müşteri tarafından yönetilen anahtarları Azure Dosyalar şifreleme için yapılandırma

✔️ Şunlar için geçerlidir: Microsoft.Storage kaynak sağlayıcısıyla oluşturulan klasik SMB ve NFS dosya paylaşımları

Şunlar için geçerli değildir: Microsoft.FileShares kaynak sağlayıcısı (önizleme) ile oluşturulan dosya paylaşımları

Azure, AES-256 şifrelemesini kullanarak Azure Dosyalar veriler de dahil olmak üzere bekleyen depolama hesabındaki tüm verileri şifreler. Varsayılan olarak, Microsoft bir depolama hesabının şifreleme anahtarlarını yönetir. Şifreleme anahtarları üzerinde daha fazla denetim için verilerinizi şifreleyen şifreleme anahtarına erişimi korumak ve denetlemek için Microsoft tarafından yönetilen anahtarlar yerine customer tarafından yönetilen anahtarlar (CMK) kullanabilirsiniz. Bu makalede, Azure Dosyalar iş yükleri için müşteri tarafından yönetilen anahtarları yapılandırma açıklanmaktadır.

Depolama hesabı için müşteri tarafından yönetilen anahtarları yapılandırdığınızda, söz konusu depolama hesabındaki Azure Dosyalar veriler müşteri anahtarı kullanılarak otomatik olarak şifrelenir. Hisse başına talep gerekmez.

Bu yönergeler, müşteri tarafından yönetilen anahtarları Azure Key Vault içinde depolamaya yöneliktir. Azure Key Vault Managed HSM (Donanım Güvenlik Modülü) için bazı adımlar ve komutlar biraz farklı olabilir.

Depolama hesabı için müşteri tarafından yönetilen anahtarları yapılandırmak için bu adımları izleyin.

1. Adım: Anahtar kasası oluşturma veya yapılandırma

Müşteri tarafından yönetilen anahtarları etkinleştirmek için bir Azure depolama hesabının yanı sıra temizleme koruması etkinleştirilmiş bir Azure Key Vault gerekir. Mevcut bir anahtar kasasından yararlanabilir veya yeni bir kasa oluşturabilirsiniz. Depolama hesabı ve anahtar kasası, farklı bölgelerde veya aboneliklerde olmak üzere aynı Microsoft Entra kiracısı içinde bulunabilir. Kiracılar arası senaryolar için bkz. Mevcut bir depolama hesabı için kiracılar arası müşteri tarafından yönetilen anahtarları yapılandırma.

Azure portalı

Yeni bir anahtar kasası oluşturmak için Azure portalını kullanarak aşağıdaki adımları izleyin:

1. Azure portalında Anahtar Kasaları araması yapın ve Oluştur öğesini seçin.
2. Gerekli alanları (abonelik, kaynak grubu, ad, bölge) doldurun.
3. Kurtarma seçenekleri'nin altında Temizleme korumasını etkinleştir'i seçin.
4. Gözden geçir ve oluştur'u seçin ve ardından Oluştur seçeneğini belirleyin.

Mevcut bir anahtar kasasını kullanmak istiyorsanız şu adımları izleyin:

1. Azure portalında anahtar kasanıza gidin.
2. Hizmet menüsünde, Ayarlar'ın altında Özellikler'i seçin.
3. Temizleme koruması bölümünde Temizleme korumasını etkinleştir'i ve ardından Kaydet'i seçin.
4. Anahtar kasanızda geçici silme özelliğinin etkinleştirildiğinden emin olun. Yeni anahtar kasaları için varsayılan olarak etkindir.

PowerShell

Temizleme koruması etkinleştirilmiş yeni bir anahtar kasası oluşturmak için aşağıdaki cmdlet'i çalıştırın. <key-vault-name>, <resource-group> ve <region> değerleini kendi değerlerinizle değiştirin.

New-AzKeyVault `
    -Name <key-vault-name> `
    -ResourceGroupName <resource-group> `
    -Location <region> `
    -EnablePurgeProtection

Mevcut bir anahtar kasasında temizleme korumasını etkinleştirmek için aşağıdaki cmdlet'i çalıştırın. ve <key-vault-name> değerlerini kendi değerlerinizle değiştirin<resource-group>.

