Yeni bir depolama hesabı için aynı kiracıda müşteri tarafından yönetilen anahtarları yapılandırma

Makale
03/23/2023

Azure Depolama bekleyen bir depolama hesabındaki tüm verileri şifreler. Varsayılan olarak veriler Microsoft tarafından yönetilen anahtarlarla şifrelenir. Şifreleme anahtarları üzerinde ek denetim için kendi anahtarlarınızı yönetebilirsiniz. Müşteri tarafından yönetilen anahtarlar bir Azure Key Vault veya Azure Key Vault Yönetilen Donanım Güvenlik Modeli'nde (HSM) depolanmalıdır.

Bu makalede, yeni bir depolama hesabı oluşturduğunuz sırada müşteri tarafından yönetilen anahtarlarla şifrelemeyi yapılandırma gösterilmektedir. Müşteri tarafından yönetilen anahtarlar bir anahtar kasasında depolanır.

Mevcut depolama hesabı için müşteri tarafından yönetilen anahtarları yapılandırmayı öğrenmek için bkz. Mevcut bir depolama hesabı için Azure anahtar kasasında müşteri tarafından yönetilen anahtarları yapılandırma.

Not

Azure Key Vault ve Azure Key Vault Yönetilen HSM, müşteri tarafından yönetilen anahtarların yapılandırılması için aynı API'leri ve yönetim arabirimlerini destekler. Azure Key Vault için desteklenen tüm eylemler, Azure Key Vault Yönetilen HSM için de desteklenir.

Anahtar kasasını yapılandırma

Müşteri tarafından yönetilen anahtarları depolamak için yeni veya mevcut bir anahtar kasası kullanabilirsiniz. Depolama hesabı ve anahtar kasası aynı kiracıdaki farklı bölgelerde veya aboneliklerde olabilir. Azure Key Vault hakkında daha fazla bilgi edinmek için bkz. Azure Key Vault Genel Bakış ve Azure Key Vault nedir?.

Müşteri tarafından yönetilen anahtarların Azure Depolama şifrelemesi ile kullanılması, anahtar kasası için hem geçici silme hem de temizleme korumasının etkinleştirilmesini gerektirir. Geçici silme, yeni bir anahtar kasası oluşturduğunuzda varsayılan olarak etkinleştirilir ve devre dışı bırakılamaz. Anahtar kasasını oluştururken veya oluşturulduktan sonra temizleme korumasını etkinleştirebilirsiniz.

Azure Key Vault, Azure RBAC izin modeli aracılığıyla Azure RBAC ile yetkilendirmeyi destekler. Microsoft, anahtar kasası erişim ilkeleri üzerinde Azure RBAC izin modelinin kullanılmasını önerir. Daha fazla bilgi için bkz. Azure RBAC kullanarak uygulamalara Azure anahtar kasasına erişim izni verme.

Azure portal ile anahtar kasası oluşturmayı öğrenmek için bkz. Hızlı Başlangıç: Azure portal kullanarak anahtar kasası oluşturma. Anahtar kasasını oluştururken, aşağıdaki görüntüde gösterildiği gibi Temizleme korumasını etkinleştir'i seçin.

Anahtar kasası oluştururken temizleme korumasını etkinleştirmeyi gösteren ekran görüntüsü.

Mevcut bir anahtar kasasında temizleme korumasını etkinleştirmek için şu adımları izleyin:

Azure portal anahtar kasanıza gidin.
Ayarlar'ın altında Özellikler'i seçin.
Temizleme koruması bölümünde Temizleme korumasını etkinleştir'i seçin.

PowerShell ile yeni bir anahtar kasası oluşturmak için Az.KeyVault PowerShell modülünün 2.0.0 veya sonraki bir sürümünü yükleyin. Ardından, yeni bir anahtar kasası oluşturmak için New-AzKeyVault'u çağırın. Az.KeyVault modülünün 2.0.0 ve sonraki sürümleriyle, yeni bir anahtar kasası oluşturduğunuzda geçici silme varsayılan olarak etkinleştirilir.

