Tworzenie zakresów szyfrowania i zarządzanie nimi

Zakresy szyfrowania umożliwiają zarządzanie szyfrowaniem na poziomie pojedynczego obiektu blob lub kontenera. Zakresy szyfrowania umożliwiają tworzenie bezpiecznych granic między danymi, które znajdują się na tym samym koncie magazynu, ale należą do różnych klientów. Aby uzyskać więcej informacji na temat zakresów szyfrowania, zobacz Zakresy szyfrowania dla usługi Blob Storage.

W tym artykule pokazano, jak utworzyć zakres szyfrowania. Przedstawiono również sposób określania zakresu szyfrowania podczas tworzenia obiektu blob lub kontenera.

Tworzenie zakresu szyfrowania

Można utworzyć zakres szyfrowania chroniony za pomocą klucza zarządzanego przez firmę Microsoft lub klucz zarządzany przez klienta, który jest przechowywany w usłudze Azure Key Vault lub w zarządzanym modelu zabezpieczeń sprzętu usługi Azure Key Vault (HSM). Aby utworzyć zakres szyfrowania przy użyciu klucza zarządzanego przez klienta, musisz najpierw utworzyć magazyn kluczy lub zarządzany moduł HSM i dodać klucz, którego zamierzasz użyć dla zakresu. Magazyn kluczy lub zarządzany moduł HSM musi mieć włączoną ochronę przeczyszczania.

Konto magazynu i magazyn kluczy mogą znajdować się w tej samej dzierżawie lub w różnych dzierżawach. W obu przypadkach konto magazynu i magazyn kluczy mogą znajdować się w różnych regionach.

Zakres szyfrowania jest automatycznie włączany podczas jego tworzenia. Po utworzeniu zakresu szyfrowania można określić go podczas tworzenia obiektu blob. Można również określić domyślny zakres szyfrowania podczas tworzenia kontenera, który jest automatycznie stosowany do wszystkich obiektów blob w kontenerze.

Podczas konfigurowania zakresu szyfrowania są naliczane opłaty za co najmniej jeden miesiąc (30 dni). Po pierwszym miesiącu opłaty za zakres szyfrowania są proporcjonalnie naliczane co godzinę. Aby uzyskać więcej informacji, zobacz Rozliczenia dla zakresów szyfrowania.

Portal

Aby utworzyć zakres szyfrowania w witrynie Azure Portal, wykonaj następujące kroki:

1. W witrynie Azure Portal przejdź do swojego konta magazynu.

2. W obszarze Zabezpieczenia i sieć wybierz pozycję Szyfrowanie.

3. Wybierz kartę Zakresy szyfrowania.

4. Kliknij przycisk Dodaj, aby dodać nowy zakres szyfrowania.

5. W okienku Tworzenie zakresu szyfrowania wprowadź nazwę nowego zakresu.

6. Wybierz żądany typ obsługi klucza szyfrowania — klucze zarządzane przez firmę Microsoft lub klucze zarządzane przez klienta.

   • Jeśli wybrano klucze zarządzane przez firmę Microsoft, kliknij przycisk Utwórz , aby utworzyć zakres szyfrowania.
   • W przypadku wybrania kluczy zarządzanych przez klienta wybierz subskrypcję i określ magazyn kluczy oraz klucz do użycia dla tego zakresu szyfrowania. Jeśli żądany magazyn kluczy znajduje się w innym regionie, wybierz pozycję Wprowadź identyfikator URI klucza i określ identyfikator URI klucza.

7. Jeśli szyfrowanie infrastruktury jest włączone dla konta magazynu, zostanie ono automatycznie włączone dla nowego zakresu szyfrowania. W przeciwnym razie możesz wybrać, czy włączyć szyfrowanie infrastruktury dla zakresu szyfrowania.

   

Program PowerShell

Aby utworzyć zakres szyfrowania za pomocą programu PowerShell, zainstaluj moduł Az.Storage PowerShell w wersji 3.4.0 lub nowszej.

Tworzenie zakresu szyfrowania chronionego przez klucze zarządzane przez firmę Microsoft

Aby utworzyć zakres szyfrowania chroniony przez klucze zarządzane przez firmę Microsoft, wywołaj polecenie New-AzStorageEncryptionScope za pomocą parametru -StorageEncryption .

