Skapa ett konto som stöder kundhanterade nycklar för tabeller och köer

Azure Storage krypterar alla data i ett vilande lagringskonto. Som standard använder Queue Storage och Table Storage en nyckel som är begränsad till tjänsten och hanteras av Microsoft. Du kan också välja att använda kundhanterade nycklar för att kryptera kö- eller tabelldata. Om du vill använda kundhanterade nycklar med köer och tabeller måste du först skapa ett lagringskonto som använder en krypteringsnyckel som är begränsad till kontot i stället för till tjänsten. När du har skapat ett konto som använder kontokrypteringsnyckeln för kö- och tabelldata kan du konfigurera kundhanterade nycklar för lagringskontot.

Den här artikeln beskriver hur du skapar ett lagringskonto som förlitar sig på en nyckel som är begränsad till kontot. När kontot först skapas använder Microsoft kontonyckeln för att kryptera data i kontot och Microsoft hanterar nyckeln. Därefter kan du konfigurera kundhanterade nycklar för kontot för att dra nytta av dessa fördelar, inklusive möjligheten att tillhandahålla egna nycklar, uppdatera nyckelversionen, rotera nycklarna och återkalla åtkomstkontroller.

Skapa ett konto som använder kontokrypteringsnyckeln

Du måste konfigurera ett nytt lagringskonto för att använda kontokrypteringsnyckeln för köer och tabeller när du skapar lagringskontot. Krypteringsnyckelns omfång kan inte ändras när kontot har skapats.

Lagringskontot måste vara av typen generell användning v2. Du kan skapa lagringskontot och konfigurera det så att det förlitar sig på kontokrypteringsnyckeln med hjälp av mallen Azure Portal, PowerShell, Azure CLI eller en Azure Resource Manager.

Mer information om hur du skapar ett lagringskonto finns i Skapa ett lagringskonto.

Anteckning

Endast kö- och tabelllagring kan konfigureras för att kryptera data med kontokrypteringsnyckeln när lagringskontot skapas. Blob Storage och Azure Files alltid använda kontokrypteringsnyckeln för att kryptera data.

Azure-portalen

Följ dessa steg för att skapa ett lagringskonto som förlitar sig på kontokrypteringsnyckeln med Azure Portal:

1. I den vänstra portalmenyn väljer du Lagringskonton för att visa en lista över dina lagringskonton.

2. På sidan Lagringskonton väljer du Nytt.

3. Fyll i fälten på fliken Grundläggande .

4. På fliken Avancerat letar du upp avsnittet Tabeller och köer och väljer Aktivera support för kundhanterade nycklar.

   

PowerShell

Om du vill använda PowerShell för att skapa ett lagringskonto som förlitar sig på kontokrypteringsnyckeln kontrollerar du att du har installerat Azure PowerShell-modulen version 3.4.0 eller senare. Mer information finns i Installera modulen Azure PowerShell.

Skapa sedan ett v2-lagringskonto för generell användning genom att anropa kommandot New-AzStorageAccount med lämpliga parametrar:

• -EncryptionKeyTypeForQueue Inkludera alternativet och ange dess värde för Account att använda kontokrypteringsnyckeln för att kryptera data i Queue Storage.
• -EncryptionKeyTypeForTable Inkludera alternativet och ange dess värde för Account att använda kontokrypteringsnyckeln för att kryptera data i Table Storage.

I följande exempel visas hur du skapar ett allmänt v2-lagringskonto som är konfigurerat för geo-redundant lagring med läsåtkomst (RA-GRS) och som använder kontokrypteringsnyckeln för att kryptera data för både kö- och tabelllagring. Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden:

PowerShell

New-AzStorageAccount -ResourceGroupName <resource_group> `
    -AccountName <storage-account> `
    -Location <location> `
    -SkuName "Standard_RAGRS" `
    -Kind StorageV2 `
    -EncryptionKeyTypeForTable Account `
    -EncryptionKeyTypeForQueue Account

Azure CLI

Om du vill använda Azure CLI för att skapa ett lagringskonto som förlitar sig på kontokrypteringsnyckeln kontrollerar du att du har installerat Azure CLI version 2.0.80 eller senare. Mer information finns i Installera Azure CLI.

Skapa sedan ett v2-lagringskonto för generell användning genom att anropa kommandot az storage account create med lämpliga parametrar:

• --encryption-key-type-for-queue Inkludera alternativet och ange dess värde för Account att använda kontokrypteringsnyckeln för att kryptera data i Queue Storage.
• --encryption-key-type-for-table Inkludera alternativet och ange dess värde för Account att använda kontokrypteringsnyckeln för att kryptera data i Table Storage.