Aşağıdaki örnek geçici silme ve temizleme korumasının etkinleştirildiği yeni bir anahtar kasası oluşturur. Anahtar kasasının izin modeli Azure RBAC kullanacak şekilde ayarlanmıştır. Köşeli ayraç içindeki yer tutucu değerleri kendi değerlerinizle değiştirmeyi unutmayın.

$rgName = "<resource_group>"
$location = "<location>"
$kvName = "<key-vault>"

$keyVault = New-AzKeyVault -Name $kvName `
    -ResourceGroupName $rgName `
    -Location $location `
    -EnablePurgeProtection `
    -EnableRbacAuthorization

PowerShell ile mevcut bir anahtar kasasında temizleme korumasını etkinleştirmeyi öğrenmek için bkz. Azure Key Vault kurtarmaya genel bakış.

Anahtar kasasını oluşturduktan sonra Key Vault Şifreleme Sorumlusu rolünü kendinize atamanız gerekir. Bu rol, anahtar kasasında anahtar oluşturmanıza olanak tanır. Aşağıdaki örnek, bu rolü anahtar kasası kapsamındaki bir kullanıcıya atar:

New-AzRoleAssignment -SignInName "<user-email>" `
    -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $keyVault.ResourceId

PowerShell ile RBAC rolü atama hakkında daha fazla bilgi için bkz. Azure PowerShell kullanarak Azure rolleri atama.

Azure CLI kullanarak yeni bir anahtar kasası oluşturmak için az keyvault create çağrısında bulunur. Aşağıdaki örnek geçici silme ve temizleme korumasının etkinleştirildiği yeni bir anahtar kasası oluşturur. Anahtar kasasının izin modeli Azure RBAC kullanacak şekilde ayarlanmıştır. Köşeli ayraç içindeki yer tutucu değerleri kendi değerlerinizle değiştirmeyi unutmayın.

rgName="<resource_group>"
location="<location>"
kvName="<key-vault>"

az keyvault create \
    --name $kvName \
    --resource-group $rgName \
    --location $location \
    --enable-purge-protection \
    --enable-rbac-authorization

Azure CLI ile mevcut bir anahtar kasasında temizleme korumasını etkinleştirmeyi öğrenmek için bkz. Azure Key Vault kurtarmaya genel bakış.

kvResourceId=$(az keyvault show --resource-group $rgName \
    --name $kvName \
    --query id \
    --output tsv)

az role assignment create --assignee "<user-email>" \
    --role "Key Vault Crypto Officer" \
    --scope $kvResourceId

Azure CLI ile RBAC rolü atama hakkında daha fazla bilgi için bkz. Azure CLI kullanarak Azure rolleri atama.

Anahtar ekleme

Ardından, anahtar kasasına bir anahtar ekleyin. Anahtarı eklemeden önce kendinize Key Vault Şifreleme Yetkilisi rolünü atadığınızdan emin olun.

Azure Depolama şifrelemesi 2048, 3072 ve 4096 boyutlarında RSA ve RSA-HSM anahtarlarını destekler. Desteklenen anahtar türleri hakkında daha fazla bilgi için bkz. Anahtarlar hakkında.

Azure portal ile anahtar eklemeyi öğrenmek için bkz. Hızlı Başlangıç: Azure portal kullanarak Azure Key Vault anahtar ayarlama ve alma.

PowerShell ile anahtar eklemek için Add-AzKeyVaultKey komutunu çağırın. Köşeli ayraç içindeki yer tutucu değerleri kendi değerlerinizle değiştirmeyi ve önceki örneklerde tanımlanan değişkenleri kullanmayı unutmayın.

$keyName = "<key-name>"

$key = Add-AzKeyVaultKey -VaultName $keyVault.VaultName `
    -Name $keyName `
    -Destination 'Software'

Azure CLI ile anahtar eklemek için az keyvault key create komutunu çağırarak. Köşeli ayraç içindeki yer tutucu değerleri kendi değerlerinizle değiştirmeyi unutmayın.

keyName="<key-name>"

az keyvault key create \
    --name $keyName \
    --vault-name $kvName

Anahtar kasasına erişim yetkisi vermek için kullanıcı tarafından atanan yönetilen kimliği kullanma

Yeni bir depolama hesabı için müşteri tarafından yönetilen anahtarları etkinleştirdiğinizde, kullanıcı tarafından atanan bir yönetilen kimlik belirtmeniz gerekir. Mevcut depolama hesabı, müşteri tarafından yönetilen anahtarları yapılandırmak için kullanıcı tarafından atanan yönetilen kimliği veya sistem tarafından atanan yönetilen kimliği kullanmayı destekler.

