Utwórz konto obsługujące klucze zarządzane przez klienta dla tabel i kolejek

Usługa Azure Storage szyfruje wszystkie dane spoczywające w koncie magazynowym. Domyślnie usługi Queue Storage i Table Storage używają klucza, który jest przypisany do usługi i jest zarządzany przez firmę Microsoft. Możesz również użyć kluczy zarządzanych przez klienta do szyfrowania danych w kolejce lub w tabeli. Aby używać kluczy zarządzanych przez klienta z kolejkami i tabelami, należy najpierw utworzyć konto magazynu, które używa klucza szyfrowania powiązanego z kontem, a nie z usługą. Po utworzeniu konta, które używa klucza szyfrowania konta dla danych kolejki i tabeli, można skonfigurować klucze zarządzane przez klienta dla tego konta magazynowego.

Tworzenie konta magazynu z kluczem przypisanym do konta opisano w tym artykule. Po pierwszym utworzeniu konta firma Microsoft używa klucza konta do szyfrowania danych na koncie, a firma Microsoft zarządza kluczem. Następnie można skonfigurować klucze zarządzane przez klienta dla konta, aby korzystać z tych korzyści, w tym możliwość udostępniania własnych kluczy, aktualizowanie wersji klucza, obracanie kluczy i odwoływanie kontroli dostępu.

Tworzenie konta korzystającego z klucza szyfrowania konta

Trzeba skonfigurować nowe konto magazynu i użyć klucza szyfrowania konta dla kolejek i tabel podczas tworzenia konta magazynu. Nie można zmienić zakresu klucza szyfrowania po utworzeniu konta.

Konto magazynowe musi być typu ogólnego przeznaczenia w wersji 2. Konto magazynu można utworzyć i skonfigurować tak, aby polegało na kluczu szyfrowania konta przy użyciu witryny Azure Portal, programu PowerShell, interfejsu wiersza polecenia platformy Azure lub szablonu usługi Azure Resource Manager.

Aby dowiedzieć się więcej na temat tworzenia konta magazynu, zobacz Tworzenie konta magazynu.

Uwaga

Opcjonalnie można skonfigurować tylko kolejkę i magazyn tabel do szyfrowania danych przy użyciu klucza szyfrowania konta podczas tworzenia konta magazynu. Magazyn obiektów blob i usługa Azure Files zawsze używają klucza szyfrowania konta do szyfrowania danych.

Portal Azure

Aby utworzyć konto magazynu, które opiera się na kluczu szyfrowania konta w witrynie Azure Portal, wykonaj następujące kroki:

1. W menu po lewej stronie portalu wybierz pozycję Konta magazynowe, aby wyświetlić listę kont magazynowych.

2. Na stronie Konta magazynowe wybierz Nowy.

3. Wypełnij pola na karcie Podstawy .

4. Na karcie Zaawansowane znajdź sekcję Tabele i kolejki , a następnie wybierz pozycję Włącz obsługę kluczy zarządzanych przez klienta.

   

PowerShell

Aby użyć programu PowerShell do utworzenia konta magazynu korzystającego z klucza szyfrowania konta, upewnij się, że zainstalowano moduł Azure PowerShell w wersji 3.4.0 lub nowszej. Aby uzyskać więcej informacji, zobacz Instalowanie modułu programu Azure PowerShell.

Następnie utwórz konto magazynu ogólnego przeznaczenia w wersji 2, wywołując polecenie New-AzStorageAccount z odpowiednimi parametrami.

• -EncryptionKeyTypeForQueue Dołącz opcję i ustaw jej wartość, aby Account użyć klucza szyfrowania konta do szyfrowania danych w usłudze Queue Storage.
• Uwzględnij opcję -EncryptionKeyTypeForTable i ustaw jej wartość na Account, aby użyć klucza szyfrowania konta do szyfrowania danych w magazynie tabel.

W poniższym przykładzie pokazano, jak utworzyć konto magazynu ogólnego przeznaczenia w wersji 2 skonfigurowane na potrzeby magazynu geograficznie nadmiarowego z dostępem do odczytu (RA-GRS) i które używa klucza szyfrowania konta do szyfrowania danych zarówno dla usługi Queue, jak i Table Storage. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami:

New-AzStorageAccount -ResourceGroupName <resource_group> `
    -AccountName <storage-account> `
    -Location <location> `
    -SkuName "Standard_RAGRS" `
    -Kind StorageV2 `
    -EncryptionKeyTypeForTable Account `
    -EncryptionKeyTypeForQueue Account

Azure CLI

Aby użyć Azure CLI do utworzenia konta magazynu wykorzystującego klucz szyfrowania konta, upewnij się, że zainstalowano wersję 2.0.80 lub nowszą. Aby uzyskać więcej informacji, zobacz Instalowanie interfejsu wiersza polecenia platformy Azure.

Następnie utwórz konto do przechowywania ogólnego przeznaczenia w wersji 2, używając polecenia az storage account create z odpowiednimi parametrami:

• Uwzględnij opcję --encryption-key-type-for-queue i ustaw jej wartość na Account, aby użyć klucza szyfrowania konta do szyfrowania danych w pamięci Queue.
• --encryption-key-type-for-table Dołącz opcję i ustaw jej wartość, aby Account użyć klucza szyfrowania konta do szyfrowania danych w usłudze Table Storage.

