Tworzenie konta obsługującego klucze zarządzane przez klienta dla tabel i kolejek

Artykuł
12/05/2022
Czas czytania: 6 min

Usługa Azure Storage szyfruje wszystkie dane na koncie magazynu magazynowanych. Domyślnie usługa Queue Storage i usługa Table Storage używają klucza, który jest zakresem usługi i zarządzanej przez firmę Microsoft. Możesz również użyć kluczy zarządzanych przez klienta do szyfrowania danych kolejki lub tabeli. Aby używać kluczy zarządzanych przez klienta z kolejkami i tabelami, należy najpierw utworzyć konto magazynu, które używa klucza szyfrowania, który ma zakres dla konta, a nie do usługi. Po utworzeniu konta, które używa klucza szyfrowania konta dla danych kolejki i tabeli, można skonfigurować klucze zarządzane przez klienta dla tego konta magazynu.

W tym artykule opisano sposób tworzenia konta magazynu, które opiera się na kluczu, który ma zakres dla konta. Po pierwszym utworzeniu konta firma Microsoft używa klucza konta do szyfrowania danych na koncie, a firma Microsoft zarządza kluczem. Następnie można skonfigurować klucze zarządzane przez klienta, aby korzystać z tych korzyści, w tym możliwość udostępniania własnych kluczy, aktualizowanie wersji klucza, obracanie kluczy i odwoływanie kontroli dostępu.

Tworzenie konta korzystającego z klucza szyfrowania konta

Należy skonfigurować nowe konto magazynu, aby używać klucza szyfrowania konta dla kolejek i tabel w czasie tworzenia konta magazynu. Nie można zmienić zakresu klucza szyfrowania po utworzeniu konta.

Konto magazynu musi mieć typ ogólnego przeznaczenia w wersji 2. Możesz utworzyć konto magazynu i skonfigurować je tak, aby polegał na kluczu szyfrowania konta przy użyciu szablonu Azure Portal, programu PowerShell, interfejsu wiersza polecenia platformy Azure lub szablonu usługi Azure Resource Manager.

Aby dowiedzieć się więcej na temat tworzenia konta magazynu, zobacz Tworzenie konta magazynu.

Uwaga

Po utworzeniu konta magazynu można opcjonalnie skonfigurować tylko usługę Queue and Table Storage do szyfrowania danych przy użyciu klucza szyfrowania konta. Usługa Blob Storage i Azure Files zawsze używać klucza szyfrowania konta do szyfrowania danych.

Aby utworzyć konto magazynu oparte na kluczu szyfrowania konta przy użyciu Azure Portal, wykonaj następujące kroki:

W menu portalu po lewej stronie wybierz pozycję Storage konta, aby wyświetlić listę kont magazynu.
Na stronie Storage kont wybierz pozycję Nowy.
Wypełnij pola na karcie Podstawy .
Na karcie Zaawansowane znajdź sekcję Tabele i kolejki , a następnie wybierz pozycję Włącz obsługę kluczy zarządzanych przez klienta.

Aby użyć programu PowerShell do utworzenia konta magazynu opartego na kluczu szyfrowania konta, upewnij się, że zainstalowano moduł Azure PowerShell w wersji 3.4.0 lub nowszej. Aby uzyskać więcej informacji, zobacz Instalowanie modułu Azure PowerShell.

Następnie utwórz konto magazynu ogólnego przeznaczenia w wersji 2, wywołując polecenie New-AzStorageAccount z odpowiednimi parametrami:

Uwzględnij -EncryptionKeyTypeForQueue opcję i ustaw jej wartość, aby Account użyć klucza szyfrowania konta do szyfrowania danych w usłudze Queue Storage.
Uwzględnij -EncryptionKeyTypeForTable opcję i ustaw jej wartość, aby Account użyć klucza szyfrowania konta do szyfrowania danych w usłudze Table Storage.

W poniższym przykładzie pokazano, jak utworzyć konto magazynu ogólnego przeznaczenia w wersji 2 skonfigurowane na potrzeby magazynu geograficznie nadmiarowego dostępu do odczytu (RA-GRS) i używa klucza szyfrowania konta do szyfrowania danych zarówno dla usługi Queue, jak i Table Storage. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami:

New-AzStorageAccount -ResourceGroupName <resource_group> `
    -AccountName <storage-account> `
    -Location <location> `
    -SkuName "Standard_RAGRS" `
    -Kind StorageV2 `
    -EncryptionKeyTypeForTable Account `
    -EncryptionKeyTypeForQueue Account

Aby użyć interfejsu wiersza polecenia platformy Azure do utworzenia konta opartego na kluczu szyfrowania konta, upewnij się, że zainstalowano interfejs wiersza polecenia platformy Azure w wersji 2.0.80 lub nowszej. Aby uzyskać więcej informacji, zobacz Instalowanie interfejsu wiersza polecenia platformy Azure.