Update-AzKeyVault `
    -VaultName <key-vault-name> `
    -ResourceGroupName <resource-group> `
    -EnablePurgeProtection

Azure CLI

Temizleme koruması etkinleştirilmiş yeni bir anahtar kasası oluşturmak için aşağıdaki komutu çalıştırın. <key-vault-name>, <resource-group> ve <region> değerleini kendi değerlerinizle değiştirin.

az keyvault create \
    --name <key-vault-name> \
    --resource-group <resource-group> \
    --location <region> \
    --enable-purge-protection true

Mevcut bir anahtar kasasında temizleme korumasını etkinleştirmek için aşağıdaki komutu çalıştırın. ve <key-vault-name> değerlerini kendi değerlerinizle değiştirin<resource-group>.

az keyvault update \
    --name <key-vault-name> \
    --resource-group <resource-group> \
    --enable-purge-protection true

Key Vault Şifreleme Sorumlusu rolünü atama

Anahtar kasanızda (key vault) anahtar oluşturmak ve yönetmek için, key vault üzerinde Key Vault Crypto Officer rolüne sahip olmanız gerekir. Azure portalını, PowerShell'i veya Azure CLI kullanarak bu rolü kendinize atayabilirsiniz. Key Vault bu role zaten sahipseniz, bu bölümü atlayabilir ve 2. Adıma geçebilirsiniz.

Key Vault Crypto Officer rolünü atamak için key vault kapsamında Owner veya User Access Administrator RBAC rolüne ihtiyacınız vardır. Gerekirse yöneticinize başvurun.

Azure portalı

Azure portalını kullanarak Key Vault Crypto Officer rolünü kendinize atamak için şu adımları izleyin:

1. Anahtar kasanıza gidin.
2. Hizmet menüsünden Erişim denetimi (IAM) öğesini seçin.
3. Bu kaynağa erişim altında Rol ataması ekle'yi seçin.
4. Key Vault Crypto Officer öğesini arayıp seçin ve ardından İleri'i seçin.
5. Erişimi ata altında Kullanıcı, grup veya hizmet ilkesini seçin.
6. Üyeler'in altında +Üye seç'i seçin.
7. Kendi hesabınızı arayın ve seçin, ardından Seç'i seçin.
8. Gözden geçir + ata ve ardından Gözden geçir + ata seçin.

PowerShell

Azure PowerShell kullanarak Key Vault Crypto Officer rolünü kendinize atamak için aşağıdaki cmdlet'i çalıştırın. <key-vault-name> yerine kendi değerinizi koyun.

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>
$currentUser = (Get-AzADUser -SignedIn).Id

New-AzRoleAssignment `
    -ObjectId $currentUser `
    -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $keyVault.ResourceId

Azure CLI

Azure CLI kullanarak Key Vault Crypto Officer rolünü kendinize atamak için aşağıdaki komutları çalıştırın. <key-vault-name> yerine kendi değerinizi koyun.

KV_RESOURCE_ID=$(az keyvault show --name <key-vault-name> --query id -o tsv)
CURRENT_USER=$(az ad signed-in-user show --query id -o tsv)

az role assignment create \
    --assignee-object-id $CURRENT_USER \
    --assignee-principal-type User \
    --role "Key Vault Crypto Officer" \
    --scope $KV_RESOURCE_ID

2. Adım: Şifreleme anahtarı oluşturma veya içeri aktarma

2048, 3072 veya 4096 boyutunda bir RSA veya RSA-HSM anahtarına ihtiyacınız vardır. Anahtar kasanızda RSA anahtarı oluşturun veya içe aktarın. Anahtar oluşturmadan önce, anahtar kasasında Anahtar Kasası Kripto Görevlisi rolüne sahip olduğunuzdan emin olun.

Azure portalı

Azure portalını kullanarak yeni bir RSA şifreleme anahtarı oluşturmak için aşağıdaki adımları izleyin.

1. Azure portalında anahtar kasanıza gidin.
2. Hizmet menüsünden Nesneler altında Anahtarlar seçin.
3. Oluştur/İçe aktar seçeneğini belirleyin. Seçenekler'in altında Oluştur'a tıklayın.
4. Anahtar için bir ad girin. Anahtar adları yalnızca alfasayısal karakterler ve tireler içerebilir.
5. Anahtar türü'nüRSA ve RSA anahtar boyutunu2048 (veya 3072/4096) olarak ayarlayın.
6. Oluştur'i seçin.

Azure portalını kullanarak mevcut bir RSA şifreleme anahtarını içeri aktarmak için aşağıdaki adımları izleyin.

1. Azure portalında anahtar kasanıza gidin.
2. Hizmet menüsünden Nesneler altında Anahtarlar seçin.
3. Oluştur/İçe aktar seçeneğini belirleyin. Seçenekler'in altında İçeri Aktar'ı seçin.
4. Karşıya yüklenecek anahtarınızı seçin.
5. Anahtar için bir ad girin. Anahtar adları yalnızca alfasayısal karakterler ve tireler içerebilir.
6. Anahtar türünü RSA olarak ayarlayın.
7. Oluştur'i seçin.

