Şifreleme kapsamları oluşturma ve yönetme

Şifreleme kapsamları tek bir blob veya kapsayıcı düzeyinde şifrelemeyi yönetmenizi sağlar. Aynı depolama hesabında bulunan ancak farklı müşterilere ait veriler arasında güvenli sınırlar oluşturmak için şifreleme kapsamlarını kullanabilirsiniz. Şifreleme kapsamları hakkında daha fazla bilgi için Blob depolama için şifreleme kapsamları kısmına bakın.

Bu makalede şifreleme kapsamının nasıl oluşturulacağı gösterilmektedir. Ayrıca blob veya kapsayıcı oluştururken şifreleme kapsamının nasıl belirtileceğini de gösterir.

Şifreleme kapsamı oluşturma

Microsoft tarafından yönetilen bir anahtarla veya Azure Key Vault'ta veya Azure Key Vault Yönetilen Donanım Güvenlik Modeli'nde (HSM) depolanan müşteri tarafından yönetilen bir anahtarla korunan bir şifreleme kapsamı oluşturabilirsiniz. Müşteri tarafından yönetilen bir anahtarla şifreleme kapsamı oluşturmak için önce bir anahtar kasası veya yönetilen HSM oluşturmanız ve kapsam için kullanmayı planladığınız anahtarı eklemeniz gerekir. Anahtar kasasında veya yönetilen HSM'de temizleme koruması etkinleştirilmelidir.

Depolama hesabı ve anahtar kasası aynı kiracıda veya farklı kiracılarda olabilir. Her iki durumda da depolama hesabı ve anahtar kasası farklı bölgelerde olabilir.

Bir şifreleme kapsamı oluşturduğunuzda otomatik olarak etkinleştirilir. Şifreleme kapsamını oluşturduktan sonra bir blob oluşturduğunuzda belirtebilirsiniz. Kapsayıcı oluştururken, kapsayıcıdaki tüm bloblara otomatik olarak uygulanan varsayılan bir şifreleme kapsamı da belirtebilirsiniz.

Bir şifreleme kapsamı yapılandırdığınızda, en az bir ay (30 gün) için faturalandırılırsınız. İlk aydan sonra, bir şifreleme kapsamı için ücretler saatlik olarak eşit olarak dağıtılır. Daha fazla bilgi için bkz. Şifreleme kapsamları için faturalama.

Portal

Azure portalında şifreleme kapsamı oluşturmak için şu adımları izleyin:

1. Azure portalda depolama hesabınıza gidin.

2. Güvenlik + ağ altındaŞifreleme'yi seçin.

3. Şifreleme Kapsamları sekmesini seçin.

4. Yeni bir şifreleme kapsamı eklemek için Ekle düğmesine tıklayın.

5. Şifreleme Kapsamı Oluştur bölmesinde yeni kapsam için bir ad girin.

6. Microsoft tarafından yönetilen anahtarlar veya Müşteri tarafından yönetilen anahtarlar gibi istenen şifreleme anahtarı desteğini seçin.

   • Microsoft tarafından yönetilen anahtarlar'ı seçtiyseniz, şifreleme kapsamını oluşturmak için Oluştur'a tıklayın.
   • Müşteri tarafından yönetilen anahtarlar'ı seçtiyseniz, bir abonelik seçin ve bu şifreleme kapsamı için kullanılacak bir anahtar kasası ve anahtar belirtin. İstenen anahtar kasası farklı bir bölgedeyse Anahtar URI'sini girin'i seçin ve anahtar URI'sini belirtin.

7. Depolama hesabı için altyapı şifrelemesi etkinleştirildiyse, yeni şifreleme kapsamı için otomatik olarak etkinleştirilir. Aksi takdirde, şifreleme kapsamı için altyapı şifrelemesinin etkinleştirilip etkinleştirilmeyeceğini seçebilirsiniz.

   

PowerShell

PowerShell ile şifreleme kapsamı oluşturmak için Az.Storage PowerShell modülünün 3.4.0 veya sonraki bir sürümünü yükleyin.

Microsoft tarafından yönetilen anahtarlar tarafından korunan bir şifreleme kapsamı oluşturma

Microsoft tarafından yönetilen anahtarlarla korunan bir şifreleme kapsamı oluşturmak için New-AzStorageEncryptionScope komutunu parametresiyle çağırın -StorageEncryption .

