Skapa och hantera krypteringsomfång

Med krypteringsomfång kan du hantera kryptering på enskild blob-nivå eller behållarnivå. Du kan använda krypteringsomfattningar för att skapa säkra gränser mellan data som finns i samma lagringskonto men som tillhör olika kunder. Mer information om krypteringsomfång finns i Krypteringsomfång för Blob Storage.

Den här artikeln visar hur du skapar ett krypteringsomfång. Den visar också hur du anger ett krypteringsomfång när du skapar en blob eller container.

Skapa ett krypteringsomfång

Du kan skapa ett krypteringsomfång som skyddas med en Microsoft-hanterad nyckel eller med en kundhanterad nyckel som lagras i ett Azure Key Vault eller i en Azure Key Vault Managed Hardware Security Model (HSM). Om du vill skapa ett krypteringsomfång med en kundhanterad nyckel måste du först skapa ett nyckelvalv eller hanterad HSM och lägga till den nyckel som du tänker använda för omfånget. Nyckelvalvet eller hanterad HSM måste ha rensningsskydd aktiverat.

Lagringskontot och nyckelvalvet kan finnas i samma klientorganisation eller i olika klientorganisationer. I båda fallen kan lagringskontot och nyckelvalvet finnas i olika regioner.

Ett krypteringsomfång aktiveras automatiskt när du skapar det. När du har skapat krypteringsomfånget kan du ange det när du skapar en blob. Du kan också ange ett standardkrypteringsomfång när du skapar en container, som automatiskt gäller för alla blobar i containern.

När du konfigurerar ett krypteringsomfång debiteras du för minst en månad (30 dagar). Efter den första månaden beräknas avgifterna för ett krypteringsomfång per timme. Mer information finns i Fakturering för krypteringsomfång.

Portal

Följ dessa steg för att skapa ett krypteringsomfång i Azure-portalen:

1. Navigera till ditt lagringskonto i Azure-portalen.

2. Under Säkerhet + nätverk väljer du Kryptering.

3. Välj fliken Krypteringsomfång .

4. Klicka på knappen Lägg till för att lägga till ett nytt krypteringsomfång.

5. I fönstret Skapa krypteringsomfång anger du ett namn för det nya omfånget.

6. Välj önskad typ av stöd för krypteringsnycklar, antingen Microsoft-hanterade nycklar eller Kundhanterade nycklar.

   • Om du har valt Microsoft-hanterade nycklar klickar du på Skapa för att skapa krypteringsomfånget.
   • Om du har valt Kundhanterade nycklar väljer du en prenumeration och anger ett nyckelvalv och en nyckel som ska användas för det här krypteringsomfånget. Om önskat nyckelvalv finns i en annan region väljer du Ange nyckel-URI och anger nyckel-URI.

7. Om infrastrukturkryptering är aktiverat för lagringskontot aktiveras det automatiskt för det nya krypteringsomfånget. Annars kan du välja om du vill aktivera infrastrukturkryptering för krypteringsomfånget.

   

PowerShell

Om du vill skapa ett krypteringsomfång med PowerShell installerar du Az.Storage PowerShell-modulen version 3.4.0 eller senare.

Skapa ett krypteringsomfång som skyddas av Microsoft-hanterade nycklar

Om du vill skapa ett krypteringsomfång som skyddas av Microsoft-hanterade nycklar anropar du kommandot New-AzStorageEncryptionScope med parametern -StorageEncryption .

Om infrastrukturkryptering är aktiverat för lagringskontot aktiveras det automatiskt för det nya krypteringsomfånget. Annars kan du välja om du vill aktivera infrastrukturkryptering för krypteringsomfånget. Om du vill skapa det nya omfånget med infrastrukturkryptering aktiverat inkluderar du parametern -RequireInfrastructureEncryption .

