Criar e gerenciar escopos de criptografia

Os âmbitos de encriptação permitem-lhe gerir a encriptação ao nível de um contentor ou blob individual. Você pode usar escopos de criptografia para criar limites seguros entre dados que residem na mesma conta de armazenamento, mas pertencem a clientes diferentes. Para obter mais informações sobre escopos de criptografia, consulte Escopos de criptografia para armazenamento de Blob.

Este artigo mostra como criar um escopo de criptografia. Ele também mostra como especificar um escopo de criptografia quando você cria um blob ou contêiner.

Criar um escopo de criptografia

Você pode criar um escopo de criptografia protegido com uma chave gerenciada pela Microsoft ou com uma chave gerenciada pelo cliente armazenada em um Cofre de Chaves do Azure ou em um HSM (Modelo de Segurança de Hardware Gerenciado) do Cofre de Chaves do Azure. Para criar um escopo de criptografia com uma chave gerenciada pelo cliente, você deve primeiro criar um cofre de chaves ou HSM gerenciado e adicionar a chave que pretende usar para o escopo. O cofre de chaves ou o HSM gerenciado deve ter a proteção contra limpeza habilitada.

A conta de armazenamento e o cofre de chaves podem estar no mesmo locatário ou em locatários diferentes. Em ambos os casos, a conta de armazenamento e o cofre de chaves podem estar em regiões diferentes.

Um escopo de criptografia é ativado automaticamente quando você o cria. Depois de criar o escopo de criptografia, você pode especificá-lo ao criar um blob. Você também pode especificar um escopo de criptografia padrão ao criar um contêiner, que se aplica automaticamente a todos os blobs no contêiner.

Quando você configura um escopo de criptografia, é cobrado por um mínimo de um mês (30 dias). Após o primeiro mês, as cobranças por um escopo de criptografia são rateadas por hora. Para obter mais informações, consulte Cobrança de escopos de criptografia.

Portal

Para criar um escopo de criptografia no portal do Azure, siga estas etapas:

1. Navegue para a sua conta de armazenamento no portal do Azure.

2. Em Segurança + rede , selecione Encriptação.

3. Selecione a guia Escopos de Criptografia.

4. Clique no botão Adicionar para adicionar um novo escopo de criptografia.

5. No painel Criar Escopo de Criptografia, insira um nome para o novo escopo.

6. Selecione o tipo desejado de suporte a chaves de criptografia, chaves gerenciadas pela Microsoft ou chaves gerenciadas pelo cliente.

   • Se você selecionou chaves gerenciadas pela Microsoft, clique em Criar para criar o escopo de criptografia.
   • Se você selecionou Chaves gerenciadas pelo cliente, selecione uma assinatura e especifique um cofre de chaves e uma chave a ser usada para esse escopo de criptografia. Se o cofre de chaves desejado estiver em uma região diferente, selecione Inserir URI de chave e especifique o URI de chave.

7. Se a criptografia de infraestrutura estiver habilitada para a conta de armazenamento, ela será automaticamente habilitada para o novo escopo de criptografia. Caso contrário, você pode escolher se deseja habilitar a criptografia de infraestrutura para o escopo de criptografia.

   

PowerShell

Para criar um escopo de criptografia com o PowerShell, instale o módulo Az.Storage PowerShell, versão 3.4.0 ou posterior.

Criar um escopo de criptografia protegido por chaves gerenciadas pela Microsoft

Para criar um escopo de criptografia protegido por chaves gerenciadas pela Microsoft, chame o comando New-AzStorageEncryptionScope com o -StorageEncryption parâmetro.

Se a criptografia de infraestrutura estiver habilitada para a conta de armazenamento, ela será automaticamente habilitada para o novo escopo de criptografia. Caso contrário, você pode escolher se deseja habilitar a criptografia de infraestrutura para o escopo de criptografia. Para criar o novo escopo com a criptografia de infraestrutura habilitada, inclua o -RequireInfrastructureEncryption parâmetro.