Müşteri tarafından yönetilen anahtarları kullanıcı tarafından atanan yönetilen kimlikle yapılandırdığınızda, kullanıcı tarafından atanan yönetilen kimlik, anahtarı içeren anahtar kasasına erişimi yetkilendirmek için kullanılır. Müşteri tarafından yönetilen anahtarları yapılandırmadan önce kullanıcı tarafından atanan kimliği oluşturmanız gerekir.

Kullanıcı tarafından atanan yönetilen kimlik, tek başına bir Azure kaynağıdır. Kullanıcı tarafından atanan yönetilen kimlikler hakkında daha fazla bilgi edinmek için bkz. Yönetilen kimlik türleri. Kullanıcı tarafından atanan yönetilen kimlik oluşturmayı ve yönetmeyi öğrenmek için bkz. Kullanıcı tarafından atanan yönetilen kimlikleri yönetme.

Kullanıcı tarafından atanan yönetilen kimliğin anahtar kasasında anahtara erişim izinleri olmalıdır. Bu izinleri vermek için anahtar kasası kapsamıyla kullanıcı tarafından atanan yönetilen kimliğe Key Vault Şifreleme Hizmeti Şifreleme Kullanıcı rolünü atayın.

Müşteri tarafından yönetilen anahtarları kullanıcı tarafından atanan yönetilen kimlikle yapılandırabilmeniz için önce Key Vault Şifreleme Hizmeti Şifreleme Kullanıcı rolünü anahtar kasası kapsamında kullanıcı tarafından atanan yönetilen kimliğe atamanız gerekir. Bu rol, kullanıcı tarafından atanan yönetilen kimliklere anahtar kasasında anahtara erişme izni verir. Azure portal ile Azure RBAC rolleri atama hakkında daha fazla bilgi için bkz. Azure portal kullanarak Azure rolleri atama.

müşteri tarafından yönetilen anahtarları Azure portal yapılandırdığınızda, portal kullanıcı arabirimi aracılığıyla mevcut kullanıcı tarafından atanan kimliği seçebilirsiniz.

Aşağıdaki örnekte, kullanıcı tarafından atanan yönetilen kimliğin nasıl alınıp anahtar kasası kapsamında gerekli RBAC rolünün atandığı gösterilmektedir. Köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi ve önceki örneklerde tanımlanan değişkenleri kullanmayı unutmayın:

$userIdentity = Get-AzUserAssignedIdentity -Name <user-assigned-identity> `
    -ResourceGroupName $rgName

$principalId = $userIdentity.PrincipalId

New-AzRoleAssignment -ObjectId $principalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

identityResourceId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query id \
    --output tsv)

principalId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query principalId \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId \
    --assignee-principal-type ServicePrincipal

Müşteri tarafından yönetilen anahtarları yeni bir depolama hesabı için yapılandırma

Yeni bir depolama hesabı için müşteri tarafından yönetilen anahtarlarla şifrelemeyi yapılandırdığınızda, ilişkili anahtar kasasında yeni bir sürüm kullanılabilir olduğunda Azure Depolama şifrelemesi için kullanılan anahtar sürümünü otomatik olarak güncelleştirmeyi seçebilirsiniz. Alternatif olarak, anahtar sürümü el ile güncelleştirilene kadar şifreleme için kullanılacak bir anahtar sürümünü açıkça belirtebilirsiniz.

Depolama hesabını oluştururken müşteri tarafından yönetilen anahtarları yapılandırırken anahtar kasasına erişimi yetkilendirmek için mevcut kullanıcı tarafından atanan yönetilen kimliği kullanmanız gerekir. Kullanıcı tarafından atanan yönetilen kimliğin anahtar kasasına erişmek için uygun izinlere sahip olması gerekir. Daha fazla bilgi için bkz. Azure Key Vault kimlik doğrulaması.