Kom ihåg att ersätta platshållarvärdena i exemplet med dina egna värden:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$scopeName = "<encryption-scope>"

New-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName1 `
    -StorageEncryption

Skapa ett krypteringsomfång som skyddas av kundhanterade nycklar i samma klientorganisation

Om du vill skapa ett krypteringsomfång som skyddas av kundhanterade nycklar som lagras i ett nyckelvalv eller hanterad HSM som finns i samma klientorganisation som lagringskontot konfigurerar du först kundhanterade nycklar för lagringskontot. Du måste tilldela en hanterad identitet till lagringskontot som har behörighet att komma åt nyckelvalvet. Den hanterade identiteten kan antingen vara en användartilldelad hanterad identitet eller en systemtilldelad hanterad identitet. Mer information om hur du konfigurerar kundhanterade nycklar finns i Konfigurera kundhanterade nycklar i samma klientorganisation för ett befintligt lagringskonto.

Om du vill ge den hanterade identiteten behörighet att komma åt nyckelvalvet tilldelar du rollen Key Vault Crypto Service Encryption User den hanterade identiteten.

Om du vill konfigurera kundhanterade nycklar för användning med ett krypteringsomfång måste rensningsskyddet vara aktiverat i nyckelvalvet eller hanterad HSM.

I följande exempel visas hur du konfigurerar ett krypteringsomfång med en systemtilldelad hanterad identitet. Kom ihåg att ersätta platshållarvärdena i exemplet med dina egna värden:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$keyVaultName = "<key-vault>"
$scopeName = "<encryption-scope>"

# Assign a system-assigned managed identity to the storage account.
$storageAccount = Set-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -AssignIdentity

# Assign the necessary permissions to the managed identity 
# so that it can access the key vault.
$principalId = $storageAccount.Identity.PrincipalId
$keyVault = Get-AzKeyVault $keyVaultName

New-AzRoleAssignment -ObjectId $storageAccount.Identity.PrincipalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

Anropa sedan kommandot New-AzStorageEncryptionScope med parametern -KeyvaultEncryption och ange nyckelns URI. Det är valfritt att inkludera nyckelversionen på nyckel-URI:n. Om du utelämnar nyckelversionen använder krypteringsomfånget automatiskt den senaste nyckelversionen. Om du inkluderar nyckelversionen måste du uppdatera nyckelversionen manuellt för att använda en annan version.

Formatet för nyckel-URI liknar följande exempel och kan konstrueras från nyckelvalvets VaultUri-egenskap och nyckelnamnet:

# Without the key version
https://<key-vault>.vault.azure.net/keys/<key>

# With the key version
https://<key-vault>.vault.azure.net/keys/<key>/<version>

Om infrastrukturkryptering är aktiverat för lagringskontot aktiveras det automatiskt för det nya krypteringsomfånget. Annars kan du välja om du vill aktivera infrastrukturkryptering för krypteringsomfånget. Om du vill skapa det nya omfånget med infrastrukturkryptering aktiverat inkluderar du parametern -RequireInfrastructureEncryption .

Kom ihåg att ersätta platshållarvärdena i exemplet med dina egna värden:

$keyUri = $keyVault.VaultUri + "keys/" + $keyName

New-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName `
    -KeyUri $keyUri `
    -KeyvaultEncryption

Skapa ett krypteringsomfång som skyddas av kundhanterade nycklar i en annan klientorganisation

Om du vill skapa ett krypteringsomfång som skyddas av kundhanterade nycklar som lagras i ett nyckelvalv eller hanterad HSM som finns i en annan klientorganisation än lagringskontot konfigurerar du först kundhanterade nycklar för lagringskontot. Du måste konfigurera en användartilldelad hanterad identitet för lagringskontot som har behörighet att komma åt nyckelvalvet i den andra klientorganisationen. Mer information om hur du konfigurerar kundhanterade nycklar mellan klientorganisationer finns i Konfigurera kundhanterade nycklar mellan klientorganisationer för ett befintligt lagringskonto.

Om du vill konfigurera kundhanterade nycklar för användning med ett krypteringsomfång måste rensningsskyddet vara aktiverat i nyckelvalvet eller hanterad HSM.

När du har konfigurerat kundhanterade nycklar mellan klientorganisationer för lagringskontot kan du skapa ett krypteringsomfång för lagringskontot i en klientorganisation som är begränsad till en nyckel i ett nyckelvalv i den andra klientorganisationen. Du behöver nyckel-URI:n för att skapa krypteringsomfånget mellan klientorganisationer.

