Konfigurace klíčů spravovaných zákazníkem ve stejném tenantovi pro nový účet úložiště

Článek
08/08/2024

Azure Storage šifruje všechna neaktivní uložená data v účtu úložiště. Ve výchozím nastavení se data šifrují pomocí klíčů spravovaných Microsoftem. Pro další kontrolu nad šifrovacími klíči můžete spravovat vlastní klíče. Klíče spravované zákazníkem musí být uložené ve službě Azure Key Vault nebo ve spravovaném modelu hardwarového zabezpečení (HSM) služby Azure Key Vault.

Tento článek ukazuje, jak nakonfigurovat šifrování pomocí klíčů spravovaných zákazníkem v době, kdy vytvoříte nový účet úložiště. Klíče spravované zákazníkem jsou uložené v trezoru klíčů.

Informace o konfiguraci klíčů spravovaných zákazníkem pro existující účet úložiště najdete v tématu Konfigurace klíčů spravovaných zákazníkem v trezoru klíčů Azure pro existující účet úložiště.

Poznámka:

Azure Key Vault a spravovaný HSM služby Azure Key Vault podporují stejná rozhraní API a rozhraní pro správu pro konfiguraci klíčů spravovaných zákazníkem. Všechny akce podporované pro Azure Key Vault se podporují také pro spravovaný HSM služby Azure Key Vault.

Konfigurace trezoru klíčů

K ukládání klíčů spravovaných zákazníkem můžete použít nový nebo existující trezor klíčů. Účet úložiště a trezor klíčů můžou být v různých oblastech nebo předplatných ve stejném tenantovi. Další informace o službě Azure Key Vault najdete v tématu Přehled služby Azure Key Vault a co je Azure Key Vault?

Použití klíčů spravovaných zákazníkem s šifrováním služby Azure Storage vyžaduje, aby pro trezor klíčů byla povolena ochrana obnovitelného odstranění i vymazání. Obnovitelné odstranění je ve výchozím nastavení povolené při vytváření nového trezoru klíčů a nedá se zakázat. Ochranu před vymazáním můžete povolit buď při vytváření trezoru klíčů, nebo po jeho vytvoření.

Azure Key Vault podporuje autorizaci s Azure RBAC prostřednictvím modelu oprávnění Azure RBAC. Microsoft doporučuje používat model oprávnění Azure RBAC přes zásady přístupu trezoru klíčů. Další informace najdete v tématu Udělení oprávnění aplikacím pro přístup k trezoru klíčů Azure pomocí Azure RBAC.

Informace o vytvoření trezoru klíčů pomocí webu Azure Portal najdete v tématu Rychlý start: Vytvoření trezoru klíčů pomocí webu Azure Portal. Při vytváření trezoru klíčů vyberte Povolit ochranu před vymazáním, jak je znázorněno na následujícím obrázku.

Snímek obrazovky znázorňující povolení ochrany před vymazáním při vytváření trezoru klíčů

Pokud chcete u existujícího trezoru klíčů povolit ochranu před vymazáním, postupujte takto:

Na webu Azure Portal přejděte ke svému trezoru klíčů.
V části Nastavení zvolte Vlastnosti.
V části Ochrana před vyprázdněním zvolte Povolit ochranu před vymazáním.

Pokud chcete vytvořit nový trezor klíčů pomocí PowerShellu, nainstalujte verzi 2.0.0 nebo novější modulu Az.KeyVault PowerShellu. Potom zavolejte New-AzKeyVault a vytvořte nový trezor klíčů. Ve verzi 2.0.0 a novější modulu Az.KeyVault je obnovitelné odstranění ve výchozím nastavení povolené při vytváření nového trezoru klíčů.

Následující příklad vytvoří nový trezor klíčů s povoleným obnovitelným odstraněním a ochranou před vymazáním. Model oprávnění trezoru klíčů je nastavený tak, aby používal Azure RBAC. Nezapomeňte nahradit zástupné hodnoty v hranatých závorkách vlastními hodnotami.

