Azure Depolama şifrelemesi için müşteri tarafından yönetilen anahtarlar
Depolama hesabınızdaki verileri korumak için kendi şifreleme anahtarınızı kullanabilirsiniz. Müşteri tarafından yönetilen bir anahtar belirttiğinizde verilerinizi şifrelemek ve verilerinize erişimi denetlemek için bu anahtar kullanılır. Müşteri tarafından yönetilen anahtarlar erişim denetimlerini yönetmek için çok daha fazla esneklik sunar.
Müşteri tarafından yönetilen anahtarlarınızı depolamak için aşağıdaki Azure anahtar depolarından birini kullanmanız gerekir:
Kendi anahtarlarınızı oluşturup anahtar kasasında veya yönetilen HSM'de depolayabilir veya anahtar oluşturmak için Azure Key Vault API'lerini kullanabilirsiniz. Depolama hesabı ve anahtar kasası veya yönetilen HSM farklı Microsoft Entra kiracılarında, bölgelerinde ve aboneliklerinde olabilir.
Dekont
Azure Key Vault ve Azure Key Vault Yönetilen HSM, müşteri tarafından yönetilen anahtarların yapılandırılması için aynı API'leri ve yönetim arabirimlerini destekler. Azure Key Vault için desteklenen tüm eylemler, Azure Key Vault Yönetilen HSM için de desteklenir.
Müşteri tarafından yönetilen anahtarlar hakkında
Aşağıdaki diyagramda Azure Depolama'ın müşteri tarafından yönetilen anahtarı kullanarak istekte bulunmak için Microsoft Entra Id ve anahtar kasası veya yönetilen HSM'yi nasıl kullandığı gösterilmektedir:
Aşağıdaki listede diyagramdaki numaralandırılmış adımlar açıklanmaktadır:
- Azure Key Vault yöneticisi yönetilen bir kimliğe şifreleme anahtarları için izinler verir. Yönetilen kimlik, oluşturduğunuz ve yönettiğiniz kullanıcı tarafından atanan yönetilen kimlik veya depolama hesabıyla ilişkili sistem tarafından atanan yönetilen kimlik olabilir.
- Azure Depolama yöneticisi, depolama hesabı için müşteri tarafından yönetilen bir anahtarla şifrelemeyi yapılandırıyor.
- Azure Depolama, Azure Key Vault yöneticisinin 1. adımda Microsoft Entra ID aracılığıyla Azure Key Vault'a erişimin kimliğini doğrulamak için izin verdiği yönetilen kimliği kullanır.
- Azure Depolama, hesap şifreleme anahtarını Azure Key Vault'ta müşteri tarafından yönetilen anahtarla sarmalar.
- Okuma/yazma işlemleri için Azure Depolama, şifreleme ve şifre çözme işlemlerini gerçekleştirmek üzere hesap şifreleme anahtarını açmak için Azure Key Vault'a istek gönderir.
Azure Key Vault'ta müşteri tarafından yönetilen bir anahtara erişmek için depolama hesabıyla ilişkili yönetilen kimliğin en az şu izinlere sahip olması gerekir:
- kaydırma tuşu
- unwrapkey
- get
Anahtar izinleri hakkında daha fazla bilgi için bkz . Anahtar türleri, algoritmalar ve işlemler.
Azure İlkesi, depolama hesaplarının Blob Depolama ve Azure Dosyalar iş yükleri için müşteri tarafından yönetilen anahtarları kullanmasını gerektiren yerleşik bir ilke sağlar. Daha fazla bilgi için Azure İlkesi yerleşik ilke tanımlarının Depolama bölümüne bakın.
Kuyruklar ve tablolar için müşteri tarafından yönetilen anahtarlar
Kuyruk ve Tablo depolama alanında depolanan veriler, depolama hesabı için müşteri tarafından yönetilen anahtarlar etkinleştirildiğinde otomatik olarak müşteri tarafından yönetilen anahtarla korunmaz. İsteğe bağlı olarak bu hizmetleri, depolama hesabını oluşturduğunuz sırada bu korumaya dahil edilecek şekilde yapılandırabilirsiniz.
Kuyruklar ve tablolar için müşteri tarafından yönetilen anahtarları destekleyen bir depolama hesabı oluşturma hakkında daha fazla bilgi için bkz . Tablolar ve kuyruklar için müşteri tarafından yönetilen anahtarları destekleyen bir hesap oluşturma.