Jeśli szyfrowanie infrastruktury jest włączone dla konta magazynu, zostanie ono automatycznie włączone dla nowego zakresu szyfrowania. W przeciwnym razie możesz wybrać, czy włączyć szyfrowanie infrastruktury dla zakresu szyfrowania. Aby utworzyć nowy zakres z włączonym szyfrowaniem -RequireInfrastructureEncryption infrastruktury, dołącz parametr .

Pamiętaj, aby zastąpić wartości symboli zastępczych w przykładzie własnymi wartościami:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$scopeName = "<encryption-scope>"

New-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName1 `
    -StorageEncryption

Tworzenie zakresu szyfrowania chronionego przez klucze zarządzane przez klienta w tej samej dzierżawie

Aby utworzyć zakres szyfrowania chroniony przez klucze zarządzane przez klienta przechowywane w magazynie kluczy lub zarządzanym module HSM, który znajduje się w tej samej dzierżawie co konto magazynu, najpierw skonfiguruj klucze zarządzane przez klienta dla konta magazynu. Musisz przypisać tożsamość zarządzaną do konta magazynu, które ma uprawnienia dostępu do magazynu kluczy. Tożsamość zarządzana może być tożsamością zarządzaną przypisaną przez użytkownika lub tożsamością zarządzaną przypisaną przez system. Aby dowiedzieć się więcej na temat konfigurowania kluczy zarządzanych przez klienta, zobacz Konfigurowanie kluczy zarządzanych przez klienta w tej samej dzierżawie dla istniejącego konta magazynu.

Aby udzielić tożsamości zarządzanej uprawnień dostępu do magazynu kluczy, przypisz rolę użytkownika szyfrowania usługi Kryptograficznej usługi Key Vault tożsamości zarządzanej.

Aby skonfigurować klucze zarządzane przez klienta do użycia z zakresem szyfrowania, należy włączyć ochronę przeczyszczania w magazynie kluczy lub zarządzanym module HSM.

W poniższym przykładzie pokazano, jak skonfigurować zakres szyfrowania przy użyciu tożsamości zarządzanej przypisanej przez system. Pamiętaj, aby zastąpić wartości symboli zastępczych w przykładzie własnymi wartościami:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$keyVaultName = "<key-vault>"
$scopeName = "<encryption-scope>"

# Assign a system-assigned managed identity to the storage account.
$storageAccount = Set-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -AssignIdentity

# Assign the necessary permissions to the managed identity 
# so that it can access the key vault.
$principalId = $storageAccount.Identity.PrincipalId
$keyVault = Get-AzKeyVault $keyVaultName

New-AzRoleAssignment -ObjectId $storageAccount.Identity.PrincipalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

Następnie wywołaj polecenie New-AzStorageEncryptionScope za pomocą parametru -KeyvaultEncryption i określ identyfikator URI klucza. Dołączenie wersji klucza do identyfikatora URI klucza jest opcjonalne. Jeśli pominięto wersję klucza, zakres szyfrowania będzie automatycznie używać najnowszej wersji klucza. Jeśli uwzględnisz wersję klucza, musisz ręcznie zaktualizować wersję klucza, aby użyć innej wersji.

Format identyfikatora URI klucza jest podobny do następujących przykładów i można go skonstruować z właściwości VaultUri magazynu kluczy i nazwy klucza:

# Without the key version
https://<key-vault>.vault.azure.net/keys/<key>

# With the key version
https://<key-vault>.vault.azure.net/keys/<key>/<version>

Jeśli szyfrowanie infrastruktury jest włączone dla konta magazynu, zostanie ono automatycznie włączone dla nowego zakresu szyfrowania. W przeciwnym razie możesz wybrać, czy włączyć szyfrowanie infrastruktury dla zakresu szyfrowania. Aby utworzyć nowy zakres z włączonym szyfrowaniem -RequireInfrastructureEncryption infrastruktury, dołącz parametr .