$rgName = "<resource_group>"
$location = "<location>"
$kvName = "<key-vault>"

$keyVault = New-AzKeyVault -Name $kvName `
    -ResourceGroupName $rgName `
    -Location $location `
    -EnablePurgeProtection `
    -EnableRbacAuthorization

Informace o povolení ochrany před vymazáním v existujícím trezoru klíčů pomocí PowerShellu najdete v přehledu obnovení služby Azure Key Vault.

Po vytvoření trezoru klíčů budete muset sami sobě přiřadit roli kryptografického důstojníka služby Key Vault. Tato role umožňuje vytvořit klíč v trezoru klíčů. Následující příklad přiřadí tuto roli uživateli s oborem trezoru klíčů:

New-AzRoleAssignment -SignInName "<user-email>" `
    -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $keyVault.ResourceId

Další informace o přiřazování role RBAC pomocí PowerShellu najdete v tématu Přiřazení rolí Azure pomocí Azure PowerShellu.

Pokud chcete vytvořit nový trezor klíčů pomocí Azure CLI, zavolejte az keyvault create. Následující příklad vytvoří nový trezor klíčů s povoleným obnovitelným odstraněním a ochranou před vymazáním. Model oprávnění trezoru klíčů je nastavený tak, aby používal Azure RBAC. Nezapomeňte nahradit zástupné hodnoty v hranatých závorkách vlastními hodnotami.

rgName="<resource_group>"
location="<location>"
kvName="<key-vault>"

az keyvault create \
    --name $kvName \
    --resource-group $rgName \
    --location $location \
    --enable-purge-protection \
    --enable-rbac-authorization

Informace o povolení ochrany před vymazáním existujícího trezoru klíčů pomocí Azure CLI najdete v přehledu obnovení služby Azure Key Vault.

kvResourceId=$(az keyvault show --resource-group $rgName \
    --name $kvName \
    --query id \
    --output tsv)

az role assignment create --assignee "<user-email>" \
    --role "Key Vault Crypto Officer" \
    --scope $kvResourceId

Další informace o přiřazení role RBAC pomocí Azure CLI najdete v tématu Přiřazení rolí Azure pomocí Azure CLI.

Přidání klíče

Dále přidejte klíč do trezoru klíčů. Než klíč přidáte, ujistěte se, že jste si přiřadili roli kryptografického důstojníka služby Key Vault.

Šifrování Azure Storage podporuje klíče RSA a RSA-HSM velikosti 2048, 3072 a 4096. Další informace o podporovaných typech klíčů najdete v tématu O klíčích.

Informace o tom, jak přidat klíč pomocí webu Azure Portal, najdete v tématu Rychlý start: Nastavení a načtení klíče ze služby Azure Key Vault pomocí webu Azure Portal.

Pokud chcete přidat klíč pomocí PowerShellu, zavolejte Add-AzKeyVaultKey. Nezapomeňte nahradit zástupné hodnoty v závorkách vlastními hodnotami a použít proměnné definované v předchozích příkladech.

$keyName = "<key-name>"

$key = Add-AzKeyVaultKey -VaultName $keyVault.VaultName `
    -Name $keyName `
    -Destination 'Software'

Pokud chcete přidat klíč pomocí Azure CLI, zavolejte az keyvault key create. Nezapomeňte nahradit zástupné hodnoty v hranatých závorkách vlastními hodnotami.

keyName="<key-name>"

az keyvault key create \
    --name $keyName \
    --vault-name $kvName

Použití spravované identity přiřazené uživatelem k autorizaci přístupu k trezoru klíčů

Když povolíte klíče spravované zákazníkem pro nový účet úložiště, musíte zadat spravovanou identitu přiřazenou uživatelem. Existující účet úložiště podporuje použití spravované identity přiřazené uživatelem nebo spravované identity přiřazené systémem ke konfiguraci klíčů spravovaných zákazníkem.

Když nakonfigurujete klíče spravované zákazníkem pomocí spravované identity přiřazené uživatelem, použije se spravovaná identita přiřazená uživatelem k autorizaci přístupu k trezoru klíčů, který tento klíč obsahuje. Před konfigurací klíčů spravovaných zákazníkem musíte vytvořit identitu přiřazenou uživatelem.