PowerShell

Azure PowerShell kullanarak bir RSA anahtarı oluşturmak için aşağıdaki cmdlet'i çalıştırın. ve <key-vault-name> değerlerini kendi değerlerinizle değiştirin<key-name>. için -Size2048, 3072 veya 4096 belirtebilirsiniz.

Add-AzKeyVaultKey `
    -VaultName <key-vault-name> `
    -Name <key-name> `
    -Destination Software `
    -KeyType RSA `
    -Size 2048

Azure PowerShell kullanarak mevcut bir RSA şifreleme anahtarını içeri aktarmak için aşağıdaki cmdlet'i çalıştırın. <key-vault-name>, <key-name> ve <key-path> değerleini kendi değerlerinizle değiştirin. Anahtar dosyasının parolası yoksa parametresini atla -KeyFilePassword .

Add-AzKeyVaultKey `
    -VaultName <key-vault-name> `
    -Name <key-name> `
    -KeyFilePath <key-path> `
    -KeyFilePassword $password

Azure CLI

Azure CLI kullanarak bir RSA anahtarı oluşturmak için aşağıdaki komutu çalıştırın. ve <key-vault-name> değerlerini kendi değerlerinizle değiştirin<key-name>. için --size2048, 3072 veya 4096 belirtebilirsiniz.

az keyvault key create \
    --vault-name <key-vault-name> \
    --name <key-name> \
    --kty RSA \
    --size 2048

Azure CLI kullanarak mevcut bir RSA şifreleme anahtarını içeri aktarmak için aşağıdaki komutu çalıştırın. <key-vault-name>, <key-name> ve <key-path> değerleini kendi değerlerinizle değiştirin. Anahtar dosyasının parolası yoksa parametresini atla --password .

az keyvault key import \
    --vault-name <key-vault-name> \
    --name <key-name> \
    --pem-file <key-path> \
    --password <key-password>

3. Adım: Yönetilen kimlik oluşturma ve izinleri atama

Depolama hesabının anahtar kasasında kimlik doğrulaması için yönetilen bir kimliğe ihtiyacı vardır. Yönetilen kimlik kullanarak, depolama hesabı kimlik bilgilerini depolamadan anahtar kasanızdaki şifreleme anahtarına güvenli bir şekilde erişebilir.

Kullanıcı tarafından atanan bir yönetilen kimlik oluşturun ve bu kimliğe key vault Key Vault Şifreleme Hizmeti Şifreleme Kullanıcısı rolünü verin.

Kullanıcının atadığı yönetilen kimliği oluşturun

Azure portalını, Azure PowerShell veya Azure CLI kullanarak kullanıcı tarafından atanan yönetilen kimlik oluşturun.

Azure portalı

Azure portalını kullanarak kullanıcı tarafından atanan yönetilen kimlik oluşturmak için aşağıdaki adımları izleyin.

1. Yönetilen Kimlikler'i arayın ve Oluştur'u seçin.
2. Bir abonelik, kaynak grubu, bölge ve ad seçin.
3. Gözden geçir ve oluştur'u seçin ve ardından Oluştur seçeneğini belirleyin.

PowerShell

Azure PowerShell kullanarak kullanıcı tarafından atanan yönetilen kimlik oluşturmak için aşağıdaki cmdlet'i çalıştırın. <resource-group>, <identity-name> ve <region> değerleini kendi değerlerinizle değiştirin.

New-AzUserAssignedIdentity `
    -ResourceGroupName <resource-group> `
    -Name <identity-name> `
    -Location <region>

Azure CLI

Azure CLI kullanarak kullanıcı tarafından atanan yönetilen kimlik oluşturmak için aşağıdaki komutu çalıştırın. <resource-group>, <identity-name> ve <region> değerleini kendi değerlerinizle değiştirin.

az identity create \
    --name <identity-name> \
    --resource-group <resource-group> \
    --location <region>

Yönetilen kimliğe Key Vault Şifreleme Kullanıcı Hizmeti rolünü atama

Azure portalı, PowerShell veya Azure CLI kullanarak oluşturduğunuz yönetilen kimliğe Key Vault Şifreleme Hizmeti Şifreleme Kullanıcısı rolünü atayın.

Azure portalı

Azure portalını kullanarak yönetilen kimliğe Key Vault Şifreleme Hizmeti Şifreleme Kullanıcısı rolünü atamak için şu adımları izleyin:

1. Azure portalında anahtar kasanıza gidin.
2. Hizmet menüsünden Erişim denetimi (IAM) öğesini seçin.
3. Bu kaynağa erişim altında Rol ataması ekle'yi seçin.
4. Key Vault Şifreleme Hizmeti Kullanıcısı öğesini arayıp seçin ve İleri'yi seçin.
5. Erişim atama altında Yönetilen kimlik seçin.
6. Üyeler'in altında +Üye seç'i seçin.
7. Yönetilen kimlikleri seçin penceresi açılır. Yönetilen kimlik'in altında Kullanıcı tarafından atanan yönetilen kimlik'i seçin.
8. Oluşturduğunuz yönetilen kimliği seçin ve ardından Seç'i seçin.
9. Gözden geçir + ata ve ardından Gözden geçir + ata seçin.

