najnowszej wersji klucza. Jeśli uwzględnisz wersję klucza, musisz ręcznie zaktualizować wersję klucza, aby użyć innej wersji.

Format URI klucza przypomina następujące przykłady i można go zbudować z właściwości vaultUri magazynu kluczy oraz nazwy klucza.

# Without the key version
https://<key-vault>.vault.azure.net/keys/<key>

# With the key version
https://<key-vault>.vault.azure.net/keys/<key>/<version>

Jeśli szyfrowanie infrastruktury jest włączone dla konta magazynu, zostanie ono automatycznie włączone dla nowego zakresu szyfrowania. W przeciwnym razie możesz wybrać, czy włączyć szyfrowanie infrastruktury dla zakresu szyfrowania. Aby utworzyć nowy zakres z włączonym szyfrowaniem infrastruktury, dołącz --require-infrastructure-encryption parametr i ustaw jego wartość na true.

Pamiętaj, aby zastąpić wartości symboli zastępczych w przykładzie własnymi wartościami:

az storage account encryption-scope create \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.KeyVault \
    --key-uri <key-uri>

Tworzenie obszaru szyfrowania chronionego przez klucze zarządzane przez klienta w innej dzierżawie

Aby utworzyć zakres szyfrowania chroniony za pomocą kluczy zarządzanych przez klienta, które są przechowywane w magazynie kluczy lub zarządzanym module HSM i znajdują się w innej dzierżawie niż konto magazynu, należy najpierw skonfigurować klucze zarządzane przez klienta dla tego konta magazynu. Musisz skonfigurować tożsamość zarządzaną przypisaną przez użytkownika dla konta magazynu, które ma uprawnienia dostępu do magazynu kluczy w innej dzierżawie. Aby dowiedzieć się więcej na temat konfigurowania kluczy zarządzanych przez użytkownika między tenantami, zobacz artykuł Konfigurowanie kluczy zarządzanych przez użytkownika między tenantami dla istniejącego konta magazynu.

Aby skonfigurować klucze zarządzane przez klienta do użycia z zakresem szyfrowania, należy włączyć ochronę przeczyszczania w magazynie kluczy lub zarządzanym module HSM.

Po skonfigurowaniu kluczy zarządzanych przez klienta dla konta magazynu między dzierżawcami, można utworzyć zakres szyfrowania na koncie magazynu w jednej dzierżawie, który jest związany z kluczem w magazynie kluczy w innej dzierżawie. Aby utworzyć zakres szyfrowania między dzierżawami, potrzebny jest identyfikator URI klucza.

Pamiętaj, aby zastąpić wartości symboli zastępczych w przykładzie własnymi wartościami:

az storage account encryption-scope create \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.KeyVault \
    --key-uri <key-uri>

Lista zakresów szyfrowania dla konta usługi magazynowania

Portal

Aby wyświetlić zakresy szyfrowania dla konta magazynu w witrynie Azure Portal, przejdź do ustawienia Zakresy szyfrowania dla konta magazynu. W tym okienku można włączyć lub wyłączyć zakres szyfrowania lub zmienić klucz dla zakresu szyfrowania.

Aby wyświetlić szczegóły klucza zarządzanego przez klienta, w tym identyfikator URI i wersję klucza oraz czy wersja klucza jest automatycznie aktualizowana, postępuj zgodnie z linkiem w kolumnie Klucz .

PowerShell

Aby wyświetlić listę dostępnych zakresów szyfrowania dla konta magazynowego za pomocą programu PowerShell, wywołaj polecenie Get-AzStorageEncryptionScope. Pamiętaj, aby zastąpić wartości symboli zastępczych w przykładzie własnymi wartościami:

Get-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName

Aby wyświetlić listę wszystkich zakresów szyfrowania w grupie zasobów według konta magazynu, użyj składni potoku:

Get-AzStorageAccount -ResourceGroupName $rgName | Get-AzStorageEncryptionScope

Interfejs wiersza polecenia platformy Azure

Aby wyświetlić listę zakresów szyfrowania dostępnych dla konta magazynu za pomocą interfejsu wiersza polecenia platformy Azure, wywołaj polecenie az storage account encryption-scope list . Pamiętaj, aby zastąpić wartości symboli zastępczych w przykładzie własnymi wartościami:

az storage account encryption-scope list \
    --account-name <storage-account> \
    --resource-group <resource-group>

Tworzenie kontenera z domyślnym zakresem szyfrowania

Podczas tworzenia kontenera można określić domyślny zakres szyfrowania. Obiekty blob w tym kontenerze będą używać domyślnie tego zakresu.