Lembre-se de substituir os valores de espaço reservado no exemplo por seus próprios valores:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$scopeName = "<encryption-scope>"

New-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName1 `
    -StorageEncryption

Criar um escopo de criptografia protegido por chaves gerenciadas pelo cliente no mesmo locatário

Para criar um escopo de criptografia protegido por chaves gerenciadas pelo cliente armazenadas em um cofre de chaves ou HSM gerenciado que esteja no mesmo locatário que a conta de armazenamento, primeiro configure chaves gerenciadas pelo cliente para a conta de armazenamento. Você deve atribuir uma identidade gerenciada à conta de armazenamento que tenha permissões para acessar o cofre de chaves. A identidade gerenciada pode ser uma identidade gerenciada atribuída pelo usuário ou uma identidade gerenciada atribuída pelo sistema. Para saber mais sobre como configurar chaves gerenciadas pelo cliente, consulte Configurar chaves gerenciadas pelo cliente no mesmo locatário para uma conta de armazenamento existente.

Para conceder as permissões de identidade gerenciada para acessar o cofre de chaves, atribua a função Usuário de Criptografia do Serviço de Criptografia do Cofre da Chave à identidade gerenciada.

Para configurar chaves gerenciadas pelo cliente para uso com um escopo de criptografia, a proteção contra limpeza deve ser habilitada no cofre de chaves ou no HSM gerenciado.

O exemplo a seguir mostra como configurar um escopo de criptografia com uma identidade gerenciada atribuída ao sistema. Lembre-se de substituir os valores de espaço reservado no exemplo por seus próprios valores:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$keyVaultName = "<key-vault>"
$scopeName = "<encryption-scope>"

# Assign a system-assigned managed identity to the storage account.
$storageAccount = Set-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -AssignIdentity

# Assign the necessary permissions to the managed identity 
# so that it can access the key vault.
$principalId = $storageAccount.Identity.PrincipalId
$keyVault = Get-AzKeyVault $keyVaultName

New-AzRoleAssignment -ObjectId $storageAccount.Identity.PrincipalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

Em seguida, chame o comando New-AzStorageEncryptionScope com o parâmetro e especifique o -KeyvaultEncryption URI da chave. Incluir a versão da chave no URI da chave é opcional. Se você omitir a versão da chave, o escopo de criptografia usará automaticamente a versão de chave mais recente. Se você incluir a versão da chave, deverá atualizá-la manualmente para usar uma versão diferente.

O formato do URI de chave é semelhante aos exemplos a seguir e pode ser construído a partir da propriedade VaultUri do cofre de chaves e do nome da chave:

# Without the key version
https://<key-vault>.vault.azure.net/keys/<key>

# With the key version
https://<key-vault>.vault.azure.net/keys/<key>/<version>

Se a criptografia de infraestrutura estiver habilitada para a conta de armazenamento, ela será automaticamente habilitada para o novo escopo de criptografia. Caso contrário, você pode escolher se deseja habilitar a criptografia de infraestrutura para o escopo de criptografia. Para criar o novo escopo com a criptografia de infraestrutura habilitada, inclua o -RequireInfrastructureEncryption parâmetro.

Lembre-se de substituir os valores de espaço reservado no exemplo por seus próprios valores:

$keyUri = $keyVault.VaultUri + "keys/" + $keyName

New-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName `
    -KeyUri $keyUri `
    -KeyvaultEncryption

Criar um escopo de criptografia protegido por chaves gerenciadas pelo cliente em um locatário diferente

Para criar um escopo de criptografia protegido por chaves gerenciadas pelo cliente armazenadas em um cofre de chaves ou HSM gerenciado que esteja em um locatário diferente da conta de armazenamento, primeiro configure chaves gerenciadas pelo cliente para a conta de armazenamento. Você deve configurar uma identidade gerenciada atribuída pelo usuário para a conta de armazenamento que tenha permissões para acessar o cofre de chaves no outro locatário. Para saber mais sobre como configurar chaves gerenciadas pelo cliente entre locatários, consulte Configurar chaves gerenciadas pelo cliente entre locatários para uma conta de armazenamento existente.

Para configurar chaves gerenciadas pelo cliente para uso com um escopo de criptografia, a proteção contra limpeza deve ser habilitada no cofre de chaves ou no HSM gerenciado.

Depois de configurar chaves gerenciadas pelo cliente entre locatários para a conta de armazenamento, você pode criar um escopo de criptografia na conta de armazenamento em um locatário que tenha como escopo uma chave em um cofre de chaves no outro locatário. Você precisará do URI da chave para criar o escopo de criptografia entre locatários.