Spravovaná identita přiřazená uživatelem je samostatný prostředek Azure. Další informace o spravovaných identitách přiřazených uživatelem najdete v tématu Typy spravovaných identit. Informace o vytváření a správě spravované identity přiřazené uživatelem najdete v tématu Správa spravovaných identit přiřazených uživatelem.

Spravovaná identita přiřazená uživatelem musí mít oprávnění pro přístup k klíči v trezoru klíčů. Přiřaďte roli uživatele šifrování šifrovací služby Key Vault spravované identitě přiřazené uživatelem s oborem trezoru klíčů, abyste těmto oprávněním udělili.

Než budete moct nakonfigurovat klíče spravované zákazníkem pomocí spravované identity přiřazené uživatelem, musíte přiřadit roli uživatelem přiřazené spravované identitě služby Key Vault s oborem pro trezor klíčů. Tato role uděluje oprávnění spravované identity přiřazené uživatelem pro přístup k klíči v trezoru klíčů. Další informace o přiřazování rolí Azure RBAC pomocí webu Azure Portal najdete v tématu Přiřazení rolí Azure pomocí webu Azure Portal.

Při konfiguraci klíčů spravovaných zákazníkem pomocí webu Azure Portal můžete vybrat existující identitu přiřazenou uživatelem prostřednictvím uživatelského rozhraní portálu.

Následující příklad ukazuje, jak načíst spravovanou identitu přiřazenou uživatelem a přiřadit k ní požadovanou roli RBAC s vymezeným trezorem klíčů. Nezapomeňte nahradit zástupné hodnoty v závorkách vlastními hodnotami a použít proměnné definované v předchozích příkladech:

$userIdentity = Get-AzUserAssignedIdentity -Name <user-assigned-identity> `
    -ResourceGroupName $rgName

$principalId = $userIdentity.PrincipalId

New-AzRoleAssignment -ObjectId $principalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

identityResourceId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query id \
    --output tsv)

principalId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query principalId \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId \
    --assignee-principal-type ServicePrincipal

Konfigurace klíčů spravovaných zákazníkem pro nový účet úložiště

Při konfiguraci šifrování s klíči spravovanými zákazníkem pro nový účet úložiště se můžete rozhodnout, že budete automaticky aktualizovat verzi klíče použitou pro šifrování Azure Storage, kdykoli bude dostupná nová verze v přidruženém trezoru klíčů. Alternativně můžete explicitně zadat verzi klíče, která se má použít pro šifrování, dokud se verze klíče neaktualizuje ručně.

Při konfiguraci klíčů spravovaných zákazníkem při vytváření účtu úložiště musíte použít existující spravovanou identitu přiřazenou uživatelem k autorizaci přístupu k trezoru klíčů. Spravovaná identita přiřazená uživatelem musí mít příslušná oprávnění pro přístup k trezoru klíčů. Další informace najdete v tématu Ověřování ve službě Azure Key Vault.

Konfigurace šifrování pro automatickou aktualizaci verzí klíčů

Azure Storage může automaticky aktualizovat klíč spravovaný zákazníkem, který se používá k šifrování, aby používal nejnovější verzi klíče z trezoru klíčů. Azure Storage denně kontroluje novou verzi klíče v trezoru klíčů. Jakmile bude k dispozici nová verze, azure Storage automaticky začne používat nejnovější verzi klíče pro šifrování.

Důležité

Azure Storage kontroluje trezor klíčů pro novou verzi klíče jen jednou denně. Při obměně klíče nezapomeňte před zakázáním starší verze počkat 24 hodin.

Pokud chcete nakonfigurovat klíče spravované zákazníkem pro nový účet úložiště s automatickou aktualizací verze klíče, postupujte takto:

Na webu Azure Portal přejděte na stránku Účty úložiště a výběrem tlačítka Vytvořit vytvořte nový účet.
Podle kroků uvedených v části Vytvoření účtu úložiště vyplňte pole na kartách Základy, Upřesnit, Sítě a Ochrana dat.
Na kartě Šifrování uveďte, pro které služby chcete povolit podporu klíčů spravovaných zákazníkem, v poli Povolit podporu klíčů spravovaných zákazníkem.
V poli Typ šifrování vyberte klíče spravované zákazníkem (CMK).
V poli Šifrovací klíč zvolte Vybrat trezor klíčů a klíč a zadejte trezor klíčů a klíč.
V poli Identita přiřazená uživatelem vyberte existující spravovanou identitu přiřazenou uživatelem.
Vyberte tlačítko Zkontrolovat a ověřte a vytvořte účet.

