Konfigurowanie kluczy zarządzanych przez klienta w tej samej dzierżawie dla nowego konta magazynu

Artykuł
03/23/2023

Usługa Azure Storage szyfruje wszystkie dane na koncie magazynu magazynowanych. Domyślnie dane są szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft. Aby uzyskać dodatkową kontrolę nad kluczami szyfrowania, możesz zarządzać własnymi kluczami. Klucze zarządzane przez klienta muszą być przechowywane w usłudze Azure Key Vault lub w modelu zabezpieczeń sprzętu zarządzanego przez usługę Azure Key Vault (HSM).

W tym artykule pokazano, jak skonfigurować szyfrowanie przy użyciu kluczy zarządzanych przez klienta w czasie tworzenia nowego konta magazynu. Klucze zarządzane przez klienta są przechowywane w magazynie kluczy.

Aby dowiedzieć się, jak skonfigurować klucze zarządzane przez klienta dla istniejącego konta magazynu, zobacz Konfigurowanie kluczy zarządzanych przez klienta w magazynie kluczy platformy Azure dla istniejącego konta magazynu.

Uwaga

Usługi Azure Key Vault i Azure Key Vault Managed HSM obsługują te same interfejsy API i interfejsy zarządzania na potrzeby konfiguracji kluczy zarządzanych przez klienta. Każda akcja obsługiwana dla usługi Azure Key Vault jest również obsługiwana w przypadku zarządzanego modułu HSM platformy Azure Key Vault.

Konfigurowanie magazynu kluczy

Do przechowywania kluczy zarządzanych przez klienta można użyć nowego lub istniejącego magazynu kluczy. Konto magazynu i magazyn kluczy mogą znajdować się w różnych regionach lub subskrypcjach w tej samej dzierżawie. Aby dowiedzieć się więcej na temat usługi Azure Key Vault, zobacz Omówienie usługi Azure Key Vault i Co to jest usługa Azure Key Vault?.

Korzystanie z kluczy zarządzanych przez klienta z szyfrowaniem usługi Azure Storage wymaga włączenia ochrony przed usuwaniem nietrwałym i przeczyszczeniem magazynu kluczy. Usuwanie nietrwałe jest domyślnie włączone podczas tworzenia nowego magazynu kluczy i nie można go wyłączyć. Ochronę przeczyszczania można włączyć podczas tworzenia magazynu kluczy lub po jego utworzeniu.

Usługa Azure Key Vault obsługuje autoryzację za pomocą kontroli dostępu opartej na rolach platformy Azure za pośrednictwem modelu uprawnień RBAC platformy Azure. Firma Microsoft zaleca korzystanie z modelu uprawnień RBAC platformy Azure za pośrednictwem zasad dostępu do magazynu kluczy. Aby uzyskać więcej informacji, zobacz Udzielanie aplikacji uprawnień dostępu do magazynu kluczy platformy Azure przy użyciu kontroli dostępu opartej na rolach platformy Azure.

Aby dowiedzieć się, jak utworzyć magazyn kluczy za pomocą Azure Portal, zobacz Szybki start: tworzenie magazynu kluczy przy użyciu Azure Portal. Podczas tworzenia magazynu kluczy wybierz pozycję Włącz ochronę przeczyszczania, jak pokazano na poniższej ilustracji.

Zrzut ekranu przedstawiający sposób włączania ochrony przed przeczyszczeniem podczas tworzenia magazynu kluczy.

Aby włączyć ochronę przeczyszczania w istniejącym magazynie kluczy, wykonaj następujące kroki:

Przejdź do magazynu kluczy w Azure Portal.
W obszarze Ustawienia wybierz pozycję Właściwości.
W sekcji Przeczyszczanie ochrony wybierz pozycję Włącz ochronę przeczyszczania.

