Mevcut bir depolama hesabı için aynı kiracıda müşteri tarafından yönetilen anahtarları yapılandırma

Makale
11/07/2023

Azure Depolama bekleyen bir depolama hesabındaki tüm verileri şifreler. Varsayılan olarak, veriler Microsoft tarafından yönetilen anahtarlarla şifrelenir. Şifreleme anahtarları üzerinde daha fazla denetim için kendi anahtarlarınızı yönetebilirsiniz. Müşteri tarafından yönetilen anahtarların Azure Key Vault veya Key Vault Yönetilen Donanım Güvenlik Modeli'nde (HSM) depolanması gerekir.

Bu makalede, depolama hesabı ve anahtar kasası aynı kiracıda olduğunda var olan bir depolama hesabı için müşteri tarafından yönetilen anahtarlarla şifrelemenin nasıl yapılandırılır gösterilmektedir. Müşteri tarafından yönetilen anahtarlar bir anahtar kasasında depolanır.

Yeni bir depolama hesabı için müşteri tarafından yönetilen anahtarları yapılandırmayı öğrenmek için bkz . Yeni bir depolama hesabı için Azure anahtar kasasında müşteri tarafından yönetilen anahtarları yapılandırma.

Yönetilen HSM'de depolanan müşteri tarafından yönetilen anahtarlarla şifrelemeyi yapılandırmayı öğrenmek için bkz . Azure Key Vault Yönetilen HSM'de depolanan müşteri tarafından yönetilen anahtarlarla şifrelemeyi yapılandırma.

Dekont

Azure Key Vault ve Azure Key Vault Yönetilen HSM, müşteri tarafından yönetilen anahtarların yapılandırılması için aynı API'leri ve yönetim arabirimlerini destekler. Azure Key Vault için desteklenen tüm eylemler, Azure Key Vault Yönetilen HSM için de desteklenir.

Anahtar kasasını yapılandırma

Müşteri tarafından yönetilen anahtarları depolamak için yeni veya mevcut bir anahtar kasası kullanabilirsiniz. Depolama hesabı ve anahtar kasası aynı kiracıdaki farklı bölgelerde veya aboneliklerde olabilir. Azure Key Vault hakkında daha fazla bilgi edinmek için bkz . Azure Key Vault'a Genel Bakış ve Azure Key Vault nedir?.

Azure Depolama şifrelemesi ile müşteri tarafından yönetilen anahtarların kullanılması, anahtar kasası için hem geçici silme hem de temizleme korumasının etkinleştirilmesini gerektirir. Geçici silme, yeni bir anahtar kasası oluşturduğunuzda varsayılan olarak etkinleştirilir ve devre dışı bırakılamaz. Temizleme korumasını anahtar kasasını oluştururken veya oluşturulduktan sonra etkinleştirebilirsiniz.

Azure Key Vault, Azure RBAC izin modeli aracılığıyla Azure RBAC ile yetkilendirmeyi destekler. Microsoft, anahtar kasası erişim ilkeleri üzerinde Azure RBAC izin modelinin kullanılmasını önerir. Daha fazla bilgi için bkz . Uygulamalara Azure RBAC kullanarak Azure anahtar kasasına erişim izni verme.

Azure portalıyla anahtar kasası oluşturmayı öğrenmek için bkz . Hızlı Başlangıç: Azure portalını kullanarak anahtar kasası oluşturma. Anahtar kasasını oluştururken, aşağıdaki görüntüde gösterildiği gibi Temizleme korumasını etkinleştir'i seçin.

Screenshot showing how to enable purge protection when creating a key vault.

Mevcut bir anahtar kasasında temizleme korumasını etkinleştirmek için şu adımları izleyin:

Azure portalında anahtar kasanıza gidin.
Ayarlar altında Özellikler'i seçin.
Temizleme koruması bölümünde Temizleme korumasını etkinleştir'i seçin.

PowerShell ile yeni bir anahtar kasası oluşturmak için Az.KeyVault PowerShell modülünün 2.0.0 veya sonraki bir sürümünü yükleyin. Ardından, yeni bir anahtar kasası oluşturmak için New-AzKeyVault öğesini çağırın. Az.KeyVault modülünün 2.0.0 ve sonraki sürümleriyle, yeni bir anahtar kasası oluşturduğunuzda geçici silme varsayılan olarak etkinleştirilir.