PowerShell

Key Vault Şifreleme Hizmeti Şifreleme Kullanıcısı rolünü Azure PowerShell kullanarak kullanıcı tarafından atanan yönetilen kimliğe atamak için aşağıdaki cmdlet'i çalıştırın. <resource-group>, <identity-name> ve <key-vault-name> değerleini kendi değerlerinizle değiştirin.

$identity = Get-AzUserAssignedIdentity `
    -ResourceGroupName <resource-group> `
    -Name <identity-name>

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>

New-AzRoleAssignment `
    -ObjectId $identity.PrincipalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

Azure CLI

Key Vault Şifreleme Hizmeti Şifreleme Kullanıcısı rolünü Azure CLI kullanarak kullanıcı tarafından atanan yönetilen kimliğe atamak için aşağıdaki komutları çalıştırın. <resource-group>, <identity-name> ve <key-vault-name> değerleini kendi değerlerinizle değiştirin.

# Get the principal ID of the user-assigned managed identity
IDENTITY_PRINCIPAL_ID=$(az identity show \
    --name <identity-name> \
    --resource-group <resource-group> \
    --query principalId -o tsv)

# Get the key vault resource ID
KV_RESOURCE_ID=$(az keyvault show \
    --name <key-vault-name> \
    --query id -o tsv)

# Assign the Key Vault Crypto Service Encryption User role to the user-assigned managed identity
az role assignment create \
    --assignee-object-id $IDENTITY_PRINCIPAL_ID \
    --assignee-principal-type ServicePrincipal \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $KV_RESOURCE_ID

4. Adım: Depolama hesabında müşteri tarafından yönetilen anahtarları yapılandırma

Anahtar kasası, anahtar ve yönetilen kimlik yerine koyulduğunda, depolama hesabında müşteri tarafından yönetilen anahtarları etkinleştirebilirsiniz.

Depolama hesabını şifreleme için anahtarınızı kullanacak şekilde yapılandırmak için bu adımları izleyin. Azure portalı her zaman otomatik anahtar sürümü güncelleştirmesi kullanır. Bunun yerine el ile anahtar sürüm yönetimi kullanmak için Azure PowerShell veya Azure CLI kullanın ve bir anahtar sürümü belirtin.

Important

Bir ağ güvenlik çevresiyle ilişkili depolama hesapları için anahtar kasası ideal olarak aynı ağ güvenlik çevresinde yer almalıdır. Değilse, depolama hesabının onunla iletişim kurmasına izin vermek için anahtar kasasının ağ güvenlik çevre profilini yapılandırmanız gerekir.

Mevcut depolama hesabı için müşteri tarafından yönetilen anahtarları yapılandırma

Azure portalını, Azure PowerShell veya Azure CLI kullanarak mevcut bir depolama hesabında müşteri tarafından yönetilen anahtarları yapılandırabilirsiniz.

Azure portalı

Azure portalını kullanarak mevcut bir depolama hesabında müşteri tarafından yönetilen anahtarları yapılandırmak için aşağıdaki adımları izleyin. Portalda varsayılan olarak otomatik anahtar sürümü güncelleştirmesi kullanılır. Anahtar sürümü belirtemezsiniz.

1. Depolama hesabınıza gidin.
2. Hizmet menüsünde, Güvenlik + ağ altında Şifreleme'yi seçin.
3. Şifreleme türü içinCustomer-Managed Anahtarları'nı seçin. Depolama hesabı CMK için zaten yapılandırılmışsa 'Anahtarı değiştir' seçin.
4. Şifreleme anahtarı için Anahtar kasasından seç'i seçin.
5. Anahtar kasası ve anahtar seçin ve ardından anahtar kasanızı ve anahtarınızı seçin.
6. Kimlik türü için, önceden oluşturduğunuz kullanıcı atamalı yönetilen kimliği kullanmak üzere Kullanıcı atamalı seçeneğini seçin.
7. Kullanıcı tarafından atanan yönetilen kimliği arayıp seçin ve ardından Ekle'yi seçin.
8. Kaydetseçeneğini seçin.