Anahtar sürümlerinin otomatik güncelleştirilmesi için şifrelemeyi yapılandırma

Azure Depolama, şifreleme için kullanılan müşteri tarafından yönetilen anahtarı anahtar kasasından en son anahtar sürümünü kullanacak şekilde otomatik olarak güncelleştirebilir. Azure Depolama, anahtarın yeni sürümü için anahtar kasasını günlük olarak denetler. Yeni bir sürüm kullanıma sunulduğunda Azure Depolama otomatik olarak şifreleme için anahtarın en son sürümünü kullanmaya başlar.

Önemli

Azure Depolama, anahtar kasasını yeni bir anahtar sürümü için günde yalnızca bir kez denetler. Bir anahtarı döndürdüğünüzde, eski sürümü devre dışı bırakmadan önce 24 saat beklemeyi unutmayın.

Anahtar sürümünün otomatik olarak güncelleştirilmesiyle yeni bir depolama hesabı için müşteri tarafından yönetilen anahtarları yapılandırmak için şu adımları izleyin:

Azure portal Depolama hesapları sayfasına gidin ve Oluştur düğmesini seçerek yeni bir hesap oluşturun.
Temel Bilgiler, Gelişmiş, Ağ ve Veri Koruması sekmelerindeki alanları doldurmak için Depolama hesabı oluşturma bölümünde açıklanan adımları izleyin.
Şifreleme sekmesinde, Müşteri tarafından yönetilen anahtarlar için desteği etkinleştirmek istediğiniz hizmetleri Müşteri tarafından yönetilen anahtarlar için desteği etkinleştirme alanında belirtin.
Şifreleme türü alanında Müşteri tarafından yönetilen anahtarlar (CMK) öğesini seçin.
Şifreleme anahtarı alanında Anahtar kasası ve anahtar seçin'i seçin ve anahtar kasasını ve anahtarı belirtin.
Kullanıcı tarafından atanan kimlik alanı için mevcut kullanıcı tarafından atanan yönetilen kimliği seçin.
Hesabı doğrulamak ve oluşturmak için Gözden Geçir düğmesini seçin.

Ayrıca, yeni bir depolama hesabı oluştururken anahtar sürümünü el ile güncelleştirerek müşteri tarafından yönetilen anahtarları yapılandırabilirsiniz. Anahtar sürümlerinin el ile güncelleştirilmesi için şifrelemeyi yapılandırma başlığında açıklanan adımları izleyin.

Yeni bir depolama hesabı için müşteri tarafından yönetilen anahtarları, anahtar sürümünün otomatik olarak güncelleştirilmesiyle yapılandırmak için, aşağıdaki örnekte gösterildiği gibi New-AzStorageAccount çağrısı yapın. Kullanıcı tarafından atanan yönetilen kimliğin kaynak kimliği için daha önce oluşturduğunuz değişkeni kullanın. Ayrıca anahtar kasası URI'sine ve anahtar adına da ihtiyacınız olacaktır:

$accountName = "<storage-account>"

New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Kind StorageV2 `
    -SkuName Standard_LRS `
    -Location $location `
    -AllowBlobPublicAccess $false `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

Yeni bir depolama hesabı için müşteri tarafından yönetilen anahtarları, anahtar sürümünün otomatik olarak güncelleştirilmesiyle yapılandırmak için aşağıdaki örnekte gösterildiği gibi az storage account create komutunu çağırın. Kullanıcı tarafından atanan yönetilen kimliğin kaynak kimliği için daha önce oluşturduğunuz değişkeni kullanın. Ayrıca anahtar kasası URI'sine ve anahtar adına da ihtiyacınız olacaktır:

accountName="<storage-account>"

az storage account create \
    --name $accountName \
    --resource-group $rgName \
    --location $location \
    --sku Standard_LRS \
    --kind StorageV2 \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-vault <key-vault-uri> \
    --encryption-key-name $keyName \
    --encryption-key-source Microsoft.Keyvault \
    --key-vault-user-identity-id $identityResourceId