Aşağıdaki örnek geçici silme ve temizleme korumasının etkinleştirildiği yeni bir anahtar kasası oluşturur. Anahtar kasasının izin modeli Azure RBAC kullanacak şekilde ayarlanmıştır. Köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın.

$rgName = "<resource_group>"
$location = "<location>"
$kvName = "<key-vault>"

$keyVault = New-AzKeyVault -Name $kvName `
    -ResourceGroupName $rgName `
    -Location $location `
    -EnablePurgeProtection `
    -EnableRbacAuthorization

PowerShell ile mevcut bir anahtar kasasında temizleme korumasını etkinleştirmeyi öğrenmek için bkz . Azure Key Vault kurtarmaya genel bakış.

Anahtar kasasını oluşturduktan sonra Key Vault Şifreleme Yetkilisi rolünü kendinize atamanız gerekir. Bu rol, anahtar kasasında bir anahtar oluşturmanıza olanak tanır. Aşağıdaki örnek, bu rolü anahtar kasası kapsamına sahip bir kullanıcıya atar:

New-AzRoleAssignment -SignInName "<user-email>" `
    -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $keyVault.ResourceId

PowerShell ile RBAC rolü atama hakkında daha fazla bilgi için bkz . Azure PowerShell kullanarak Azure rolleri atama.

Azure CLI kullanarak yeni bir anahtar kasası oluşturmak için az keyvault create çağrısında bulunur. Aşağıdaki örnek geçici silme ve temizleme korumasının etkinleştirildiği yeni bir anahtar kasası oluşturur. Anahtar kasasının izin modeli Azure RBAC kullanacak şekilde ayarlanmıştır. Köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın.

rgName="<resource_group>"
location="<location>"
kvName="<key-vault>"

az keyvault create \
    --name $kvName \
    --resource-group $rgName \
    --location $location \
    --enable-purge-protection \
    --enable-rbac-authorization

Azure CLI ile mevcut bir anahtar kasasında temizleme korumasını etkinleştirmeyi öğrenmek için bkz . Azure Key Vault kurtarmasına genel bakış.

kvResourceId=$(az keyvault show --resource-group $rgName \
    --name $kvName \
    --query id \
    --output tsv)

az role assignment create --assignee "<user-email>" \
    --role "Key Vault Crypto Officer" \
    --scope $kvResourceId

Azure CLI ile RBAC rolü atama hakkında daha fazla bilgi için bkz . Azure CLI kullanarak Azure rolleri atama.

Anahtar ekleme

Ardından, anahtar kasasına bir anahtar ekleyin. Anahtarı eklemeden önce kendinize Key Vault Şifreleme Yetkilisi rolünü atadığınızdan emin olun.

Azure Depolama şifrelemesi, 2048, 3072 ve 4096 boyutlarında RSA ve RSA-HSM anahtarlarını destekler. Desteklenen anahtar türleri hakkında daha fazla bilgi için bkz . Anahtarlar hakkında.

Azure portalıyla anahtar eklemeyi öğrenmek için bkz . Hızlı Başlangıç: Azure portalını kullanarak Azure Key Vault'tan anahtar ayarlama ve alma.

PowerShell ile anahtar eklemek için Add-AzKeyVaultKey komutunu çağırın. Köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi ve önceki örneklerde tanımlanan değişkenleri kullanmayı unutmayın.

$keyName = "<key-name>"

$key = Add-AzKeyVaultKey -VaultName $keyVault.VaultName `
    -Name $keyName `
    -Destination 'Software'

Azure CLI ile anahtar eklemek için az keyvault key create komutunu çağırarak. Köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın.

keyName="<key-name>"

az keyvault key create \
    --name $keyName \
    --vault-name $kvName

Anahtar kasasına erişimi yetkilendirmek için yönetilen kimlik seçme

Mevcut bir depolama hesabı için müşteri tarafından yönetilen anahtarları etkinleştirdiğinizde, anahtarı içeren anahtar kasasına erişimi yetkilendirmek için kullanılacak bir yönetilen kimlik belirtmeniz gerekir. Yönetilen kimliğin anahtar kasasında anahtara erişmek için izinleri olmalıdır.

Anahtar kasasına erişim yetkisi veren yönetilen kimlik, kullanıcı tarafından atanan veya sistem tarafından atanan yönetilen kimlik olabilir. Sistem tarafından atanan ve kullanıcı tarafından atanan yönetilen kimlikler hakkında daha fazla bilgi edinmek için bkz . Yönetilen kimlik türleri.

