Vytváření a správa oborů šifrování

Obory šifrování umožňují spravovat šifrování na úrovni jednotlivých objektů blob nebo kontejnerů. Obory šifrování můžete použít k vytvoření zabezpečených hranic mezi daty, která se nacházejí ve stejném účtu úložiště, ale patří různým zákazníkům. Další informace o oborech šifrování najdete v tématu Obory šifrování pro úložiště objektů blob.

Tento článek ukazuje, jak vytvořit obor šifrování. Ukazuje také, jak určit obor šifrování při vytváření objektu blob nebo kontejneru.

Vytvoření oboru šifrování

Můžete vytvořit obor šifrování, který je chráněný klíčem spravovaným Microsoftem nebo klíčem spravovaným zákazníkem, který je uložený ve službě Azure Key Vault nebo ve spravovaném modelu hardwarového zabezpečení (HSM) služby Azure Key Vault. Pokud chcete vytvořit obor šifrování s klíčem spravovaným zákazníkem, musíte nejprve vytvořit trezor klíčů nebo spravovaný HSM a přidat klíč, který chcete pro tento obor použít. Trezor klíčů nebo spravovaný HSM musí mít povolenou ochranu před vymazáním.

Účet úložiště a trezor klíčů můžou být ve stejném tenantovi nebo v různých tenantech. V obou případech může být účet úložiště a trezor klíčů v různých oblastech.

Při vytváření se automaticky povolí obor šifrování. Po vytvoření oboru šifrování ho můžete zadat při vytváření objektu blob. Při vytváření kontejneru můžete také zadat výchozí obor šifrování, který se automaticky vztahuje na všechny objekty blob v kontejneru.

Při konfiguraci oboru šifrování se vám účtuje minimálně jeden měsíc (30 dní). Po prvním měsíci se poplatky za rozsah šifrování účtují po hodinách. Další informace najdete v tématu Fakturace rozsahů šifrování.

Azure Portal

Pokud chcete vytvořit obor šifrování na webu Azure Portal, postupujte takto:

1. Na webu Azure Portal přejděte na svůj účet úložiště.

2. V části Zabezpečení a sítě vyberte Šifrování.

3. Vyberte kartu Obory šifrování.

4. Kliknutím na tlačítko Přidat přidáte nový obor šifrování.

5. V podokně Vytvořit obor šifrování zadejte název nového oboru.

6. Vyberte požadovaný typ podpory šifrovacího klíče, a to buď klíče spravované Microsoftem, nebo klíče spravované zákazníkem.

   • Pokud jste vybrali klíče spravované Microsoftem, kliknutím na Vytvořit vytvořte obor šifrování.
   • Pokud jste vybrali klíče spravované zákazníkem, vyberte předplatné a zadejte trezor klíčů a klíč, který se má použít pro tento obor šifrování. Pokud je požadovaný trezor klíčů v jiné oblasti, vyberte Enter key URI a zadejte identifikátor URI klíče.

7. Pokud je pro účet úložiště povolené šifrování infrastruktury, automaticky se povolí pro nový obor šifrování. V opačném případě můžete zvolit, jestli chcete povolit šifrování infrastruktury pro obor šifrování.

   

PowerShell

Pokud chcete vytvořit obor šifrování pomocí PowerShellu, nainstalujte modul Az.Storage PowerShell verze 3.4.0 nebo novější.

Vytvoření oboru šifrování chráněného klíči spravovanými Microsoftem

Pokud chcete vytvořit obor šifrování chráněný klíči spravovanými Microsoftem, zavolejte pomocí parametru -StorageEncryption příkaz New-AzStorageEncryptionScope.

Pokud je pro účet úložiště povolené šifrování infrastruktury, automaticky se povolí pro nový obor šifrování. V opačném případě můžete zvolit, jestli chcete povolit šifrování infrastruktury pro obor šifrování. Pokud chcete vytvořit nový obor s povoleným šifrováním infrastruktury, zahrňte parametr -RequireInfrastructureEncryption .

Nezapomeňte nahradit zástupné hodnoty v příkladu vlastními hodnotami:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$scopeName = "<encryption-scope>"

New-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName1 `
    -StorageEncryption

Vytvoření oboru šifrování chráněného klíči spravovanými zákazníkem ve stejném tenantovi

Pokud chcete vytvořit obor šifrování chráněný klíči spravovanými zákazníkem uloženými v trezoru klíčů nebo spravovaném HSM, který je ve stejném tenantovi jako účet úložiště, nejprve nakonfigurujte klíče spravované zákazníkem pro účet úložiště. Spravovanou identitu musíte přiřadit k účtu úložiště, který má oprávnění pro přístup k trezoru klíčů. Spravovanou identitou může být spravovaná identita přiřazená uživatelem nebo spravovaná identita přiřazená systémem. Další informace o konfiguraci klíčů spravovaných zákazníkem najdete v tématu Konfigurace klíčů spravovaných zákazníkem ve stejném tenantovi pro existující účet úložiště.