Lembre-se de substituir os valores de espaço reservado no exemplo por seus próprios valores:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$scopeName = "<encryption-scope>"

# Construct the key URI from the key vault URI and key name.
$keyUri = $kvUri + "keys/" + $keyName

New-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName `
    -KeyUri $keyUri `
    -KeyvaultEncryption

CLI do Azure

Para criar um escopo de criptografia com a CLI do Azure, primeiro instale a CLI do Azure versão 2.20.0 ou posterior.

Criar um escopo de criptografia protegido por chaves gerenciadas pela Microsoft

Para criar um escopo de criptografia protegido por chaves gerenciadas pela Microsoft, chame o comando az storage account encryption-scope create, especificando o --key-source parâmetro como Microsoft.Storage.

Se a criptografia de infraestrutura estiver habilitada para a conta de armazenamento, ela será automaticamente habilitada para o novo escopo de criptografia. Caso contrário, você pode escolher se deseja habilitar a criptografia de infraestrutura para o escopo de criptografia. Para criar o novo escopo com a criptografia de infraestrutura habilitada, inclua o --require-infrastructure-encryption parâmetro e defina seu valor como true.

Lembre-se de substituir os valores de espaço reservado pelos seus próprios valores:

az storage account encryption-scope create \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.Storage

Criar um escopo de criptografia protegido por chaves gerenciadas pelo cliente no mesmo locatário

Para criar um escopo de criptografia protegido por chaves gerenciadas pelo cliente armazenadas em um cofre de chaves ou HSM gerenciado que esteja no mesmo locatário que a conta de armazenamento, primeiro configure chaves gerenciadas pelo cliente para a conta de armazenamento. Você deve atribuir uma identidade gerenciada à conta de armazenamento que tenha permissões para acessar o cofre de chaves. A identidade gerenciada pode ser uma identidade gerenciada atribuída pelo usuário ou uma identidade gerenciada atribuída pelo sistema. Para saber mais sobre como configurar chaves gerenciadas pelo cliente, consulte Configurar chaves gerenciadas pelo cliente no mesmo locatário para uma conta de armazenamento existente.

Para conceder as permissões de identidade gerenciada para acessar o cofre de chaves, atribua a função Usuário de Criptografia do Serviço de Criptografia do Cofre da Chave à identidade gerenciada.

Para configurar chaves gerenciadas pelo cliente para uso com um escopo de criptografia, a proteção contra limpeza deve ser habilitada no cofre de chaves ou no HSM gerenciado.

O exemplo a seguir mostra como configurar um escopo de criptografia com uma identidade gerenciada atribuída ao sistema. Lembre-se de substituir os valores de espaço reservado no exemplo por seus próprios valores:

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --assign-identity

principalId=$(az storage account show --name <storage-account> \
    --resource-group <resource_group> \
    --query identity.principalId \
    --output tsv)

$kvResourceId=$(az keyvault show \
    --resource-group <resource-group> \
    --name <key-vault> \
    --query id \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId

Em seguida, chame o comando az storage account encryption-scope com o parâmetro e especifique o --key-uri URI da chave. Incluir a versão da chave no URI da chave é opcional. Se você omitir a versão da chave, o escopo de criptografia usará automaticamente a versão de chave mais recente. Se você incluir a versão da chave, deverá atualizá-la manualmente para usar uma versão diferente.

O formato do URI de chave é semelhante aos exemplos a seguir e pode ser construído a partir da propriedade vaultUri do cofre de chaves e do nome da chave:

# Without the key version
https://<key-vault>.vault.azure.net/keys/<key>

# With the key version
https://<key-vault>.vault.azure.net/keys/<key>/<version>

Se a criptografia de infraestrutura estiver habilitada para a conta de armazenamento, ela será automaticamente habilitada para o novo escopo de criptografia. Caso contrário, você pode escolher se deseja habilitar a criptografia de infraestrutura para o escopo de criptografia. Para criar o novo escopo com a criptografia de infraestrutura habilitada, inclua o --require-infrastructure-encryption parâmetro e defina seu valor como true.