Erişimi yetkilendirmek için kullanıcı tarafından atanan yönetilen kimlik kullanma

Yeni bir depolama hesabı için müşteri tarafından yönetilen anahtarları etkinleştirdiğinizde, kullanıcı tarafından atanan bir yönetilen kimlik belirtmeniz gerekir. Mevcut depolama hesabı, müşteri tarafından yönetilen anahtarları yapılandırmak için kullanıcı tarafından atanan yönetilen kimlik veya sistem tarafından atanan yönetilen kimlik kullanılmasını destekler.

Müşteri tarafından yönetilen anahtarları kullanıcı tarafından atanan yönetilen kimlikle yapılandırdığınızda, anahtarı içeren anahtar kasasına erişim yetkisi vermek için kullanıcı tarafından atanan yönetilen kimlik kullanılır. Müşteri tarafından yönetilen anahtarları yapılandırmadan önce kullanıcı tarafından atanan kimliği oluşturmanız gerekir.

Kullanıcı tarafından atanan yönetilen kimlik tek başına bir Azure kaynağıdır. Kullanıcı tarafından atanan yönetilen kimlikler hakkında daha fazla bilgi edinmek için bkz . Yönetilen kimlik türleri. Kullanıcı tarafından atanan yönetilen kimlik oluşturmayı ve yönetmeyi öğrenmek için bkz . Kullanıcı tarafından atanan yönetilen kimlikleri yönetme.

Kullanıcı tarafından atanan yönetilen kimliğin anahtar kasasında anahtara erişme izinleri olmalıdır. Bu izinleri vermek için anahtar kasası kapsamına sahip kullanıcı tarafından atanan yönetilen kimliğe Key Vault Şifreleme Hizmeti Şifreleme Kullanıcı rolünü atayın.

Kullanıcı tarafından atanan yönetilen kimlikle müşteri tarafından yönetilen anahtarları yapılandırabilmeniz için önce anahtar kasası kapsamında kullanıcı tarafından atanan yönetilen kimliğe Key Vault Şifreleme Hizmeti Kullanıcı rolünü atamanız gerekir. Bu rol, kullanıcı tarafından atanan yönetilen kimliklere anahtar kasasında anahtara erişme izni verir. Azure portalı ile Azure RBAC rolleri atama hakkında daha fazla bilgi için bkz . Azure portalını kullanarak Azure rolleri atama.

Müşteri tarafından yönetilen anahtarları Azure portalıyla yapılandırdığınızda, portal kullanıcı arabirimi aracılığıyla kullanıcı tarafından atanan mevcut bir kimliği seçebilirsiniz.

Aşağıdaki örnekte, kullanıcı tarafından atanan yönetilen kimliğin nasıl alınıp anahtar kasası kapsamında gerekli RBAC rolünün atandığı gösterilmektedir. Köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi ve önceki örneklerde tanımlanan değişkenleri kullanmayı unutmayın:

$userIdentity = Get-AzUserAssignedIdentity -Name <user-assigned-identity> `
    -ResourceGroupName $rgName

$principalId = $userIdentity.PrincipalId

New-AzRoleAssignment -ObjectId $principalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

identityResourceId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query id \
    --output tsv)

principalId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query principalId \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId \
    --assignee-principal-type ServicePrincipal

Erişimi yetkilendirmek için sistem tarafından atanan yönetilen kimlik kullanma

Sistem tarafından atanan yönetilen kimlik, bir Azure hizmetinin örneğiyle (bu örnekte bir Azure Depolama hesabı) ilişkilendirilir. Sistem tarafından atanan yönetilen kimliği kullanarak müşteri tarafından yönetilen anahtarınızı içeren anahtar kasasına erişim yetkisi verebilmek için önce bir depolama hesabına sistem tarafından atanan yönetilen kimliği açıkça atamanız gerekir.

Anahtar kasasına erişimi yetkilendirmek için yalnızca mevcut depolama hesapları sistem tarafından atanan bir kimlik kullanabilir. Müşteri tarafından yönetilen anahtarlar hesap oluşturma işleminde yapılandırıldıysa, yeni depolama hesaplarının kullanıcı tarafından atanan bir kimlik kullanması gerekir.