Depolama hesabı için altyapı şifrelemesi etkinleştirildiyse, yeni şifreleme kapsamı için otomatik olarak etkinleştirilir. Aksi takdirde, şifreleme kapsamı için altyapı şifrelemesinin etkinleştirilip etkinleştirilmeyeceğini seçebilirsiniz. Altyapı şifrelemesi etkinleştirilmiş yeni kapsamı oluşturmak için parametresini -RequireInfrastructureEncryption ekleyin.

Örnekteki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$scopeName = "<encryption-scope>"

New-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName1 `
    -StorageEncryption

Aynı kiracıda müşteri tarafından yönetilen anahtarlar tarafından korunan bir şifreleme kapsamı oluşturun

Depolama hesabıyla aynı kiracıda yer alan bir anahtar kasasında veya yönetilen HSM'de depolanan müşteri tarafından yönetilen anahtarlarla korunan bir şifreleme kapsamı oluşturmak için önce depolama hesabı için müşteri tarafından yönetilen anahtarları yapılandırın. Anahtar kasasına erişim izinleri olan depolama hesabına yönetilen kimlik atamanız gerekir. Yönetilen kimlik, kullanıcı tarafından atanan yönetilen kimlik veya sistem tarafından atanan yönetilen kimlik olabilir. Müşteri tarafından yönetilen anahtarları yapılandırma hakkında daha fazla bilgi edinmek için bkz. Mevcut bir depolama hesabı için aynı kiracıda müşteri tarafından yönetilen anahtarları yapılandırma.

Yönetilen kimliğe anahtar kasasına erişim izinleri vermek için, yönetilen kimliğe Key Vault Crypto Service Encryption User rolünü atayın.

Müşteri tarafından yönetilen anahtarları şifreleme kapsamıyla kullanılacak şekilde yapılandırmak için, anahtar kasasında veya yönetilen HSM'de temizleme koruması etkinleştirilmelidir.

Aşağıdaki örnekte, sistem tarafından atanan yönetilen kimlikle şifreleme kapsamının nasıl yapılandırılır gösterilmektedir. Örnekteki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$keyVaultName = "<key-vault>"
$scopeName = "<encryption-scope>"

# Assign a system-assigned managed identity to the storage account.
$storageAccount = Set-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -AssignIdentity

# Assign the necessary permissions to the managed identity 
# so that it can access the key vault.
$principalId = $storageAccount.Identity.PrincipalId
$keyVault = Get-AzKeyVault $keyVaultName

New-AzRoleAssignment -ObjectId $storageAccount.Identity.PrincipalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

Ardından, parametresiyle New-AzStorageEncryptionScope komutunu çağırın -KeyvaultEncryption ve anahtar URI'sini belirtin. Anahtar sürümünü anahtar URI'sine dahil etmek isteğe bağlıdır. Anahtar sürümünü atlarsanız şifreleme kapsamı otomatik olarak en son anahtar sürümünü kullanır. Anahtar sürümünü eklerseniz, farklı bir sürüm kullanmak için anahtar sürümünü el ile güncelleştirmeniz gerekir.

Anahtar URI'sinin biçimi aşağıdaki örneklere benzer ve anahtar kasasının VaultUri özelliğinden ve anahtar adından oluşturulabilir:

# Without the key version
https://<key-vault>.vault.azure.net/keys/<key>

# With the key version
https://<key-vault>.vault.azure.net/keys/<key>/<version>

Depolama hesabı için altyapı şifrelemesi etkinleştirildiyse, yeni şifreleme kapsamı için otomatik olarak etkinleştirilir. Aksi takdirde, şifreleme kapsamı için altyapı şifrelemesinin etkinleştirilip etkinleştirilmeyeceğini seçebilirsiniz. Altyapı şifrelemesi etkinleştirilmiş yeni kapsamı oluşturmak için parametresini -RequireInfrastructureEncryption ekleyin.

