Şifreleme kapsamları oluşturma ve yönetme

Şifreleme kapsamları tek bir blob veya kapsayıcı düzeyinde şifrelemeyi yönetmenizi sağlar. Aynı depolama hesabında bulunan ancak farklı müşterilere ait veriler arasında güvenli sınırlar oluşturmak için şifreleme kapsamlarını kullanabilirsiniz. Şifreleme kapsamları hakkında daha fazla bilgi için bkz . Blob depolama için şifreleme kapsamları.

Bu makalede şifreleme kapsamının nasıl oluşturulacağı gösterilmektedir. Ayrıca blob veya kapsayıcı oluştururken şifreleme kapsamının nasıl belirtileceğini de gösterir.

Şifreleme kapsamı oluşturma

Microsoft tarafından yönetilen bir anahtarla veya Azure Key Vault'ta veya Azure Key Vault Yönetilen Donanım Güvenlik Modeli'nde (HSM) depolanan müşteri tarafından yönetilen bir anahtarla korunan bir şifreleme kapsamı oluşturabilirsiniz. Müşteri tarafından yönetilen bir anahtarla şifreleme kapsamı oluşturmak için önce bir anahtar kasası veya yönetilen HSM oluşturmanız ve kapsam için kullanmayı planladığınız anahtarı eklemeniz gerekir. Anahtar kasasında veya yönetilen HSM'de temizleme koruması etkinleştirilmelidir.

Depolama hesabı ve anahtar kasası aynı kiracıda veya farklı kiracılarda olabilir. Her iki durumda da depolama hesabı ve anahtar kasası farklı bölgelerde olabilir.

Bir şifreleme kapsamı oluşturduğunuzda otomatik olarak etkinleştirilir. Şifreleme kapsamını oluşturduktan sonra bir blob oluşturduğunuzda belirtebilirsiniz. Kapsayıcı oluştururken, kapsayıcıdaki tüm bloblara otomatik olarak uygulanan varsayılan bir şifreleme kapsamı da belirtebilirsiniz.

Bir şifreleme kapsamı yapılandırdığınızda, en az bir ay (30 gün) için faturalandırılırsınız. İlk aydan sonra, bir şifreleme kapsamı için ücretler saatlik olarak eşit olarak dağıtılır. Daha fazla bilgi için bkz . Şifreleme kapsamları için faturalama.

Portal

Azure portalında şifreleme kapsamı oluşturmak için şu adımları izleyin:

1. Azure portalda depolama hesabınıza gidin.

2. Güvenlik + ağ altında Şifreleme'yi seçin.

3. Şifreleme Kapsamları sekmesini seçin.

4. Yeni bir şifreleme kapsamı eklemek için Ekle düğmesine tıklayın.

5. Şifreleme Kapsamı Oluştur bölmesinde yeni kapsam için bir ad girin.

6. Microsoft tarafından yönetilen anahtarlar veya Müşteri tarafından yönetilen anahtarlar gibi istenen şifreleme anahtarı desteğini seçin.

   • Microsoft tarafından yönetilen anahtarlar'ı seçtiyseniz, şifreleme kapsamını oluşturmak için Oluştur'a tıklayın.
   • Müşteri tarafından yönetilen anahtarlar'ı seçtiyseniz, bir abonelik seçin ve bu şifreleme kapsamı için kullanılacak bir anahtar kasası ve anahtar belirtin. İstenen anahtar kasası farklı bir bölgedeyse Anahtar URI'sini girin'i seçin ve anahtar URI'sini belirtin.

7. Depolama hesabı için altyapı şifrelemesi etkinleştirildiyse, yeni şifreleme kapsamı için otomatik olarak etkinleştirilir. Aksi takdirde, şifreleme kapsamı için altyapı şifrelemesinin etkinleştirilip etkinleştirilmeyeceğini seçebilirsiniz.

   

PowerShell

PowerShell ile şifreleme kapsamı oluşturmak için Az.Depolama PowerShell modülünün 3.4.0 veya sonraki bir sürümünü yükleyin.