Sistem tarafından atanan yönetilen kimliğin anahtar kasasında anahtara erişme izinleri olmalıdır. Bu izinleri vermek için anahtar kasası kapsamıyla sistem tarafından atanan yönetilen kimliğe Key Vault Şifreleme Hizmeti Şifreleme Kullanıcı rolünü atayın.

Müşteri tarafından yönetilen anahtarları sistem tarafından atanan yönetilen kimlikle yapılandırabilmeniz için önce anahtar kasası kapsamında sistem tarafından atanan yönetilen kimliğe Anahtar Kasası Şifreleme Kullanıcı rolünü atamanız gerekir. Bu rol, sistem tarafından atanan yönetilen kimliklere anahtar kasasında anahtara erişme izni verir. Azure portalı ile Azure RBAC rolleri atama hakkında daha fazla bilgi için bkz . Azure portalını kullanarak Azure rolleri atama.

Azure portalıyla müşteri tarafından yönetilen anahtarları sistem tarafından atanan yönetilen kimlikle yapılandırdığınızda, sistem tarafından atanan yönetilen kimlik sizin için depolama hesabına kapaklar altında atanır.

Depolama hesabınıza sistem tarafından atanan bir yönetilen kimlik atamak için önce Set-Az Depolama Account çağrısı yapın:

$accountName = "<storage-account>"

$storageAccount = Set-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -AssignIdentity

Ardından, sistem tarafından atanan yönetilen kimliğe anahtar kasası kapsamında gerekli RBAC rolünü atayın. Köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi ve önceki örneklerde tanımlanan değişkenleri kullanmayı unutmayın:

$principalId = $storageAccount.Identity.PrincipalId

New-AzRoleAssignment -ObjectId $storageAccount.Identity.PrincipalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

Anahtar kasasına erişimin kimliğini sistem tarafından atanan yönetilen kimlikle doğrulamak için önce az storage account update komutunu çağırarak sistem tarafından atanan yönetilen kimliği depolama hesabına atayın:

accountName="<storage-account>"

az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --assign-identity

principalId=$(az storage account show --name $accountName \
    --resource-group $rgName \
    --query identity.principalId \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId

Mevcut bir hesap için müşteri tarafından yönetilen anahtarları yapılandırma

Mevcut bir depolama hesabı için müşteri tarafından yönetilen anahtarlarla şifrelemeyi yapılandırırken, ilişkili anahtar kasasında yeni bir sürüm kullanılabilir olduğunda Azure Depolama şifrelemesi için kullanılan anahtar sürümünü otomatik olarak güncelleştirmeyi seçebilirsiniz. Alternatif olarak, anahtar sürümü el ile güncelleştirilene kadar şifreleme için kullanılacak bir anahtar sürümünü açıkça belirtebilirsiniz.

Anahtar sürümü otomatik veya el ile değiştirildiğinde kök şifreleme anahtarının koruması değişir, ancak Azure Depolama hesabınızdaki veriler her zaman şifrelenmiş olarak kalır. Verilerinizin korunduğundan emin olmak için başka bir işlem yapmanız gerekmez. Anahtar sürümünün döndürülmesi performansı etkilemez. Anahtar sürümünü döndürmeyle ilişkili kapalı kalma süresi yoktur.

Mevcut bir depolama hesabı için müşteri tarafından yönetilen anahtarları yapılandırırken anahtar kasasına erişimi yetkilendirmek için sistem tarafından atanan veya kullanıcı tarafından atanan yönetilen kimliği kullanabilirsiniz.

Dekont

Anahtarı döndürmek için Azure Key Vault'ta anahtarın yeni bir sürümünü oluşturun. Azure Depolama anahtar döndürmeyi işlemez, bu nedenle anahtar kasasında anahtarın döndürmesini yönetmeniz gerekir. Azure Key Vault'ta anahtar otomatik döndürmeyi yapılandırabilir veya anahtarınızı el ile döndürebilirsiniz.

Anahtar sürümlerinin otomatik güncelleştirilmesi için şifrelemeyi yapılandırma

Azure Depolama, anahtar kasasından en son anahtar sürümünü kullanmak üzere şifreleme için kullanılan müşteri tarafından yönetilen anahtarı otomatik olarak güncelleştirebilir. Azure Depolama anahtarın yeni bir sürümü için anahtar kasasını günlük olarak denetler. Yeni bir sürüm kullanıma sunulduğunda Azure Depolama otomatik olarak şifreleme için anahtarın en son sürümünü kullanmaya başlar.