Pamiętaj, aby zastąpić wartości symboli zastępczych w przykładzie własnymi wartościami:

$keyUri = $keyVault.VaultUri + "keys/" + $keyName

New-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName `
    -KeyUri $keyUri `
    -KeyvaultEncryption

Tworzenie zakresu szyfrowania chronionego przez klucze zarządzane przez klienta w innej dzierżawie

Aby utworzyć zakres szyfrowania chroniony przez klucze zarządzane przez klienta przechowywane w magazynie kluczy lub zarządzanym module HSM, który znajduje się w innej dzierżawie niż konto magazynu, najpierw skonfiguruj klucze zarządzane przez klienta dla konta magazynu. Musisz skonfigurować tożsamość zarządzaną przypisaną przez użytkownika dla konta magazynu, które ma uprawnienia dostępu do magazynu kluczy w innej dzierżawie. Aby dowiedzieć się więcej na temat konfigurowania kluczy zarządzanych przez klienta między dzierżawami, zobacz Konfigurowanie kluczy zarządzanych przez klienta między dzierżawami dla istniejącego konta magazynu.

Aby skonfigurować klucze zarządzane przez klienta do użycia z zakresem szyfrowania, należy włączyć ochronę przeczyszczania w magazynie kluczy lub zarządzanym module HSM.

Po skonfigurowaniu kluczy zarządzanych przez klienta między dzierżawami dla konta magazynu można utworzyć zakres szyfrowania na koncie magazynu w jednej dzierżawie, która jest ograniczona do klucza w magazynie kluczy w innej dzierżawie. Aby utworzyć zakres szyfrowania między dzierżawami, potrzebny będzie identyfikator URI klucza.

Pamiętaj, aby zastąpić wartości symboli zastępczych w przykładzie własnymi wartościami:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$scopeName = "<encryption-scope>"

# Construct the key URI from the key vault URI and key name.
$keyUri = $kvUri + "keys/" + $keyName

New-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName `
    -KeyUri $keyUri `
    -KeyvaultEncryption

Interfejs wiersza polecenia platformy Azure

Aby utworzyć zakres szyfrowania za pomocą interfejsu wiersza polecenia platformy Azure, najpierw zainstaluj interfejs wiersza polecenia platformy Azure w wersji 2.20.0 lub nowszej.

Tworzenie zakresu szyfrowania chronionego przez klucze zarządzane przez firmę Microsoft

Aby utworzyć zakres szyfrowania chroniony przez klucze zarządzane przez firmę Microsoft, wywołaj polecenie az storage account encryption-scope create , określając --key-source parametr jako Microsoft.Storage.

Jeśli szyfrowanie infrastruktury jest włączone dla konta magazynu, zostanie ono automatycznie włączone dla nowego zakresu szyfrowania. W przeciwnym razie możesz wybrać, czy włączyć szyfrowanie infrastruktury dla zakresu szyfrowania. Aby utworzyć nowy zakres z włączonym szyfrowaniem infrastruktury, dołącz --require-infrastructure-encryption parametr i ustaw jego wartość na true.

Pamiętaj, aby zastąpić wartości symboli zastępczych własnymi wartościami:

az storage account encryption-scope create \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.Storage

Tworzenie zakresu szyfrowania chronionego przez klucze zarządzane przez klienta w tej samej dzierżawie

Aby utworzyć zakres szyfrowania chroniony przez klucze zarządzane przez klienta przechowywane w magazynie kluczy lub zarządzanym module HSM, który znajduje się w tej samej dzierżawie co konto magazynu, najpierw skonfiguruj klucze zarządzane przez klienta dla konta magazynu. Musisz przypisać tożsamość zarządzaną do konta magazynu, które ma uprawnienia dostępu do magazynu kluczy. Tożsamość zarządzana może być tożsamością zarządzaną przypisaną przez użytkownika lub tożsamością zarządzaną przypisaną przez system. Aby dowiedzieć się więcej na temat konfigurowania kluczy zarządzanych przez klienta, zobacz Konfigurowanie kluczy zarządzanych przez klienta w tej samej dzierżawie dla istniejącego konta magazynu.

Aby udzielić tożsamości zarządzanej uprawnień dostępu do magazynu kluczy, przypisz rolę użytkownika szyfrowania usługi Kryptograficznej usługi Key Vault tożsamości zarządzanej.

Aby skonfigurować klucze zarządzane przez klienta do użycia z zakresem szyfrowania, należy włączyć ochronę przeczyszczania w magazynie kluczy lub zarządzanym module HSM.