Microsoft tarafından yönetilen anahtarlar tarafından korunan bir şifreleme kapsamı oluşturma

Microsoft tarafından yönetilen anahtarlarla korunan bir şifreleme kapsamı oluşturmak için New-Az Depolama EncryptionScope komutunu parametresiyle çağırın.-StorageEncryption

Depolama hesabı için altyapı şifrelemesi etkinleştirildiyse, yeni şifreleme kapsamı için otomatik olarak etkinleştirilir. Aksi takdirde, şifreleme kapsamı için altyapı şifrelemesinin etkinleştirilip etkinleştirilmeyeceğini seçebilirsiniz. Altyapı şifrelemesi etkinleştirilmiş yeni kapsamı oluşturmak için parametresini -RequireInfrastructureEncryption ekleyin.

Örnekteki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$scopeName = "<encryption-scope>"

New-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName1 `
    -StorageEncryption

Aynı kiracıda müşteri tarafından yönetilen anahtarlar tarafından korunan bir şifreleme kapsamı oluşturma

Depolama hesabıyla aynı kiracıda yer alan bir anahtar kasasında veya yönetilen HSM'de depolanan müşteri tarafından yönetilen anahtarlarla korunan bir şifreleme kapsamı oluşturmak için önce depolama hesabı için müşteri tarafından yönetilen anahtarları yapılandırın. Anahtar kasasına erişim izinleri olan depolama hesabına yönetilen kimlik atamanız gerekir. Yönetilen kimlik, kullanıcı tarafından atanan yönetilen kimlik veya sistem tarafından atanan yönetilen kimlik olabilir. Müşteri tarafından yönetilen anahtarları yapılandırma hakkında daha fazla bilgi edinmek için bkz . Mevcut bir depolama hesabı için aynı kiracıda müşteri tarafından yönetilen anahtarları yapılandırma.

Yönetilen kimliklere anahtar kasasına erişim izinleri vermek için, yönetilen kimlik olarak Key Vault Şifreleme Hizmeti Şifreleme Kullanıcı rolünü atayın.

Müşteri tarafından yönetilen anahtarları şifreleme kapsamıyla kullanılacak şekilde yapılandırmak için, anahtar kasasında veya yönetilen HSM'de temizleme koruması etkinleştirilmelidir.

Aşağıdaki örnekte, sistem tarafından atanan yönetilen kimlikle şifreleme kapsamının nasıl yapılandırılır gösterilmektedir. Örnekteki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$keyVaultName = "<key-vault>"
$scopeName = "<encryption-scope>"

# Assign a system-assigned managed identity to the storage account.
$storageAccount = Set-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -AssignIdentity

# Assign the necessary permissions to the managed identity 
# so that it can access the key vault.
$principalId = $storageAccount.Identity.PrincipalId
$keyVault = Get-AzKeyVault $keyVaultName

New-AzRoleAssignment -ObjectId $storageAccount.Identity.PrincipalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

Ardından new-az Depolama EncryptionScope komutunu parametresiyle çağırın -KeyvaultEncryption ve anahtar URI'sini belirtin. Anahtar URI'sine anahtar sürümü dahil olmak isteğe bağlıdır. Anahtar sürümünü atlarsanız şifreleme kapsamı otomatik olarak en son anahtar sürümünü kullanır. Anahtar sürümünü eklerseniz, farklı bir sürüm kullanmak için anahtar sürümünü el ile güncelleştirmeniz gerekir.

Anahtar URI'sinin biçimi aşağıdaki örneklere benzer ve anahtar kasasının VaultUri özelliğinden ve anahtar adından oluşturulabilir:

# Without the key version
https://<key-vault>.vault.azure.net/keys/<key>

# With the key version
https://<key-vault>.vault.azure.net/keys/<key>/<version>

Depolama hesabı için altyapı şifrelemesi etkinleştirildiyse, yeni şifreleme kapsamı için otomatik olarak etkinleştirilir. Aksi takdirde, şifreleme kapsamı için altyapı şifrelemesinin etkinleştirilip etkinleştirilmeyeceğini seçebilirsiniz. Altyapı şifrelemesi etkinleştirilmiş yeni kapsamı oluşturmak için parametresini -RequireInfrastructureEncryption ekleyin.