I följande exempel visas hur du skapar ett allmänt v2-lagringskonto som är konfigurerat för geo-redundant lagring med läsåtkomst (RA-GRS) och som använder kontokrypteringsnyckeln för att kryptera data för både kö- och tabelllagring. Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden:

Azure CLI

az storage account create \
    --name <storage-account> \
    --resource-group <resource-group> \
    --location <location> \
    --sku Standard_RAGRS \
    --kind StorageV2 \
    --encryption-key-type-for-table Account \
    --encryption-key-type-for-queue Account

Mall

I följande JSON-exempel skapas ett allmänt v2-lagringskonto som är konfigurerat för geo-redundant lagring med läsåtkomst (RA-GRS) och som använder kontokrypteringsnyckeln för att kryptera data för både kö- och tabelllagring. Kom ihåg att ersätta platshållarvärdena i vinkelparenteser med dina egna värden:

JSON

"resources": [
    {
        "type": "Microsoft.Storage/storageAccounts",
        "apiVersion": "2019-06-01",
        "name": "[parameters('<storage-account>')]",
        "location": "[parameters('<location>')]",
        "dependsOn": [],
        "tags": {},
        "sku": {
            "name": "[parameters('Standard_RAGRS')]"
        },
        "kind": "[parameters('StorageV2')]",
        "properties": {
            "accessTier": "[parameters('<accessTier>')]",
            "supportsHttpsTrafficOnly": "[parameters('supportsHttpsTrafficOnly')]",
            "largeFileSharesState": "[parameters('<largeFileSharesState>')]",
            "encryption": {
                "services": {
                    "queue": {
                        "keyType": "Account"
                    },
                    "table": {
                        "keyType": "Account"
                    }
                },
                "keySource": "Microsoft.Storage"
            }
        }
    }
],

När du har skapat ett konto som förlitar sig på kontokrypteringsnyckeln kan du konfigurera kundhanterade nycklar som lagras i Azure Key Vault eller i Key Vault hanterad maskinvarusäkerhetsmodell (HSM). Information om hur du lagrar kundhanterade nycklar i ett nyckelvalv finns i Konfigurera kryptering med kundhanterade nycklar som lagras i Azure Key Vault. Information om hur du lagrar kundhanterade nycklar i en hanterad HSM finns i Konfigurera kryptering med kundhanterade nycklar som lagras i Azure Key Vault Managed HSM.

Verifiera kontokrypteringsnyckeln

När du har skapat kontot kan du kontrollera att lagringskontot använder en krypteringsnyckel som är begränsad till kontot med hjälp av Azure Portal, PowerShell eller Azure CLI.

Azure-portalen

Följ dessa steg för att kontrollera att en tjänst i ett lagringskonto använder en krypteringsnyckel som är begränsad till kontot med Azure Portal:

1. Navigera till ditt nya lagringskonto i Azure Portal.

2. I avsnittet Säkerhet + nätverk väljer du Kryptering.

3. Om lagringskontot skapades för att förlita sig på kontokrypteringsnyckeln ser du på fliken Kryptering att kundhanterade nycklar kan aktiveras för alla fyra Azure Storage-tjänster: blobar, filer, tabeller och köer.

   

PowerShell

Om du vill kontrollera att en tjänst i ett lagringskonto använder kontokrypteringsnyckeln med PowerShell anropar du kommandot Get-AzStorageAccount . Det här kommandot returnerar en uppsättning lagringskontoegenskaper och deras värden. Leta efter fältet KeyType för varje tjänst i Encryption egenskapen och kontrollera att det är inställt på Account.

PowerShell

$account = Get-AzStorageAccount -ResourceGroupName <resource-group> `
    -StorageAccountName <storage-account>
$account.Encryption.Services.Queue
$account.Encryption.Services.Table

Azure CLI

Om du vill kontrollera att en tjänst i ett lagringskonto använder kontokrypteringsnyckeln med Azure CLI anropar du kommandot az storage account show . Det här kommandot returnerar en uppsättning lagringskontoegenskaper och deras värden. Leta efter fältet keyType för varje tjänst i krypteringsegenskapen och kontrollera att det är inställt på Account.

Azure CLI

az storage account show \
    --name <storage-account> \
    --resource-group <resource-group>

Mall

Ej tillämpligt

När du har kontrollerat att lagringskontot använder en krypteringsnyckel som är begränsad till kontot kan du aktivera kundhanterade nycklar för kontot. Alla fyra Azure Storage-tjänster – blobar, filer, tabeller och köer – använder sedan den kundhanterade nyckeln för kryptering.

Priser och fakturering

Ett lagringskonto som skapas för att använda en krypteringsnyckel som är begränsad till kontot debiteras för Table Storage-kapacitet och transaktioner till en annan hastighet än ett konto som använder standardnyckeln för tjänstomfattning. Mer information finns i Prissättning för Azure Table Storage.

Nästa steg

• Azure Storage-kryptering av vilande data
• Kundhanterade nycklar för Azure Storage-kryptering
• Konfigurera kryptering med kundhanterade nycklar som lagras i Azure Key Vault
• Konfigurera kryptering med kundhanterade nycklar som lagras i Azure Key Vault Managed HSM