Lembre-se de substituir os valores de espaço reservado no exemplo por seus próprios valores:

az storage account encryption-scope create \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.KeyVault \
    --key-uri <key-uri>

Criar um escopo de criptografia protegido por chaves gerenciadas pelo cliente em um locatário diferente

Para criar um escopo de criptografia protegido por chaves gerenciadas pelo cliente armazenadas em um cofre de chaves ou HSM gerenciado que esteja em um locatário diferente da conta de armazenamento, primeiro configure chaves gerenciadas pelo cliente para a conta de armazenamento. Você deve configurar uma identidade gerenciada atribuída pelo usuário para a conta de armazenamento que tenha permissões para acessar o cofre de chaves no outro locatário. Para saber mais sobre como configurar chaves gerenciadas pelo cliente entre locatários, consulte Configurar chaves gerenciadas pelo cliente entre locatários para uma conta de armazenamento existente.

Para configurar chaves gerenciadas pelo cliente para uso com um escopo de criptografia, a proteção contra limpeza deve ser habilitada no cofre de chaves ou no HSM gerenciado.

Depois de configurar chaves gerenciadas pelo cliente entre locatários para a conta de armazenamento, você pode criar um escopo de criptografia na conta de armazenamento em um locatário que tenha como escopo uma chave em um cofre de chaves no outro locatário. Você precisará do URI da chave para criar o escopo de criptografia entre locatários.

Lembre-se de substituir os valores de espaço reservado no exemplo por seus próprios valores:

az storage account encryption-scope create \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.KeyVault \
    --key-uri <key-uri>

Listar escopos de criptografia para conta de armazenamento

Portal

Para exibir os escopos de criptografia de uma conta de armazenamento no portal do Azure, navegue até a configuração Escopos de Criptografia para a conta de armazenamento. Nesse painel, você pode habilitar ou desabilitar um escopo de criptografia ou alterar a chave de um escopo de criptografia.

Para exibir detalhes de uma chave gerenciada pelo cliente, incluindo o URI e a versão da chave e se a versão da chave é atualizada automaticamente, siga o link na coluna Chave .

PowerShell

Para listar os escopos de criptografia disponíveis para uma conta de armazenamento com o PowerShell, chame o comando Get-AzStorageEncryptionScope . Lembre-se de substituir os valores de espaço reservado no exemplo por seus próprios valores:

Get-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName

Para listar todos os escopos de criptografia em um grupo de recursos por conta de armazenamento, use a sintaxe de pipeline:

Get-AzStorageAccount -ResourceGroupName $rgName | Get-AzStorageEncryptionScope

CLI do Azure

Para listar os escopos de criptografia disponíveis para uma conta de armazenamento com a CLI do Azure, chame o comando az storage account encryption-scope list . Lembre-se de substituir os valores de espaço reservado no exemplo por seus próprios valores:

az storage account encryption-scope list \
    --account-name <storage-account> \
    --resource-group <resource-group>

Criar um contêiner com um escopo de criptografia padrão

Ao criar um contêiner, você pode especificar um escopo de criptografia padrão. Os blobs nesse contêiner usarão esse escopo por padrão.

Um blob individual pode ser criado com seu próprio escopo de criptografia, a menos que o contêiner esteja configurado para exigir que todos os blobs usem o escopo padrão. Para obter mais informações, consulte Escopos de criptografia para contêineres e blobs.

Portal

Para criar um contêiner com um escopo de criptografia padrão no portal do Azure, primeiro crie o escopo de criptografia conforme descrito em Criar um escopo de criptografia. Em seguida, siga estas etapas para criar o contêiner:

1. Navegue até a lista de contêineres em sua conta de armazenamento e selecione o botão Adicionar para criar um contêiner.

2. Expanda as Configurações avançadas no painel Novo contêiner .

3. Na lista suspensa Escopo de criptografia, selecione o escopo de criptografia padrão para o contêiner.

4. Para exigir que todos os blobs no contêiner usem o escopo de criptografia padrão, marque a caixa de seleção Usar este escopo de criptografia para todos os blobs no contêiner. Se essa caixa de seleção estiver marcada, um blob individual no contêiner não poderá substituir o escopo de criptografia padrão.

   

PowerShell

Para criar um contêiner com um escopo de criptografia padrão com o PowerShell, chame o comando New-AzStorageContainer, especificando o escopo do -DefaultEncryptionScope parâmetro. Para forçar todos os blobs em um contêiner a usar o escopo padrão do contêiner, defina o -PreventEncryptionScopeOverride parâmetro como true.