Kom ihåg att ersätta platshållarvärdena i exemplet med dina egna värden:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$scopeName = "<encryption-scope>"

# Construct the key URI from the key vault URI and key name.
$keyUri = $kvUri + "keys/" + $keyName

New-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName `
    -KeyUri $keyUri `
    -KeyvaultEncryption

Azure CLI

Om du vill skapa ett krypteringsomfång med Azure CLI installerar du först Azure CLI version 2.20.0 eller senare.

Skapa ett krypteringsomfång som skyddas av Microsoft-hanterade nycklar

Om du vill skapa ett krypteringsomfång som skyddas av Microsoft-hanterade nycklar anropar du kommandot az storage account encryption-scope create och anger parametern --key-source som Microsoft.Storage.

Om infrastrukturkryptering är aktiverat för lagringskontot aktiveras det automatiskt för det nya krypteringsomfånget. Annars kan du välja om du vill aktivera infrastrukturkryptering för krypteringsomfånget. Om du vill skapa det nya omfånget med infrastrukturkryptering aktiverat tar du med parametern --require-infrastructure-encryption och anger dess värde till true.

Kom ihåg att ersätta platshållarvärdena med dina egna värden:

az storage account encryption-scope create \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.Storage

Skapa ett krypteringsomfång som skyddas av kundhanterade nycklar i samma klientorganisation

Om du vill skapa ett krypteringsomfång som skyddas av kundhanterade nycklar som lagras i ett nyckelvalv eller hanterad HSM som finns i samma klientorganisation som lagringskontot konfigurerar du först kundhanterade nycklar för lagringskontot. Du måste tilldela en hanterad identitet till lagringskontot som har behörighet att komma åt nyckelvalvet. Den hanterade identiteten kan antingen vara en användartilldelad hanterad identitet eller en systemtilldelad hanterad identitet. Mer information om hur du konfigurerar kundhanterade nycklar finns i Konfigurera kundhanterade nycklar i samma klientorganisation för ett befintligt lagringskonto.

Om du vill ge den hanterade identiteten behörighet att komma åt nyckelvalvet tilldelar du rollen Key Vault Crypto Service Encryption User den hanterade identiteten.

Om du vill konfigurera kundhanterade nycklar för användning med ett krypteringsomfång måste rensningsskyddet vara aktiverat i nyckelvalvet eller hanterad HSM.

I följande exempel visas hur du konfigurerar ett krypteringsomfång med en systemtilldelad hanterad identitet. Kom ihåg att ersätta platshållarvärdena i exemplet med dina egna värden:

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --assign-identity

principalId=$(az storage account show --name <storage-account> \
    --resource-group <resource_group> \
    --query identity.principalId \
    --output tsv)

$kvResourceId=$(az keyvault show \
    --resource-group <resource-group> \
    --name <key-vault> \
    --query id \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId

Anropa sedan kommandot az storage account encryption-scope med parametern --key-uri och ange nyckelns URI. Det är valfritt att inkludera nyckelversionen på nyckel-URI:n. Om du utelämnar nyckelversionen använder krypteringsomfånget automatiskt den senaste nyckelversionen. Om du inkluderar nyckelversionen måste du uppdatera nyckelversionen manuellt för att använda en annan version.

Formatet för nyckel-URI liknar följande exempel och kan konstrueras från nyckelvalvets vaultUri-egenskap och nyckelnamnet:

# Without the key version
https://<key-vault>.vault.azure.net/keys/<key>

# With the key version
https://<key-vault>.vault.azure.net/keys/<key>/<version>

Om infrastrukturkryptering är aktiverat för lagringskontot aktiveras det automatiskt för det nya krypteringsomfånget. Annars kan du välja om du vill aktivera infrastrukturkryptering för krypteringsomfånget. Om du vill skapa det nya omfånget med infrastrukturkryptering aktiverat tar du med parametern --require-infrastructure-encryption och anger dess värde till true.