W poniższym przykładzie pokazano, jak skonfigurować zakres szyfrowania przy użyciu tożsamości zarządzanej przypisanej przez system. Pamiętaj, aby zastąpić wartości symboli zastępczych w przykładzie własnymi wartościami:

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --assign-identity

principalId=$(az storage account show --name <storage-account> \
    --resource-group <resource_group> \
    --query identity.principalId \
    --output tsv)

$kvResourceId=$(az keyvault show \
    --resource-group <resource-group> \
    --name <key-vault> \
    --query id \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId

Następnie wywołaj polecenie az storage account encryption-scope za pomocą parametru --key-uri i określ identyfikator URI klucza. Dołączenie wersji klucza do identyfikatora URI klucza jest opcjonalne. Jeśli pominięto wersję klucza, zakres szyfrowania będzie automatycznie używać najnowszej wersji klucza. Jeśli uwzględnisz wersję klucza, musisz ręcznie zaktualizować wersję klucza, aby użyć innej wersji.

Format identyfikatora URI klucza jest podobny do następujących przykładów i można go skonstruować z właściwości vaultUri magazynu kluczy i nazwy klucza:

# Without the key version
https://<key-vault>.vault.azure.net/keys/<key>

# With the key version
https://<key-vault>.vault.azure.net/keys/<key>/<version>

Jeśli szyfrowanie infrastruktury jest włączone dla konta magazynu, zostanie ono automatycznie włączone dla nowego zakresu szyfrowania. W przeciwnym razie możesz wybrać, czy włączyć szyfrowanie infrastruktury dla zakresu szyfrowania. Aby utworzyć nowy zakres z włączonym szyfrowaniem infrastruktury, dołącz --require-infrastructure-encryption parametr i ustaw jego wartość na true.

Pamiętaj, aby zastąpić wartości symboli zastępczych w przykładzie własnymi wartościami:

az storage account encryption-scope create \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.KeyVault \
    --key-uri <key-uri>

Tworzenie zakresu szyfrowania chronionego przez klucze zarządzane przez klienta w innej dzierżawie

Aby utworzyć zakres szyfrowania chroniony przez klucze zarządzane przez klienta przechowywane w magazynie kluczy lub zarządzanym module HSM, który znajduje się w innej dzierżawie niż konto magazynu, najpierw skonfiguruj klucze zarządzane przez klienta dla konta magazynu. Musisz skonfigurować tożsamość zarządzaną przypisaną przez użytkownika dla konta magazynu, które ma uprawnienia dostępu do magazynu kluczy w innej dzierżawie. Aby dowiedzieć się więcej na temat konfigurowania kluczy zarządzanych przez klienta między dzierżawami, zobacz Konfigurowanie kluczy zarządzanych przez klienta między dzierżawami dla istniejącego konta magazynu.

Aby skonfigurować klucze zarządzane przez klienta do użycia z zakresem szyfrowania, należy włączyć ochronę przeczyszczania w magazynie kluczy lub zarządzanym module HSM.

Po skonfigurowaniu kluczy zarządzanych przez klienta między dzierżawami dla konta magazynu można utworzyć zakres szyfrowania na koncie magazynu w jednej dzierżawie, która jest ograniczona do klucza w magazynie kluczy w innej dzierżawie. Aby utworzyć zakres szyfrowania między dzierżawami, potrzebny będzie identyfikator URI klucza.

Pamiętaj, aby zastąpić wartości symboli zastępczych w przykładzie własnymi wartościami:

az storage account encryption-scope create \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.KeyVault \
    --key-uri <key-uri>

Wyświetlanie listy zakresów szyfrowania dla konta magazynu

Portal

Aby wyświetlić zakresy szyfrowania dla konta magazynu w witrynie Azure Portal, przejdź do ustawienia Zakresy szyfrowania dla konta magazynu. W tym okienku można włączyć lub wyłączyć zakres szyfrowania lub zmienić klucz dla zakresu szyfrowania.

Aby wyświetlić szczegóły klucza zarządzanego przez klienta, w tym identyfikator URI i wersję klucza oraz czy wersja klucza jest automatycznie aktualizowana, postępuj zgodnie z linkiem w kolumnie Klucz .