$containerName1 = "container1"
$ctx = New-AzStorageContext -StorageAccountName $accountName -UseConnectedAccount

# Create a container with a default encryption scope that cannot be overridden.
New-AzStorageContainer -Name $containerName1 `
    -Context $ctx `
    -DefaultEncryptionScope $scopeName1 `
    -PreventEncryptionScopeOverride $true

CLI do Azure

Para criar um contêiner com um escopo de criptografia padrão com a CLI do Azure, chame o comando az storage container create, especificando o escopo para o --default-encryption-scope parâmetro. Para forçar todos os blobs em um contêiner a usar o escopo padrão do contêiner, defina o --prevent-encryption-scope-override parâmetro como true.

O exemplo a seguir usa sua conta do Microsoft Entra para autorizar a operação para criar o contêiner. Você também pode usar a chave de acesso da conta. Para obter mais informações, consulte Autorizar o acesso a dados de blob ou fila com a CLI do Azure.

az storage container create \
    --account-name <storage-account> \
    --resource-group <resource-group> \
    --name <container> \
    --default-encryption-scope <encryption-scope> \
    --prevent-encryption-scope-override true \
    --auth-mode login

Se um cliente tentar especificar um escopo ao carregar um blob para um contêiner que tenha um escopo de criptografia padrão e o contêiner estiver configurado para impedir que os blobs substituam o escopo padrão, a operação falhará com uma mensagem indicando que a solicitação é proibida pela política de criptografia de contêiner.

Carregar um blob com um escopo de criptografia

Ao carregar um blob, você pode especificar um escopo de criptografia para esse blob ou usar o escopo de criptografia padrão para o contêiner, se um tiver sido especificado.

Nota

Quando você carrega um novo blob com um escopo de criptografia, não é possível alterar a camada de acesso padrão para esse blob. Também não é possível alterar a camada de acesso para um blob existente que usa um escopo de criptografia. Para obter mais informações sobre as camadas de acesso, consulte Camadas de acesso Hot, Cool e Archive para dados de blob.

Portal

Para carregar um blob com um escopo de criptografia por meio do portal do Azure, primeiro crie o escopo de criptografia conforme descrito em Criar um escopo de criptografia. Em seguida, siga estas etapas para criar o blob:

1. Navegue até o contêiner para o qual você deseja carregar o blob.

2. Selecione o botão Carregar e localize o blob a ser carregado.

3. Expanda as Configurações avançadas no painel Carregar blob .

4. Localize a seção suspensa Escopo de criptografia. Por padrão, o blob é criado com o escopo de criptografia padrão para o contêiner, se um tiver sido especificado. Se o contêiner exigir que os blobs usem o escopo de criptografia padrão, esta seção será desabilitada.

5. Para especificar um escopo diferente para o blob que você está carregando, selecione Escolher um escopo existente e, em seguida, selecione o escopo desejado na lista suspensa.

   

PowerShell

Para carregar um blob com um escopo de criptografia via PowerShell, chame o comando Set-AzStorageBlobContent e forneça o escopo de criptografia para o blob.

$containerName2 = "container2"
$localSrcFile = "C:\temp\helloworld.txt"
$ctx = New-AzStorageContext -StorageAccountName $accountName -UseConnectedAccount

# Create a container with no default scope defined.
New-AzStorageContainer -Name $containerName2 -Context $ctx

# Upload a block upload with an encryption scope specified.
Set-AzStorageBlobContent -Context $ctx `
    -Container $containerName2 `
    -File $localSrcFile `
    -Blob "helloworld.txt" `
    -BlobType Block `
    -EncryptionScope $scopeName2

CLI do Azure

Para carregar um blob com um escopo de criptografia por meio da CLI do Azure, chame o comando az storage blob upload e forneça o escopo de criptografia para o blob.