Kom ihåg att ersätta platshållarvärdena i exemplet med dina egna värden:

az storage account encryption-scope create \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.KeyVault \
    --key-uri <key-uri>

Skapa ett krypteringsomfång som skyddas av kundhanterade nycklar i en annan klientorganisation

Om du vill skapa ett krypteringsomfång som skyddas av kundhanterade nycklar som lagras i ett nyckelvalv eller hanterad HSM som finns i en annan klientorganisation än lagringskontot konfigurerar du först kundhanterade nycklar för lagringskontot. Du måste konfigurera en användartilldelad hanterad identitet för lagringskontot som har behörighet att komma åt nyckelvalvet i den andra klientorganisationen. Mer information om hur du konfigurerar kundhanterade nycklar mellan klientorganisationer finns i Konfigurera kundhanterade nycklar mellan klientorganisationer för ett befintligt lagringskonto.

Om du vill konfigurera kundhanterade nycklar för användning med ett krypteringsomfång måste rensningsskyddet vara aktiverat i nyckelvalvet eller hanterad HSM.

När du har konfigurerat kundhanterade nycklar mellan klientorganisationer för lagringskontot kan du skapa ett krypteringsomfång för lagringskontot i en klientorganisation som är begränsad till en nyckel i ett nyckelvalv i den andra klientorganisationen. Du behöver nyckel-URI:n för att skapa krypteringsomfånget mellan klientorganisationer.

Kom ihåg att ersätta platshållarvärdena i exemplet med dina egna värden:

az storage account encryption-scope create \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.KeyVault \
    --key-uri <key-uri>

Lista krypteringsomfång för lagringskonto

Portal

Om du vill visa krypteringsomfången för ett lagringskonto i Azure-portalen går du till inställningen Krypteringsomfång för lagringskontot . I det här fönstret kan du aktivera eller inaktivera ett krypteringsomfång eller ändra nyckeln för ett krypteringsomfång.

Om du vill visa information om en kundhanterad nyckel, inklusive nyckel-URI och version och om nyckelversionen uppdateras automatiskt, följer du länken i kolumnen Nyckel .

PowerShell

Om du vill visa en lista över de krypteringsomfattningar som är tillgängliga för ett lagringskonto med PowerShell anropar du kommandot Get-AzStorageEncryptionScope . Kom ihåg att ersätta platshållarvärdena i exemplet med dina egna värden:

Get-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName

Om du vill visa en lista över alla krypteringsomfång i en resursgrupp efter lagringskonto använder du pipelinesyntaxen:

Get-AzStorageAccount -ResourceGroupName $rgName | Get-AzStorageEncryptionScope

Azure CLI

Om du vill visa en lista över de krypteringsomfång som är tillgängliga för ett lagringskonto med Azure CLI anropar du kommandot az storage account encryption-scope list . Kom ihåg att ersätta platshållarvärdena i exemplet med dina egna värden:

az storage account encryption-scope list \
    --account-name <storage-account> \
    --resource-group <resource-group>

Skapa en container med ett standardkrypteringsomfång

När du skapar en container kan du ange ett standardkrypteringsomfång. Blobbar i containern använder det omfånget som standard.

En enskild blob kan skapas med sitt eget krypteringsomfång, såvida inte containern är konfigurerad för att kräva att alla blobar använder standardomfånget. Mer information finns i Krypteringsomfång för containrar och blobar.

Portal

Om du vill skapa en container med ett standardkrypteringsomfång i Azure-portalen skapar du först krypteringsomfånget enligt beskrivningen i Skapa ett krypteringsomfång. Följ sedan de här stegen för att skapa containern:

1. Gå till listan över containrar i ditt lagringskonto och välj knappen Lägg till för att skapa en container.

2. Expandera avancerade inställningar i fönstret Ny container.

3. I listrutan Krypteringsomfång väljer du standardkrypteringsomfånget för containern.

4. Om du vill kräva att alla blobar i containern använder standardkrypteringsomfånget markerar du kryssrutan för att använda det här krypteringsomfånget för alla blobar i containern. Om den här kryssrutan är markerad kan inte en enskild blob i containern åsidosätta standardkrypteringsomfånget.

   

PowerShell

Om du vill skapa en container med ett standardkrypteringsomfång med PowerShell anropar du kommandot New-AzStorageContainer och anger parameterns -DefaultEncryptionScope omfång. Om du vill tvinga alla blobar i en container att använda containerns standardomfång anger du parametern -PreventEncryptionScopeOverride till true.