PowerShell

Otomatik anahtar sürümü güncelleştirme (önerilen) ile Azure PowerShell kullanarak mevcut bir depolama hesabında müşteri tarafından yönetilen anahtarları yapılandırmak için aşağıdaki cmdlet'i çalıştırın. Değerlerinizi <resource-group>, <identity-name>, <storage-account-name>, <key-vault-name> ve <key-name> ile değiştirin.

Aşağıdaki cmdlet daha önce oluşturduğunuz kullanıcı tarafından atanan yönetilen kimliğinizi kullanır. Bunun yerine depolama hesabının sistem kimliğini kullanmak istiyorsanız, IdentityType'yi SystemAssigned olarak ayarlayın ve $identity, UserAssignedIdentityId ve KeyVaultUserAssignedIdentityId değişkenlerini hariç tutun.

$identity = Get-AzUserAssignedIdentity `
    -ResourceGroupName <resource-group> `
    -Name <identity-name>

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>
$key = Get-AzKeyVaultKey -VaultName <key-vault-name> -Name <key-name>

Set-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -IdentityType UserAssigned `
    -UserAssignedIdentityId $identity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVaultEncryption `
    -KeyVaultUserAssignedIdentityId $identity.Id

Otomatik güncellemeler yerine manuel anahtar sürümü güncellemeyi kullanmak için -KeyVersion $key.Version parametresini Set-AzStorageAccount cmdlet'ine ekleyin.

Azure CLI

Otomatik anahtar sürümü güncelleştirmesi (önerilir) ile Azure CLI kullanarak mevcut bir depolama hesabında müşteri tarafından yönetilen anahtarları yapılandırmak için aşağıdaki komutları çalıştırın. <resource-group>, <identity-name>, <storage-account-name>, <key-vault-name> ve <key-name> değerlerini kendi değerlerinizle değiştirin.

Aşağıdaki komut, önceden oluşturduğunuz kullanıcı tarafından atanan yönetilen kimliğinizi kullanır. Alternatif olarak depolama hesabının sistem kimliğini kullanmak istiyorsanız, --identity-type öğesini SystemAssigned olarak ayarlayın ve değişken IDENTITY_RESOURCE_ID, --user-identity-id ve --key-vault-user-identity-id öğelerini atlayın.

# Using user-assigned managed identity. Omit for system assigned.
IDENTITY_RESOURCE_ID=$(az identity show \
    --name <identity-name> \
    --resource-group <resource-group> \
    --query id -o tsv)

# Get the key vault URI
KEY_VAULT_URI=$(az keyvault show \
    --name <key-vault-name> \
    --query properties.vaultUri -o tsv)

az storage account update \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --encryption-key-vault $KEY_VAULT_URI \
    --encryption-key-name <key-name> \
    --encryption-key-source Microsoft.Keyvault \
    --key-vault-user-identity-id $IDENTITY_RESOURCE_ID \
    --identity-type UserAssigned \
    --user-identity-id $IDENTITY_RESOURCE_ID

Otomatik güncelleştirme yerine el ile anahtar sürümü güncelleştirmeyi kullanmak için komutuna --encryption-key-version <key-version> ekleyinaz storage account update.

Yeni bir depolama hesabı için müşteri tarafından yönetilen anahtarları yapılandırma

Azure portalı, Azure PowerShell veya Azure CLI kullanarak yeni bir depolama hesabı oluşturduğunuzda müşteri tarafından yönetilen anahtarları yapılandırabilirsiniz.

Depolama hesabı oluşturulana kadar kimlik mevcut olmadığından, depolama hesabı oluşturma sırasında sistem tarafından atanan bir kimlik kullanamazsınız. Kullanıcı tarafından atanan bir yönetilen kimlik kullanmanız gerekir.

Azure portalı

Azure portalını kullanarak yeni bir depolama hesabının müşteri tarafından yönetilen anahtarlarını yapılandırmak için aşağıdaki adımları izleyin. Portalda varsayılan olarak otomatik anahtar sürümü güncelleştirmesi kullanılır. Bir anahtar sürümü belirtemezsiniz.

1. Depolama hesabı oluşturma sırasında Şifreleme sekmesinde Şifreleme türü için Müşteri tarafından yönetilen anahtarlar (CMK) seçeneğini belirleyin.
2. Şifreleme anahtarının altında Anahtar kasası ve anahtar seçin, ardından kendi anahtar kasanızı ve anahtarınızı seçin.
3. Kullanıcı tarafından atanan kimlik'in altında Kimlik seçin'i seçin. Kullanıcı tarafından atanan yönetilen kimliği seç pencereleri açılır.
4. Önceden oluşturulmuş kullanıcı tarafından atanan yönetilen kimliğinizi arayın ve seçin. Yeni depolama hesapları sistem tarafından atanan yönetilen kimliği kullanamaz.
5. Add (Ekle) seçeneğini belirleyin.
6. Kalan sekmeleri tamamlayın ve Gözden geçir ve oluştur'u seçin.

