分享方式:


在相同租用戶中針對新儲存體帳戶設定客戶自控金鑰

Azure 儲存體會加密待用儲存體帳戶中的所有資料。 根據預設,資料是以使用 Microsoft 管理的金鑰加密。 若要進一步控制加密金鑰,您可以管理自己的金鑰。 客戶自控金鑰必須儲存在 Azure Key Vault 或 Azure Key Vault 受控硬體安全模組 (HSM) 中。

本文說明如何在建立新的儲存體帳戶時,運用客戶自控金鑰來設定加密。 客戶自控金鑰會儲存在金鑰保存庫中。

若要了解如何為現有儲存體帳戶設定客戶自控金鑰,請參閱在現有儲存體帳戶的 Azure 金鑰保存庫中設定客戶自控金鑰

注意

Azure Key Vault 和 Azure Key Vault 受控 HSM 支援使用相同的 API 和管理介面以進行客戶自控金鑰的設定。 Azure Key Vault 支援的任何動作也受 Azure Key Vault 受控 HSM 所支援。

設定金鑰保存庫

您可以使用新的或現有的金鑰保存庫來儲存客戶自控金鑰。 儲存體帳戶和金鑰保存庫可能位於相同租用戶的不同區域或訂用帳戶。 若要深入了解 Azure Key Vault,請參閱 Azure Key Vault 概觀什麼是 Azure Key Vault?

要將客戶自控金鑰用於 Azure 儲存體加密,必須為金鑰保存庫啟用虛刪除和清除保護。 依預設會在您建立新的金鑰保存庫啟用虛刪除,且無法停用。 您可以在建立金鑰保存庫期間或建立後啟用清除保護。

Azure Key Vault 支援透過 Azure RBAC 權限模型向 Azure RBAC 授權。 Microsoft 建議透過金鑰保存庫存取原則使用 Azure RBAC 權限模型。 如需詳細資訊,請參閱使用 Azure RBAC 授與權限至應用程式以存取 Azure Key Vault

若要了解如何使用 Azure 入口網站建立金鑰保存庫,請參閱快速入門:使用 Azure 入口網站建立金鑰保存庫。 在建立金鑰保存庫時,請選取 [啟用清除保護],如下圖所示。

顯示如何在建立金鑰保存庫時啟用清除保護的螢幕快照。

若要在現有的金鑰保存庫上啟用清除保護,請遵循下列步驟:

  1. 在 Azure 入口網站中瀏覽至您的金鑰保存庫。
  2. 在 [設定] 之下選擇 [屬性]
  3. 在 [清除保護] 區段中,選擇 [啟用清除保護]

新增金鑰

接著,將金鑰新增至金鑰保存庫。 新增金鑰之前,請確定您已將金鑰保存庫密碼編譯人員角色指派給自己。

Azure 儲存體加密支援 2048、3072 和 4096 大小的 RSA 和 RSA-HSM 金鑰。 若要進一步了解支援的金鑰類型,請參閱關於金鑰

若要了解如何使用 Azure 入口網站來新增金鑰,請參閱快速入門:使用 Azure 入口網站從 Azure Key Vault 設定及擷取金鑰

使用使用者指派的受控識別來授權存取金鑰保存庫

當您為新的儲存體帳戶啟用客戶自控金鑰時,必須指定使用者指派的受控識別。 現有的儲存體帳戶上支援使用使用者指派的受控識別或系統指派的受控識別,以設定客戶自控金鑰。

當您使用使用者指派的受控識別來設定客戶自控金鑰時,會使用使用者指派的受控識別來授權存取包含金鑰的金鑰保存庫。 在設定客戶自控金鑰之前,必須先建立使用者指派的身分識別。

使用者指派的受控識別是獨立的 Azure 資源。 若要深入了解使用者指派的受控識別,請參閱受控識別類型。 若要了解如何建立及管理使用者指派的受控識別,請參閱管理使用者指派的受控識別

使用者指派的受控識別必須有權限可存取金鑰保存庫中的金鑰。 將 Key Vault 密碼編譯服務加密使用者角色指派給金鑰保存庫範圍內的使用者指派的受控識別,以授與這些權限。