$containerName1 = "container1"
$ctx = New-AzStorageContext -StorageAccountName $accountName -UseConnectedAccount

# Create a container with a default encryption scope that cannot be overridden.
New-AzStorageContainer -Name $containerName1 `
    -Context $ctx `
    -DefaultEncryptionScope $scopeName1 `
    -PreventEncryptionScopeOverride $true

Azure CLI

Om du vill skapa en container med ett standardkrypteringsomfång med Azure CLI anropar du kommandot az storage container create och anger parameterns --default-encryption-scope omfång. Om du vill tvinga alla blobar i en container att använda containerns standardomfång anger du parametern --prevent-encryption-scope-override till true.

I följande exempel används ditt Microsoft Entra-konto för att auktorisera åtgärden för att skapa containern. Du kan också använda kontoåtkomstnyckeln. Mer information finns i Auktorisera åtkomst till blob- eller ködata med Azure CLI.

az storage container create \
    --account-name <storage-account> \
    --resource-group <resource-group> \
    --name <container> \
    --default-encryption-scope <encryption-scope> \
    --prevent-encryption-scope-override true \
    --auth-mode login

Om en klient försöker ange ett omfång när en blob laddas upp till en container som har ett standardkrypteringsomfång och containern är konfigurerad för att förhindra att blobbar åsidosätter standardomfånget, misslyckas åtgärden med ett meddelande som anger att begäran är förbjuden av containerkrypteringsprincipen.

Ladda upp en blob med ett krypteringsomfång

När du laddar upp en blob kan du ange ett krypteringsomfång för den bloben eller använda standardkrypteringsomfånget för containern, om en har angetts.

Kommentar

När du laddar upp en ny blob med ett krypteringsomfång kan du inte ändra standardåtkomstnivån för den bloben. Du kan inte heller ändra åtkomstnivån för en befintlig blob som använder ett krypteringsomfång. Mer information om åtkomstnivåer finns i Åtkomstnivåer för Frekvent, Lågfrekvent och Arkiv för blobdata.

Portal

Om du vill ladda upp en blob med ett krypteringsomfång via Azure-portalen skapar du först krypteringsomfånget enligt beskrivningen i Skapa ett krypteringsomfång. Följ sedan de här stegen för att skapa bloben:

1. Navigera till containern som du vill ladda upp bloben till.

2. Välj knappen Ladda upp och leta upp bloben som ska laddas upp.

3. Expandera avancerade inställningar i fönstret Ladda upp blob.

4. Leta upp listrutan Krypteringsomfång. Som standard skapas bloben med standardkrypteringsomfånget för containern, om en har angetts. Om containern kräver att blobar använder standardkrypteringsomfånget inaktiveras det här avsnittet.

5. Om du vill ange ett annat omfång för den blob som du laddar upp väljer du Välj ett befintligt omfång och väljer sedan önskat omfång i listrutan.

   

PowerShell

Om du vill ladda upp en blob med ett krypteringsomfång via PowerShell anropar du kommandot Set-AzStorageBlobContent och anger krypteringsomfånget för bloben.

$containerName2 = "container2"
$localSrcFile = "C:\temp\helloworld.txt"
$ctx = New-AzStorageContext -StorageAccountName $accountName -UseConnectedAccount

# Create a container with no default scope defined.
New-AzStorageContainer -Name $containerName2 -Context $ctx

# Upload a block upload with an encryption scope specified.
Set-AzStorageBlobContent -Context $ctx `
    -Container $containerName2 `
    -File $localSrcFile `
    -Blob "helloworld.txt" `
    -BlobType Block `
    -EncryptionScope $scopeName2

Azure CLI

Om du vill ladda upp en blob med ett krypteringsomfång via Azure CLI anropar du kommandot az storage blob upload och anger krypteringsomfånget för bloben.