W poniższym przykładzie pokazano, jak utworzyć konto magazynu ogólnego przeznaczenia w wersji 2 skonfigurowane na potrzeby magazynu geograficznie nadmiarowego z dostępem do odczytu (RA-GRS) i które używa klucza szyfrowania konta do szyfrowania danych zarówno dla usługi Queue, jak i Table Storage. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami:

az storage account create \
    --name <storage-account> \
    --resource-group <resource-group> \
    --location <location> \
    --sku Standard_RAGRS \
    --kind StorageV2 \
    --encryption-key-type-for-table Account \
    --encryption-key-type-for-queue Account

Szablon

Poniższy przykład JSON tworzy konto magazynu ogólnego przeznaczenia w wersji 2 skonfigurowane do odczytu magazynu geograficznie nadmiarowego (RA-GRS) i które używa klucza szyfrowania konta do szyfrowania danych zarówno dla usługi Queue, jak i Table Storage. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach kątowych własnymi wartościami:

"resources": [
    {
        "type": "Microsoft.Storage/storageAccounts",
        "apiVersion": "2019-06-01",
        "name": "[parameters('<storage-account>')]",
        "location": "[parameters('<location>')]",
        "dependsOn": [],
        "tags": {},
        "sku": {
            "name": "[parameters('Standard_RAGRS')]"
        },
        "kind": "[parameters('StorageV2')]",
        "properties": {
            "accessTier": "[parameters('<accessTier>')]",
            "supportsHttpsTrafficOnly": "[parameters('supportsHttpsTrafficOnly')]",
            "largeFileSharesState": "[parameters('<largeFileSharesState>')]",
            "encryption": {
                "services": {
                    "queue": {
                        "keyType": "Account"
                    },
                    "table": {
                        "keyType": "Account"
                    }
                },
                "keySource": "Microsoft.Storage"
            }
        }
    }
],

Po utworzeniu konta, które opiera się na kluczu szyfrowania konta, można skonfigurować klucze zarządzane przez klienta przechowywane w usłudze Azure Key Vault lub w zarządzanym modelu zabezpieczeń sprzętu usługi Key Vault (HSM). Aby dowiedzieć się, jak przechowywać klucze zarządzane przez klienta w magazynie kluczy, zobacz Konfigurowanie szyfrowania przy użyciu kluczy zarządzanych przez klienta przechowywanych w usłudze Azure Key Vault. Aby dowiedzieć się, jak przechowywać klucze zarządzane przez klienta w zarządzanym module HSM, zobacz Konfigurowanie szyfrowania przy użyciu kluczy zarządzanych przez klienta przechowywanych w zarządzanym module HSM usługi Azure Key Vault.

Weryfikowanie klucza szyfrowania konta

Po utworzeniu konta możesz sprawdzić, czy konto magazynu korzysta z klucza szyfrowania, który jest przypisany do konta, przy użyciu portalu Azure, programu PowerShell lub Azure CLI.

Portal Azure

Aby sprawdzić, czy usługa w koncie magazynu korzysta z klucza szyfrowania przypisanego do konta za pomocą portalu Azure, wykonaj następujące kroki:

1. W witrynie Azure Portal przejdź do swojego nowego konta magazynu.

2. W sekcji Zabezpieczenia i sieć wybierz pozycję Szyfrowanie.

3. Jeśli konto magazynu zostało utworzone z myślą o korzystaniu z klucza szyfrowania konta, na karcie Szyfrowanie można włączyć klucze zarządzane przez klienta dla wszystkich czterech usług Azure Storage: blobów, plików, tabel i kolejek.

   

PowerShell

Aby sprawdzić, czy usługa dla konta magazynu używa klucza szyfrowania konta za pomocą PowerShell, wywołaj polecenie Get-AzStorageAccount. To polecenie zwraca zestaw właściwości konta magazynu i ich wartości. KeyType Wyszukaj pole dla każdej usługi we Encryption właściwości i sprawdź, czy jest ono ustawione na Account.

$account = Get-AzStorageAccount -ResourceGroupName <resource-group> `
    -StorageAccountName <storage-account>
$account.Encryption.Services.Queue
$account.Encryption.Services.Table

Azure CLI

Aby sprawdzić, czy usługa na koncie magazynu używa klucza szyfrowania konta za pomocą interfejsu wiersza polecenia platformy Azure, wywołaj polecenie az storage account show . To polecenie zwraca zestaw właściwości konta magazynu i ich wartości. keyType Wyszukaj pole dla każdej usługi we właściwości szyfrowania i sprawdź, czy jest ona ustawiona na Account.

az storage account show \
    --name <storage-account> \
    --resource-group <resource-group>

Szablon

N/A

Po sprawdzeniu, czy konto magazynu korzysta z klucza szyfrowania, który jest ograniczony do konta, możesz włączyć zarządzane przez klienta klucze szyfrowania dla konta. Wszystkie cztery usługi Azure Storage — obiekty blob, pliki, tabele i kolejki — będą następnie używać klucza zarządzanego przez klienta do szyfrowania.

Ceny i rozliczenia

Konto magazynu utworzone w celu używania klucza szyfrowania ograniczonego zakresem do samego konta jest rozliczane za pojemność magazynu tabel i transakcje po innych stawkach niż konto używające domyślnego klucza o zakresie ograniczonym do usługi. Aby uzyskać szczegółowe informacje, zobacz Cennik usługi Azure Table Storage.

Następne kroki

• Szyfrowanie w usłudze Azure Storage dla danych spoczywających
• Klucze zarządzane przez klienta dla usługi Azure Storage
• Konfigurowanie szyfrowania za pomocą kluczy zarządzanych przez klienta przechowywanych w usłudze Azure Key Vault
• Konfigurowanie szyfrowania przy użyciu kluczy zarządzanych przez klienta przechowywanych w zarządzanym module HSM usługi Azure Key Vault