你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

为表和队列创建一个支持客户管理密钥的帐户

Azure 存储对静态存储帐户中的所有数据进行加密。 默认情况下,队列存储和表存储使用的密钥的作用域为服务,由 Microsoft 管理。 用户还可以选择使用客户管理的密钥来加密队列或表数据。 若要将客户管理的密钥与队列和表一起使用,必须首先创建一个存储帐户,该帐户使用的加密密钥的作用域是帐户,而不是服务。 在创建了使用帐户加密密钥作为队列和表数据的帐户后,可以为该存储帐户配置客户管理的密钥。

本文介绍了如何创建一个存储帐户,该帐户依赖于该帐户的作用域。 首次创建帐户时,Microsoft 使用帐户密钥来对帐户中的数据进行加密,而 Microsoft 管理密钥。 接下来,用户可以为帐户配置客户管理的密钥,以利用这些权益,包括提供用户自己的密钥、更新密钥版本、轮换密钥和吊销访问控制。

创建使用帐户加密密钥的帐户

用户必须配置新的存储帐户,以便在创建存储帐户时为队列和表使用帐户加密密钥。 帐户创建后,便无法更改加密密钥的作用域。

存储帐户必须是常规用途 v2 类型。 可以使用 Azure 门户、PowerShell、Azure CLI 或 Azure 资源管理器模板,创建存储帐户并将其配置为依赖帐户加密密钥。

要详细了解如何创建存储帐户,请参阅创建存储帐户

注意

只有在创建存储帐户时,才可以选择配置队列和表存储,以通过帐户加密密钥来加密数据。 Blob 存储和 Azure 文件始终使用帐户加密密钥来加密数据。

要使用 Azure 门户创建依赖于帐户加密密钥的存储帐户,请执行以下步骤:

  1. 在左侧门户菜单中,选择“存储帐户”以显示存储帐户的列表。

  2. 在“存储帐户”页上,选择“新建”。

  3. 填写“基本信息”选项卡上的字段。

  4. 在“高级”选项卡上,找到“表和队列”部分,然后选择“启用对客户管理的密钥的支持” 。

    屏幕截图显示了如何在创建新帐户时为队列和表启用客户管理的密钥

依赖于帐户加密密钥的帐户创建后,便可以配置客户管理的密钥,这些密钥存储在 Azure Key Vault 或 Key Vault 托管硬件安全模型 (HSM) 中。 若要了解如何配置密钥保管库中客户管理的密钥,请参阅“使用 Azure Key Vault 中存储的客户管理的密钥配置加密”。 要了解如何在托管 HSM 中存储客户管理的密钥,请参阅使用存储在 Azure Key Vault 托管 HSM 中的客户管理的密钥配置加密

验证帐户加密密钥

创建帐户后,可以通过 Azure 门户、PowerShell 或 Azure CLI 验证存储帐户是否使用范围限定为该帐户的加密密钥。

要通过 Azure 门户验证存储帐户中的服务是否使用范围限定为该帐户的加密密钥,请执行以下步骤:

  1. 导航到 Azure 门户中的新存储帐户。

  2. 在“安全性 + 网络”部分,选择“加密” 。

  3. 如果创建的存储帐户依赖于帐户加密密钥,你将在“加密”选项卡上看到客户管理的密钥可以为所有四种 Azure 存储服务启用:blob、文件、表和队列。

    屏幕截图显示了如何验证存储帐户是否依赖于帐户加密密钥

在验证存储帐户正在使用范围限定为该帐户的加密密钥后,可以为该帐户启用客户管理的密钥。 然后,所有四个 Azure 存储服务(Blob、文件、表和队列)都将使用客户管理的密钥进行加密。

定价和计费

如果创建的存储帐户使用范围为该帐户的加密密钥,则在对表存储容量和事务计费方面,该帐户与使用默认的服务范围密钥的帐户存在不同。 有关详细信息,请参阅 Azure 表存储定价

后续步骤