Aby utworzyć nowy magazyn kluczy za pomocą programu PowerShell, zainstaluj wersję 2.0.0 lub nowszą modułu Az.KeyVault programu PowerShell. Następnie wywołaj polecenie New-AzKeyVault , aby utworzyć nowy magazyn kluczy. W wersji 2.0.0 lub nowszej modułu Az.KeyVault usuwanie nietrwałe jest domyślnie włączone podczas tworzenia nowego magazynu kluczy.

Poniższy przykład tworzy nowy magazyn kluczy z włączoną ochroną usuwania nietrwałego i przeczyszczania. Model uprawnień magazynu kluczy jest ustawiony na korzystanie z kontroli dostępu opartej na rolach platformy Azure. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami.

$rgName = "<resource_group>"
$location = "<location>"
$kvName = "<key-vault>"

$keyVault = New-AzKeyVault -Name $kvName `
    -ResourceGroupName $rgName `
    -Location $location `
    -EnablePurgeProtection `
    -EnableRbacAuthorization

Aby dowiedzieć się, jak włączyć ochronę przeczyszczania w istniejącym magazynie kluczy za pomocą programu PowerShell, zobacz Omówienie odzyskiwania w usłudze Azure Key Vault.

Po utworzeniu magazynu kluczy musisz przypisać do siebie rolę Key Vault Crypto Officer. Ta rola umożliwia utworzenie klucza w magazynie kluczy. Poniższy przykład przypisuje tę rolę użytkownikowi z zakresem do magazynu kluczy:

New-AzRoleAssignment -SignInName "<user-email>" `
    -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $keyVault.ResourceId

Aby uzyskać więcej informacji na temat przypisywania roli RBAC za pomocą programu PowerShell, zobacz Przypisywanie ról platformy Azure przy użyciu Azure PowerShell.

Aby utworzyć nowy magazyn kluczy przy użyciu interfejsu wiersza polecenia platformy Azure, wywołaj polecenie az keyvault create. Poniższy przykład tworzy nowy magazyn kluczy z włączoną ochroną usuwania nietrwałego i przeczyszczania. Model uprawnień magazynu kluczy jest ustawiony na korzystanie z kontroli dostępu opartej na rolach platformy Azure. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami.

rgName="<resource_group>"
location="<location>"
kvName="<key-vault>"

az keyvault create \
    --name $kvName \
    --resource-group $rgName \
    --location $location \
    --enable-purge-protection \
    --enable-rbac-authorization

Aby dowiedzieć się, jak włączyć ochronę przeczyszczania w istniejącym magazynie kluczy za pomocą interfejsu wiersza polecenia platformy Azure, zobacz Omówienie odzyskiwania w usłudze Azure Key Vault recovery.

kvResourceId=$(az keyvault show --resource-group $rgName \
    --name $kvName \
    --query id \
    --output tsv)

az role assignment create --assignee "<user-email>" \
    --role "Key Vault Crypto Officer" \
    --scope $kvResourceId

Aby uzyskać więcej informacji na temat przypisywania roli RBAC za pomocą interfejsu wiersza polecenia platformy Azure, zobacz Przypisywanie ról platformy Azure przy użyciu interfejsu wiersza polecenia platformy Azure.

Dodawanie klucza

Następnie dodaj klucz do magazynu kluczy. Przed dodaniem klucza upewnij się, że przypisano ci rolę Key Vault Crypto Officer.

Szyfrowanie usługi Azure Storage obsługuje klucze RSA i RSA-HSM o rozmiarach 2048, 3072 i 4096. Aby uzyskać więcej informacji na temat obsługiwanych typów kluczy, zobacz Informacje o kluczach.

Aby dowiedzieć się, jak dodać klucz za pomocą Azure Portal, zobacz Szybki start: ustawianie i pobieranie klucza z usługi Azure Key Vault przy użyciu Azure Portal.

Aby dodać klucz za pomocą programu PowerShell, wywołaj polecenie Add-AzKeyVaultKey. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami i użyć zmiennych zdefiniowanych w poprzednich przykładach.