Örnekteki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın:

$keyUri = $keyVault.VaultUri + "keys/" + $keyName

New-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName `
    -KeyUri $keyUri `
    -KeyvaultEncryption

Farklı bir kiracıda müşteri tarafından yönetilen anahtarlar tarafından korunan bir şifreleme kapsamı oluşturma

Depolama hesabından farklı bir kiracıda yer alan bir anahtar kasasında veya yönetilen HSM'de depolanan müşteri tarafından yönetilen anahtarlarla korunan bir şifreleme kapsamı oluşturmak için önce depolama hesabı için müşteri tarafından yönetilen anahtarları yapılandırın. Diğer kiracıdaki anahtar kasasına erişim izinleri olan depolama hesabı için kullanıcı tarafından atanan yönetilen kimliği yapılandırmanız gerekir. Kiracılar arası müşteri tarafından yönetilen anahtarları yapılandırma hakkında daha fazla bilgi edinmek için bkz . Mevcut bir depolama hesabı için kiracılar arası müşteri tarafından yönetilen anahtarları yapılandırma.

Müşteri tarafından yönetilen anahtarları şifreleme kapsamıyla kullanılacak şekilde yapılandırmak için, anahtar kasasında veya yönetilen HSM'de temizleme koruması etkinleştirilmelidir.

Depolama hesabı için kiracılar arası müşteri tarafından yönetilen anahtarları yapılandırdıktan sonra, bir kiracıdaki depolama hesabında, diğer kiracıdaki bir anahtar kasasındaki anahtar kapsamına sahip bir şifreleme kapsamı oluşturabilirsiniz. Kiracılar arası şifreleme kapsamını oluşturmak için anahtar URI'sine ihtiyacınız olacaktır.

Örnekteki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$scopeName = "<encryption-scope>"

# Construct the key URI from the key vault URI and key name.
$keyUri = $kvUri + "keys/" + $keyName

New-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName `
    -KeyUri $keyUri `
    -KeyvaultEncryption

Azure CLI

Azure CLI ile şifreleme kapsamı oluşturmak için önce Azure CLI sürüm 2.20.0 veya üzerini yükleyin.

Microsoft tarafından yönetilen anahtarlar tarafından korunan bir şifreleme kapsamı oluşturma

Microsoft tarafından yönetilen anahtarlar tarafından korunan bir şifreleme kapsamı oluşturmak için az storage account encryption-scope create komutunu çağırın ve parametresini --key-source olarak Microsoft.Storagebelirtin.

Depolama hesabı için altyapı şifrelemesi etkinleştirildiyse, yeni şifreleme kapsamı için otomatik olarak etkinleştirilir. Aksi takdirde, şifreleme kapsamı için altyapı şifrelemesinin etkinleştirilip etkinleştirilmeyeceğini seçebilirsiniz. Altyapı şifrelemesi etkinleştirilmiş yeni kapsamı oluşturmak için parametresini --require-infrastructure-encryption ekleyin ve değerini olarak trueayarlayın.

Yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın:

az storage account encryption-scope create \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.Storage

Aynı kiracıda müşteri tarafından yönetilen anahtarlar tarafından korunan bir şifreleme kapsamı oluşturma

Depolama hesabıyla aynı kiracıda yer alan bir anahtar kasasında veya yönetilen HSM'de depolanan müşteri tarafından yönetilen anahtarlarla korunan bir şifreleme kapsamı oluşturmak için önce depolama hesabı için müşteri tarafından yönetilen anahtarları yapılandırın. Anahtar kasasına erişim izinleri olan depolama hesabına yönetilen kimlik atamanız gerekir. Yönetilen kimlik, kullanıcı tarafından atanan yönetilen kimlik veya sistem tarafından atanan yönetilen kimlik olabilir. Müşteri tarafından yönetilen anahtarları yapılandırma hakkında daha fazla bilgi edinmek için bkz . Mevcut bir depolama hesabı için aynı kiracıda müşteri tarafından yönetilen anahtarları yapılandırma.

Yönetilen kimliklere anahtar kasasına erişim izinleri vermek için, yönetilen kimlik olarak Key Vault Şifreleme Hizmeti Şifreleme Kullanıcı rolünü atayın.

Müşteri tarafından yönetilen anahtarları şifreleme kapsamıyla kullanılacak şekilde yapılandırmak için, anahtar kasasında veya yönetilen HSM'de temizleme koruması etkinleştirilmelidir.