Önemli

Azure Depolama, anahtar kasasını yeni bir anahtar sürümü için günde yalnızca bir kez denetler. Bir anahtarı döndürdüğünüzde, eski sürümü devre dışı bırakmadan önce 24 saat beklemeyi unutmayın.

Azure portalında anahtar sürümünün otomatik olarak güncelleştirilmesiyle mevcut bir hesabın müşteri tarafından yönetilen anahtarlarını yapılandırmak için aşağıdaki adımları izleyin:

Depolama hesabınıza gidin.
Güvenlik + ağ altında Şifreleme'yi seçin. Varsayılan olarak, anahtar yönetimi aşağıdaki görüntüde gösterildiği gibi Microsoft Tarafından Yönetilen Anahtarlar olarak ayarlanır:
Müşteri Tarafından Yönetilen Anahtarlar seçeneğini belirleyin. Hesap daha önce anahtar sürümünün el ile güncelleştirilmesiyle Müşteri Tarafından Yönetilen Anahtarlar için yapılandırıldıysa, sayfanın alt kısmındaki Anahtarı değiştir'i seçin.
Key Vault'tan Seç seçeneğini belirleyin.
Anahtar kasası ve anahtar seçin'i seçin.
Kullanmak istediğiniz anahtarı içeren anahtar kasasını seçin. Yeni bir anahtar kasası da oluşturabilirsiniz.
Anahtar kasasından anahtarı seçin. Yeni bir anahtar da oluşturabilirsiniz.
Anahtar kasasına erişimin kimliğini doğrulamak için kullanılacak kimlik türünü seçin. Seçenekler arasında Sistem tarafından atanan (varsayılan) veya Kullanıcı tarafından atanan bulunur. Yönetilen kimlik türleri hakkında daha fazla bilgi edinmek için bkz . Yönetilen kimlik türleri.
1. Sistem tarafından atanan'ı seçerseniz, depolama hesabı için sistem tarafından atanan yönetilen kimlik, henüz yoksa, kapaklar altında oluşturulur.
2. Kullanıcı tarafından atanan'ı seçerseniz, anahtar kasasına erişim izinleri olan mevcut kullanıcı tarafından atanan kimliği seçmeniz gerekir. Kullanıcı tarafından atanan kimlik oluşturmayı öğrenmek için bkz . Kullanıcı tarafından atanan yönetilen kimlikleri yönetme.
Değişikliklerinizi kaydedin.

Anahtarı belirttikten sonra Azure portalı, anahtar sürümünün otomatik güncelleştirilmesinin etkinleştirildiğini belirtir ve şifreleme için şu anda kullanılmakta olan anahtar sürümünü görüntüler. Portal ayrıca anahtar kasasına erişimi yetkilendirmek için kullanılan yönetilen kimliğin türünü ve yönetilen kimliğin asıl kimliğini görüntüler.

Screenshot showing automatic updating of the key version enabled.

PowerShell ile anahtar sürümünün otomatik olarak güncelleştirilmesiyle mevcut bir hesabın müşteri tarafından yönetilen anahtarlarını yapılandırmak için Az.Depolama modülünü, sürüm 2.0.0 veya üzerini yükleyin.

Ardından, depolama hesabının şifreleme ayarlarını güncelleştirmek için Set-Az Depolama Account çağrısı yapın. KeyvaultEncryption Depolama hesabı için müşteri tarafından yönetilen anahtarları etkinleştirmek için parametresini ekleyin ve anahtar sürümünün otomatik güncelleştirilmesini sağlamak için boş bir dizeye ayarlayınKeyVersion. Depolama hesabı daha önce müşteri tarafından yönetilen anahtarlar için belirli bir anahtar sürümüyle yapılandırılmışsa anahtar sürümünü boş bir dizeye ayarlamak, anahtar sürümünün otomatik olarak güncelleştirilmesini sağlar.

$accountName = "<storage-account>"

# Use this form of the command with a user-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyvaultEncryption `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion "" `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

# Use this form of the command with a system-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -KeyvaultEncryption `
    -KeyName $key.Name `
    -KeyVersion "" `
    -KeyVaultUri $keyVault.VaultUri

Azure CLI ile anahtar sürümünün otomatik olarak güncelleştirilmesiyle mevcut bir hesabın müşteri tarafından yönetilen anahtarlarını yapılandırmak için Azure CLI sürüm 2.4.0 veya üzerini yükleyin. Daha fazla bilgi için bkz . Azure CLI'yi yükleme.