PowerShell

Azure PowerShell kullanarak müşteri tarafından yönetilen anahtarlarla yeni bir depolama hesabı oluşturmak için aşağıdaki cmdlet'i çalıştırın. , , <resource-group>, <identity-name>, <storage-account-name>, <key-vault-name>ve <key-name> değerlerini kendi değerlerinizle değiştirin<region>. İsterseniz -Kind ve -SkuName için farklı değerler belirtebilirsiniz.

$identity = Get-AzUserAssignedIdentity `
    -ResourceGroupName <resource-group> `
    -Name <identity-name>

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>
$key = Get-AzKeyVaultKey -VaultName <key-vault-name> -Name <key-name>

New-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -Location <region> `
    -SkuName Standard_LRS `
    -Kind StorageV2 `
    -IdentityType UserAssigned `
    -UserAssignedIdentityId $identity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVaultUserAssignedIdentityId $identity.Id

Otomatik yerine el ile anahtar sürümü güncelleştirmeyi kullanmak için -KeyVersion $key.Version parametresini New-AzStorageAccount cmdlet'ine ekleyin.

Azure CLI

Azure CLI kullanarak müşteri tarafından yönetilen anahtarlarla yeni bir depolama hesabı oluşturmak için aşağıdaki komutları çalıştırın. , , <resource-group>, <identity-name>, <storage-account-name>, <key-vault-name>ve <key-name> değerlerini kendi değerlerinizle değiştirin<region>. İsterseniz --kind ve --sku için farklı değerler belirtebilirsiniz.

IDENTITY_RESOURCE_ID=$(az identity show \
    --name <identity-name> \
    --resource-group <resource-group> \
    --query id -o tsv)

# Get the key vault URI
KEY_VAULT_URI=$(az keyvault show \
    --name <key-vault-name> \
    --query properties.vaultUri -o tsv)

az storage account create \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --location <region> \
    --sku Standard_LRS \
    --kind StorageV2 \
    --identity-type UserAssigned \
    --user-identity-id $IDENTITY_RESOURCE_ID \
    --encryption-key-vault $KEY_VAULT_URI \
    --encryption-key-name <key-name> \
    --encryption-key-source Microsoft.Keyvault \
    --key-vault-user-identity-id $IDENTITY_RESOURCE_ID

Otomatik yerine el ile anahtar sürümü güncelleştirmeyi kullanmak için komutuna --encryption-key-version <key-version> ekleyinaz storage account create.

5. Adım: Yapılandırmayı doğrulama

Müşteri tarafından yönetilen anahtarları etkinleştirdikten sonra, depolama hesabınızda şifrelemenin düzgün yapılandırıldığını onaylayın. Bunu yapmak için Azure portalı, Azure PowerShell veya Azure CLI kullanabilirsiniz.

Azure portalı

Azure portalını kullanarak depolama hesabı yapılandırmasını doğrulamak için şu adımları izleyin:

1. Azure portalda depolama hesabınıza gidin.
2. Hizmet menüsünde, Güvenlik + ağ altında Şifreleme'yi seçin.
3. Şifreleme türününMüşteri Tarafından Yönetilen Anahtarlar gösterdiğini onaylayın.
4. Anahtar seçimi altındaki bilgilerin doğru olduğunu doğrulayın.

PowerShell

Azure PowerShell kullanarak depolama hesabı yapılandırmasını doğrulamak için aşağıdaki cmdlet'i çalıştırın. ve <resource-group> değerlerini kendi değerlerinizle değiştirin<storage-account-name>.

$account = Get-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name>

$account.Encryption.KeySource
$account.Encryption.KeyVaultProperties

KeySource'nin Microsoft.Keyvault olduğunu ve KeyVaultProperties'nin anahtar kasanızın URI'sini ve anahtar adınızı gösterdiğini onaylayın.

Azure CLI

Azure CLI kullanarak yapılandırmayı doğrulamak için aşağıdaki komutu çalıştırın. ve <resource-group> değerlerini kendi değerlerinizle değiştirin<storage-account-name>.

az storage account show \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --query encryption

keySource Microsoft.Keyvault olduğunu ve keyVaultProperties bölümünde anahtar kasası URI'nizin ve anahtar adınızın gösterildiğini onaylayın.