Örnekteki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın:

$keyUri = $keyVault.VaultUri + "keys/" + $keyName

New-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName `
    -KeyUri $keyUri `
    -KeyvaultEncryption

Farklı bir kiracıda müşteri tarafından yönetilen anahtarlar tarafından korunan bir şifreleme kapsamı oluşturma

Depolama hesabından farklı bir kiracıda yer alan bir anahtar kasasında veya yönetilen HSM'de depolanan müşteri tarafından yönetilen anahtarlarla korunan bir şifreleme kapsamı oluşturmak için önce depolama hesabı için müşteri tarafından yönetilen anahtarları yapılandırın. Diğer kiracıdaki anahtar kasasına erişim izinlerine sahip depolama hesabına kullanıcı tarafından atanan yönetilen bir kimlik yapılandırmanız gerekiyor. Kiracılar arası müşteri tarafından yönetilen anahtarları yapılandırma hakkında daha fazla bilgi edinmek için bkz. Mevcut bir depolama hesabı için kiracılar arası müşteri tarafından yönetilen anahtarları yapılandırma.

Müşteri tarafından yönetilen anahtarları şifreleme kapsamıyla kullanılacak şekilde yapılandırmak için, anahtar kasasında veya yönetilen HSM'de temizleme koruması etkinleştirilmelidir.

Depolama hesabı için tenantlar arası müşteri tarafından yönetilen anahtarları yapılandırdıktan sonra, bir tenanttaki depolama hesabında, diğer tenanttaki bir anahtar kasasındaki bir anahtara bağlı bir şifreleme kapsamı oluşturabilirsiniz. Kiracılar arası şifreleme kapsamını oluşturmak için anahtar URI'sine ihtiyacınız olacaktır.

Örnekteki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$scopeName = "<encryption-scope>"

# Construct the key URI from the key vault URI and key name.
$keyUri = $kvUri + "keys/" + $keyName

New-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName `
    -KeyUri $keyUri `
    -KeyvaultEncryption

Azure CLI

Azure CLI ile şifreleme kapsamı oluşturmak için önce Azure CLI sürüm 2.20.0 veya üzerini yükleyin.

Microsoft tarafından yönetilen anahtarlar tarafından korunan bir şifreleme kapsamı oluşturma

Microsoft tarafından yönetilen anahtarlar tarafından korunan bir şifreleme kapsamı oluşturmak için az storage account encryption-scope create komutunu çağırın ve parametresini --key-source olarak Microsoft.Storagebelirtin.

Depolama hesabı için altyapı şifrelemesi etkinleştirildiyse, yeni şifreleme kapsamı için otomatik olarak etkinleştirilir. Aksi takdirde, şifreleme kapsamı için altyapı şifrelemesinin etkinleştirilip etkinleştirilmeyeceğini seçebilirsiniz. Altyapı şifrelemesi etkinleştirilmiş yeni kapsamı oluşturmak için parametresini --require-infrastructure-encryption ekleyin ve değerini olarak trueayarlayın.

Yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın:

az storage account encryption-scope create \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.Storage

Aynı kiracıda müşteri tarafından yönetilen anahtarlar tarafından korunan bir şifreleme kapsamı oluşturun

Depolama hesabıyla aynı kiracıda yer alan bir anahtar kasasında veya yönetilen HSM'de depolanan müşteri tarafından yönetilen anahtarlarla korunan bir şifreleme kapsamı oluşturmak için önce depolama hesabı için müşteri tarafından yönetilen anahtarları yapılandırın. Anahtar kasasına erişim izinleri olan depolama hesabına yönetilen kimlik atamanız gerekir. Yönetilen kimlik, kullanıcı tarafından atanan yönetilen kimlik veya sistem tarafından atanan yönetilen kimlik olabilir. Müşteri tarafından yönetilen anahtarları yapılandırma hakkında daha fazla bilgi edinmek için bkz. Mevcut bir depolama hesabı için aynı kiracıda müşteri tarafından yönetilen anahtarları yapılandırma.

Yönetilen kimliğe anahtar kasasına erişim izinleri vermek için, yönetilen kimliğe Key Vault Crypto Service Encryption User rolünü atayın.

Müşteri tarafından yönetilen anahtarları şifreleme kapsamıyla kullanılacak şekilde yapılandırmak için, anahtar kasasında veya yönetilen HSM'de temizleme koruması etkinleştirilmelidir.