Blob depolama ve Azure Dosyalar verileri, depolama hesabı için müşteri tarafından yönetilen anahtarlar yapılandırıldığında her zaman müşteri tarafından yönetilen anahtarlar tarafından korunur.
Depolama hesabı için müşteri tarafından yönetilen anahtarları etkinleştirme
Depolama hesabı için müşteri tarafından yönetilen anahtarları yapılandırdığınızda, Azure Depolama hesabın kök veri şifreleme anahtarını ilişkili anahtar kasasında veya yönetilen HSM'de müşteri tarafından yönetilen anahtarla sarmalar. Kök şifreleme anahtarının koruması değişir, ancak Azure Depolama hesabınızdaki veriler her zaman şifrelenmiş olarak kalır. Verilerinizin şifrelendiğinden emin olmak için ek bir işlem yapmanız gerekmez. Müşteri tarafından yönetilen anahtarlara göre koruma hemen geçerli olur.
Müşteri tarafından yönetilen anahtarlar ile Microsoft tarafından yönetilen anahtarlar arasında istediğiniz zaman geçiş yapabilirsiniz. Microsoft tarafından yönetilen anahtarlar hakkında daha fazla bilgi için bkz . Şifreleme anahtarı yönetimi hakkında.
Anahtar kasası gereksinimleri
Anahtar kasasında veya anahtarı depolayan yönetilen HSM'de hem geçici silme hem de temizleme koruması etkinleştirilmelidir. Azure depolama şifrelemesi, 2048, 3072 ve 4096 boyutlarında RSA ve RSA-HSM anahtarlarını destekler. Anahtarlar hakkında daha fazla bilgi için bkz . Anahtarlar hakkında.
Anahtar kasası veya yönetilen HSM kullanmanın ilişkili maliyetleri vardır. Daha fazla bilgi için bkz . Key Vault fiyatlandırması.
Aynı kiracıda anahtar kasası olan müşteri tarafından yönetilen anahtarlar
Müşteri tarafından yönetilen anahtarları aynı kiracıda veya farklı Microsoft Entra kiracılarında anahtar kasası ve depolama hesabıyla yapılandırabilirsiniz. Anahtar kasası ve depolama hesabı aynı kiracılarda olduğunda müşteri tarafından yönetilen anahtarlarla Azure Depolama şifrelemesini yapılandırmayı öğrenmek için aşağıdaki makalelerden birine bakın:
- Azure anahtar kasasında müşteri tarafından yönetilen anahtarları yeni bir depolama hesabı için yapılandırma
- Mevcut bir depolama hesabı için Azure anahtar kasasında müşteri tarafından yönetilen anahtarları yapılandırma
Müşteri tarafından yönetilen anahtarları aynı kiracıdaki bir anahtar kasasıyla etkinleştirdiğinizde, anahtarı içeren anahtar kasasına erişimi yetkilendirmek için kullanılacak bir yönetilen kimlik belirtmeniz gerekir. Yönetilen kimlik, kullanıcı tarafından atanan veya sistem tarafından atanan yönetilen kimlik olabilir:
- Depolama hesabı oluştururken müşteri tarafından yönetilen anahtarları yapılandırırken, kullanıcı tarafından atanan yönetilen kimliği kullanmanız gerekir.
- Mevcut bir depolama hesabında müşteri tarafından yönetilen anahtarları yapılandırırken, kullanıcı tarafından atanan yönetilen kimliği veya sistem tarafından atanan yönetilen kimliği kullanabilirsiniz.
Sistem tarafından atanan ve kullanıcı tarafından atanan yönetilen kimlikler hakkında daha fazla bilgi edinmek için bkz . Azure kaynakları için yönetilen kimlikler. Kullanıcı tarafından atanan yönetilen kimlik oluşturmayı ve yönetmeyi öğrenmek için bkz . Kullanıcı tarafından atanan yönetilen kimlikleri yönetme.