Anahtar döndürme

Şifreleme anahtarınızı düzenli olarak döndürmek, bir anahtarın gizliliğinin ihlal edilmiş olması durumunda maruz kalma durumunu sınırlar. Müşteri tarafından yönetilen anahtarları kullanan bir depolama hesabı için şifrelemeyi döndürmenin iki yolu vardır:

• Anahtar sürümünü yenileyin - Anahtar kasasında aynı anahtarın yeni bir sürümünü oluşturun. Anahtar adı aynı kalır, ancak sürüm değişir.
• Anahtarı değiştirme - Depolama hesabını, aynı veya farklı bir anahtar kasasında tamamen farklı bir anahtar (farklı bir adla) kullanacak şekilde değiştirin.

Important

Azure, anahtar kasasını yeni bir anahtar sürümü için günde yalnızca bir kez denetler. Anahtarı döndürdikten sonra, önceki anahtar sürümünü devre dışı bırakmadan önce 24 saat bekleyin.

Anahtar sürümünü döndürme

En iyi güvenlik uygulamaları için anahtar sürümünü en az iki yılda bir döndürün.

Otomatik anahtar sürümü döndürme (önerilir)

Müşteri tarafından yönetilen anahtarları bir anahtar sürümü belirtmeden yapılandırdıysanız (Azure portalı kullanırken varsayılan), Azure yeni anahtar sürümlerini günlük olarak otomatik olarak denetler. Anahtar kasasında anahtarın yeni bir sürümünü oluşturursanız Azure 24 saat içinde anahtarı alır. Azure Key Vault'ta otomatik anahtar döndürmeyi yapılandırarak belirli bir zamanlamaya göre yeni anahtar sürümleri oluşturabilirsiniz.

El ile anahtar sürümü döndürme

PowerShell veya Azure CLI kullanarak müşteri tarafından yönetilen anahtarları yapılandırırken bir anahtar sürümü belirttiyseniz Azure bu sürümü kullanır ve yeni sürümleri otomatik olarak denetlemez. Depolama hesabı yapılandırmasını yeni anahtar sürümüne işaret etmek için el ile güncelleştirmeniz gerekir.

Azure portalı

Azure portalında el ile anahtar sürümü döndürme desteklenmez. Anahtar sürümünü el ile döndürmek için Azure PowerShell veya Azure CLI kullanın.

PowerShell

Azure PowerShell kullanarak anahtar sürümünü el ile döndürmek için aşağıdaki cmdlet'i çalıştırın. , <resource-group>, <storage-account-name>ve <key-vault-name> değerlerini kendi değerlerinizle değiştirin<key-name>.

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>
$key = Get-AzKeyVaultKey -VaultName <key-vault-name> -Name <key-name>

Set-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version `
    -KeyVaultEncryption

Azure CLI

Azure CLI kullanarak anahtar sürümünü el ile döndürmek için aşağıdaki komutları çalıştırın. , <storage-account-name>, <resource-group>ve <key-vault-name> değerlerini kendi değerlerinizle değiştirin<key-name>.

# Get the key vault URI
KEY_VAULT_URI=$(az keyvault show \
    --name <key-vault-name> \
    --query properties.vaultUri -o tsv)

# Get the latest key version
KEY_VERSION=$(az keyvault key show \
    --vault-name <key-vault-name> \
    --name <key-name> \
    --query key.kid -o tsv | sed -e 's|.*/||')

az storage account update \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --encryption-key-vault $KEY_VAULT_URI \
    --encryption-key-name <key-name> \
    --encryption-key-version $KEY_VERSION \
    --encryption-key-source Microsoft.Keyvault

Anahtarı değiştirme

Depolama hesabını tamamen farklı bir anahtar kullanacak şekilde değiştirmek için, anahtar kasanızda yeni bir anahtar oluşturun veya içeri aktarın (bkz. Şifreleme anahtarı oluşturma veya içeri aktarma) ve ardından depolama hesabı şifreleme yapılandırmasını yeni anahtarı kullanacak şekilde güncelleştirin.

Azure portalı

Azure portalını kullanarak anahtarı değiştirmek için şu adımları izleyin:

1. Depolama hesabınıza gidin.
2. Hizmet menüsünde, Güvenlik + ağ altında Şifreleme'yi seçin.
3. Anahtarı değiştir'i seçin.
4. "Anahtar kasası ve anahtar seçin" seçeneğini seçin ve ardından kendi anahtar kasanızı ve yeni anahtarınızı belirleyin.
5. Kaydetseçeneğini seçin.

PowerShell

Azure PowerShell kullanarak anahtarı değiştirmek için aşağıdaki cmdlet'i çalıştırın. , <resource-group>, <storage-account-name>ve <key-vault-name> değerlerini kendi değerlerinizle değiştirin<new-key-name>. Otomatik anahtar versiyon güncellemeyi kullanmak için (tercih edilir), -KeyVersion parametresini atlayın.