Om du använder Azure Cloud Shell följer du stegen som beskrivs i Ladda upp en blob för att skapa en fil i rotkatalogen. Du kan sedan ladda upp den här filen till en blob med hjälp av följande exempel.

az storage blob upload \
    --account-name <storage-account> \
    --container-name <container> \
    --file <file> \
    --name <file> \
    --encryption-scope <encryption-scope>

Ändra krypteringsnyckeln för ett omfång

Om du vill ändra nyckeln som skyddar ett krypteringsomfång från en Microsoft-hanterad nyckel till en kundhanterad nyckel kontrollerar du först att du har aktiverat kundhanterade nycklar med Azure Key Vault eller Key Vault HSM för lagringskontot. Mer information finns i Konfigurera kryptering med kundhanterade nycklar som lagras i Azure Key Vault eller Konfigurera kryptering med kundhanterade nycklar som lagras i Azure Key Vault.

Portal

Följ dessa steg om du vill ändra nyckeln som skyddar ett omfång i Azure-portalen:

1. Gå till fliken Krypteringsomfång för att visa listan över krypteringsomfång för lagringskontot.
2. Välj knappen Mer bredvid det omfång som du vill ändra.
3. I fönstret Redigera krypteringsomfång kan du ändra krypteringstypen från Microsoft-hanterad nyckel till kundhanterad nyckel eller vice versa.
4. Om du vill välja en ny kundhanterad nyckel väljer du Använd en ny nyckel och anger nyckelvalvet, nyckeln och nyckelversionen.

PowerShell

Om du vill ändra nyckeln som skyddar ett krypteringsomfång från en kundhanterad nyckel till en Microsoft-hanterad nyckel med PowerShell anropar du kommandot Update-AzStorageEncryptionScope och skickar parametern -StorageEncryption :

Update-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName2 `
    -StorageEncryption

Anropa sedan kommandot Update-AzStorageEncryptionScope och skicka in parametrarna -KeyUri och -KeyvaultEncryption :

Update-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName1 `
    -KeyUri $keyUri `
    -KeyvaultEncryption

Azure CLI

Om du vill ändra nyckeln som skyddar ett krypteringsomfång från en kundhanterad nyckel till en Microsoft-hanterad nyckel med Azure CLI anropar du kommandot az storage account encryption-scope update och skickar parametern --key-source med värdet Microsoft.Storage:

az storage account encryption-scope update \
    --account-name <storage-account> \
    --resource-group <resource-group>
    --name <encryption-scope> \
    --key-source Microsoft.Storage

Anropa sedan kommandot az storage account encryption-scope update, skicka in parametern --key-uri och skicka parametern --key-source med värdet Microsoft.KeyVault:

az storage account encryption-scope update \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.KeyVault \
    --key-uri <key-uri>

Inaktivera ett krypteringsomfång

Inaktivera eventuella krypteringsomfång som inte behövs för att undvika onödiga avgifter. Mer information finns i Fakturering för krypteringsomfång.

Portal

Om du vill inaktivera ett krypteringsomfång i Azure-portalen går du till inställningen Krypteringsomfång för lagringskontot , väljer önskat krypteringsomfång och väljer Inaktivera.

PowerShell

Om du vill inaktivera ett krypteringsomfång med PowerShell anropar du kommandot Update-AzStorageEncryptionScope och inkluderar parametern -State med värdet disabled, enligt följande exempel. Om du vill återaktivera ett krypteringsomfång anropar du samma kommando med parametern -State inställd på enabled. Kom ihåg att ersätta platshållarvärdena i exemplet med dina egna värden:

Update-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName1 `
    -State disabled

Azure CLI

Om du vill inaktivera ett krypteringsomfång med Azure CLI anropar du kommandot az storage account encryption-scope update och inkluderar parametern --state med värdet Disabled, enligt följande exempel. Om du vill återaktivera ett krypteringsomfång anropar du samma kommando med parametern --state inställd på Enabled. Kom ihåg att ersätta platshållarvärdena i exemplet med dina egna värden:

az storage account encryption-scope update \
    --account-name <storage-account> \
    --resource-group <resource-group> \
    --name <encryption-scope> \
    --state Disabled

Viktigt!

Det går inte att ta bort ett krypteringsomfång. För att undvika oväntade kostnader måste du inaktivera eventuella krypteringsomfång som du för närvarande inte behöver.

Nästa steg

• Azure Storage-kryptering av vilande data
• Krypteringsomfång för Blob Storage
• Kundhanterade nycklar för Azure Storage-kryptering
• Aktivera infrastrukturkryptering för dubbel kryptering av data