Aşağıdaki örnekte, sistem tarafından atanan yönetilen kimlikle şifreleme kapsamının nasıl yapılandırılır gösterilmektedir. Örnekteki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın:

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --assign-identity

principalId=$(az storage account show --name <storage-account> \
    --resource-group <resource_group> \
    --query identity.principalId \
    --output tsv)

$kvResourceId=$(az keyvault show \
    --resource-group <resource-group> \
    --name <key-vault> \
    --query id \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId

Ardından parametresiyle az storage account encryption-scope komutunu çağırın --key-uri ve anahtar URI'sini belirtin. Anahtar URI'sine anahtar sürümü dahil olmak isteğe bağlıdır. Anahtar sürümünü atlarsanız şifreleme kapsamı otomatik olarak en son anahtar sürümünü kullanır. Anahtar sürümünü eklerseniz, farklı bir sürüm kullanmak için anahtar sürümünü el ile güncelleştirmeniz gerekir.

Anahtar URI'sinin biçimi aşağıdaki örneklere benzer ve anahtar kasasının vaultUri özelliğinden ve anahtar adından oluşturulabilir:

# Without the key version
https://<key-vault>.vault.azure.net/keys/<key>

# With the key version
https://<key-vault>.vault.azure.net/keys/<key>/<version>

Depolama hesabı için altyapı şifrelemesi etkinleştirildiyse, yeni şifreleme kapsamı için otomatik olarak etkinleştirilir. Aksi takdirde, şifreleme kapsamı için altyapı şifrelemesinin etkinleştirilip etkinleştirilmeyeceğini seçebilirsiniz. Altyapı şifrelemesi etkinleştirilmiş yeni kapsamı oluşturmak için parametresini --require-infrastructure-encryption ekleyin ve değerini olarak trueayarlayın.

Örnekteki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın:

az storage account encryption-scope create \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.KeyVault \
    --key-uri <key-uri>

Farklı bir kiracıda müşteri tarafından yönetilen anahtarlar tarafından korunan bir şifreleme kapsamı oluşturma

Depolama hesabından farklı bir kiracıda yer alan bir anahtar kasasında veya yönetilen HSM'de depolanan müşteri tarafından yönetilen anahtarlarla korunan bir şifreleme kapsamı oluşturmak için önce depolama hesabı için müşteri tarafından yönetilen anahtarları yapılandırın. Diğer kiracıdaki anahtar kasasına erişim izinleri olan depolama hesabı için kullanıcı tarafından atanan yönetilen kimliği yapılandırmanız gerekir. Kiracılar arası müşteri tarafından yönetilen anahtarları yapılandırma hakkında daha fazla bilgi edinmek için bkz . Mevcut bir depolama hesabı için kiracılar arası müşteri tarafından yönetilen anahtarları yapılandırma.

Müşteri tarafından yönetilen anahtarları şifreleme kapsamıyla kullanılacak şekilde yapılandırmak için, anahtar kasasında veya yönetilen HSM'de temizleme koruması etkinleştirilmelidir.

Depolama hesabı için kiracılar arası müşteri tarafından yönetilen anahtarları yapılandırdıktan sonra, bir kiracıdaki depolama hesabında, diğer kiracıdaki bir anahtar kasasındaki anahtar kapsamına sahip bir şifreleme kapsamı oluşturabilirsiniz. Kiracılar arası şifreleme kapsamını oluşturmak için anahtar URI'sine ihtiyacınız olacaktır.

Örnekteki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın:

az storage account encryption-scope create \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.KeyVault \
    --key-uri <key-uri>

Depolama hesabı için şifreleme kapsamlarını listeleme

Portal

Azure portalında bir depolama hesabının şifreleme kapsamlarını görüntülemek için depolama hesabının Şifreleme Kapsamları ayarına gidin. Bu bölmeden bir şifreleme kapsamını etkinleştirebilir veya devre dışı bırakabilir ya da şifreleme kapsamının anahtarını değiştirebilirsiniz.

Anahtar URI'si ve sürümü ve anahtar sürümünün otomatik olarak güncelleştirilip güncelleştirilmediği dahil olmak üzere müşteri tarafından yönetilen anahtarın ayrıntılarını görüntülemek için Anahtar sütunundaki bağlantıyı izleyin.