Program PowerShell

Aby wyświetlić listę zakresów szyfrowania dostępnych dla konta magazynu za pomocą programu PowerShell, wywołaj polecenie Get-AzStorageEncryptionScope . Pamiętaj, aby zastąpić wartości symboli zastępczych w przykładzie własnymi wartościami:

Get-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName

Aby wyświetlić listę wszystkich zakresów szyfrowania w grupie zasobów według konta magazynu, użyj składni potoku:

Get-AzStorageAccount -ResourceGroupName $rgName | Get-AzStorageEncryptionScope

Interfejs wiersza polecenia platformy Azure

Aby wyświetlić listę zakresów szyfrowania dostępnych dla konta magazynu za pomocą interfejsu wiersza polecenia platformy Azure, wywołaj polecenie az storage account encryption-scope list . Pamiętaj, aby zastąpić wartości symboli zastępczych w przykładzie własnymi wartościami:

az storage account encryption-scope list \
    --account-name <storage-account> \
    --resource-group <resource-group>

Tworzenie kontenera z domyślnym zakresem szyfrowania

Podczas tworzenia kontenera można określić domyślny zakres szyfrowania. Obiekty blob w tym kontenerze będą domyślnie używać tego zakresu.

Pojedynczy obiekt blob można utworzyć z własnym zakresem szyfrowania, chyba że kontener jest skonfigurowany tak, aby wymagał, aby wszystkie obiekty blob używały zakresu domyślnego. Aby uzyskać więcej informacji, zobacz Zakresy szyfrowania dla kontenerów i obiektów blob.

Portal

Aby utworzyć kontener z domyślnym zakresem szyfrowania w witrynie Azure Portal, najpierw utwórz zakres szyfrowania zgodnie z opisem w temacie Tworzenie zakresu szyfrowania. Następnie wykonaj następujące kroki, aby utworzyć kontener:

1. Przejdź do listy kontenerów na koncie magazynu i wybierz przycisk Dodaj , aby utworzyć kontener.

2. Rozwiń pozycję Ustawienia zaawansowane w okienku Nowy kontener.

3. Z listy rozwijanej Zakres szyfrowania wybierz domyślny zakres szyfrowania dla kontenera.

4. Aby wymagać, aby wszystkie obiekty blob w kontenerze używały domyślnego zakresu szyfrowania, zaznacz pole wyboru Użyj tego zakresu szyfrowania dla wszystkich obiektów blob w kontenerze. Jeśli to pole wyboru jest zaznaczone, pojedynczy obiekt blob w kontenerze nie może zastąpić domyślnego zakresu szyfrowania.

   

Program PowerShell

Aby utworzyć kontener z domyślnym zakresem szyfrowania za pomocą programu PowerShell, wywołaj polecenie New-AzStorageContainer , określając zakres parametru -DefaultEncryptionScope . Aby wymusić użycie domyślnego zakresu kontenera dla wszystkich obiektów blob w kontenerze, ustaw -PreventEncryptionScopeOverride parametr na truewartość .

$containerName1 = "container1"
$ctx = New-AzStorageContext -StorageAccountName $accountName -UseConnectedAccount

# Create a container with a default encryption scope that cannot be overridden.
New-AzStorageContainer -Name $containerName1 `
    -Context $ctx `
    -DefaultEncryptionScope $scopeName1 `
    -PreventEncryptionScopeOverride $true

Interfejs wiersza polecenia platformy Azure

Aby utworzyć kontener z domyślnym zakresem szyfrowania za pomocą interfejsu wiersza polecenia platformy Azure, wywołaj polecenie az storage container create , określając zakres parametru --default-encryption-scope . Aby wymusić użycie domyślnego zakresu kontenera dla wszystkich obiektów blob w kontenerze, ustaw --prevent-encryption-scope-override parametr na truewartość .

W poniższym przykładzie użyto konta Microsoft Entra, aby autoryzować operację do utworzenia kontenera. Możesz również użyć klucza dostępu do konta. Aby uzyskać więcej informacji, zobacz Autoryzowanie dostępu do danych obiektów blob lub kolejek za pomocą interfejsu wiersza polecenia platformy Azure.

az storage container create \
    --account-name <storage-account> \
    --resource-group <resource-group> \
    --name <container> \
    --default-encryption-scope <encryption-scope> \
    --prevent-encryption-scope-override true \
    --auth-mode login

Jeśli klient próbuje określić zakres podczas przekazywania obiektu blob do kontenera, który ma domyślny zakres szyfrowania, a kontener jest skonfigurowany tak, aby zapobiec zastępowaniu domyślnego zakresu obiektów blob, operacja kończy się niepowodzeniem z komunikatem wskazującym, że żądanie jest zabronione przez zasady szyfrowania kontenera.