Pokud chcete spravované identitě udělit oprávnění pro přístup k trezoru klíčů, přiřaďte roli uživatele šifrování šifrovací služby Key Vault spravovanou identitu.

Pokud chcete nakonfigurovat klíče spravované zákazníkem pro použití s oborem šifrování, musí být v trezoru klíčů nebo spravovaném HSM povolená ochrana před vymazáním.

Následující příklad ukazuje, jak nakonfigurovat obor šifrování se spravovanou identitou přiřazenou systémem. Nezapomeňte nahradit zástupné hodnoty v příkladu vlastními hodnotami:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$keyVaultName = "<key-vault>"
$scopeName = "<encryption-scope>"

# Assign a system-assigned managed identity to the storage account.
$storageAccount = Set-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -AssignIdentity

# Assign the necessary permissions to the managed identity 
# so that it can access the key vault.
$principalId = $storageAccount.Identity.PrincipalId
$keyVault = Get-AzKeyVault $keyVaultName

New-AzRoleAssignment -ObjectId $storageAccount.Identity.PrincipalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

Dále zavolejte příkaz New-AzStorageEncryptionScope s parametrem -KeyvaultEncryption a zadejte identifikátor URI klíče. Zahrnutí verze klíče do identifikátoru URI klíče je volitelné. Pokud verzi klíče vynecháte, obor šifrování automaticky použije nejnovější verzi klíče. Pokud zahrnete verzi klíče, musíte verzi klíče aktualizovat ručně, aby používala jinou verzi.

Formát identifikátoru URI klíče je podobný následujícím příkladům a lze ho vytvořit z vlastnosti VaultUri trezoru klíčů a názvu klíče:

# Without the key version
https://<key-vault>.vault.azure.net/keys/<key>

# With the key version
https://<key-vault>.vault.azure.net/keys/<key>/<version>

Pokud je pro účet úložiště povolené šifrování infrastruktury, automaticky se povolí pro nový obor šifrování. V opačném případě můžete zvolit, jestli chcete povolit šifrování infrastruktury pro obor šifrování. Pokud chcete vytvořit nový obor s povoleným šifrováním infrastruktury, zahrňte parametr -RequireInfrastructureEncryption .

Nezapomeňte nahradit zástupné hodnoty v příkladu vlastními hodnotami:

$keyUri = $keyVault.VaultUri + "keys/" + $keyName

New-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName `
    -KeyUri $keyUri `
    -KeyvaultEncryption

Vytvoření oboru šifrování chráněného klíči spravovanými zákazníkem v jiném tenantovi

Pokud chcete vytvořit obor šifrování, který je chráněný klíči spravovanými zákazníkem uloženými v trezoru klíčů nebo spravovaném HSM, který je v jiném tenantovi než účet úložiště, nejprve nakonfigurujte klíče spravované zákazníkem pro účet úložiště. Musíte nakonfigurovat spravovanou identitu přiřazenou uživatelem pro účet úložiště, který má oprávnění pro přístup k trezoru klíčů v jiném tenantovi. Další informace o konfiguraci klíčů spravovaných zákazníkem napříč tenanty najdete v tématu Konfigurace klíčů spravovaných zákazníkem napříč tenanty pro existující účet úložiště.

Pokud chcete nakonfigurovat klíče spravované zákazníkem pro použití s oborem šifrování, musí být v trezoru klíčů nebo spravovaném HSM povolená ochrana před vymazáním.

Po nakonfigurování klíčů spravovaných zákazníkem napříč tenanty pro účet úložiště můžete vytvořit obor šifrování pro účet úložiště v jednom tenantovi, který je vymezen na klíč v trezoru klíčů v druhém tenantovi. K vytvoření oboru šifrování mezi tenanty budete potřebovat identifikátor URI klíče.

Nezapomeňte nahradit zástupné hodnoty v příkladu vlastními hodnotami:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$scopeName = "<encryption-scope>"

# Construct the key URI from the key vault URI and key name.
$keyUri = $kvUri + "keys/" + $keyName

New-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName `
    -KeyUri $keyUri `
    -KeyvaultEncryption

Azure CLI

Pokud chcete vytvořit obor šifrování pomocí Azure CLI, nejprve nainstalujte Azure CLI verze 2.20.0 nebo novější.