$keyName = "<key-name>"

$key = Add-AzKeyVaultKey -VaultName $keyVault.VaultName `
    -Name $keyName `
    -Destination 'Software'

Aby dodać klucz za pomocą interfejsu wiersza polecenia platformy Azure, wywołaj polecenie az keyvault key create. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami.

keyName="<key-name>"

az keyvault key create \
    --name $keyName \
    --vault-name $kvName

Używanie tożsamości zarządzanej przypisanej przez użytkownika do autoryzowania dostępu do magazynu kluczy

Po włączeniu kluczy zarządzanych przez klienta dla nowego konta magazynu należy określić tożsamość zarządzaną przypisaną przez użytkownika. Istniejące konto magazynu obsługuje używanie tożsamości zarządzanej przypisanej przez użytkownika lub przypisanej przez system tożsamości zarządzanej w celu skonfigurowania kluczy zarządzanych przez klienta.

Podczas konfigurowania kluczy zarządzanych przez klienta przy użyciu tożsamości zarządzanej przypisanej przez użytkownika tożsamość zarządzana przypisana przez użytkownika jest używana do autoryzowania dostępu do magazynu kluczy zawierającego klucz. Przed skonfigurowaniem kluczy zarządzanych przez klienta należy utworzyć tożsamość przypisaną przez użytkownika.

Tożsamość zarządzana przypisana przez użytkownika jest autonomicznym zasobem platformy Azure. Aby dowiedzieć się więcej o tożsamościach zarządzanych przypisanych przez użytkownika, zobacz Typy tożsamości zarządzanych. Aby dowiedzieć się, jak utworzyć tożsamość zarządzaną przypisaną przez użytkownika i zarządzać nią, zobacz Zarządzanie tożsamościami zarządzanymi przypisanymi przez użytkownika.

Tożsamość zarządzana przypisana przez użytkownika musi mieć uprawnienia dostępu do klucza w magazynie kluczy. Przypisz rolę użytkownika szyfrowania usługi kryptograficznej Key Vault do przypisanej przez użytkownika tożsamości zarządzanej z zakresem magazynu kluczy, aby udzielić tych uprawnień.

Aby można było skonfigurować klucze zarządzane przez klienta przy użyciu tożsamości zarządzanej przypisanej przez użytkownika, musisz przypisać rolę użytkownika szyfrowania usługi kryptograficznej Key Vault do przypisanej przez użytkownika tożsamości zarządzanej, w zakresie do magazynu kluczy. Ta rola udziela uprawnień tożsamości zarządzanej przypisanej przez użytkownika w celu uzyskania dostępu do klucza w magazynie kluczy. Aby uzyskać więcej informacji na temat przypisywania ról RBAC platformy Azure za pomocą Azure Portal, zobacz Przypisywanie ról platformy Azure przy użyciu Azure Portal.

Podczas konfigurowania kluczy zarządzanych przez klienta za pomocą Azure Portal można wybrać istniejącą tożsamość przypisaną przez użytkownika za pośrednictwem interfejsu użytkownika portalu.

W poniższym przykładzie pokazano, jak pobrać tożsamość zarządzaną przypisaną przez użytkownika i przypisać do niej wymaganą rolę RBAC w zakresie do magazynu kluczy. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami i użyć zmiennych zdefiniowanych w poprzednich przykładach:

$userIdentity = Get-AzUserAssignedIdentity -Name <user-assigned-identity> `
    -ResourceGroupName $rgName

$principalId = $userIdentity.PrincipalId

New-AzRoleAssignment -ObjectId $principalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

identityResourceId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query id \
    --output tsv)

principalId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query principalId \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId \
    --assignee-principal-type ServicePrincipal

Konfigurowanie kluczy zarządzanych przez klienta dla nowego konta magazynu

Podczas konfigurowania szyfrowania przy użyciu kluczy zarządzanych przez klienta dla nowego konta magazynu można automatycznie zaktualizować wersję klucza używaną do szyfrowania usługi Azure Storage za każdym razem, gdy nowa wersja jest dostępna w skojarzonym magazynie kluczy. Alternatywnie można jawnie określić wersję klucza, która ma być używana do szyfrowania, dopóki wersja klucza nie zostanie ręcznie zaktualizowana.