Ardından, depolama hesabının şifreleme ayarlarını güncelleştirmek için az storage account update komutunu çağırın. parametresini --encryption-key-source ekleyin ve hesap için müşteri tarafından yönetilen anahtarları etkinleştirmek üzere olarak ayarlayın Microsoft.Keyvault ve anahtar sürümünün otomatik olarak güncelleştirilmesini sağlamak için boş bir dizeye ayarlayın encryption-key-version . Depolama hesabı daha önce müşteri tarafından yönetilen anahtarlar için belirli bir anahtar sürümüyle yapılandırılmışsa anahtar sürümünü boş bir dizeye ayarlamak, anahtar sürümünün otomatik olarak güncelleştirilmesini sağlar.

accountName="<storage-account>"

keyVaultUri=$(az keyvault show \
    --name $kvName \
    --resource-group $rgName \
    --query properties.vaultUri \
    --output tsv)

# Use this form of the command with a user-assigned managed identity.
az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-name $keyName \
    --encryption-key-version "" \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $keyVaultUri \
    --key-vault-user-identity-id $identityResourceId

# Use this form of the command with a system-assigned managed identity.
az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --encryption-key-name $keyName \
    --encryption-key-version "" \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $keyVaultUri

Anahtar sürümlerinin el ile güncelleştirilmesi için şifrelemeyi yapılandırma

Anahtar sürümünü el ile güncelleştirmeyi tercih ediyorsanız, müşteri tarafından yönetilen anahtarlarla şifrelemeyi yapılandırdığınız sırada sürümü açıkça belirtin. Bu durumda Azure Depolama, anahtar kasasında yeni bir sürüm oluşturulduğunda anahtar sürümünü otomatik olarak güncelleştirmez. Yeni bir anahtar sürümü kullanmak için Azure Depolama şifrelemesi için kullanılan sürümü el ile güncelleştirmeniz gerekir.

Müşteri tarafından yönetilen anahtarları Azure portalında anahtar sürümünün el ile güncelleştirilmesiyle yapılandırmak için, sürüm de dahil olmak üzere anahtar URI'sini belirtin. Anahtarı URI olarak belirtmek için şu adımları izleyin:

Azure portalında anahtar URI'sini bulmak için anahtar kasanıza gidin ve Anahtarlar ayarını seçin. İstediğiniz anahtarı seçin ve ardından sürümlerini görüntülemek için anahtarı seçin. Bu sürümün ayarlarını görüntülemek için bir anahtar sürümü seçin.
URI'yi sağlayan Anahtar Tanımlayıcısı alanının değerini kopyalayın.
Depolama hesabınızın Şifreleme anahtarı ayarlarında Anahtar URI'sini girin seçeneğini belirleyin.
Kopyaladığınız URI'yi Anahtar URI alanına yapıştırın. Anahtar sürümünün otomatik olarak güncelleştirilmesini sağlamak için URI'den anahtar sürümünü atlar.
Anahtar kasasını içeren aboneliği belirtin.
Sistem tarafından atanan veya kullanıcı tarafından atanan yönetilen kimliği belirtin.
Değişikliklerinizi kaydedin.

Müşteri tarafından yönetilen anahtarları anahtar sürümünün el ile güncelleştirilmesiyle yapılandırmak için, depolama hesabı için şifrelemeyi yapılandırırken anahtar sürümünü açıkça sağlayın. Aşağıdaki örnekte gösterildiği gibi depolama hesabının şifreleme ayarlarını güncelleştirmek için Set-Az Depolama Account çağrısı yapın ve depolama hesabı için müşteri tarafından yönetilen anahtarları etkinleştirmek için -KeyvaultEncryption seçeneğini ekleyin.

Köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi ve önceki örneklerde tanımlanan değişkenleri kullanmayı unutmayın.

$accountName = "<storage-account>"

# Use this form of the command with a user-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyvaultEncryption `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

# Use this form of the command with a system-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -KeyvaultEncryption `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version

Anahtar sürümünü el ile güncelleştirdiğinizde, depolama hesabının şifreleme ayarlarını yeni sürümü kullanacak şekilde güncelleştirmeniz gerekir. İlk olarak, anahtarın en son sürümünü almak için Get-AzKeyVaultKey'i çağırın. Ardından, önceki örnekte gösterildiği gibi depolama hesabının şifreleme ayarlarını anahtarın yeni sürümünü kullanacak şekilde güncelleştirmek için Set-Az Depolama Account çağrısı yapın.