PowerShell

PowerShell ile bir depolama hesabında kullanılabilen şifreleme kapsamlarını listelemek için Get-Az Depolama EncryptionScope komutunu çağırın. Örnekteki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın:

Get-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName

Bir kaynak grubundaki tüm şifreleme kapsamlarını depolama hesabına göre listelemek için işlem hattı söz dizimini kullanın:

Get-AzStorageAccount -ResourceGroupName $rgName | Get-AzStorageEncryptionScope

Azure CLI

Azure CLI ile bir depolama hesabında kullanılabilen şifreleme kapsamlarını listelemek için az storage account encryption-scope list komutunu çağırın. Örnekteki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın:

az storage account encryption-scope list \
    --account-name <storage-account> \
    --resource-group <resource-group>

Varsayılan şifreleme kapsamına sahip bir kapsayıcı oluşturma

Kapsayıcı oluşturduğunuzda, varsayılan bir şifreleme kapsamı belirtebilirsiniz. Bu kapsayıcıdaki bloblar varsayılan olarak bu kapsamı kullanır.

Kapsayıcı tüm blobların varsayılan kapsamı kullanmasını gerektirecek şekilde yapılandırılmadığı sürece tek bir blob kendi şifreleme kapsamıyla oluşturulabilir. Daha fazla bilgi için bkz . Kapsayıcılar ve bloblar için şifreleme kapsamları.

Portal

Azure portalında varsayılan şifreleme kapsamına sahip bir kapsayıcı oluşturmak için önce Şifreleme kapsamı oluşturma bölümünde açıklandığı gibi şifreleme kapsamını oluşturun. Ardından, kapsayıcıyı oluşturmak için şu adımları izleyin:

1. Depolama hesabınızdaki kapsayıcılar listesine gidin ve Ekle düğmesini seçerek kapsayıcı oluşturun.

2. Yeni Kapsayıcı bölmesinde Gelişmiş ayarlar'ı genişletin.

3. Şifreleme kapsamı açılan listesinde kapsayıcı için varsayılan şifreleme kapsamını seçin.

4. Kapsayıcıdaki tüm blobların varsayılan şifreleme kapsamını kullanmasını istemek için Kapsayıcıdaki tüm bloblar için bu şifreleme kapsamını kullan onay kutusunu seçin. Bu onay kutusu seçiliyse, kapsayıcıdaki tek bir blob varsayılan şifreleme kapsamını geçersiz kılamaz.

   

PowerShell

PowerShell ile varsayılan şifreleme kapsamına sahip bir kapsayıcı oluşturmak için New-Az Depolama Container komutunu çağırarak parametresinin -DefaultEncryptionScope kapsamını belirtin. Kapsayıcıdaki tüm blobları kapsayıcının varsayılan kapsamını kullanmaya zorlamak için parametresini -PreventEncryptionScopeOverride olarak trueayarlayın.

$containerName1 = "container1"
$ctx = New-AzStorageContext -StorageAccountName $accountName -UseConnectedAccount

# Create a container with a default encryption scope that cannot be overridden.
New-AzStorageContainer -Name $containerName1 `
    -Context $ctx `
    -DefaultEncryptionScope $scopeName1 `
    -PreventEncryptionScopeOverride $true

Azure CLI

Azure CLI ile varsayılan şifreleme kapsamına sahip bir kapsayıcı oluşturmak için az storage container create komutunu çağırın ve parametresinin --default-encryption-scope kapsamını belirtin. Kapsayıcıdaki tüm blobları kapsayıcının varsayılan kapsamını kullanmaya zorlamak için parametresini --prevent-encryption-scope-override olarak trueayarlayın.

Aşağıdaki örnek, kapsayıcıyı oluşturma işlemini yetkilendirmek için Microsoft Entra hesabınızı kullanır. Hesap erişim anahtarını da kullanabilirsiniz. Daha fazla bilgi için bkz . Azure CLI ile blob veya kuyruk verilerine erişimi yetkilendirme.

az storage container create \
    --account-name <storage-account> \
    --resource-group <resource-group> \
    --name <container> \
    --default-encryption-scope <encryption-scope> \
    --prevent-encryption-scope-override true \
    --auth-mode login

İstemci blobu varsayılan şifreleme kapsamına sahip bir kapsayıcıya yüklerken kapsam belirtmeye çalışırsa ve kapsayıcı blobların varsayılan kapsamı geçersiz kılmasını engelleyecek şekilde yapılandırılmışsa, işlem isteğin kapsayıcı şifreleme ilkesi tarafından yasaklandığını belirten bir iletiyle başarısız olur.