Należy użyć istniejącej tożsamości zarządzanej przypisanej przez użytkownika, aby autoryzować dostęp do magazynu kluczy podczas konfigurowania kluczy zarządzanych przez klienta podczas tworzenia konta magazynu. Tożsamość zarządzana przypisana przez użytkownika musi mieć odpowiednie uprawnienia dostępu do magazynu kluczy. Aby uzyskać więcej informacji, zobacz Uwierzytelnianie w usłudze Azure Key Vault.

Konfigurowanie szyfrowania pod kątem automatycznego aktualizowania wersji kluczy

Usługa Azure Storage może automatycznie zaktualizować klucz zarządzany przez klienta, który jest używany do szyfrowania w celu korzystania z najnowszej wersji klucza z magazynu kluczy. Usługa Azure Storage codziennie sprawdza magazyn kluczy pod kątem nowej wersji klucza. Gdy nowa wersja stanie się dostępna, usługa Azure Storage automatycznie zacznie używać najnowszej wersji klucza do szyfrowania.

Ważne

Usługa Azure Storage sprawdza magazyn kluczy tylko raz dziennie dla nowej wersji klucza. Podczas obracania klucza pamiętaj, aby poczekać 24 godziny przed wyłączeniem starszej wersji.

Aby skonfigurować klucze zarządzane przez klienta dla nowego konta magazynu z automatycznym aktualizowaniem wersji klucza, wykonaj następujące kroki:

W Azure Portal przejdź do strony Konta magazynu i wybierz przycisk Utwórz, aby utworzyć nowe konto.
Wykonaj kroki opisane w temacie Tworzenie konta magazynu , aby wypełnić pola na kartach Podstawowe, Zaawansowane, Sieciowe i Ochrona danych .
Na karcie Szyfrowanie wskaż usługi, dla których usług chcesz włączyć obsługę kluczy zarządzanych przez klienta, w polu Włącz obsługę kluczy zarządzanych przez klienta .
W polu Typ szyfrowania wybierz pozycję Klucze zarządzane przez klienta (CMK).
W polu Klucz szyfrowania wybierz pozycję Wybierz magazyn kluczy i klucz, a następnie określ magazyn kluczy i klucz.
W polu Tożsamość przypisana przez użytkownika wybierz istniejącą tożsamość zarządzaną przypisaną przez użytkownika.
Wybierz przycisk Przejrzyj , aby zweryfikować i utworzyć konto.

Klucze zarządzane przez klienta można również skonfigurować przy użyciu ręcznego aktualizowania wersji klucza podczas tworzenia nowego konta magazynu. Wykonaj kroki opisane w temacie Konfigurowanie szyfrowania na potrzeby ręcznego aktualizowania wersji kluczy.

Aby skonfigurować klucze zarządzane przez klienta dla nowego konta magazynu z automatycznym aktualizowaniem wersji klucza, wywołaj polecenie New-AzStorageAccount, jak pokazano w poniższym przykładzie. Użyj wcześniej utworzonej zmiennej dla identyfikatora zasobu tożsamości zarządzanej przypisanej przez użytkownika. Będziesz również potrzebować identyfikatora URI magazynu kluczy i nazwy klucza:

$accountName = "<storage-account>"

New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Kind StorageV2 `
    -SkuName Standard_LRS `
    -Location $location `
    -AllowBlobPublicAccess $false `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

Aby skonfigurować klucze zarządzane przez klienta dla nowego konta magazynu z automatycznym aktualizowaniem wersji klucza, wywołaj polecenie az storage account create, jak pokazano w poniższym przykładzie. Użyj wcześniej utworzonej zmiennej dla identyfikatora zasobu tożsamości zarządzanej przypisanej przez użytkownika. Będziesz również potrzebować identyfikatora URI magazynu kluczy i nazwy klucza:

accountName="<storage-account>"

az storage account create \
    --name $accountName \
    --resource-group $rgName \
    --location $location \
    --sku Standard_LRS \
    --kind StorageV2 \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-vault <key-vault-uri> \
    --encryption-key-name $keyName \
    --encryption-key-source Microsoft.Keyvault \
    --key-vault-user-identity-id $identityResourceId