Aşağıdaki örnekte, sistem tarafından atanan yönetilen kimlikle şifreleme kapsamının nasıl yapılandırılır gösterilmektedir. Örnekteki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın:

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --assign-identity

principalId=$(az storage account show --name <storage-account> \
    --resource-group <resource_group> \
    --query identity.principalId \
    --output tsv)

$kvResourceId=$(az keyvault show \
    --resource-group <resource-group> \
    --name <key-vault> \
    --query id \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId

Ardından parametresiyle az storage account encryption-scope komutunu çağırın --key-uri ve anahtar URI'sini belirtin. Anahtar sürümünü anahtar URI'sine dahil etmek isteğe bağlıdır. Anahtar sürümünü atlarsanız şifreleme kapsamı otomatik olarak en son anahtar sürümünü kullanır. Anahtar sürümünü eklerseniz, farklı bir sürüm kullanmak için anahtar sürümünü el ile güncelleştirmeniz gerekir.

Anahtar URI'sinin biçimi aşağıdaki örneklere benzer ve anahtar kasasının vaultUri özelliğinden ve anahtar adından oluşturulabilir:

# Without the key version
https://<key-vault>.vault.azure.net/keys/<key>

# With the key version
https://<key-vault>.vault.azure.net/keys/<key>/<version>

Depolama hesabı için altyapı şifrelemesi etkinleştirildiyse, yeni şifreleme kapsamı için otomatik olarak etkinleştirilir. Aksi takdirde, şifreleme kapsamı için altyapı şifrelemesinin etkinleştirilip etkinleştirilmeyeceğini seçebilirsiniz. Altyapı şifrelemesi etkinleştirilmiş yeni kapsamı oluşturmak için parametresini --require-infrastructure-encryption ekleyin ve değerini olarak trueayarlayın.

Örnekteki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın:

az storage account encryption-scope create \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.KeyVault \
    --key-uri <key-uri>

Farklı bir kiracıda müşteri tarafından yönetilen anahtarlar tarafından korunan bir şifreleme kapsamı oluşturma

Depolama hesabından farklı bir kiracıda yer alan bir anahtar kasasında veya yönetilen HSM'de depolanan müşteri tarafından yönetilen anahtarlarla korunan bir şifreleme kapsamı oluşturmak için önce depolama hesabı için müşteri tarafından yönetilen anahtarları yapılandırın. Diğer kiracıdaki anahtar kasasına erişim izinlerine sahip depolama hesabına kullanıcı tarafından atanan yönetilen bir kimlik yapılandırmanız gerekiyor. Kiracılar arası müşteri tarafından yönetilen anahtarları yapılandırma hakkında daha fazla bilgi edinmek için bkz. Mevcut bir depolama hesabı için kiracılar arası müşteri tarafından yönetilen anahtarları yapılandırma.

Müşteri tarafından yönetilen anahtarları şifreleme kapsamıyla kullanılacak şekilde yapılandırmak için, anahtar kasasında veya yönetilen HSM'de temizleme koruması etkinleştirilmelidir.

Depolama hesabı için tenantlar arası müşteri tarafından yönetilen anahtarları yapılandırdıktan sonra, bir tenanttaki depolama hesabında, diğer tenanttaki bir anahtar kasasındaki bir anahtara bağlı bir şifreleme kapsamı oluşturabilirsiniz. Kiracılar arası şifreleme kapsamını oluşturmak için anahtar URI'sine ihtiyacınız olacaktır.

Örnekteki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın:

az storage account encryption-scope create \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.KeyVault \
    --key-uri <key-uri>

Depolama hesabı için şifreleme kapsamlarını listeleme

Portal

Azure portalında bir depolama hesabının şifreleme kapsamlarını görüntülemek için depolama hesabının Şifreleme Kapsamları ayarına gidin. Bu bölmeden bir şifreleme kapsamını etkinleştirebilir veya devre dışı bırakabilir ya da şifreleme kapsamının anahtarını değiştirebilirsiniz.

Anahtar URI'si ve sürümü ve anahtar sürümünün otomatik olarak güncelleştirilip güncelleştirilmediği dahil olmak üzere müşteri tarafından yönetilen anahtarın ayrıntılarını görüntülemek için Anahtar sütunundaki bağlantıyı izleyin.