Müşteri tarafından yönetilen anahtarları anahtar sürümünün el ile güncelleştirilmesiyle yapılandırmak için, depolama hesabı için şifrelemeyi yapılandırırken anahtar sürümünü açıkça sağlayın. Aşağıdaki örnekte gösterildiği gibi depolama hesabının şifreleme ayarlarını güncelleştirmek için az storage account update komutunu çağırın. parametresini ekleyin ve hesabın --encryption-key-source müşteri tarafından yönetilen anahtarlarını etkinleştirmek üzere olarak ayarlayın Microsoft.Keyvault .

Köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın.

accountName="<storage-account>"

keyVaultUri=$(az keyvault show \
    --name $kvName \
    --resource-group $rgName \
    --query properties.vaultUri \
    --output tsv)

keyVersion=$(az keyvault key list-versions \
    --name $keyName \
    --vault-name $kvName \
    --query [-1].kid \
    --output tsv | cut -d '/' -f 6)

# Use this form of the command with a user-assigned managed identity
az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-name $keyName \
    --encryption-key-version $keyVersion \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $keyVaultUri \
    --key-vault-user-identity-id $identityResourceId

# Use this form of the command with a system-assigned managed identity
az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --encryption-key-name $keyName \
    --encryption-key-version $keyVersion \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $keyVaultUri

Anahtar sürümünü el ile güncelleştirdiğinizde, depolama hesabının şifreleme ayarlarını yeni sürümü kullanacak şekilde güncelleştirmeniz gerekir. İlk olarak az keyvault show komutunu çağırarak anahtar kasası URI'sini ve az keyvault key list-versions komutunu çağırarak anahtar sürümü için sorgu oluşturun. Ardından, önceki örnekte gösterildiği gibi depolama hesabının şifreleme ayarlarını anahtarın yeni sürümünü kullanacak şekilde güncelleştirmek için az storage account update komutunu çağırın.

Anahtarı değiştirme

Azure Depolama şifrelemesi için kullandığınız anahtarı istediğiniz zaman değiştirebilirsiniz.

Dekont

Anahtar veya anahtar sürümünü değiştirdiğinizde kök şifreleme anahtarının koruması değişir, ancak Azure Depolama hesabınızdaki veriler her zaman şifrelenmiş olarak kalır. Verilerinizin korunmasını sağlamak için sizin tarafınızdan ek işlem gerekmez. Anahtarın değiştirilmesi veya anahtar sürümünün döndürülmesi performansı etkilemez. Anahtarı değiştirme veya anahtar sürümünü döndürme ile ilişkili kapalı kalma süresi yoktur.

Anahtarı Azure portalıyla değiştirmek için şu adımları izleyin:

Depolama hesabınıza gidin ve Şifreleme ayarlarını görüntüleyin.
Anahtar kasasını seçin ve yeni bir anahtar seçin.
Değişikliklerinizi kaydedin.

Yeni anahtar farklı bir anahtar kasasındaysa, yönetilen kimliğe yeni kasadaki anahtara erişim izni vermelisiniz. Anahtar sürümünün el ile güncelleştirilmesini tercih ederseniz anahtar kasası URI'sini de güncelleştirmeniz gerekir.

Müşteri tarafından yönetilen anahtarları kullanan bir depolama hesabına erişimi iptal etme

Müşteri tarafından yönetilen anahtarları kullanan bir depolama hesabına erişimi geçici olarak iptal etmek için, anahtar kasasında kullanılmakta olan anahtarı devre dışı bırakın. Anahtarı devre dışı bırakma ve yeniden oluşturma ile ilişkili performans etkisi veya kapalı kalma süresi yoktur.

Anahtar devre dışı bırakıldıktan sonra, istemciler blobdan veya meta verilerinden okuma veya bloba yazma işlemlerini çağıramaz. Hangi işlemlerin başarısız olacağı hakkında bilgi için bkz . Müşteri tarafından yönetilen anahtarları kullanan bir depolama hesabına erişimi iptal etme.