Konfigurowanie szyfrowania na potrzeby ręcznego aktualizowania wersji kluczy

Jeśli wolisz ręcznie zaktualizować wersję klucza, jawnie określ wersję podczas konfigurowania szyfrowania przy użyciu kluczy zarządzanych przez klienta podczas tworzenia konta magazynu. W takim przypadku usługa Azure Storage nie zaktualizuje automatycznie wersji klucza po utworzeniu nowej wersji w magazynie kluczy. Aby użyć nowej wersji klucza, należy ręcznie zaktualizować wersję używaną do szyfrowania usługi Azure Storage.

Aby autoryzować dostęp do magazynu kluczy podczas konfigurowania kluczy zarządzanych przez klienta podczas tworzenia konta magazynu, musisz użyć istniejącej tożsamości zarządzanej przez użytkownika. Tożsamość zarządzana przypisana przez użytkownika musi mieć odpowiednie uprawnienia dostępu do magazynu kluczy. Aby uzyskać więcej informacji, zobacz Uwierzytelnianie w usłudze Azure Key Vault.

Aby skonfigurować klucze zarządzane przez klienta przy użyciu ręcznego aktualizowania wersji klucza w Azure Portal, określ identyfikator URI klucza, w tym wersję podczas tworzenia konta magazynu. Aby określić klucz jako identyfikator URI, wykonaj następujące kroki:

W Azure Portal przejdź do strony Konta magazynu i wybierz przycisk Utwórz, aby utworzyć nowe konto.
Wykonaj kroki opisane w temacie Tworzenie konta magazynu , aby wypełnić pola na kartach Podstawowe, Zaawansowane, Sieciowe i Ochrona danych .
Na karcie Szyfrowanie wskaż usługi, dla których usług chcesz włączyć obsługę kluczy zarządzanych przez klienta, w polu Włącz obsługę kluczy zarządzanych przez klienta .
W polu Typ szyfrowania wybierz pozycję Klucze zarządzane przez klienta (CMK).
Aby zlokalizować identyfikator URI klucza w Azure Portal, przejdź do magazynu kluczy i wybierz ustawienie Klucze. Wybierz żądany klucz, a następnie wybierz klucz, aby wyświetlić jego wersje. Wybierz wersję klucza, aby wyświetlić ustawienia dla tej wersji.
Skopiuj wartość pola Identyfikator klucza , które zawiera identyfikator URI.
W ustawieniach klucza szyfrowania dla konta magazynu wybierz opcję Wprowadź identyfikator URI klucza .
Wklej skopiowany identyfikator URI do pola Identyfikator URI klucza . Uwzględnij wersję klucza w identyfikatorze URI, aby skonfigurować ręczne aktualizowanie wersji klucza.
Określ tożsamość zarządzaną przypisaną przez użytkownika, wybierając link Wybierz tożsamość .
Wybierz przycisk Przejrzyj , aby zweryfikować i utworzyć konto.

Aby skonfigurować klucze zarządzane przez klienta przy użyciu ręcznego aktualizowania wersji klucza, jawnie podaj wersję klucza podczas konfigurowania szyfrowania podczas tworzenia konta magazynu. Wywołaj metodę Set-AzStorageAccount , aby zaktualizować ustawienia szyfrowania konta magazynu, jak pokazano w poniższym przykładzie, i dołącz opcję -KeyvaultEncryption , aby włączyć klucze zarządzane przez klienta dla konta magazynu.

Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami i użyć zmiennych zdefiniowanych w poprzednich przykładach.