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>
$key = Get-AzKeyVaultKey -VaultName <key-vault-name> -Name <new-key-name>

Set-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVaultEncryption

Azure CLI

Azure CLI kullanarak anahtarı değiştirmek için aşağıdaki komutları çalıştırın. , <storage-account-name>, <resource-group>ve <key-vault-name> değerlerini kendi değerlerinizle değiştirin<new-key-name>. Otomatik anahtar sürümü güncelleştirmesini kullanmak için (önerilen), --encryption-key-version parametresini atlayın.

# Get the key vault URI
KEY_VAULT_URI=$(az keyvault show \
    --name <key-vault-name> \
    --query properties.vaultUri -o tsv)

az storage account update \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --encryption-key-vault $KEY_VAULT_URI \
    --encryption-key-name <new-key-name> \
    --encryption-key-source Microsoft.Keyvault

Anahtarı devre dışı bırakarak dosya paylaşımı verilerine erişimi iptal etme

Müşteri tarafından yönetilen anahtarı devre dışı bırakarak veya silerek şifrelenmiş dosya paylaşımı verilerine erişimi hemen engelleyebilirsiniz. Anahtar devre dışı bırakılmıştır ancak aşağıdakiler dahil olmak üzere tüm Azure Dosyalar veri düzlemi işlemleri HTTP 403 (Yasak) ile başarısız olur:

• Dizinleri ve dosyaları listeleme
• Dizin veya dosya oluşturma/alma/ayarlama
• Dosya meta verilerini alma/ayarlama
• Aralığı koy, dosyayı kopyala, dosyayı yeniden adlandır

Dosya paylaşımı verilerinize erişimi iptal etmek için Azure portalı, Azure PowerShell veya Azure CLI kullanarak anahtar kasasında anahtarı devre dışı bırakın. Erişimi geri yüklemek için anahtarı yeniden etkinleştirin.

Azure portalı

Azure portalını kullanarak anahtarı devre dışı bırakmak için şu adımları izleyin:

1. Azure portalında anahtar kasanıza gidin.
2. Hizmet menüsünden Nesneler altında Anahtarlar seçin.
3. Tuşa sağ tıklayın ve Devre dışı bırak'ı seçin.

PowerShell

Azure PowerShell kullanarak anahtarı devre dışı bırakmak için aşağıdaki cmdlet'i çalıştırın. ve <key-vault-name> değerlerini kendi değerlerinizle değiştirin<key-name>.

Update-AzKeyVaultKey `
    -VaultName <key-vault-name> `
    -Name <key-name> `
    -Enable $false

Azure CLI

Azure CLI kullanarak anahtarı devre dışı bırakmak için aşağıdaki komutu çalıştırın. ve <key-vault-name> değerlerini kendi değerlerinizle değiştirin<key-name>.

az keyvault key set-attributes \
    --vault-name <key-vault-name> \
    --name <key-name> \
    --enabled false

Microsoft tarafından yönetilen anahtarlara geri dönme

Müşteri tarafından yönetilen anahtarlara artık ihtiyacınız yoksa Azure portalı, Azure PowerShell veya Azure CLI kullanarak depolama hesabını şifreleme için Microsoft yönetilen anahtarları kullanmaya geri döndürebilirsiniz.

Azure portalı

Azure portalını kullanarak Microsoft yönetilen anahtarlara geri dönmek için şu adımları izleyin:

1. Azure portalda depolama hesabınıza gidin.
2. Hizmet menüsünde, Güvenlik + ağ altında Şifreleme'yi seçin.
3. şifreleme türünü Microsoft-Managed Keys olarak değiştirin.
4. Kaydetseçeneğini seçin.

PowerShell

Azure PowerShell kullanarak Microsoft yönetilen anahtarlara geri dönmek için aşağıdaki cmdlet'i çalıştırın. ve <resource-group> değerlerini kendi değerlerinizle değiştirin<storage-account-name>.

Set-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -StorageEncryption

Azure CLI

Azure CLI kullanarak Microsoft yönetilen anahtarlara geri dönmek için aşağıdaki komutu çalıştırın. ve <resource-group> değerlerini kendi değerlerinizle değiştirin<storage-account-name>.

az storage account update \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --encryption-key-source Microsoft.Storage

İlgili içerik

Şifreleme ve anahtar yönetimi hakkında daha fazla bilgi için aşağıdaki makalelere bakın.

• Hareketsiz veriler için Azure Depolama şifrelemesi
• Azure Depolama şifrelemesi için müşteri tarafından yönetilen anahtarlar (genel bakış)
• Mevcut bir depolama hesabı için müşteri tarafından yönetilen anahtarları aynı kiracıda yapılandırma
• Müşteri tarafından yönetilen anahtarları kiracılar arasında yapılandırın
• Azure Dosyalar için şifreleme
• Azure Key Vault nedir?