Vytvoření oboru šifrování chráněného klíči spravovanými Microsoftem

Pokud chcete vytvořit obor šifrování, který je chráněný klíči spravovanými Microsoftem, zavolejte příkaz az storage account encryption-scope create a zadejte --key-source parametr jako Microsoft.Storage.

Pokud je pro účet úložiště povolené šifrování infrastruktury, automaticky se povolí pro nový obor šifrování. V opačném případě můžete zvolit, jestli chcete povolit šifrování infrastruktury pro obor šifrování. Pokud chcete vytvořit nový obor s povoleným šifrováním infrastruktury, zahrňte --require-infrastructure-encryption parametr a nastavte jeho hodnotu na true.

Nezapomeňte nahradit zástupné hodnoty vlastními hodnotami:

az storage account encryption-scope create \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.Storage

Vytvoření oboru šifrování chráněného klíči spravovanými zákazníkem ve stejném tenantovi

Pokud chcete vytvořit obor šifrování chráněný klíči spravovanými zákazníkem uloženými v trezoru klíčů nebo spravovaném HSM, který je ve stejném tenantovi jako účet úložiště, nejprve nakonfigurujte klíče spravované zákazníkem pro účet úložiště. Spravovanou identitu musíte přiřadit k účtu úložiště, který má oprávnění pro přístup k trezoru klíčů. Spravovanou identitou může být spravovaná identita přiřazená uživatelem nebo spravovaná identita přiřazená systémem. Další informace o konfiguraci klíčů spravovaných zákazníkem najdete v tématu Konfigurace klíčů spravovaných zákazníkem ve stejném tenantovi pro existující účet úložiště.

Pokud chcete spravované identitě udělit oprávnění pro přístup k trezoru klíčů, přiřaďte roli uživatele šifrování šifrovací služby Key Vault spravovanou identitu.

Pokud chcete nakonfigurovat klíče spravované zákazníkem pro použití s oborem šifrování, musí být v trezoru klíčů nebo spravovaném HSM povolená ochrana před vymazáním.

Následující příklad ukazuje, jak nakonfigurovat obor šifrování se spravovanou identitou přiřazenou systémem. Nezapomeňte nahradit zástupné hodnoty v příkladu vlastními hodnotami:

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --assign-identity

principalId=$(az storage account show --name <storage-account> \
    --resource-group <resource_group> \
    --query identity.principalId \
    --output tsv)

$kvResourceId=$(az keyvault show \
    --resource-group <resource-group> \
    --name <key-vault> \
    --query id \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId

Dále zavolejte příkaz az storage account encryption-scope s parametrem --key-uri a zadejte identifikátor URI klíče. Zahrnutí verze klíče do identifikátoru URI klíče je volitelné. Pokud verzi klíče vynecháte, obor šifrování automaticky použije nejnovější verzi klíče. Pokud zahrnete verzi klíče, musíte verzi klíče aktualizovat ručně, aby používala jinou verzi.

Formát identifikátoru URI klíče je podobný následujícím příkladům a lze ho vytvořit z vlastnosti vaultUri trezoru klíčů a názvu klíče:

# Without the key version
https://<key-vault>.vault.azure.net/keys/<key>

# With the key version
https://<key-vault>.vault.azure.net/keys/<key>/<version>

Pokud je pro účet úložiště povolené šifrování infrastruktury, automaticky se povolí pro nový obor šifrování. V opačném případě můžete zvolit, jestli chcete povolit šifrování infrastruktury pro obor šifrování. Pokud chcete vytvořit nový obor s povoleným šifrováním infrastruktury, zahrňte --require-infrastructure-encryption parametr a nastavte jeho hodnotu na true.

Nezapomeňte nahradit zástupné hodnoty v příkladu vlastními hodnotami:

az storage account encryption-scope create \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.KeyVault \
    --key-uri <key-uri>

Vytvoření oboru šifrování chráněného klíči spravovanými zákazníkem v jiném tenantovi

Pokud chcete vytvořit obor šifrování, který je chráněný klíči spravovanými zákazníkem uloženými v trezoru klíčů nebo spravovaném HSM, který je v jiném tenantovi než účet úložiště, nejprve nakonfigurujte klíče spravované zákazníkem pro účet úložiště. Musíte nakonfigurovat spravovanou identitu přiřazenou uživatelem pro účet úložiště, který má oprávnění pro přístup k trezoru klíčů v jiném tenantovi. Další informace o konfiguraci klíčů spravovaných zákazníkem napříč tenanty najdete v tématu Konfigurace klíčů spravovaných zákazníkem napříč tenanty pro existující účet úložiště.