Klíče spravované zákazníkem můžete také nakonfigurovat ruční aktualizací verze klíče při vytváření nového účtu úložiště. Postupujte podle kroků popsaných v tématu Konfigurace šifrování pro ruční aktualizaci verzí klíčů.

Pokud chcete nakonfigurovat klíče spravované zákazníkem pro nový účet úložiště s automatickou aktualizací verze klíče, zavolejte New-AzStorageAccount, jak je znázorněno v následujícím příkladu. Použijte proměnnou, kterou jste vytvořili dříve pro ID prostředku pro spravovanou identitu přiřazenou uživatelem. Budete také potřebovat identifikátor URI a název klíče trezoru klíčů:

$accountName = "<storage-account>"

New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Kind StorageV2 `
    -SkuName Standard_LRS `
    -Location $location `
    -AllowBlobPublicAccess $false `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

Pokud chcete nakonfigurovat klíče spravované zákazníkem pro nový účet úložiště s automatickou aktualizací verze klíče, zavolejte az storage account create, jak je znázorněno v následujícím příkladu. Použijte proměnnou, kterou jste vytvořili dříve pro ID prostředku pro spravovanou identitu přiřazenou uživatelem. Budete také potřebovat identifikátor URI a název klíče trezoru klíčů:

accountName="<storage-account>"

az storage account create \
    --name $accountName \
    --resource-group $rgName \
    --location $location \
    --sku Standard_LRS \
    --kind StorageV2 \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-vault <key-vault-uri> \
    --encryption-key-name $keyName \
    --encryption-key-source Microsoft.Keyvault \
    --key-vault-user-identity-id $identityResourceId

Konfigurace šifrování pro ruční aktualizaci verzí klíčů

Pokud dáváte přednost ruční aktualizaci verze klíče, při konfiguraci šifrování pomocí klíčů spravovaných zákazníkem při vytváření účtu úložiště explicitně zadejte verzi. V takovém případě Azure Storage při vytvoření nové verze v trezoru klíčů automaticky neaktualizuje verzi klíče. Pokud chcete použít novou verzi klíče, musíte ručně aktualizovat verzi používanou pro šifrování služby Azure Storage.

Pokud chcete nakonfigurovat klíče spravované zákazníkem s ruční aktualizací verze klíče na webu Azure Portal, při vytváření účtu úložiště zadejte identifikátor URI klíče, včetně verze. Chcete-li zadat klíč jako identifikátor URI, postupujte takto:

Na webu Azure Portal přejděte na stránku Účty úložiště a výběrem tlačítka Vytvořit vytvořte nový účet.
Podle kroků uvedených v části Vytvoření účtu úložiště vyplňte pole na kartách Základy, Upřesnit, Sítě a Ochrana dat.
Na kartě Šifrování uveďte, pro které služby chcete povolit podporu klíčů spravovaných zákazníkem, v poli Povolit podporu klíčů spravovaných zákazníkem.
V poli Typ šifrování vyberte klíče spravované zákazníkem (CMK).
Pokud chcete najít identifikátor URI klíče na webu Azure Portal, přejděte do trezoru klíčů a vyberte nastavení Klíče . Vyberte požadovaný klíč a pak ho vyberte a zobrazte jeho verze. Výběrem verze klíče zobrazíte nastavení pro danou verzi.
Zkopírujte hodnotu pole Identifikátor klíče, které poskytuje identifikátor URI.
V nastavení šifrovacího klíče pro váš účet úložiště zvolte možnost Zadat identifikátor URI klíče.
Vložte identifikátor URI, který jste zkopírovali do pole Identifikátor URI klíče. Do identifikátoru URI zahrňte verzi klíče, která konfiguruje ruční aktualizaci verze klíče.
Výběrem odkazu Vybrat identitu zadejte spravovanou identitu přiřazenou uživatelem.
Vyberte tlačítko Zkontrolovat a ověřte a vytvořte účet.