Farklı bir kiracıda anahtar kasasıyla müşteri tarafından yönetilen anahtarlar
Anahtar kasası ve depolama hesabı farklı Microsoft Entra kiracılarında olduğunda müşteri tarafından yönetilen anahtarlarla Azure Depolama şifrelemesini yapılandırmayı öğrenmek için aşağıdaki makalelerden birine bakın:
- Yeni bir depolama hesabı için kiracılar arası müşteri tarafından yönetilen anahtarları yapılandırma
- Mevcut depolama hesabı için kiracılar arası müşteri tarafından yönetilen anahtarları yapılandırma
Yönetilen HSM ile müşteri tarafından yönetilen anahtarlar
Yeni veya mevcut bir hesap için Azure Key Vault Yönetilen HSM ile müşteri tarafından yönetilen anahtarları yapılandırabilirsiniz. Ayrıca, müşteri tarafından yönetilen anahtarları depolama hesabıyla aynı kiracıda veya farklı bir kiracıda bulunan yönetilen bir HSM ile yapılandırabilirsiniz. Yönetilen HSM'de müşteri tarafından yönetilen anahtarları yapılandırma işlemi, anahtar kasasında müşteri tarafından yönetilen anahtarları yapılandırma işlemiyle aynıdır, ancak izinler biraz farklıdır. Daha fazla bilgi için bkz . Azure Key Vault Yönetilen HSM'de depolanan müşteri tarafından yönetilen anahtarlarla şifrelemeyi yapılandırma.
Anahtar sürümünü güncelleştirme
Şifreleme en iyi yöntemlerinin takiplenmesi, depolama hesabınızı koruyan anahtarı normal bir zamanlamaya göre (genellikle en az iki yılda bir) döndürmek anlamına gelir. Azure Depolama anahtar kasasındaki anahtarı hiçbir zaman değiştirmez, ancak anahtarı uyumluluk gereksinimlerinize göre döndürmek için bir anahtar döndürme ilkesi yapılandırabilirsiniz. Daha fazla bilgi için bkz . Azure Key Vault'ta şifreleme anahtarı otomatik döndürmeyi yapılandırma.
Anahtar, anahtar kasasında döndürüldükten sonra depolama hesabınızın müşteri tarafından yönetilen anahtar yapılandırmasının yeni anahtar sürümünü kullanacak şekilde güncelleştirilmiş olması gerekir. Müşteri tarafından yönetilen anahtarlar, hesabı koruyan anahtar için anahtar sürümünün hem otomatik hem de el ile güncelleştirilmesini destekler. Müşteri tarafından yönetilen anahtarları yapılandırırken veya yapılandırmanızı güncelleştirirken hangi yaklaşımı kullanmak istediğinize karar vekleyebilirsiniz.
Anahtarı veya anahtar sürümünü değiştirdiğinizde kök şifreleme anahtarının koruması değişir, ancak Azure Depolama hesabınızdaki veriler her zaman şifrelenmiş olarak kalır. Verilerinizin korunmasını sağlamak için sizin tarafınızdan ek işlem gerekmez. Anahtar sürümünün döndürülmesi performansı etkilemez. Anahtar sürümünü döndürmeyle ilgili kesinti süresi yoktur.
Önemli
Anahtarı döndürmek için, uyumluluk gereksinimlerinize göre anahtar kasasında veya yönetilen HSM'de anahtarın yeni bir sürümünü oluşturun. Azure Depolama anahtar döndürmeyi işlemez, bu nedenle anahtar kasasında anahtarın döndürmesini yönetmeniz gerekir.
Müşteri tarafından yönetilen anahtarlar için kullanılan anahtarı döndürdüğünüzde, bu eylem şu anda Azure Depolama için Azure İzleyici günlüklerine kaydedilmez.
Anahtar sürümünü otomatik olarak güncelleştirme
Yeni bir sürüm kullanılabilir olduğunda müşteri tarafından yönetilen anahtarı otomatik olarak güncelleştirmek için, depolama hesabı için müşteri tarafından yönetilen anahtarlarla şifrelemeyi etkinleştirdiğinizde anahtar sürümünü atla. Anahtar sürümü atlanırsa Azure Depolama müşteri tarafından yönetilen anahtarın yeni bir sürümü için anahtar kasasını veya yönetilen HSM'yi her gün denetler. Yeni anahtar sürümü sağlanırsa Azure Depolama otomatik olarak anahtarın en son sürümünü kullanır.
Azure Depolama, anahtar kasasını yeni bir anahtar sürümü için günde yalnızca bir kez denetler. Bir anahtarı döndürdüğünüzde, eski sürümü devre dışı bırakmadan önce 24 saat beklemeyi unutmayın.
Depolama hesabı daha önce anahtar sürümünün el ile güncelleştirilmesi için yapılandırılmışsa ve bunu otomatik olarak güncelleştirilecek şekilde değiştirmek istiyorsanız, anahtar sürümünü açıkça boş bir dize olarak değiştirmeniz gerekebilir. Bunun nasıl yapılacağının ayrıntıları için bkz . Anahtar sürümlerinin otomatik güncelleştirilmesi için şifrelemeyi yapılandırma.