Pokud chcete nakonfigurovat klíče spravované zákazníkem pro použití s oborem šifrování, musí být v trezoru klíčů nebo spravovaném HSM povolená ochrana před vymazáním.

Po nakonfigurování klíčů spravovaných zákazníkem napříč tenanty pro účet úložiště můžete vytvořit obor šifrování pro účet úložiště v jednom tenantovi, který je vymezen na klíč v trezoru klíčů v druhém tenantovi. K vytvoření oboru šifrování mezi tenanty budete potřebovat identifikátor URI klíče.

Nezapomeňte nahradit zástupné hodnoty v příkladu vlastními hodnotami:

az storage account encryption-scope create \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.KeyVault \
    --key-uri <key-uri>

Výpis rozsahů šifrování pro účet úložiště

Azure Portal

Pokud chcete zobrazit obory šifrování pro účet úložiště na webu Azure Portal, přejděte do nastavení Obory šifrování pro účet úložiště. V tomto podokně můžete povolit nebo zakázat obor šifrování nebo změnit klíč pro obor šifrování.

Pokud chcete zobrazit podrobnosti o klíči spravovaném zákazníkem, včetně identifikátoru URI klíče a verze a informace o tom, jestli se verze klíče automaticky aktualizuje, postupujte podle odkazu ve sloupci Klíč .

PowerShell

Pokud chcete zobrazit seznam rozsahů šifrování dostupných pro účet úložiště pomocí PowerShellu, zavolejte příkaz Get-AzStorageEncryptionScope . Nezapomeňte nahradit zástupné hodnoty v příkladu vlastními hodnotami:

Get-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName

Pokud chcete zobrazit seznam všech oborů šifrování ve skupině prostředků podle účtu úložiště, použijte syntaxi kanálu:

Get-AzStorageAccount -ResourceGroupName $rgName | Get-AzStorageEncryptionScope

Azure CLI

Pokud chcete zobrazit seznam rozsahů šifrování dostupných pro účet úložiště pomocí Azure CLI, zavolejte příkaz az storage account encryption-scope list . Nezapomeňte nahradit zástupné hodnoty v příkladu vlastními hodnotami:

az storage account encryption-scope list \
    --account-name <storage-account> \
    --resource-group <resource-group>

Vytvoření kontejneru s výchozím oborem šifrování

Při vytváření kontejneru můžete zadat výchozí obor šifrování. Objekty blob v daném kontejneru budou ve výchozím nastavení používat tento obor.

Jednotlivé objekty blob je možné vytvořit s vlastním oborem šifrování, pokud kontejner není nakonfigurovaný tak, aby vyžadoval, aby všechny objekty blob používaly výchozí obor. Další informace najdete v tématu Obory šifrování pro kontejnery a objekty blob.

Azure Portal

Pokud chcete vytvořit kontejner s výchozím oborem šifrování na webu Azure Portal, nejprve vytvořte obor šifrování, jak je popsáno v tématu Vytvoření oboru šifrování. Dále pomocí následujícího postupu vytvořte kontejner:

1. Přejděte do seznamu kontejnerů v účtu úložiště a výběrem tlačítka Přidat vytvořte kontejner.

2. Rozbalte upřesňující nastavení v podokně Nový kontejner.

3. V rozevíracím seznamu Obor šifrování vyberte výchozí obor šifrování kontejneru.

4. Pokud chcete vyžadovat, aby všechny objekty blob v kontejneru používaly výchozí obor šifrování, zaškrtněte políčko Použít tento obor šifrování pro všechny objekty blob v kontejneru. Pokud je toto políčko zaškrtnuté, nemůže jednotlivý objekt blob v kontejneru přepsat výchozí obor šifrování.

   

PowerShell

Pokud chcete vytvořit kontejner s výchozím oborem šifrování pomocí PowerShellu, zavolejte příkaz New-AzStorageContainer a zadejte obor parametru -DefaultEncryptionScope . Pokud chcete vynutit, aby všechny objekty blob v kontejneru používaly výchozí obor kontejneru, nastavte parametr na -PreventEncryptionScopeOverride truehodnotu .