Anahtar sürümlerinin el ile güncelleştirilmesi için şifrelemeyi yapılandırma

Anahtar sürümünü el ile güncelleştirmeyi tercih ediyorsanız, depolama hesabını oluştururken müşteri tarafından yönetilen anahtarlarla şifrelemeyi yapılandırırken sürümü açıkça belirtin. Bu durumda Azure Depolama, anahtar kasasında yeni bir sürüm oluşturulduğunda anahtar sürümünü otomatik olarak güncelleştirmez. Yeni bir anahtar sürümü kullanmak için Azure Depolama şifrelemesi için kullanılan sürümü el ile güncelleştirmeniz gerekir.

müşteri tarafından yönetilen anahtarları Azure portal anahtar sürümünün el ile güncelleştirilmesiyle yapılandırmak için, depolama hesabını oluştururken sürüm de dahil olmak üzere anahtar URI'sini belirtin. Anahtarı URI olarak belirtmek için şu adımları izleyin:

Azure portal Depolama hesapları sayfasına gidin ve Oluştur düğmesini seçerek yeni bir hesap oluşturun.
Temel Bilgiler, Gelişmiş, Ağ ve Veri Koruması sekmelerindeki alanları doldurmak için Depolama hesabı oluşturma bölümünde açıklanan adımları izleyin.
Şifreleme sekmesinde, Müşteri tarafından yönetilen anahtarlar için desteği etkinleştirmek istediğiniz hizmetleri Müşteri tarafından yönetilen anahtarlar için desteği etkinleştirme alanında belirtin.
Şifreleme türü alanında Müşteri tarafından yönetilen anahtarlar (CMK) öğesini seçin.
Azure portal anahtar URI'sini bulmak için anahtar kasanıza gidin ve Anahtarlar ayarını seçin. İstediğiniz anahtarı seçin ve ardından sürümlerini görüntülemek için anahtarı seçin. Bu sürümün ayarlarını görüntülemek için bir anahtar sürümü seçin.
URI'yi sağlayan Anahtar Tanımlayıcısı alanının değerini kopyalayın.
Depolama hesabınızın Şifreleme anahtarı ayarlarında Anahtar URI'sini girin seçeneğini belirleyin.
Kopyaladığınız URI'yi Anahtar URI alanına yapıştırın. Anahtar sürümünün el ile güncelleştirilmesini yapılandırmak için anahtar sürümünü URI'ye ekleyin.
Kimlik seçin bağlantısını seçerek kullanıcı tarafından atanan yönetilen kimliği belirtin.
Hesabı doğrulamak ve oluşturmak için Gözden Geçir düğmesini seçin.

Müşteri tarafından yönetilen anahtarları anahtar sürümünün el ile güncelleştirilmesiyle yapılandırmak için, depolama hesabını oluştururken şifrelemeyi yapılandırırken anahtar sürümünü açıkça sağlayın. Aşağıdaki örnekte gösterildiği gibi depolama hesabının şifreleme ayarlarını güncelleştirmek için Set-AzStorageAccount çağrısı yapın ve depolama hesabı için müşteri tarafından yönetilen anahtarları etkinleştirmek için -KeyvaultEncryption seçeneğini ekleyin.

Köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi ve önceki örneklerde tanımlanan değişkenleri kullanmayı unutmayın.

$accountName = "<storage-account>"

New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Kind StorageV2 `
    -SkuName Standard_LRS `
    -Location $location `
    -AllowBlobPublicAccess $false `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

Anahtar sürümünü el ile güncelleştirdiğinizde, depolama hesabının şifreleme ayarlarını yeni sürümü kullanacak şekilde güncelleştirmeniz gerekir. İlk olarak, anahtarın en son sürümünü almak için Get-AzKeyVaultKey'i çağırın. Ardından, önceki örnekte gösterildiği gibi depolama hesabının şifreleme ayarlarını anahtarın yeni sürümünü kullanacak şekilde güncelleştirmek için Set-AzStorageAccount çağrısı yapın.