Pojedynczy obiekt blob można utworzyć z własnym zakresem szyfrowania, chyba że kontener jest skonfigurowany tak, aby wymagał, aby wszystkie obiekty blob używały zakresu domyślnego. Aby uzyskać więcej informacji, zobacz Zakresy szyfrowania dla kontenerów i obiektów blob.

Portal

Aby utworzyć kontener z domyślnym zakresem szyfrowania w witrynie Azure Portal, najpierw utwórz zakres szyfrowania zgodnie z opisem w temacie Tworzenie zakresu szyfrowania. Następnie wykonaj następujące kroki, aby utworzyć kontener:

1. Przejdź do listy kontenerów na koncie magazynu i wybierz przycisk Dodaj , aby utworzyć kontener.

2. Rozwiń pozycję Ustawienia zaawansowane w okienku Nowy kontener .

3. Z listy rozwijanej Zakres szyfrowania wybierz domyślny zakres szyfrowania dla kontenera.

4. Aby wymagać, aby wszystkie obiekty blob w kontenerze używały domyślnego zakresu szyfrowania, zaznacz pole wyboru Użyj tego zakresu szyfrowania dla wszystkich obiektów blob w kontenerze. Jeśli to pole wyboru jest zaznaczone, pojedynczy obiekt blob w kontenerze nie może zastąpić domyślnego zakresu szyfrowania.

   

PowerShell

Aby utworzyć kontener z domyślnym zakresem szyfrowania za pomocą programu PowerShell, wywołaj polecenie New-AzStorageContainer , określając zakres parametru -DefaultEncryptionScope . Aby wymusić użycie domyślnego zakresu kontenera dla wszystkich obiektów blob w kontenerze, ustaw parametr -PreventEncryptionScopeOverride na true.

$containerName1 = "container1"
$ctx = New-AzStorageContext -StorageAccountName $accountName -UseConnectedAccount

# Create a container with a default encryption scope that cannot be overridden.
New-AzStorageContainer -Name $containerName1 `
    -Context $ctx `
    -DefaultEncryptionScope $scopeName1 `
    -PreventEncryptionScopeOverride $true

Interfejs wiersza polecenia platformy Azure

Aby utworzyć kontener z domyślnym zakresem szyfrowania za pomocą interfejsu wiersza polecenia platformy Azure, wywołaj polecenie az storage container create , określając zakres parametru --default-encryption-scope . Aby wymusić użycie domyślnego zakresu kontenera dla wszystkich obiektów blob w kontenerze, ustaw parametr --prevent-encryption-scope-override na true.

W poniższym przykładzie użyto konta Microsoft Entra, aby autoryzować operację do utworzenia kontenera. Możesz również użyć klucza dostępu do konta. Aby uzyskać więcej informacji, zobacz Autoryzowanie dostępu do danych obiektów blob lub kolejek za pomocą interfejsu wiersza polecenia platformy Azure.

az storage container create \
    --account-name <storage-account> \
    --resource-group <resource-group> \
    --name <container> \
    --default-encryption-scope <encryption-scope> \
    --prevent-encryption-scope-override true \
    --auth-mode login

Jeśli klient próbuje określić zakres podczas przekazywania obiektu blob do kontenera, który ma domyślny zakres szyfrowania, a kontener jest skonfigurowany tak, aby zapobiec zastępowaniu domyślnego zakresu obiektów blob, operacja kończy się niepowodzeniem z komunikatem wskazującym, że żądanie jest zabronione przez zasady szyfrowania kontenera.

Prześlij obiekt blob z zakresem szyfrowania

Podczas przekazywania obiektu blob można określić zakres szyfrowania dla tego obiektu blob lub użyć domyślnego zakresu szyfrowania dla kontenera, jeśli został określony.