Pokud chcete nakonfigurovat klíče spravované zákazníkem s ruční aktualizací verze klíče, při konfiguraci šifrování při vytváření účtu úložiště explicitně zadejte verzi klíče. Volání Set-AzStorageAccount pro aktualizaci nastavení šifrování účtu úložiště, jak je znázorněno v následujícím příkladu, a zahrnout možnost -KeyvaultEncryption pro povolení klíčů spravovaných zákazníkem pro účet úložiště.

Nezapomeňte nahradit zástupné hodnoty v závorkách vlastními hodnotami a použít proměnné definované v předchozích příkladech.

$accountName = "<storage-account>"

New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Kind StorageV2 `
    -SkuName Standard_LRS `
    -Location $location `
    -AllowBlobPublicAccess $false `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

Při ruční aktualizaci verze klíče budete muset aktualizovat nastavení šifrování účtu úložiště tak, aby používala novou verzi. Nejprve zavolejte Get-AzKeyVaultKey a získejte nejnovější verzi klíče. Potom zavolejte Set-AzStorageAccount a aktualizujte nastavení šifrování účtu úložiště tak, aby používala novou verzi klíče, jak je znázorněno v předchozím příkladu.

Pokud chcete nakonfigurovat klíče spravované zákazníkem s ruční aktualizací verze klíče, při konfiguraci šifrování při vytváření účtu úložiště explicitně zadejte verzi klíče. Voláním příkazu az storage account update aktualizujte nastavení šifrování účtu úložiště, jak je znázorněno v následujícím příkladu. --encryption-key-source Zahrňte parametr a nastavte ho na Microsoft.Keyvault povolení klíčů spravovaných zákazníkem pro účet.

Nezapomeňte nahradit zástupné hodnoty v hranatých závorkách vlastními hodnotami.

accountName="<storage-account>"

key_vault_uri=$(az keyvault show \
    --name <key-vault> \
    --resource-group <resource_group> \
    --query properties.vaultUri \
    --output tsv)

key_version=$(az keyvault key list-versions \
    --name <key> \
    --vault-name <key-vault> \
    --query [-1].kid \
    --output tsv | cut -d '/' -f 6)

az storage account create \
    --name $accountName \
    --resource-group $rgName \
    --location $location \
    --sku Standard_LRS \
    --kind StorageV2 \
    --allow-blob-public-access false \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-vault $keyVaultUri \
    --encryption-key-name $keyName \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-version $keyVersion \
    --key-vault-user-identity-id $identityResourceId

Při ruční aktualizaci verze klíče budete muset aktualizovat nastavení šifrování účtu úložiště tak, aby používala novou verzi. Nejprve se dotazujte na identifikátor URI trezoru klíčů voláním příkazu az keyvault show a verze klíče voláním příkazu az keyvault key list-versions. Potom zavolejte az storage account update a aktualizujte nastavení šifrování účtu úložiště tak, aby používala novou verzi klíče, jak je znázorněno v předchozím příkladu.

Změna klíče

Klíč, který používáte pro šifrování Azure Storage, můžete kdykoli změnit.

Poznámka:

Když změníte klíč nebo verzi klíče, ochrana kořenového šifrovacího klíče se změní, ale data ve vašem účtu Azure Storage zůstanou zašifrovaná vždy. Z vaší strany nejsou vyžadovány žádné další kroky k zajištění ochrany vašich dat. Změna klíče nebo otočení verze klíče nemá vliv na výkon. Ke změně klíče nebo obměně verze klíče nedojde k žádnému výpadku.

Pokud chcete změnit klíč pomocí webu Azure Portal, postupujte takto:

Přejděte do svého účtu úložiště a zobrazte nastavení šifrování .
Vyberte trezor klíčů a zvolte nový klíč.
Uložte provedené změny.

Pokud je nový klíč v jiném trezoru klíčů, musíte spravované identitě udělit přístup k klíči v novém trezoru. Pokud zvolíte ruční aktualizaci verze klíče, budete také muset aktualizovat identifikátor URI trezoru klíčů.