Następnie utwórz konto magazynu ogólnego przeznaczenia w wersji 2, wywołując polecenie az storage account create z odpowiednimi parametrami:

Uwzględnij --encryption-key-type-for-queue opcję i ustaw jej wartość, aby Account użyć klucza szyfrowania konta do szyfrowania danych w usłudze Queue Storage.
Uwzględnij --encryption-key-type-for-table opcję i ustaw jej wartość, aby Account użyć klucza szyfrowania konta do szyfrowania danych w usłudze Table Storage.

az storage account create \
    --name <storage-account> \
    --resource-group <resource-group> \
    --location <location> \
    --sku Standard_RAGRS \
    --kind StorageV2 \
    --encryption-key-type-for-table Account \
    --encryption-key-type-for-queue Account

Poniższy przykład JSON tworzy konto magazynu ogólnego przeznaczenia w wersji 2 skonfigurowane na potrzeby magazynu geograficznie nadmiarowego dostępu do odczytu (RA-GRS) i używa klucza szyfrowania konta do szyfrowania danych zarówno dla usługi Queue, jak i Table Storage. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach kątowych własnymi wartościami:

"resources": [
    {
        "type": "Microsoft.Storage/storageAccounts",
        "apiVersion": "2019-06-01",
        "name": "[parameters('<storage-account>')]",
        "location": "[parameters('<location>')]",
        "dependsOn": [],
        "tags": {},
        "sku": {
            "name": "[parameters('Standard_RAGRS')]"
        },
        "kind": "[parameters('StorageV2')]",
        "properties": {
            "accessTier": "[parameters('<accessTier>')]",
            "supportsHttpsTrafficOnly": "[parameters('supportsHttpsTrafficOnly')]",
            "largeFileSharesState": "[parameters('<largeFileSharesState>')]",
            "encryption": {
                "services": {
                    "queue": {
                        "keyType": "Account"
                    },
                    "table": {
                        "keyType": "Account"
                    }
                },
                "keySource": "Microsoft.Storage"
            }
        }
    }
],

Po utworzeniu konta, które opiera się na kluczu szyfrowania konta, można skonfigurować klucze zarządzane przez klienta przechowywane w usłudze Azure Key Vault lub w Key Vault zarządzanym modelu zabezpieczeń sprzętu (HSM). Aby dowiedzieć się, jak przechowywać klucze zarządzane przez klienta w magazynie kluczy, zobacz Konfigurowanie szyfrowania przy użyciu kluczy zarządzanych przez klienta przechowywanych w usłudze Azure Key Vault. Aby dowiedzieć się, jak przechowywać klucze zarządzane przez klienta w zarządzanym module HSM, zobacz Konfigurowanie szyfrowania przy użyciu kluczy zarządzanych przez klienta przechowywanych w zarządzanym module HSM platformy Azure Key Vault.

Weryfikowanie klucza szyfrowania konta

Po utworzeniu konta możesz sprawdzić, czy konto magazynu korzysta z klucza szyfrowania, który ma zakres dla konta przy użyciu Azure Portal, programu PowerShell lub interfejsu wiersza polecenia platformy Azure.

Aby sprawdzić, czy usługa na koncie magazynu korzysta z klucza szyfrowania, który ma zakres dla konta z Azure Portal, wykonaj następujące kroki:

W witrynie Azure Portal przejdź do swojego nowego konta magazynu.
W sekcji Zabezpieczenia i sieć wybierz pozycję Szyfrowanie.
Jeśli konto magazynu zostało utworzone w celu polegania na kluczu szyfrowania konta, zobaczysz na karcie Szyfrowanie, że klucze zarządzane przez klienta można włączyć dla wszystkich czterech usług azure Storage: obiektów blob, plików, tabel i kolejek.

Aby sprawdzić, czy usługa na koncie magazynu używa klucza szyfrowania konta w programie PowerShell, wywołaj polecenie Get-AzStorageAccount . To polecenie zwraca zestaw właściwości konta magazynu i ich wartości. KeyType Poszukaj pola dla każdej usługi we Encryption właściwości i sprawdź, czy jest ona ustawiona na Account.

$account = Get-AzStorageAccount -ResourceGroupName <resource-group> `
    -StorageAccountName <storage-account>
$account.Encryption.Services.Queue
$account.Encryption.Services.Table

Aby sprawdzić, czy usługa na koncie magazynu używa klucza szyfrowania konta za pomocą interfejsu wiersza polecenia platformy Azure, wywołaj polecenie az storage account show . To polecenie zwraca zestaw właściwości konta magazynu i ich wartości. keyType Poszukaj pola dla każdej usługi we właściwości szyfrowania i sprawdź, czy jest ona ustawiona na Account.

az storage account show \
    --name <storage-account> \
    --resource-group <resource-group>

Po zweryfikowaniu, że konto magazynu używa klucza szyfrowania, który ma zakres dla konta, możesz włączyć klucze zarządzane przez klienta dla konta. Wszystkie cztery usługi azure Storage — obiekty blob, pliki, tabele i kolejki — będą następnie używać klucza zarządzanego przez klienta do szyfrowania.

Cennik i rozliczenia

Konto magazynu utworzone do używania klucza szyfrowania ograniczonego do konta jest rozliczane za pojemność magazynu tabel i transakcje o innej szybkości niż konto, które używa domyślnego klucza o zakresie usługi. Aby uzyskać szczegółowe informacje, zobacz Cennik usługi Azure Table Storage.

Tworzenie konta obsługującego klucze zarządzane przez klienta dla tabel i kolejek

Tworzenie konta korzystającego z klucza szyfrowania konta

Weryfikowanie klucza szyfrowania konta

Cennik i rozliczenia

Następne kroki

Dodatkowe zasoby

Dodatkowe zasoby