PowerShell

PowerShell ile bir depolama hesabında kullanılabilen şifreleme kapsamlarını listelemek için Get-AzStorageEncryptionScope komutunu çağırın . Örnekteki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın:

Get-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName

Bir kaynak grubundaki tüm şifreleme kapsamlarını depolama hesabına göre listelemek için işlem hattı söz dizimini kullanın:

Get-AzStorageAccount -ResourceGroupName $rgName | Get-AzStorageEncryptionScope

Azure CLI

Azure CLI ile bir depolama hesabında kullanılabilen şifreleme kapsamlarını listelemek için az storage account encryption-scope list komutunu çağırın. Örnekteki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın:

az storage account encryption-scope list \
    --account-name <storage-account> \
    --resource-group <resource-group>

Varsayılan şifreleme kapsamına sahip bir kapsayıcı oluşturma

Kapsayıcı oluşturduğunuzda, varsayılan bir şifreleme kapsamı belirtebilirsiniz. Bu kapsayıcıdaki bloblar varsayılan olarak bu kapsamı kullanır.

Kapsayıcı tüm blobların varsayılan kapsamı kullanmasını gerektirecek şekilde yapılandırılmadığı sürece tek bir blob kendi şifreleme kapsamıyla oluşturulabilir. Daha fazla bilgi için bkz . Kapsayıcılar ve bloblar için şifreleme kapsamları.

Portal

Azure portalında varsayılan şifreleme kapsamına sahip bir kapsayıcı oluşturmak için önce Şifreleme kapsamı oluşturma bölümünde açıklandığı gibi şifreleme kapsamını oluşturun. Ardından, kapsayıcıyı oluşturmak için şu adımları izleyin:

1. Depolama hesabınızdaki kapsayıcılar listesine gidin ve Ekle düğmesini seçerek kapsayıcı oluşturun.

2. Yeni Kapsayıcı bölmesinde Gelişmiş ayarlar'ı genişletin.

3. Şifreleme kapsamı açılan listesinde kapsayıcı için varsayılan şifreleme kapsamını seçin.

4. Kapsayıcıdaki tüm blobların varsayılan şifreleme kapsamını kullanmasını istemek için Kapsayıcıdaki tüm bloblar için bu şifreleme kapsamını kullan onay kutusunu seçin. Bu onay kutusu seçiliyse, kapsayıcıdaki tek bir blob varsayılan şifreleme kapsamını geçersiz kılamaz.

   

PowerShell

PowerShell ile varsayılan şifreleme kapsamına sahip bir kapsayıcı oluşturmak için New-AzStorageContainer komutunu çağırın ve parametresinin -DefaultEncryptionScope kapsamını belirtin. Kapsayıcıdaki tüm blobları kapsayıcının varsayılan kapsamını kullanmaya zorlamak için parametresini -PreventEncryptionScopeOverride olarak trueayarlayın.

$containerName1 = "container1"
$ctx = New-AzStorageContext -StorageAccountName $accountName -UseConnectedAccount

# Create a container with a default encryption scope that cannot be overridden.
New-AzStorageContainer -Name $containerName1 `
    -Context $ctx `
    -DefaultEncryptionScope $scopeName1 `
    -PreventEncryptionScopeOverride $true

Azure CLI

Azure CLI ile varsayılan şifreleme kapsamına sahip bir kapsayıcı oluşturmak için az storage container create komutunu çağırın ve parametresinin --default-encryption-scope kapsamını belirtin. Kapsayıcıdaki tüm blobları kapsayıcının varsayılan kapsamını kullanmaya zorlamak için parametresini --prevent-encryption-scope-override olarak trueayarlayın.

Aşağıdaki örnek, kapsayıcıyı oluşturma işlemini yetkilendirmek için Microsoft Entra hesabınızı kullanır. Hesap erişim anahtarını da kullanabilirsiniz. Daha fazla bilgi için bkz . Azure CLI ile blob veya kuyruk verilerine erişimi yetkilendirme.

az storage container create \
    --account-name <storage-account> \
    --resource-group <resource-group> \
    --name <container> \
    --default-encryption-scope <encryption-scope> \
    --prevent-encryption-scope-override true \
    --auth-mode login

İstemci blobu varsayılan şifreleme kapsamına sahip bir kapsayıcıya yüklerken kapsam belirtmeye çalışırsa ve kapsayıcı blobların varsayılan kapsamı geçersiz kılmasını engelleyecek şekilde yapılandırılmışsa, işlem isteğin kapsayıcı şifreleme ilkesi tarafından yasaklandığını belirten bir iletiyle başarısız olur.