Przekazywanie obiektu blob z zakresem szyfrowania

Podczas przekazywania obiektu blob można określić zakres szyfrowania dla tego obiektu blob lub użyć domyślnego zakresu szyfrowania dla kontenera, jeśli został określony.

Uwaga

Podczas przekazywania nowego obiektu blob z zakresem szyfrowania nie można zmienić domyślnej warstwy dostępu dla tego obiektu blob. Nie można również zmienić warstwy dostępu dla istniejącego obiektu blob korzystającego z zakresu szyfrowania. Aby uzyskać więcej informacji na temat warstw dostępu, zobacz Warstwy dostępu Gorąca, Chłodna i Archiwum dla danych obiektów blob.

Portal

Aby przekazać obiekt blob z zakresem szyfrowania za pośrednictwem witryny Azure Portal, najpierw utwórz zakres szyfrowania zgodnie z opisem w temacie Tworzenie zakresu szyfrowania. Następnie wykonaj następujące kroki, aby utworzyć obiekt blob:

1. Przejdź do kontenera, do którego chcesz przekazać obiekt blob.

2. Wybierz przycisk Przekaż i znajdź obiekt blob do przekazania.

3. Rozwiń pozycję Ustawienia zaawansowane w okienku Przekazywanie obiektu blob.

4. Znajdź sekcję listy rozwijanej Zakres szyfrowania. Domyślnie obiekt blob jest tworzony z domyślnym zakresem szyfrowania dla kontenera, jeśli został określony. Jeśli kontener wymaga, aby obiekty blob używały domyślnego zakresu szyfrowania, ta sekcja jest wyłączona.

5. Aby określić inny zakres przekazywanego obiektu blob, wybierz pozycję Wybierz istniejący zakres, a następnie wybierz żądany zakres z listy rozwijanej.

   

Program PowerShell

Aby przekazać obiekt blob z zakresem szyfrowania za pomocą programu PowerShell, wywołaj polecenie Set-AzStorageBlobContent i podaj zakres szyfrowania dla obiektu blob.

$containerName2 = "container2"
$localSrcFile = "C:\temp\helloworld.txt"
$ctx = New-AzStorageContext -StorageAccountName $accountName -UseConnectedAccount

# Create a container with no default scope defined.
New-AzStorageContainer -Name $containerName2 -Context $ctx

# Upload a block upload with an encryption scope specified.
Set-AzStorageBlobContent -Context $ctx `
    -Container $containerName2 `
    -File $localSrcFile `
    -Blob "helloworld.txt" `
    -BlobType Block `
    -EncryptionScope $scopeName2

Interfejs wiersza polecenia platformy Azure

Aby przekazać obiekt blob z zakresem szyfrowania za pośrednictwem interfejsu wiersza polecenia platformy Azure, wywołaj polecenie az storage blob upload i podaj zakres szyfrowania dla obiektu blob.

Jeśli używasz usługi Azure Cloud Shell, wykonaj kroki opisane w temacie Przekazywanie obiektu blob , aby utworzyć plik w katalogu głównym. Następnie możesz przekazać ten plik do obiektu blob, korzystając z poniższego przykładu.

az storage blob upload \
    --account-name <storage-account> \
    --container-name <container> \
    --file <file> \
    --name <file> \
    --encryption-scope <encryption-scope>

Zmienianie klucza szyfrowania dla zakresu

Aby zmienić klucz, który chroni zakres szyfrowania przed kluczem zarządzanym przez firmę Microsoft do klucza zarządzanego przez klienta, najpierw upewnij się, że włączono klucze zarządzane przez klienta za pomocą usługi Azure Key Vault lub modułu HSM usługi Key Vault dla konta magazynu. Aby uzyskać więcej informacji, zobacz Konfigurowanie szyfrowania przy użyciu kluczy zarządzanych przez klienta przechowywanych w usłudze Azure Key Vault lub Konfigurowanie szyfrowania przy użyciu kluczy zarządzanych przez klienta przechowywanych w usłudze Azure Key Vault.