您必須先將金鑰保存庫密碼編譯服務加密使用者角色指派給使用者指派的受控識別,範圍設為金鑰保存庫,才能利用使用者指派的受控識別來設定客戶自控金鑰。 此角色授與使用者指派的受控識別權限,以存取金鑰保存庫中的金鑰。 如需使用 Azure 入口網站指派 Azure RBAC 角色的詳細資訊,請參閱使用 Azure 入口網站指派 Azure 角色

使用 Azure 入口網站設定客戶自控金鑰時,您可以透過入口網站使用者介面來選取使用者指派的現有身分識別。

為新的儲存體帳戶設定客戶自控金鑰

使用客戶自控金鑰為新的儲存體帳戶設定加密時,您可以選擇在相關聯的金鑰保存庫中有新版本可用時,自動更新用於 Azure 儲存體加密的金鑰版本。 或者,您可以明確指定在手動更新金鑰版本前要用於加密的金鑰版本。

在建立儲存體帳戶期間設定客戶自控金鑰時,您必須使用使用者指派的現有受控識別來授與金鑰保存庫的存取權。 使用者指派的受控識別必須有適當的權限可存取金鑰保存庫。 如需詳細資訊,請參閱向 Azure Key Vault 進行驗證

設定會自動更新金鑰版本的加密

Azure 儲存體可自動更新用於加密的客戶自控金鑰,以使用金鑰保存庫中的最新金鑰版本。 Azure 儲存體每天都會檢查金鑰保存庫中是否有新的金鑰版本。 有新版本可供使用時,Azure 儲存體就會自動使用最新版本的金鑰進行加密。

重要

Azure 儲存體每天只會檢查金鑰保存庫是否有新的金鑰版本一次。 當您輪替金鑰時,請務必等候 24 小時,再停用舊版金鑰。

若要為新的儲存體帳戶設定客戶自控金鑰,並自動更新金鑰版本,請遵循下列步驟:

  1. 在 Azure 入口網站中,瀏覽至 [儲存體帳戶] 頁面,然後選取 [建立] 按鈕以建立新的帳戶。

  2. 依照建立儲存體帳戶中所述的步驟,填寫 [基本]、[進階]、[網路] 和 [資料保護] 索引標籤上的欄位。

  3. 在 [加密] 索引標籤上的 [啟用客戶自控金鑰的支援] 欄位中,指定要啟用客戶自控金鑰支援的服務。

  4. 在 [加密類型] 欄位中,選取 [客戶自控金鑰 (CMK)]

  5. 在 [加密金鑰] 欄位中選擇 [選取金鑰保存庫和金鑰],然後指定金鑰保存庫和金鑰。

  6. 在 [使用者指派的身分識別] 欄位中,選取使用者指派的現有受控識別。

    此螢幕快照顯示如何在 Azure 入口網站 中設定新記憶體帳戶的客戶管理密鑰。

  7. 選取 [檢閱] 按鈕,以驗證並建立帳戶。

您也可以在建立新的儲存體帳戶時,設定手動更新金鑰版本的客戶自控金鑰。 請依照設定手動更新金鑰版本的加密中說明的步驟操作。

設定手動更新金鑰版本的加密

建立儲存體帳戶時,如果您想要手動更新金鑰版本,當您使用客戶自控金鑰設定加密時,請明確指定版本。 在此情況下,在金鑰保存庫中建立新版本時,Azure 儲存體將不會自動更新金鑰版本。 若要使用新的金鑰版本,您必須手動更新 Azure 儲存體加密所使用的版本。

在建立儲存體帳戶期間設定客戶自控金鑰時,您必須使用使用者指派的現有受控識別來授與金鑰保存庫的存取權。 使用者指派的受控識別必須有適當的權限可存取金鑰保存庫。 如需詳細資訊,請參閱向 Azure Key Vault 進行驗證

建立儲存體帳戶時,若要在 Azure 入口網站中設定手動更新金鑰版本的客戶自控金鑰,請指定金鑰 URI,包括版本在內。 若要將金鑰指定為 URI,請遵循下列步驟:

  1. 在 Azure 入口網站中,瀏覽至 [儲存體帳戶] 頁面,然後選取 [建立] 按鈕以建立新的帳戶。

  2. 依照建立儲存體帳戶中所述的步驟,填寫 [基本]、[進階]、[網路] 和 [資料保護] 索引標籤上的欄位。

  3. 在 [加密] 索引標籤上的 [啟用客戶自控金鑰的支援] 欄位中,指定要啟用客戶自控金鑰支援的服務。

  4. 在 [加密類型] 欄位中,選取 [客戶自控金鑰 (CMK)]