Şifreleme kapsamına sahip bir blobu karşıya yükleyin

Bir blobu karşıya yüklediğinizde, bu blob için bir şifreleme kapsamı belirtebilir veya belirtildiyse kapsayıcı için varsayılan şifreleme kapsamını kullanabilirsiniz.

Uyarı

Şifreleme kapsamına sahip yeni bir blob yüklediğinizde, bu blob için varsayılan erişim katmanını değiştiremezsiniz. Ayrıca, şifreleme kapsamı kullanan mevcut bir blob için erişim katmanını değiştiremezsiniz. Erişim katmanları hakkında daha fazla bilgi için bkz. Blob verileri için Sık Erişimli, Seyrek Erişimli ve Arşiv erişim katmanları.

Portal

Azure portalı aracılığıyla şifreleme kapsamına sahip bir blobu karşıya yüklemek için önce Şifreleme kapsamı oluşturma bölümünde açıklandığı gibi şifreleme kapsamını oluşturun. Ardından blobu oluşturmak için şu adımları izleyin:

1. Blobu karşıya yüklemek istediğiniz kapsayıcıya gidin.

2. Yükle düğmesini seçin ve yüklemek için blobu bulun.

3. Blobu karşıya yükle bölmesinde Gelişmiş ayarları genişletin.

4. Şifreleme kapsamı açılan bölümünü bulun. Varsayılan olarak blob, belirtildiyse kapsayıcı için varsayılan şifreleme kapsamıyla oluşturulur. Kapsayıcı blobların varsayılan şifreleme kapsamını kullanmasını gerektiriyorsa, bu bölüm devre dışı bırakılır.

5. Karşıya yüklemekte olduğunuz blob için farklı bir kapsam belirtmek amacıyla Var olan bir kapsam seçin ve ardından açılan listeden istediğiniz kapsamı seçin.

   

PowerShell

PowerShell aracılığıyla şifreleme kapsamına sahip bir blobu karşıya yüklemek için Set-AzStorageBlobContent komutunu çağırın ve blob için şifreleme kapsamını sağlayın.

$containerName2 = "container2"
$localSrcFile = "C:\temp\helloworld.txt"
$ctx = New-AzStorageContext -StorageAccountName $accountName -UseConnectedAccount

# Create a container with no default scope defined.
New-AzStorageContainer -Name $containerName2 -Context $ctx

# Upload a block upload with an encryption scope specified.
Set-AzStorageBlobContent -Context $ctx `
    -Container $containerName2 `
    -File $localSrcFile `
    -Blob "helloworld.txt" `
    -BlobType Block `
    -EncryptionScope $scopeName2

Azure CLI

Azure CLI aracılığıyla şifreleme kapsamına sahip bir blobu karşıya yüklemek için az storage blob upload komutunu çağırın ve blob için şifreleme kapsamını sağlayın.

Azure Cloud Shell kullanıyorsanız kök dizinde dosya oluşturmak için Blobu karşıya yükleme bölümünde açıklanan adımları izleyin. Ardından aşağıdaki örneği kullanarak bu dosyayı bir bloba yükleyebilirsiniz.

az storage blob upload \
    --account-name <storage-account> \
    --container-name <container> \
    --file <file> \
    --name <file> \
    --encryption-scope <encryption-scope>

Kapsam için şifreleme anahtarını değiştir

Şifreleme kapsamını Microsoft tarafından yönetilen anahtardan müşteri tarafından yönetilen anahtara koruyan anahtarı değiştirmek için önce depolama hesabı için Azure Key Vault veya Key Vault HSM ile müşteri tarafından yönetilen anahtarları etkinleştirdiğinizden emin olun. Daha fazla bilgi için bkz. Azure Key Vault'ta depolanan müşteri tarafından yönetilen anahtarlarla şifrelemeyi yapılandırma veya Azure Key Vault'ta depolanan müşteri tarafından yönetilen anahtarlarla şifrelemeyi yapılandırma.