$accountName = "<storage-account>"

New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Kind StorageV2 `
    -SkuName Standard_LRS `
    -Location $location `
    -AllowBlobPublicAccess $false `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

Po ręcznym zaktualizowaniu wersji klucza należy zaktualizować ustawienia szyfrowania konta magazynu, aby używać nowej wersji. Najpierw wywołaj metodę Get-AzKeyVaultKey , aby uzyskać najnowszą wersję klucza. Następnie wywołaj polecenie Set-AzStorageAccount , aby zaktualizować ustawienia szyfrowania konta magazynu, aby użyć nowej wersji klucza, jak pokazano w poprzednim przykładzie.

Aby skonfigurować klucze zarządzane przez klienta przy użyciu ręcznego aktualizowania wersji klucza, jawnie podaj wersję klucza podczas konfigurowania szyfrowania podczas tworzenia konta magazynu. Wywołaj polecenie az storage account update , aby zaktualizować ustawienia szyfrowania konta magazynu, jak pokazano w poniższym przykładzie. --encryption-key-source Dołącz parametr i ustaw go w celu Microsoft.Keyvault włączenia kluczy zarządzanych przez klienta dla konta.

Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami.

accountName="<storage-account>"

key_vault_uri=$(az keyvault show \
    --name <key-vault> \
    --resource-group <resource_group> \
    --query properties.vaultUri \
    --output tsv)

key_version=$(az keyvault key list-versions \
    --name <key> \
    --vault-name <key-vault> \
    --query [-1].kid \
    --output tsv | cut -d '/' -f 6)

az storage account create \
    --name $accountName \
    --resource-group $rgName \
    --location $location \
    --sku Standard_LRS \
    --kind StorageV2 \
    --allow-blob-public-access false \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-vault $keyVaultUri \
    --encryption-key-name $keyName \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-version $keyVersion \
    --key-vault-user-identity-id $identityResourceId

Po ręcznym zaktualizowaniu wersji klucza należy zaktualizować ustawienia szyfrowania konta magazynu, aby używać nowej wersji. Najpierw wykonaj zapytanie dotyczące identyfikatora URI magazynu kluczy przez wywołanie polecenia az keyvault show i dla wersji klucza przez wywołanie polecenia az keyvault key list-versions. Następnie wywołaj polecenie az storage account update , aby zaktualizować ustawienia szyfrowania konta magazynu, aby użyć nowej wersji klucza, jak pokazano w poprzednim przykładzie.

Zmienianie klucza

Klucz używany do szyfrowania usługi Azure Storage można zmienić w dowolnym momencie.

Uwaga

Po zmianie klucza lub wersji klucza ochrona głównego klucza szyfrowania zmienia się, ale dane na koncie usługi Azure Storage pozostają szyfrowane przez cały czas. Ze swojej strony nie jest wymagana żadna dodatkowa akcja w celu zapewnienia, że dane są chronione. Zmiana klucza lub rotacja wersji klucza nie ma wpływu na wydajność. Nie ma przestoju związanego ze zmianą klucza lub rotacją wersji klucza.

Aby zmienić klucz przy użyciu Azure Portal, wykonaj następujące kroki:

Przejdź do konta magazynu i wyświetl ustawienia szyfrowania .
Wybierz magazyn kluczy i wybierz nowy klucz.
Zapisz zmiany.

Jeśli nowy klucz znajduje się w innym magazynie kluczy, musisz udzielić tożsamości zarządzanej dostępu do klucza w nowym magazynie. Jeśli wybierzesz ręczną aktualizację wersji klucza, konieczne będzie również zaktualizowanie identyfikatora URI magazynu kluczy.

Odwoływanie dostępu do konta magazynu korzystającego z kluczy zarządzanych przez klienta

Aby tymczasowo odwołać dostęp do konta magazynu korzystającego z kluczy zarządzanych przez klienta, wyłącz klucz aktualnie używany w magazynie kluczy. Nie ma wpływu na wydajność ani przestoju związanego z wyłączeniem i ponownym opublikowaniem klucza.