$containerName1 = "container1"
$ctx = New-AzStorageContext -StorageAccountName $accountName -UseConnectedAccount

# Create a container with a default encryption scope that cannot be overridden.
New-AzStorageContainer -Name $containerName1 `
    -Context $ctx `
    -DefaultEncryptionScope $scopeName1 `
    -PreventEncryptionScopeOverride $true

Azure CLI

Pokud chcete vytvořit kontejner s výchozím oborem šifrování pomocí Azure CLI, zavolejte příkaz az storage container create a zadejte obor parametru --default-encryption-scope . Pokud chcete vynutit, aby všechny objekty blob v kontejneru používaly výchozí obor kontejneru, nastavte parametr na --prevent-encryption-scope-override truehodnotu .

Následující příklad používá váš účet Microsoft Entra k autorizaci operace k vytvoření kontejneru. Můžete také použít přístupový klíč účtu. Další informace najdete v tématu Autorizace přístupu k datům objektů blob nebo front pomocí Azure CLI.

az storage container create \
    --account-name <storage-account> \
    --resource-group <resource-group> \
    --name <container> \
    --default-encryption-scope <encryption-scope> \
    --prevent-encryption-scope-override true \
    --auth-mode login

Pokud se klient pokusí určit obor při nahrávání objektu blob do kontejneru, který má výchozí obor šifrování a kontejner je nakonfigurovaný tak, aby zabránil objektům blob v přepsání výchozího oboru, operace selže se zprávou oznamující, že je požadavek zakázán zásadami šifrování kontejneru.

Nahrání objektu blob s oborem šifrování

Když nahrajete objekt blob, můžete zadat obor šifrování pro tento objekt blob nebo použít výchozí obor šifrování pro kontejner, pokud byl zadán.

Poznámka:

Když nahrajete nový objekt blob s oborem šifrování, nemůžete změnit výchozí úroveň přístupu pro tento objekt blob. Nemůžete také změnit úroveň přístupu pro existující objekt blob, který používá obor šifrování. Další informace o úrovních přístupu najdete v tématech Horká, Studená a Archivní úroveň přístupu pro data objektů blob.

Azure Portal

Pokud chcete nahrát objekt blob s oborem šifrování prostřednictvím webu Azure Portal, nejprve vytvořte obor šifrování, jak je popsáno v tématu Vytvoření oboru šifrování. Dále pomocí následujícího postupu vytvořte objekt blob:

1. Přejděte do kontejneru, do kterého chcete objekt blob nahrát.

2. Vyberte tlačítko Nahrát a vyhledejte objekt blob, který chcete nahrát.

3. Rozbalte upřesňující nastavení v podokně Nahrát objekt blob.

4. Vyhledejte rozevírací seznam Oboru šifrování. Ve výchozím nastavení se objekt blob vytvoří s výchozím oborem šifrování kontejneru, pokud byl zadán. Pokud kontejner vyžaduje, aby objekty blob používaly výchozí obor šifrování, je tato část zakázaná.

5. Pokud chcete zadat jiný obor pro objekt blob, který nahráváte, vyberte Možnost Zvolit existující obor a v rozevíracím seznamu vyberte požadovaný obor.

   

PowerShell

Pokud chcete nahrát objekt blob s oborem šifrování přes PowerShell, zavolejte příkaz Set-AzStorageBlobContent a zadejte obor šifrování objektu blob.

$containerName2 = "container2"
$localSrcFile = "C:\temp\helloworld.txt"
$ctx = New-AzStorageContext -StorageAccountName $accountName -UseConnectedAccount

# Create a container with no default scope defined.
New-AzStorageContainer -Name $containerName2 -Context $ctx

# Upload a block upload with an encryption scope specified.
Set-AzStorageBlobContent -Context $ctx `
    -Container $containerName2 `
    -File $localSrcFile `
    -Blob "helloworld.txt" `
    -BlobType Block `
    -EncryptionScope $scopeName2

Azure CLI

Pokud chcete nahrát objekt blob s oborem šifrování prostřednictvím Azure CLI, zavolejte příkaz az storage blob upload a zadejte obor šifrování objektu blob.

