Как создать учетную запись, которая поддерживает ключи, управляемые клиентом, для таблиц и очередей

Служба хранилища Azure шифрует все данные в неактивных учетных записях хранения. По умолчанию хранилища очередей и таблиц используют ключ, относящийся к службе и управляемый компанией Майкрософт. Вы также можете использовать управляемые клиентом ключи для шифрования данных очередей или таблиц. Для этого нужно создать учетную запись хранения, которая использует привязанный к ней ключ шифрования. То есть ключ шифрования не должен быть привязан к службе. Затем для учетной записи хранения необходимо настроить ключи, управляемые клиентом.

В этой статье описано, как создать учетную запись хранения, которая использует привязанный к ней ключ. При первом создании учетной записи Майкрософт использует ключ учетной записи, чтобы зашифровать данные. Компания также управляет этим ключом. Затем вы можете настроить ключи, управляемые клиентом, чтобы получить множество возможностей, например предоставлять собственные ключи, обновлять их версии, менять их и отменять управление доступом.

Как создать учетную запись, которая использует свой ключ шифрования

Во время создания учетной записи хранения настройте ее таким образом, чтобы использовать ее ключ шифрования для очередей и таблиц. После того, как вы создадите учетную запись, настройки ключа шифрования изменить нельзя.

Учетная запись хранения должна относиться к универсальному типу версии 2. Вы можете создать учетную запись хранения и настроить ее для использования ключа шифрования с помощью портала Azure, PowerShell, Azure CLI или шаблона Azure Resource Manager.

Дополнительные сведения о создании учетной записи хранения см. в разделе Создание учетной записи хранения.

Примечание

При этом настроить можно только хранилища очередей и таблиц для шифрования данных с помощью ключа. Хранилище BLOB-объектов и Файлы Azure всегда используют этот ключ для шифрования данных.

Чтобы создать учетную запись хранения, которая использует ключ шифрования, с помощью портала Azure, выполните указанные ниже действия.

  1. На портале в меню слева выберите Учетные записи хранения, чтобы открыть список учетных записей хранения.

  2. На странице учетные записи хранения выберите Создать.

  3. Заполните поля на вкладке Основные сведения.

  4. На вкладке "Дополнительно" перейдите к разделу Таблицы и очереди и выберите Включить поддержку для управляемых клиентом ключей.

    Снимок экрана: включение управляемых клиентом ключей для очередей и таблиц при создании учетной записи

Как только вы создали учетную запись с ключом шифрования, можно настроить ключи, управляемые клиентом, которые хранятся в Azure Key Vault или Hardware Security Model (HSM) под управлением Key Vault. Сведения о настройке шифрования с помощью управляемых клиентом ключей, хранящихся в Azure Key Vault, см. в статье Настройка шифрования с помощью ключей, управляемых клиентом, хранящихся в Azure Key Vault. Сведения о настройке шифрования с помощью управляемых клиентом ключей, хранящихся в управляемом модуле HSM, см. в статье Настройка шифрования с помощью ключей, управляемых клиентом, хранящихся в модуле HSM, управляемом Key Vault.

Как проверить ключ шифрования учетной записи

После создания учетной записи хранения можно убедиться в том, что она использует ключ шифрования, заданный в области действия учетной записи, с помощью портала Azure, PowerShell или Azure CLI.

Чтобы убедиться в том, что служба в учетной записи хранения использует ключ шифрования, относящийся к учетной записи, с помощью портала Azure, выполните указанные ниже действия.

  1. Войдите в новую учетную запись хранения на портале Azure.

  2. В разделе Безопасность и сеть выберите Шифрование.

  3. Если учетная запись хранения была создана для использования ключа шифрования учетной записи, на вкладке Шифрование вы увидите, что ключи, управляемые клиентом, можно включить для всех четырех служб хранилища Azure: для больших двоичных объектов, файлов, таблиц и очередей.

    Снимок экрана: проверка использования ключа шифрования в учетной записи хранения

Убедившись в том, что учетная запись хранения использует ключ шифрования, заданный в области действия учетной записи, можно включить управляемые клиентом ключи для этой учетной записи. После этого все четыре службы хранилища Azure — для больших двоичных объектов, файлов, таблиц и очередей — будут использовать ключ, управляемый клиентом, для шифрования.

Цены и выставление счетов

Плата за учетную запись хранения, созданную для использования ключа шифрования, рассчитывается исходя из емкости хранилища таблиц и транзакций по ставке, отличной от той, которая установлена для использования ключа шифрования службы по умолчанию. Дополнительные сведения см. на странице Цены на Хранилище таблиц Azure.

Дальнейшие шаги