Şifreleme kapsamına sahip bir blobu karşıya yükleme

Bir blobu karşıya yüklediğinizde, bu blob için bir şifreleme kapsamı belirtebilir veya belirtildiyse kapsayıcı için varsayılan şifreleme kapsamını kullanabilirsiniz.

Dekont

Şifreleme kapsamına sahip yeni bir blob yüklediğinizde, bu blob için varsayılan erişim katmanını değiştiremezsiniz. Ayrıca, şifreleme kapsamı kullanan mevcut bir blob için erişim katmanını değiştiremezsiniz. Erişim katmanları hakkında daha fazla bilgi için bkz . Blob verileri için Sık Erişimli, Seyrek Erişimli ve Arşiv erişim katmanları.

Portal

Azure portalı aracılığıyla şifreleme kapsamına sahip bir blobu karşıya yüklemek için önce Şifreleme kapsamı oluşturma bölümünde açıklandığı gibi şifreleme kapsamını oluşturun. Ardından blobu oluşturmak için şu adımları izleyin:

1. Blobu karşıya yüklemek istediğiniz kapsayıcıya gidin.

2. Karşıya Yükle düğmesini seçin ve karşıya yüklenecek blobu bulun.

3. Blobu karşıya yükle bölmesinde Gelişmiş ayarları genişletin.

4. Şifreleme kapsamı açılan bölümünü bulun. Varsayılan olarak blob, belirtildiyse kapsayıcı için varsayılan şifreleme kapsamıyla oluşturulur. Kapsayıcı blobların varsayılan şifreleme kapsamını kullanmasını gerektiriyorsa, bu bölüm devre dışı bırakılır.

5. Karşıya yüklediğiniz blob için farklı bir kapsam belirtmek için Var olan bir kapsamı seçin'i ve ardından açılan listeden istediğiniz kapsamı seçin.

   

PowerShell

PowerShell aracılığıyla şifreleme kapsamına sahip bir blobu karşıya yüklemek için Set-Az Depolama BlobContent komutunu çağırın ve blob için şifreleme kapsamını sağlayın.

$containerName2 = "container2"
$localSrcFile = "C:\temp\helloworld.txt"
$ctx = New-AzStorageContext -StorageAccountName $accountName -UseConnectedAccount

# Create a container with no default scope defined.
New-AzStorageContainer -Name $containerName2 -Context $ctx

# Upload a block upload with an encryption scope specified.
Set-AzStorageBlobContent -Context $ctx `
    -Container $containerName2 `
    -File $localSrcFile `
    -Blob "helloworld.txt" `
    -BlobType Block `
    -EncryptionScope $scopeName2

Azure CLI

Azure CLI aracılığıyla şifreleme kapsamına sahip bir blobu karşıya yüklemek için az storage blob upload komutunu çağırın ve blob için şifreleme kapsamını sağlayın.

Azure Cloud Shell kullanıyorsanız kök dizinde dosya oluşturmak için Blobu karşıya yükleme bölümünde açıklanan adımları izleyin. Ardından aşağıdaki örneği kullanarak bu dosyayı bir bloba yükleyebilirsiniz.

az storage blob upload \
    --account-name <storage-account> \
    --container-name <container> \
    --file <file> \
    --name <file> \
    --encryption-scope <encryption-scope>

Kapsamın şifreleme anahtarını değiştirme

Şifreleme kapsamını Microsoft tarafından yönetilen anahtardan müşteri tarafından yönetilen anahtara koruyan anahtarı değiştirmek için önce depolama hesabı için Azure Key Vault veya Key Vault HSM ile müşteri tarafından yönetilen anahtarları etkinleştirdiğinizden emin olun. Daha fazla bilgi için bkz. Azure Key Vault'ta depolanan müşteri tarafından yönetilen anahtarlarla şifrelemeyi yapılandırma veya Azure Key Vault'ta depolanan müşteri tarafından yönetilen anahtarlarla şifrelemeyi yapılandırma.