Anahtar sürümünü el ile güncelleştirme
Azure Depolama şifrelemesi için anahtarın belirli bir sürümünü kullanmak için, depolama hesabı için müşteri tarafından yönetilen anahtarlarla şifrelemeyi etkinleştirdiğinizde bu anahtar sürümünü belirtin. Anahtar sürümünü belirtirseniz, siz anahtar sürümünü el ile güncelleştirene kadar Azure Depolama bu sürümü şifreleme için kullanır.
Anahtar sürümü açıkça belirtildiğinde, yeni bir sürüm oluşturulduğunda depolama hesabını yeni anahtar sürüm URI'sini kullanacak şekilde el ile güncelleştirmeniz gerekir. Depolama hesabının anahtarın yeni bir sürümünü kullanacak şekilde nasıl güncelleştirildiğini öğrenmek için bkz. Azure Key Vault'ta depolanan müşteri tarafından yönetilen anahtarlarla şifrelemeyi yapılandırma veya Azure Key Vault Yönetilen HSM'de depolanan müşteri tarafından yönetilen anahtarlarla şifrelemeyi yapılandırma.
Müşteri tarafından yönetilen anahtarları kullanan bir depolama hesabına erişimi iptal etme
Müşteri tarafından yönetilen anahtarları kullanan bir depolama hesabına erişimi iptal etmek için anahtar kasasında anahtarı devre dışı bırakın. Anahtarın nasıl devre dışı bırakıldığını öğrenmek için bkz . Müşteri tarafından yönetilen anahtarları kullanan bir depolama hesabına erişimi iptal etme.
Anahtar devre dışı bırakıldıktan sonra, istemciler bir kaynaktan veya meta verilerinden okuyan veya bu kaynağa yazan işlemleri çağıramaz. Bu işlemleri çağırma girişimleri tüm kullanıcılar için hata kodu 403 (Yasak) ile başarısız olur.
Bu işlemleri yeniden çağırmak için müşteri tarafından yönetilen anahtara erişimi geri yükleyin.
Aşağıdaki bölümlerde listelenmeyen tüm veri işlemleri, müşteri tarafından yönetilen anahtarlar iptal edildikten veya bir anahtar devre dışı bırakıldıktan veya silindikten sonra devam edebilir.
Müşteri tarafından yönetilen anahtarlara erişimi iptal etmek için PowerShell veya Azure CLI kullanın.
Bir anahtar iptal edildikten sonra başarısız olan Blob Depolama işlemleri
- İstek URI'sinde
include=metadataparametresiyle çağrıldığında Blobları listeleme - Blob Alma
- BLOB özelliklerini Al
- Blob Meta Verilerini Alma
- Blob Meta Verilerini Ayarlama
- İstek üst bilgisi ile
x-ms-meta-nameçağrıldığında Anlık Görüntü Blobu - Blobu Kopyala
- URL'den Blob Kopyalama
- Blob Katmanını Ayarla
- Blok Koy
- URL’den Blok Koy
- Ekleme Bloğu
- URL’den Blok Ekle
- Blobu Yerleştir
- Sayfa Koy
- URL’den Sayfa Koy
- Artımlı Kopyalama Blobu
Azure Dosyalar bir anahtar iptal edildikten sonra başarısız olan işlemler
- İzin Oluştur
- İzin Al
- Dizinleri ve Dosyaları Listele
- Dizin Oluştur
- Dizin Özelliklerini Alma
- Dizin Özelliklerini Ayarla
- Dizin Meta Verilerini Alma
- Dizin Meta Verilerini Ayarla
- Dosya Oluştur
- Dosya Al
- Dosya Özelliklerini Alma
- Dosya Özelliklerini Ayarla
- Aralığı Koy
- Url'den Aralık Koy
- Dosya Meta Verilerini Alma
- Dosya Meta Verilerini Ayarla
- Dosya Kopyala
- Dosyayı Yeniden Adlandır
Azure yönetilen diskleri için müşteri tarafından yönetilen anahtarlar
Müşteri tarafından yönetilen anahtarlar, Azure yönetilen disklerinin şifrelemesini yönetmek için de kullanılabilir. Müşteri tarafından yönetilen anahtarlar yönetilen diskler için Azure Depolama kaynaklarından farklı davranır. Daha fazla bilgi için bkz . Windows için Azure yönetilen disklerinin sunucu tarafı şifrelemesi veya Linux için Azure yönetilen disklerinin Sunucu tarafı şifrelemesi .