Müşteri tarafından yönetilen anahtarları anahtar sürümünün el ile güncelleştirilmesiyle yapılandırmak için, depolama hesabını oluştururken şifrelemeyi yapılandırırken anahtar sürümünü açıkça sağlayın. Aşağıdaki örnekte gösterildiği gibi depolama hesabının şifreleme ayarlarını güncelleştirmek için az storage account update komutunu çağırın. parametresini ekleyin ve hesabın --encryption-key-source müşteri tarafından yönetilen anahtarlarını etkinleştirmek üzere olarak ayarlayın Microsoft.Keyvault .

Köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın.

accountName="<storage-account>"

key_vault_uri=$(az keyvault show \
    --name <key-vault> \
    --resource-group <resource_group> \
    --query properties.vaultUri \
    --output tsv)

key_version=$(az keyvault key list-versions \
    --name <key> \
    --vault-name <key-vault> \
    --query [-1].kid \
    --output tsv | cut -d '/' -f 6)

az storage account create \
    --name $accountName \
    --resource-group $rgName \
    --location $location \
    --sku Standard_LRS \
    --kind StorageV2 \
    --allow-blob-public-access false \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-vault $keyVaultUri \
    --encryption-key-name $keyName \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-version $keyVersion \
    --key-vault-user-identity-id $identityResourceId

Anahtar sürümünü el ile güncelleştirdiğinizde, depolama hesabının şifreleme ayarlarını yeni sürümü kullanacak şekilde güncelleştirmeniz gerekir. İlk olarak , az keyvault show çağrısı yaparak anahtar kasası URI'sini ve az keyvault key list-versions çağırarak anahtar sürümü için sorguyu çalıştırın. Ardından, önceki örnekte gösterildiği gibi depolama hesabının şifreleme ayarlarını anahtarın yeni sürümünü kullanacak şekilde güncelleştirmek için az storage account update komutunu çağırın.

Anahtarı değiştirme

Azure Depolama şifrelemesi için kullandığınız anahtarı istediğiniz zaman değiştirebilirsiniz.

Not

Anahtar veya anahtar sürümünü değiştirdiğinizde kök şifreleme anahtarının koruması değişir, ancak Azure Depolama hesabınızdaki veriler her zaman şifrelenmiş olarak kalır. Verilerinizin korunduğundan emin olmak için ek bir işlem yapmanız gerekmez. Anahtarın değiştirilmesi veya anahtar sürümünün döndürülmesi performansı etkilemez. Anahtarı değiştirme veya anahtar sürümünü döndürme ile ilişkili kapalı kalma süresi yoktur.

anahtarı Azure portal değiştirmek için şu adımları izleyin:

Depolama hesabınıza gidin ve Şifreleme ayarlarını görüntüleyin.
Anahtar kasasını seçin ve yeni bir anahtar seçin.
Yaptığınız değişiklikleri kaydedin.

Yeni anahtar farklı bir anahtar kasasındaysa, yönetilen kimliğe yeni kasadaki anahtara erişim izni vermelisiniz. Anahtar sürümünün el ile güncelleştirilmesini seçerseniz, anahtar kasası URI'sini de güncelleştirmeniz gerekir.

Müşteri tarafından yönetilen anahtarları kullanan bir depolama hesabına erişimi iptal etme

Müşteri tarafından yönetilen anahtarları kullanan bir depolama hesabına erişimi geçici olarak iptal etmek için, anahtar kasasında kullanılmakta olan anahtarı devre dışı bırakın. Anahtarı devre dışı bırakma ve yeniden oluşturma ile ilişkili performans etkisi veya kapalı kalma süresi yoktur.

Anahtar devre dışı bırakıldıktan sonra, istemciler blob veya meta verilerinden okuma veya bloba yazma işlemlerini çağıramaz. Hangi işlemlerin başarısız olacağı hakkında bilgi için bkz. Müşteri tarafından yönetilen anahtarları kullanan bir depolama hesabına erişimi iptal etme.