Odvolání přístupu k účtu úložiště, který používá klíče spravované zákazníkem

Pokud chcete dočasně odvolat přístup k účtu úložiště, který používá klíče spravované zákazníkem, zakažte klíč, který se aktuálně používá v trezoru klíčů. K zakázání a opětovnému zblížení klíče nedojde k žádnému dopadu na výkon ani výpadek.

Po zakázání klíče nemůžou klienti volat operace, které čtou nebo zapisuje do objektu blob nebo jeho metadat. Informace o tom, které operace selžou, najdete v tématu Odvolání přístupu k účtu úložiště, který používá klíče spravované zákazníkem.

Upozornění

Když klíč v trezoru klíčů zakážete, data ve vašem účtu Azure Storage zůstanou zašifrovaná, ale budou nepřístupná, dokud klíč znovu neschováte.

Pokud chcete pomocí webu Azure Portal zakázat klíč spravovaný zákazníkem, postupujte takto:

Přejděte do trezoru klíčů, který tento klíč obsahuje.
V části Objekty vyberte Klíče.
Klikněte pravým tlačítkem myši na klíč a vyberte Zakázat.

Pokud chcete odvolat klíč spravovaný zákazníkem pomocí PowerShellu , zavolejte příkaz Update-AzKeyVaultKey , jak je znázorněno v následujícím příkladu. Nezapomeňte nahradit zástupné hodnoty v hranatých závorkách vlastními hodnotami k definování proměnných nebo použít proměnné definované v předchozích příkladech.

$kvName  = "<key-vault-name>"
$keyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it

# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $keyName -VaultName $kvName

# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $kvName -Name $keyName -Enable $enabled

Pokud chcete odvolat klíč spravovaný zákazníkem pomocí Azure CLI, zavolejte příkaz az keyvault key set-attributes , jak je znázorněno v následujícím příkladu. Nezapomeňte nahradit zástupné hodnoty v hranatých závorkách vlastními hodnotami k definování proměnných nebo použít proměnné definované v předchozích příkladech.

kvName="<key-vault-name>"
keyName="<key-name>"
enabled="false"
# "false" to disable the key / "true" to enable it:

# Check the current state of the key (before and after enabling/disabling it)
az keyvault key show \
    --vault-name $kvName \
    --name $keyName

# Disable (or enable) the key
az keyvault key set-attributes \
    --vault-name $kvName \
    --name $keyName \
    --enabled $enabled

Zakázání klíče způsobí selhání pokusů o přístup k datům v účtu úložiště s kódem chyby 403 (Zakázáno). Seznam operací účtu úložiště, které budou ovlivněny zakázáním klíče, najdete v tématu Odvolání přístupu k účtu úložiště, který používá klíče spravované zákazníkem.

Přepnutí zpět na klíče spravované Microsoftem

Klíče spravované zákazníkem můžete kdykoli přepnout zpět na klíče spravované Microsoftem pomocí webu Azure Portal, PowerShellu nebo Azure CLI.

Pokud chcete přejít z klíčů spravovaných zákazníkem zpět na klíče spravované Microsoftem na webu Azure Portal, postupujte takto:

Přejděte ke svému účtu úložiště.
V části Zabezpečení a sítě vyberte Šifrování.
Změňte typ šifrování na klíče spravované Microsoftem.

Pokud chcete přepnout z klíčů spravovaných zákazníkem zpět na klíče spravované Microsoftem pomocí PowerShellu, zavolejte Set-AzStorageAccount s -StorageEncryption možností, jak je znázorněno v následujícím příkladu. Nezapomeňte nahradit zástupné hodnoty v závorkách vlastními hodnotami a použít proměnné definované v předchozích příkladech.

Set-AzStorageAccount -ResourceGroupName $storageAccount.ResourceGroupName `
    -AccountName $storageAccount.StorageAccountName `
    -StorageEncryption

Pokud chcete přepnout z klíčů spravovaných zákazníkem zpět na klíče spravované Microsoftem pomocí Azure CLI, zavolejte az storage account update a nastavte --encryption-key-source parameter na hodnotu Microsoft.Storage, jak je znázorněno v následujícím příkladu. Nezapomeňte nahradit zástupné hodnoty v závorkách vlastními hodnotami a použít proměnné definované v předchozích příkladech.

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-source Microsoft.Storage

Sdílet prostřednictvím