  5. 若要在 Azure 入口網站中找出金鑰 URI,請巡覽至金鑰保存庫,然後選取 [金鑰] 設定。 選取所需的金鑰,並選取金鑰以檢視其版本。 選取金鑰版本以檢視該版本的設定。

  6. 複製 [金鑰識別碼] 欄位的值,以提供 URI。

    此螢幕擷取畫面顯示 Azure 入口網站中的金鑰保存庫金鑰 URI。

  7. 在儲存體帳戶的 [加密金鑰] 設定中,選擇 [輸入金鑰 URI] 選項。

  8. 將您複製的 URI 貼到 [金鑰 URI] 欄位中。 在 URI 上包含金鑰版本,以設定金鑰版本的手動更新。

  9. 選擇 [選取身分識別] 連結,以指定使用者指派的受控 識別。

    顯示如何在 Azure 入口網站 中輸入金鑰 URI 的螢幕快照。

  10. 選取 [檢閱] 按鈕,以驗證並建立帳戶。

變更金鑰

您可以隨時變更 Azure 儲存體加密所使用的金鑰。

注意

當您變更金鑰或金鑰版本時,根加密金鑰的保護會變更,但 Azure 儲存體帳戶中的資料會一直保持加密。 您不需要在電腦上執行其他動作,就可以確保您的資料受到保護。 變更金鑰或輪替金鑰版本不會影響效能。 變更金鑰或輪替金鑰版本時,不會有任何停機時間。

若要使用 Azure 入口網站來變更金鑰,請遵循下列步驟:

  1. 瀏覽至您的儲存體帳戶,並顯示 [加密] 設定。
  2. 選取金鑰保存庫,然後選擇新的金鑰。
  3. 儲存您的變更。

如果新金鑰位於不同的金鑰保存庫中,您必須授與新保存庫中金鑰的受控識別存取權。 如果您選擇手動更新金鑰版本,您也必須更新金鑰儲存庫 URI

撤銷使用客戶自控金鑰的儲存體帳戶存取權

若要暫時撤銷使用客戶自控金鑰的儲存體帳戶存取權,請停用金鑰保存庫中目前所使用的金鑰。 沒有與停用和重新啟用密鑰相關聯的效能影響或停機時間。

停用金鑰之後,客戶端即無法呼叫從 Blob 或其中繼資料讀取或寫入其中的作業。 如需哪些作業會失敗的資訊,請參閱撤銷使用客戶自控金鑰的儲存體帳戶存取權

警告

當您停用金鑰保存庫中的金鑰時,Azure 儲存體帳戶中的資料會保持加密狀態,但在您重新啟用金鑰之前,該密鑰會變成無法存取。

若要使用 Azure 入口網站停用客戶自控金鑰,請遵循下列步驟:

  1. 瀏覽至包含該金鑰的金鑰保存庫。

  2. 在 [物件] 下選取 [金鑰]

  3. 以滑鼠右鍵按一下該金鑰,然後選取 [停用]

    此螢幕擷取畫面顯示如何在金鑰保存庫中停用客戶自控金鑰。

停用金鑰會導致嘗試存取儲存體帳戶中的資料失敗,錯誤碼為 403 (禁止)。 如需會因停用金鑰而受到影響的儲存體帳戶作業清單,請參閱撤銷使用客戶自控金鑰的儲存體帳戶存取權

切換回 Microsoft 管理的金鑰

您可以隨時使用 Azure 入口網站、PowerShell 或 Azure CLI,從客戶自控金鑰切換回 Microsoft 管理的金鑰。

若要在 Azure 入口網站中從客戶自控金鑰切換回 Microsoft 管理的金鑰,請遵循下列步驟:

  1. 瀏覽至您的儲存體帳戶。

  2. 在 [安全性 + 網路] 下方,選取 [加密]

  3. 將 [加密類型] 變更為 [Microsoft 管理的金鑰]

    此螢幕擷取畫面顯示如何切換至儲存體帳戶的 Microsoft 受控金鑰。

下一步