Uwaga / Notatka

Przy przesyłaniu nowego obiektu blob z zakresem szyfrowania nie można zmienić domyślnej warstwy dostępu dla tego obiektu blob. Nie można również zmienić warstwy dostępu dla istniejącego obiektu blob korzystającego z zakresu szyfrowania. Aby uzyskać więcej informacji na temat warstw dostępu, zobacz Warstwy dostępu Gorąca, Chłodna i Archiwum dla danych obiektów blob.

Portal

Aby przekazać obiekt blob z zakresem szyfrowania za pośrednictwem portalu Azure, najpierw utwórz zakres szyfrowania zgodnie z opisem w Tworzenie zakresu szyfrowania. Następnie wykonaj następujące kroki, aby utworzyć obiekt blob:

1. Przejdź do kontenera, do którego chcesz wgrać obiekt Blob.

2. Wybierz przycisk Prześlij i znajdź plik blob do przesłania.

3. Rozwiń Ustawienia zaawansowane w okienku Przesyłanie obiektu blob.

4. Znajdź sekcję listy rozwijanej Zakres szyfrowania . Domyślnie obiekt blob jest tworzony z domyślnym zakresem szyfrowania dla kontenera, jeśli został określony. Jeśli kontener wymaga, aby obiekty blob używały domyślnego zakresu szyfrowania, ta sekcja jest wyłączona.

5. Aby określić inny zakres przekazywanego obiektu blob, wybierz pozycję Wybierz istniejący zakres, a następnie wybierz żądany zakres z listy rozwijanej.

   

PowerShell

Aby przekazać obiekt blob z zakresem szyfrowania za pomocą programu PowerShell, wywołaj polecenie Set-AzStorageBlobContent i podaj zakres szyfrowania dla obiektu blob.

$containerName2 = "container2"
$localSrcFile = "C:\temp\helloworld.txt"
$ctx = New-AzStorageContext -StorageAccountName $accountName -UseConnectedAccount

# Create a container with no default scope defined.
New-AzStorageContainer -Name $containerName2 -Context $ctx

# Upload a block upload with an encryption scope specified.
Set-AzStorageBlobContent -Context $ctx `
    -Container $containerName2 `
    -File $localSrcFile `
    -Blob "helloworld.txt" `
    -BlobType Block `
    -EncryptionScope $scopeName2

Interfejs wiersza polecenia platformy Azure

Aby przekazać obiekt blob z zakresem szyfrowania za pośrednictwem interfejsu wiersza polecenia platformy Azure, wywołaj polecenie az storage blob upload i podaj zakres szyfrowania dla obiektu blob.

Jeśli używasz usługi Azure Cloud Shell, wykonaj kroki opisane w temacie Przekazywanie obiektu blob , aby utworzyć plik w katalogu głównym. Następnie możesz przekazać ten plik do obiektu blob, korzystając z poniższego przykładu.

az storage blob upload \
    --account-name <storage-account> \
    --container-name <container> \
    --file <file> \
    --name <file> \
    --encryption-scope <encryption-scope>

Zmień klucz szyfrowania dla zakresu

Żeby zmienić klucz, który chroni zakres szyfrowania z klucza zarządzanego przez firmę Microsoft na klucz zarządzany przez klienta, najpierw upewnij się, że dla konta magazynu włączyłeś klucze zarządzane przez klienta przy użyciu Azure Key Vault lub Key Vault HSM. Aby uzyskać więcej informacji, zobacz Konfigurowanie szyfrowania przy użyciu kluczy zarządzanych przez klienta przechowywanych w usłudze Azure Key Vault lub Konfigurowanie szyfrowania przy użyciu kluczy zarządzanych przez klienta przechowywanych w usłudze Azure Key Vault.