Portal

Aby zmienić klucz, który chroni zakres w witrynie Azure Portal, wykonaj następujące kroki:

1. Przejdź do karty Zakresy szyfrowania, aby wyświetlić listę zakresów szyfrowania dla konta magazynu.
2. Wybierz przycisk Więcej obok zakresu, który chcesz zmodyfikować.
3. W okienku Edytowanie zakresu szyfrowania można zmienić typ szyfrowania z klucza zarządzanego przez firmę Microsoft na klucz zarządzany przez klienta lub odwrotnie.
4. Aby wybrać nowy klucz zarządzany przez klienta, wybierz pozycję Użyj nowego klucza i określ magazyn kluczy , klucz i wersję klucza.

Program PowerShell

Aby zmienić klucz, który chroni zakres szyfrowania przed kluczem zarządzanym przez klienta do klucza zarządzanego przez firmę Microsoft za pomocą programu PowerShell, wywołaj polecenie Update-AzStorageEncryptionScope i przekaż -StorageEncryption parametr :

Update-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName2 `
    -StorageEncryption

Następnie wywołaj polecenie Update-AzStorageEncryptionScope i przekaż -KeyUri parametry i -KeyvaultEncryption :

Update-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName1 `
    -KeyUri $keyUri `
    -KeyvaultEncryption

Interfejs wiersza polecenia platformy Azure

Aby zmienić klucz, który chroni zakres szyfrowania przed kluczem zarządzanym przez klienta do klucza zarządzanego przez firmę Microsoft za pomocą interfejsu wiersza polecenia platformy Azure, wywołaj polecenie az storage account encryption-scope update i przekaż --key-source parametr z wartością Microsoft.Storage:

az storage account encryption-scope update \
    --account-name <storage-account> \
    --resource-group <resource-group>
    --name <encryption-scope> \
    --key-source Microsoft.Storage

Następnie wywołaj polecenie az storage account encryption-scope update , przekaż parametr i przekaż --key-uri --key-source parametr z wartością Microsoft.KeyVault:

az storage account encryption-scope update \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.KeyVault \
    --key-uri <key-uri>

Wyłączanie zakresu szyfrowania

Wyłącz wszelkie zakresy szyfrowania, które nie są potrzebne, aby uniknąć niepotrzebnych opłat. Aby uzyskać więcej informacji, zobacz Rozliczenia dla zakresów szyfrowania.

Portal

Aby wyłączyć zakres szyfrowania w witrynie Azure Portal, przejdź do ustawienia Zakresy szyfrowania dla konta magazynu, wybierz żądany zakres szyfrowania i wybierz pozycję Wyłącz.

Program PowerShell

Aby wyłączyć zakres szyfrowania za pomocą programu PowerShell, wywołaj polecenie Update-AzStorageEncryptionScope i dołącz -State parametr z wartością disabled, jak pokazano w poniższym przykładzie. Aby ponownie włączyć zakres szyfrowania, wywołaj to samo polecenie z parametrem ustawionym -State na enabled. Pamiętaj, aby zastąpić wartości symboli zastępczych w przykładzie własnymi wartościami:

Update-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName1 `
    -State disabled

Interfejs wiersza polecenia platformy Azure

Aby wyłączyć zakres szyfrowania za pomocą interfejsu wiersza polecenia platformy Azure, wywołaj polecenie az storage account encryption-scope update i dołącz --state parametr z wartością Disabled, jak pokazano w poniższym przykładzie. Aby ponownie włączyć zakres szyfrowania, wywołaj to samo polecenie z parametrem ustawionym --state na Enabled. Pamiętaj, aby zastąpić wartości symboli zastępczych w przykładzie własnymi wartościami:

az storage account encryption-scope update \
    --account-name <storage-account> \
    --resource-group <resource-group> \
    --name <encryption-scope> \
    --state Disabled

Ważne

Nie można usunąć zakresu szyfrowania. Aby uniknąć nieoczekiwanych kosztów, pamiętaj, aby wyłączyć wszystkie zakresy szyfrowania, których obecnie nie potrzebujesz.

Następne kroki

• Szyfrowanie w usłudze Azure Storage dla danych magazynowanych
• Zakresy szyfrowania dla usługi Blob Storage
• Klucze zarządzane przez klienta dla usługi Azure Storage
• Włączanie szyfrowania infrastruktury na potrzeby podwójnego szyfrowania danych