Dikkat

Anahtar kasasında anahtarı devre dışı bırakırsanız, Azure Depolama hesabınızdaki veriler şifrelenmiş kalır, ancak siz anahtarı yeniden etkinleştirmediğiniz sürece erişilemez duruma gelir.

müşteri tarafından yönetilen anahtarı Azure portal devre dışı bırakmak için şu adımları izleyin:

Anahtarı içeren anahtar kasasına gidin.
Nesneler'in altında Anahtarlar'ı seçin.
Tuşa sağ tıklayın ve Devre dışı bırak'ı seçin.

PowerShell ile müşteri tarafından yönetilen bir anahtarı iptal etmek için, aşağıdaki örnekte gösterildiği gibi Update-AzKeyVaultKey komutunu çağırın. Köşeli ayraç içindeki yer tutucu değerleri kendi değerlerinizle değiştirerek değişkenleri tanımlamayı veya önceki örneklerde tanımlanan değişkenleri kullanmayı unutmayın.

$kvName  = "<key-vault-name>"
$keyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it

# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $keyName -VaultName $kvName

# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $kvName -Name $keyName -Enable $enabled

Azure CLI ile müşteri tarafından yönetilen bir anahtarı iptal etmek için aşağıdaki örnekte gösterildiği gibi az keyvault key set-attributes komutunu çağırın. Köşeli ayraç içindeki yer tutucu değerleri kendi değerlerinizle değiştirerek değişkenleri tanımlamayı veya önceki örneklerde tanımlanan değişkenleri kullanmayı unutmayın.

kvName="<key-vault-name>"
keyName="<key-name>"
enabled="false"
# "false" to disable the key / "true" to enable it:

# Check the current state of the key (before and after enabling/disabling it)
az keyvault key show \
    --vault-name $kvName \
    --name $keyName

# Disable (or enable) the key
az keyvault key set-attributes \
    --vault-name $kvName \
    --name $keyName \
    --enabled $enabled

Anahtarın devre dışı bırakılması, depolama hesabındaki verilere erişme girişimlerinin 403 (Yasak) hata koduyla başarısız olmasına neden olur. Anahtarın devre dışı bırakılmasından etkilenecek depolama hesabı işlemlerinin listesi için bkz. Müşteri tarafından yönetilen anahtarları kullanan bir depolama hesabına erişimi iptal etme.

Microsoft tarafından yönetilen anahtarlara geri dönme

Azure portal, PowerShell'i veya Azure CLI'yı kullanarak müşteri tarafından yönetilen anahtarlardan Microsoft tarafından yönetilen anahtarlara dilediğiniz zaman geçiş yapabilirsiniz.

müşteri tarafından yönetilen anahtarlardan Azure portal Microsoft tarafından yönetilen anahtarlara geri dönmek için şu adımları izleyin:

Depolama hesabınıza gidin.
Güvenlik + ağ altındaŞifreleme'yi seçin.
Şifreleme türünüMicrosoft tarafından yönetilen anahtarlar olarak değiştirin.

Müşteri tarafından yönetilen anahtarlardan PowerShell ile Microsoft tarafından yönetilen anahtarlara geri dönmek için, aşağıdaki örnekte gösterildiği gibi seçeneğiyle-StorageEncryption Set-AzStorageAccount'ı çağırın. Köşeli ayraç içindeki yer tutucu değerleri kendi değerlerinizle değiştirmeyi ve önceki örneklerde tanımlanan değişkenleri kullanmayı unutmayın.

Set-AzStorageAccount -ResourceGroupName $storageAccount.ResourceGroupName `
    -AccountName $storageAccount.StorageAccountName `
    -StorageEncryption

Müşteri tarafından yönetilen anahtarlardan Azure CLI ile Microsoft tarafından yönetilen anahtarlara geri dönmek için az storage account update komutunu çağırın ve aşağıdaki örnekte gösterildiği gibi değerini olarak Microsoft.Storageayarlayın--encryption-key-source parameter. Köşeli ayraç içindeki yer tutucu değerleri kendi değerlerinizle değiştirmeyi ve önceki örneklerde tanımlanan değişkenleri kullanmayı unutmayın.

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-source Microsoft.Storage

Aracılığıyla paylaş