Portal

Aby zmienić klucz, który chroni zakres w witrynie Azure Portal, wykonaj następujące kroki:

1. Przejdź do karty Zakresy szyfrowania, aby wyświetlić listę zakresów szyfrowania dla konta przechowywania.
2. Wybierz przycisk Więcej obok zakresu, który chcesz zmodyfikować.
3. W okienku Edytowanie zakresu szyfrowania można zmienić typ szyfrowania z klucza zarządzanego przez firmę Microsoft na klucz zarządzany przez klienta lub odwrotnie.
4. Aby wybrać nowy klucz zarządzany przez klienta, wybierz pozycję Użyj nowego klucza i określ magazyn kluczy, klucz i wersję klucza.

PowerShell

Aby zmienić klucz, który chroni zakres szyfrowania z klucza zarządzanego przez klienta na klucz zarządzany przez firmę Microsoft, używając programu PowerShell, wywołaj polecenie Update-AzStorageEncryptionScope i przekaż parametr -StorageEncryption.

Update-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName2 `
    -StorageEncryption

Następnie wywołaj polecenie Update-AzStorageEncryptionScope i przekaż parametry -KeyUri i -KeyvaultEncryption:

Update-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName1 `
    -KeyUri $keyUri `
    -KeyvaultEncryption

Interfejs wiersza polecenia platformy Azure

Aby zmienić klucz, który chroni zakres szyfrowania przed kluczem zarządzanym przez klienta do klucza zarządzanego przez firmę Microsoft za pomocą interfejsu wiersza polecenia platformy Azure, wywołaj polecenie az storage account encryption-scope update i przekaż --key-source parametr z wartością Microsoft.Storage:

az storage account encryption-scope update \
    --account-name <storage-account> \
    --resource-group <resource-group>
    --name <encryption-scope> \
    --key-source Microsoft.Storage

Następnie wywołaj polecenie az storage account encryption-scope update, przekaż parametr --key-uri oraz przekaż parametr --key-source z wartością Microsoft.KeyVault.

az storage account encryption-scope update \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.KeyVault \
    --key-uri <key-uri>

Wyłączanie zakresu szyfrowania

Wyłącz wszelkie zakresy szyfrowania, które nie są potrzebne, aby uniknąć niepotrzebnych opłat. Aby uzyskać więcej informacji, zobacz Rozliczenia dla zakresów szyfrowania.

Portal

Aby wyłączyć zakres szyfrowania w witrynie Azure Portal, przejdź do ustawienia Zakresy szyfrowania dla konta magazynu, wybierz żądany zakres szyfrowania i wybierz pozycję Wyłącz.

PowerShell

Aby wyłączyć zakres szyfrowania za pomocą programu PowerShell, wywołaj polecenie Update-AzStorageEncryptionScope i dołącz -State parametr z wartością disabled, jak pokazano w poniższym przykładzie. Aby ponownie włączyć zakres szyfrowania, wywołaj to samo polecenie z parametrem ustawionym -State na enabled. Pamiętaj, aby zastąpić wartości symboli zastępczych w przykładzie własnymi wartościami:

Update-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName1 `
    -State disabled

Interfejs wiersza polecenia platformy Azure

Aby wyłączyć zakres szyfrowania za pomocą interfejsu wiersza polecenia platformy Azure, wywołaj polecenie az storage account encryption-scope update i dołącz parametr --state z wartością Disabled, jak pokazano w poniższym przykładzie. Aby ponownie włączyć zakres szyfrowania, wywołaj to samo polecenie z parametrem ustawionym --state na Enabled. Pamiętaj, aby zastąpić wartości symboli zastępczych w przykładzie własnymi wartościami:

az storage account encryption-scope update \
    --account-name <storage-account> \
    --resource-group <resource-group> \
    --name <encryption-scope> \
    --state Disabled

Ważne

Nie można usunąć zakresu szyfrowania. Aby uniknąć nieoczekiwanych kosztów, pamiętaj, aby wyłączyć wszystkie zakresy szyfrowania, których obecnie nie potrzebujesz.

Dalsze kroki

• Szyfrowanie w usłudze Azure Storage dla danych spoczywających
• Zakresy szyfrowania dla usługi Blob Storage
• Klucze zarządzane przez klienta na potrzeby szyfrowania usługi Azure Storage
• Włączanie szyfrowania infrastruktury na potrzeby podwójnego szyfrowania danych