Se você estiver usando o Azure Cloud Shell, siga as etapas descritas em Carregar um blob para criar um arquivo no diretório raiz. Em seguida, você pode carregar esse arquivo para um blob usando o exemplo a seguir.

az storage blob upload \
    --account-name <storage-account> \
    --container-name <container> \
    --file <file> \
    --name <file> \
    --encryption-scope <encryption-scope>

Alterar a chave de criptografia de um escopo

Para alterar a chave que protege um escopo de criptografia de uma chave gerenciada pela Microsoft para uma chave gerenciada pelo cliente, primeiro verifique se você habilitou as chaves gerenciadas pelo cliente com o Azure Key Vault ou o Key Vault HSM para a conta de armazenamento. Para obter mais informações, consulte Configurar a criptografia com chaves gerenciadas pelo cliente armazenadas no Cofre de Chaves do Azure ou Configurar a criptografia com chaves gerenciadas pelo cliente armazenadas no Cofre de Chaves do Azure.

Portal

Para alterar a chave que protege um escopo no portal do Azure, siga estas etapas:

1. Navegue até a guia Escopos de Criptografia para exibir a lista de escopos de criptografia para a conta de armazenamento.
2. Selecione o botão Mais ao lado do escopo que você deseja modificar.
3. No painel Editar escopo de criptografia, você pode alterar o tipo de criptografia de chave gerenciada pela Microsoft para chave gerenciada pelo cliente ou vice-versa.
4. Para selecionar uma nova chave gerenciada pelo cliente, selecione Usar uma nova chave e especifique o cofre de chaves, a chave e a versão da chave .

PowerShell

Para alterar a chave que protege um escopo de criptografia de uma chave gerenciada pelo cliente para uma chave gerenciada pela Microsoft com o PowerShell, chame o comando Update-AzStorageEncryptionScope e passe o -StorageEncryption parâmetro:

Update-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName2 `
    -StorageEncryption

Em seguida, chame o comando Update-AzStorageEncryptionScope e passe os -KeyUri parâmetros and -KeyvaultEncryption :

Update-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName1 `
    -KeyUri $keyUri `
    -KeyvaultEncryption

CLI do Azure

Para alterar a chave que protege um escopo de criptografia de uma chave gerenciada pelo cliente para uma chave gerenciada pela Microsoft com a CLI do Azure, chame o comando az storage account encryption-scope update e passe o parâmetro com o --key-source valor Microsoft.Storage:

az storage account encryption-scope update \
    --account-name <storage-account> \
    --resource-group <resource-group>
    --name <encryption-scope> \
    --key-source Microsoft.Storage

Em seguida, chame o comando az storage account encryption-scope update, passe o parâmetro e passe o parâmetro com o --key-uri--key-source valor :Microsoft.KeyVault

az storage account encryption-scope update \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.KeyVault \
    --key-uri <key-uri>

Desabilitar um escopo de criptografia

Desative todos os escopos de criptografia que não são necessários para evitar cobranças desnecessárias. Para obter mais informações, consulte Cobrança de escopos de criptografia.

Portal

Para desabilitar um escopo de criptografia no portal do Azure, navegue até a configuração Escopos de Criptografia para a conta de armazenamento, selecione o escopo de criptografia desejado e selecione Desabilitar.

PowerShell

Para desabilitar um escopo de criptografia com o PowerShell, chame o comando Update-AzStorageEncryptionScope e inclua o -State parâmetro com um valor de disabled, conforme mostrado no exemplo a seguir. Para reativar um escopo de criptografia, chame o mesmo comando com o -State parâmetro definido como enabled. Lembre-se de substituir os valores de espaço reservado no exemplo por seus próprios valores:

Update-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName1 `
    -State disabled

CLI do Azure

Para desabilitar um escopo de criptografia com a CLI do Azure, chame o comando az storage account encryption-scope update e inclua o --state parâmetro com um valor de Disabled, conforme mostrado no exemplo a seguir. Para reativar um escopo de criptografia, chame o mesmo comando com o --state parâmetro definido como Enabled. Lembre-se de substituir os valores de espaço reservado no exemplo por seus próprios valores:

az storage account encryption-scope update \
    --account-name <storage-account> \
    --resource-group <resource-group> \
    --name <encryption-scope> \
    --state Disabled

Importante

Não é possível excluir um escopo de criptografia. Para evitar custos inesperados, certifique-se de desativar todos os escopos de criptografia de que você não precisa no momento.

Próximos passos

• Azure Storage encryption for data at rest (Encriptação do Armazenamento do Azure para dados inativos)
• Escopos de criptografia para armazenamento de Blob
• Chaves geridas pelo cliente para a encriptação do Armazenamento do Azure
• Habilite a criptografia de infraestrutura para criptografia dupla de dados