Portal

Azure portalında kapsamı koruyan anahtarı değiştirmek için şu adımları izleyin:

1. Depolama hesabının şifreleme kapsamlarının listesini görüntülemek için Şifreleme Kapsamları sekmesine gidin.
2. Değiştirmek istediğiniz kapsamın yanındaki Diğer düğmesini seçin.
3. Şifreleme kapsamını düzenle bölmesinde, şifreleme türünü Microsoft tarafından yönetilen anahtardan müşteri tarafından yönetilen anahtara (veya tersine) değiştirebilirsiniz.
4. Müşteri tarafından yönetilen yeni bir anahtar seçmek için Yeni anahtar kullan'ı seçin ve anahtar kasasını, anahtarı ve anahtar sürümünü belirtin.

PowerShell

Şifreleme kapsamını müşteri tarafından yönetilen anahtardan Microsoft tarafından yönetilen anahtara PowerShell ile koruyan anahtarı değiştirmek için Update-AzStorageEncryptionScope komutunu çağırın ve parametresini -StorageEncryption geçirin:

Update-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName2 `
    -StorageEncryption

Ardından Update-AzStorageEncryptionScope komutunu çağırın -KeyUri ve ve -KeyvaultEncryption parametrelerini geçirin:

Update-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName1 `
    -KeyUri $keyUri `
    -KeyvaultEncryption

Azure CLI

Bir şifreleme kapsamını müşteri tarafından yönetilen anahtardan Microsoft tarafından yönetilen anahtara değiştirmek için Azure CLI ile az storage account encryption-scope update komutunu çağırın ve --key-sourceMicrosoft.Storage geçirin.

az storage account encryption-scope update \
    --account-name <storage-account> \
    --resource-group <resource-group>
    --name <encryption-scope> \
    --key-source Microsoft.Storage

Ardından az storage account encryption-scope update komutunu çağırın, --key-uri parametresini geçirin ve --key-source değerine sahip Microsoft.KeyVault parametresini geçirin.

az storage account encryption-scope update \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.KeyVault \
    --key-uri <key-uri>

Şifreleme kapsamını devre dışı bırakma

Gereksiz ücretlerden kaçınmak için gerekli olmayan şifreleme kapsamlarını devre dışı bırakın. Daha fazla bilgi için bkz. Şifreleme kapsamları için faturalama.

Portal

Azure portalında bir şifreleme kapsamını devre dışı bırakmak için depolama hesabının Şifreleme Kapsamları ayarına gidin, istediğiniz şifreleme kapsamını seçin ve Devre dışı bırak'ı seçin.

PowerShell

PowerShell ile şifreleme kapsamını devre dışı bırakmak için Update-AzStorageEncryptionScope komutunu çağırın ve parametresini -State aşağıdaki örnekte gösterildiği gibi değeriyle disabledekleyin. Şifreleme kapsamını yeniden etkinleştirmek için -State parametresini enabled olarak ayarlayarak aynı komutu çağırın. Örnekteki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın:

Update-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName1 `
    -State disabled

Azure CLI

Azure CLI ile bir şifreleme kapsamını devre dışı bırakmak için az storage account encryption-scope update komutunu çağırın ve aşağıdaki örnekte gösterildiği gibi değerini --stateiçeren parametresini ekleyinDisabled. Şifreleme kapsamını yeniden etkinleştirmek için --state parametresini Enabled olarak ayarlayarak aynı komutu çağırın. Örnekteki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın:

az storage account encryption-scope update \
    --account-name <storage-account> \
    --resource-group <resource-group> \
    --name <encryption-scope> \
    --state Disabled

Önemli

Şifreleme kapsamını silmek mümkün değildir. Beklenmeyen maliyetleri önlemek için, şu anda ihtiyacınız olmayan şifreleme kapsamlarını devre dışı bırakın.

Sonraki adımlar

• Hareketsiz veriler için Azure Depolama şifrelemesi
• Blob depolama için şifreleme kapsamları
• Azure Depolama şifrelemesi için müşteri tarafından yönetilen anahtarlar
• Verilerin çift şifrelenmesini sağlamak için altyapı şifrelemesini etkinleştirme