Portal

Azure portalında kapsamı koruyan anahtarı değiştirmek için şu adımları izleyin:

1. Depolama hesabının şifreleme kapsamlarının listesini görüntülemek için Şifreleme Kapsamları sekmesine gidin.
2. Değiştirmek istediğiniz kapsamın yanındaki Diğer düğmesini seçin.
3. Şifreleme kapsamını düzenle bölmesinde, şifreleme türünü Microsoft tarafından yönetilen anahtardan müşteri tarafından yönetilen anahtara (veya tersine) değiştirebilirsiniz.
4. Müşteri tarafından yönetilen yeni bir anahtar seçmek için Yeni anahtar kullan'ı seçin ve anahtar kasasını, anahtarı ve anahtar sürümünü belirtin.

PowerShell

Şifreleme kapsamını müşteri tarafından yönetilen anahtardan PowerShell ile Microsoft tarafından yönetilen anahtara koruyan anahtarı değiştirmek için Update-Az Depolama EncryptionScope komutunu çağırın ve parametresini -StorageEncryption geçirin:

Update-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName2 `
    -StorageEncryption

Ardından Update-Az Depolama EncryptionScope komutunu çağırın -KeyUri ve ve -KeyvaultEncryption parametrelerini geçirin:

Update-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName1 `
    -KeyUri $keyUri `
    -KeyvaultEncryption

Azure CLI

Bir şifreleme kapsamını müşteri tarafından yönetilen anahtardan Azure CLI ile Microsoft tarafından yönetilen anahtara koruyan anahtarı değiştirmek için az storage account encryption-scope update komutunu çağırın ve parametresini değeriyle Microsoft.Storagegeçirin--key-source:

az storage account encryption-scope update \
    --account-name <storage-account> \
    --resource-group <resource-group>
    --name <encryption-scope> \
    --key-source Microsoft.Storage

Ardından az storage account encryption-scope update komutunu çağırın, parametresini --key-uri geçirin ve parametresini --key-source değeriyle Microsoft.KeyVaultgeçirin:

az storage account encryption-scope update \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.KeyVault \
    --key-uri <key-uri>

Şifreleme kapsamını devre dışı bırakma

Gereksiz ücretlerden kaçınmak için gerekli olmayan şifreleme kapsamlarını devre dışı bırakın. Daha fazla bilgi için bkz . Şifreleme kapsamları için faturalama.

Portal

Azure portalında bir şifreleme kapsamını devre dışı bırakmak için depolama hesabının Şifreleme Kapsamları ayarına gidin, istediğiniz şifreleme kapsamını seçin ve Devre dışı bırak'ı seçin.

PowerShell

PowerShell ile bir şifreleme kapsamını devre dışı bırakmak için Update-Az Depolama EncryptionScope komutunu çağırın ve aşağıdaki örnekte gösterildiği gibi değerini disablediçeren parametresini ekleyin-State. Şifreleme kapsamını yeniden etkinleştirmek için parametresi olarak ayarlanmış enabledolarak aynı komutu çağırın-State. Örnekteki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın:

Update-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName1 `
    -State disabled

Azure CLI

Azure CLI ile bir şifreleme kapsamını devre dışı bırakmak için az storage account encryption-scope update komutunu çağırın ve aşağıdaki örnekte gösterildiği gibi değerini Disablediçeren parametresini ekleyin--state. Şifreleme kapsamını yeniden etkinleştirmek için parametresi olarak ayarlanmış Enabledolarak aynı komutu çağırın--state. Örnekteki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın:

az storage account encryption-scope update \
    --account-name <storage-account> \
    --resource-group <resource-group> \
    --name <encryption-scope> \
    --state Disabled

Önemli

Şifreleme kapsamını silmek mümkün değildir. Beklenmeyen maliyetleri önlemek için, şu anda ihtiyacınız olmayan şifreleme kapsamlarını devre dışı bırakın.

Sonraki adımlar

• Bekleyen veri için Azure Depolama şifrelemesi
• Blob depolama için şifreleme kapsamları
• Azure Depolama şifrelemesi için müşteri tarafından yönetilen anahtarlar
• Verilerin çift şifrelenmesini sağlamak için altyapı şifrelemesini etkinleştirme