Po wyłączeniu klucza klienci nie mogą wywoływać operacji odczytujących lub zapisywanych w obiekcie blob lub jego metadanych. Aby uzyskać informacje o tym, które operacje nie powiedzą się, zobacz Odwoływanie dostępu do konta magazynu korzystającego z kluczy zarządzanych przez klienta.

Przestroga

Po wyłączeniu klucza w magazynie kluczy dane na koncie usługi Azure Storage pozostaną zaszyfrowane, ale staną się niedostępne do momentu ponownego włączenia klucza.

Aby wyłączyć klucz zarządzany przez klienta przy użyciu Azure Portal, wykonaj następujące kroki:

Przejdź do magazynu kluczy zawierającego klucz.
W obszarze Obiekty wybierz pozycję Klucze.
Kliknij prawym przyciskiem myszy klucz i wybierz polecenie Wyłącz.

Aby odwołać klucz zarządzany przez klienta za pomocą programu PowerShell, wywołaj polecenie Update-AzKeyVaultKey , jak pokazano w poniższym przykładzie. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami, aby zdefiniować zmienne, lub użyć zmiennych zdefiniowanych w poprzednich przykładach.

$kvName  = "<key-vault-name>"
$keyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it

# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $keyName -VaultName $kvName

# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $kvName -Name $keyName -Enable $enabled

Aby odwołać klucz zarządzany przez klienta za pomocą interfejsu wiersza polecenia platformy Azure, wywołaj polecenie az keyvault key set-attributes , jak pokazano w poniższym przykładzie. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami, aby zdefiniować zmienne, lub użyć zmiennych zdefiniowanych w poprzednich przykładach.

kvName="<key-vault-name>"
keyName="<key-name>"
enabled="false"
# "false" to disable the key / "true" to enable it:

# Check the current state of the key (before and after enabling/disabling it)
az keyvault key show \
    --vault-name $kvName \
    --name $keyName

# Disable (or enable) the key
az keyvault key set-attributes \
    --vault-name $kvName \
    --name $keyName \
    --enabled $enabled

Wyłączenie klucza spowoduje, że próby uzyskania dostępu do danych na koncie magazynu kończą się niepowodzeniem z kodem błędu 403 (Zabronione). Aby uzyskać listę operacji konta magazynu, których dotyczy wyłączenie klucza, zobacz Odwoływanie dostępu do konta magazynu korzystającego z kluczy zarządzanych przez klienta.

Przełącz się z powrotem do kluczy zarządzanych przez firmę Microsoft

W dowolnym momencie możesz przełączyć się z kluczy zarządzanych przez klienta do kluczy zarządzanych przez firmę Microsoft, korzystając z Azure Portal, programu PowerShell lub interfejsu wiersza polecenia platformy Azure.

Aby przełączyć się z kluczy zarządzanych przez klienta z powrotem do kluczy zarządzanych przez firmę Microsoft w Azure Portal, wykonaj następujące kroki:

Przejdź do konta magazynu.
W obszarze Zabezpieczenia i sieć wybierz pozycję Szyfrowanie.
Zmień typ szyfrowania na klucze zarządzane przez firmę Microsoft.

Aby przełączyć się z kluczy zarządzanych przez klienta z powrotem do kluczy zarządzanych przez firmę Microsoft za pomocą programu PowerShell, wywołaj polecenie Set-AzStorageAccount z opcją -StorageEncryption , jak pokazano w poniższym przykładzie. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami i użyć zmiennych zdefiniowanych w poprzednich przykładach.

Set-AzStorageAccount -ResourceGroupName $storageAccount.ResourceGroupName `
    -AccountName $storageAccount.StorageAccountName `
    -StorageEncryption

Aby przełączyć się z kluczy zarządzanych przez klienta z powrotem do kluczy zarządzanych przez firmę Microsoft za pomocą interfejsu wiersza polecenia platformy Azure, wywołaj polecenie az storage account update i ustaw wartość --encryption-key-source parameterMicrosoft.Storagena , jak pokazano w poniższym przykładzie. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami i użyć zmiennych zdefiniowanych w poprzednich przykładach.

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-source Microsoft.Storage