Dikkat

Anahtar kasasında anahtarı devre dışı bırakdığınızda Azure Depolama hesabınızdaki veriler şifrelenmiş olarak kalır, ancak siz anahtarı yeniden etkinleştirmediğiniz sürece erişilemez hale gelir.

Müşteri tarafından yönetilen bir anahtarı Azure portalıyla devre dışı bırakmak için şu adımları izleyin:

Anahtarı içeren anahtar kasasına gidin.
Nesneler'in altında Anahtarlar'ı seçin.
Tuşa sağ tıklayın ve Devre dışı bırak'ı seçin.

PowerShell ile müşteri tarafından yönetilen bir anahtarı iptal etmek için, aşağıdaki örnekte gösterildiği gibi Update-AzKeyVaultKey komutunu çağırın. Değişkenleri tanımlamak için köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi veya önceki örneklerde tanımlanan değişkenleri kullanmayı unutmayın.

$kvName  = "<key-vault-name>"
$keyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it

# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $keyName -VaultName $kvName

# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $kvName -Name $keyName -Enable $enabled

Azure CLI ile müşteri tarafından yönetilen bir anahtarı iptal etmek için aşağıdaki örnekte gösterildiği gibi az keyvault key set-attributes komutunu çağırın. Değişkenleri tanımlamak için köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi veya önceki örneklerde tanımlanan değişkenleri kullanmayı unutmayın.

kvName="<key-vault-name>"
keyName="<key-name>"
enabled="false"
# "false" to disable the key / "true" to enable it:

# Check the current state of the key (before and after enabling/disabling it)
az keyvault key show \
    --vault-name $kvName \
    --name $keyName

# Disable (or enable) the key
az keyvault key set-attributes \
    --vault-name $kvName \
    --name $keyName \
    --enabled $enabled

Microsoft tarafından yönetilen anahtarlara geri dönme

Azure portalını, PowerShell'i veya Azure CLI'yı kullanarak müşteri tarafından yönetilen anahtarlardan Microsoft tarafından yönetilen anahtarlara dilediğiniz zaman geçiş yapabilirsiniz.

Müşteri tarafından yönetilen anahtarlardan Azure portalında Microsoft tarafından yönetilen anahtarlara geri dönmek için şu adımları izleyin:

Depolama hesabınıza gidin.
Güvenlik + ağ altında Şifreleme'yi seçin.
Şifreleme türünü Microsoft tarafından yönetilen anahtarlar olarak değiştirin.

PowerShell ile müşteri tarafından yönetilen anahtarlardan Microsoft tarafından yönetilen anahtarlara geri dönmek için aşağıdaki örnekte gösterildiği gibi Set-Az Depolama Account öğesini seçeneğiyle -StorageEncryption çağırın. Köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi ve önceki örneklerde tanımlanan değişkenleri kullanmayı unutmayın.

Set-AzStorageAccount -ResourceGroupName $storageAccount.ResourceGroupName `
    -AccountName $storageAccount.StorageAccountName `
    -StorageEncryption

Müşteri tarafından yönetilen anahtarlardan Azure CLI ile Microsoft tarafından yönetilen anahtarlara geri dönmek için az storage account update komutunu çağırın ve aşağıdaki örnekte gösterildiği gibi değerini olarak Microsoft.Storageayarlayın--encryption-key-source parameter. Köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi ve önceki örneklerde tanımlanan değişkenleri kullanmayı unutmayın.

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-source Microsoft.Storage

Mevcut bir depolama hesabı için aynı kiracıda müşteri tarafından yönetilen anahtarları yapılandırma

Anahtar kasasını yapılandırma

Anahtar ekleme

Anahtar kasasına erişimi yetkilendirmek için yönetilen kimlik seçme

Erişimi yetkilendirmek için kullanıcı tarafından atanan yönetilen kimlik kullanma

Erişimi yetkilendirmek için sistem tarafından atanan yönetilen kimlik kullanma

Mevcut bir hesap için müşteri tarafından yönetilen anahtarları yapılandırma

Anahtar sürümlerinin otomatik güncelleştirilmesi için şifrelemeyi yapılandırma

Anahtar sürümlerinin el ile güncelleştirilmesi için şifrelemeyi yapılandırma

Anahtarı değiştirme

Müşteri tarafından yönetilen anahtarları kullanan bir depolama hesabına erişimi iptal etme

Microsoft tarafından yönetilen anahtarlara geri dönme

Sonraki adımlar

Ek kaynaklar