Pokud používáte Azure Cloud Shell, postupujte podle kroků popsaných v části Nahrání objektu blob a vytvořte soubor v kořenovém adresáři. Tento soubor pak můžete nahrát do objektu blob pomocí následující ukázky.

az storage blob upload \
    --account-name <storage-account> \
    --container-name <container> \
    --file <file> \
    --name <file> \
    --encryption-scope <encryption-scope>

Změna šifrovacího klíče pro obor

Pokud chcete změnit klíč, který chrání obor šifrování od klíče spravovaného Microsoftem na klíč spravovaný zákazníkem, nejprve se ujistěte, že jste pro účet úložiště povolili klíče spravované zákazníkem pomocí služby Azure Key Vault nebo HSM služby Key Vault. Další informace najdete v tématu Konfigurace šifrování pomocí klíčů spravovaných zákazníkem uložených ve službě Azure Key Vault nebo konfigurace šifrování pomocí klíčů spravovaných zákazníkem uložených ve službě Azure Key Vault.

Azure Portal

Pokud chcete změnit klíč, který chrání obor na webu Azure Portal, postupujte takto:

1. Přejděte na kartu Obory šifrování a zobrazte seznam oborů šifrování pro účet úložiště.
2. Vyberte tlačítko Další vedle oboru, který chcete upravit.
3. V podokně Upravit obor šifrování můžete změnit typ šifrování z klíče spravovaného Microsoftem na klíč spravovaný zákazníkem nebo naopak.
4. Pokud chcete vybrat nový klíč spravovaný zákazníkem, vyberte Použít nový klíč a zadejte trezor klíčů, klíč a verzi klíče.

PowerShell

Pokud chcete změnit klíč, který chrání obor šifrování od klíče spravovaného zákazníkem na klíč spravovaný Microsoftem pomocí PowerShellu, zavolejte příkaz Update-AzStorageEncryptionScope a předejte -StorageEncryption parametr:

Update-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName2 `
    -StorageEncryption

Dále zavolejte příkaz Update-AzStorageEncryptionScope a předejte parametry-KeyUri:-KeyvaultEncryption

Update-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName1 `
    -KeyUri $keyUri `
    -KeyvaultEncryption

Azure CLI

Pokud chcete změnit klíč, který chrání obor šifrování od klíče spravovaného zákazníkem na klíč spravovaný Microsoftem pomocí Azure CLI, zavolejte příkaz az storage account encryption-scope update a předejte --key-source parametr s hodnotou Microsoft.Storage:

az storage account encryption-scope update \
    --account-name <storage-account> \
    --resource-group <resource-group>
    --name <encryption-scope> \
    --key-source Microsoft.Storage

Dále zavolejte příkaz az storage account encryption-scope update , předejte parametr a předejte --key-uri --key-source parametr s hodnotou Microsoft.KeyVault:

az storage account encryption-scope update \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.KeyVault \
    --key-uri <key-uri>

Zakázání oboru šifrování

Zakažte všechny obory šifrování, které nejsou potřeba, aby se zabránilo zbytečným poplatkům. Další informace najdete v tématu Fakturace rozsahů šifrování.

Azure Portal

Pokud chcete zakázat obor šifrování na webu Azure Portal, přejděte do nastavení Obory šifrování pro účet úložiště, vyberte požadovaný obor šifrování a vyberte Zakázat.

PowerShell

Pokud chcete zakázat obor šifrování pomocí PowerShellu, zavolejte příkaz Update-AzStorageEncryptionScope a zahrňte -State parametr s hodnotou disabled, jak je znázorněno v následujícím příkladu. Pokud chcete obor šifrování znovu povolit, zavolejte stejný příkaz s parametrem nastaveným -State na enabled. Nezapomeňte nahradit zástupné hodnoty v příkladu vlastními hodnotami:

Update-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName1 `
    -State disabled

Azure CLI

Pokud chcete zakázat obor šifrování pomocí Azure CLI, zavolejte příkaz az storage account encryption-scope update a zahrňte --state parametr s hodnotou Disabled, jak je znázorněno v následujícím příkladu. Pokud chcete obor šifrování znovu povolit, zavolejte stejný příkaz s parametrem nastaveným --state na Enabled. Nezapomeňte nahradit zástupné hodnoty v příkladu vlastními hodnotami:

az storage account encryption-scope update \
    --account-name <storage-account> \
    --resource-group <resource-group> \
    --name <encryption-scope> \
    --state Disabled

Důležité

Obor šifrování není možné odstranit. Abyste se vyhnuli neočekávaným nákladům, nezapomeňte zakázat všechny obory šifrování, které aktuálně nepotřebujete.

Další kroky

• Šifrování služby Azure Storage pro neaktivní uložená data
• Obory šifrování pro úložiště objektů blob
• Šifrování služby Azure Storage s využitím klíčů spravovaných zákazníkem
• Povolení šifrování infrastruktury pro dvojité šifrování dat