Создание областей шифрования и управление ими

Области шифрования позволяют управлять шифрованием на уровне отдельного большого двоичного объекта или контейнера. Области шифрования можно использовать для создания безопасных границ между данными, которые находятся в одной учетной записи хранения, но принадлежат разным клиентам. Дополнительные сведения об областях шифрования см. в разделе Области шифрования для хранилища BLOB-объектов.

В этой статье показано, как создать область шифрования. В ней также показано, как указать область шифрования при создании BLOB-объекта или контейнера.

Создание области шифрования

Вы можете создать область шифрования, защищенную с помощью ключа, управляемого Майкрософт или управляемого клиентом, который хранится в Azure Key Vault или в управляемом модуле HSM Azure Key Vault. Чтобы создать область шифрования с помощью ключа, управляемого клиентом, необходимо сначала создать хранилище ключей или управляемый модуль HSM, а затем добавить ключ, который предполагается использовать для этой области. Хранилище ключей или управляемое устройство HSM должно иметь защиту от очистки.

Учетная запись хранения и хранилище ключей могут находиться в одном клиенте или в разных клиентах. В любом случае учетная запись хранения и хранилище ключей могут находиться в разных регионах.

При создании области шифрования она включается автоматически. После создания области шифрования вы можете указывать ее при создании BLOB-объекта. При создании контейнера вы также можете указать область шифрования по умолчанию, которая автоматически применяется ко всем BLOB-объектам в контейнере.

При настройке область шифрования плата взимается не менее чем за один месяц (30 дней). По истечении первого месяца плата за шифрование область оценивается почасовой основе. Дополнительные сведения см. в разделе "Выставление счетов для область шифрования".

Портал

Чтобы создать область шифрования на портале Azure, выполните следующие действия.

1. Войдите в свою учетную запись хранения на портале Azure.

2. В разделе "Безопасность и сеть" выберите "Шифрование".

3. Перейдите на вкладку областей шифрования.

4. Нажмите кнопку Добавить, чтобы добавить новую область шифрования.

5. В области Создание области шифрования введите имя новой области.

6. Выберите нужный тип поддержки ключа шифрования — ключи, управляемые Майкрософт, или ключи, управляемые клиентом.

   • Если вы выбрали ключи, управляемые Майкрософт, нажмите кнопку Создать, чтобы создать область шифрования.
   • Если вы выбрали ключи, управляемые клиентом, выберите подписку и укажите хранилище ключей и ключ, используемый для этого шифрования область. Если нужное хранилище ключей находится в другом регионе, выберите URI ключа и укажите универсальный код ресурса (URI ) ключа.

7. Если для учетной записи хранения включено шифрование инфраструктуры, оно автоматически будет включено и для новой области шифрования. В противном случае можно выбрать, включать ли шифрование инфраструктуры для области шифрования.

   

PowerShell

Чтобы создать область шифрования с помощью PowerShell, установите модуль PowerShell Az. Storage версии 3.4.0 или более поздней.

Создание области шифрования, защищенной с помощью ключей, управляемых Майкрософт

Чтобы создать область шифрования, защищенную ключами, управляемыми корпорацией Майкрософт, вызовите команду New-Az служба хранилища EncryptionScope с параметром-StorageEncryption.

Если для учетной записи хранения включено шифрование инфраструктуры, оно автоматически будет включено и для новой области шифрования. В противном случае можно выбрать, включать ли шифрование инфраструктуры для области шифрования. Чтобы создать новую область с включенным шифрованием инфраструктуры, включите параметр -RequireInfrastructureEncryption.

Не забудьте заменить значения заполнителей в примере собственными значениями.

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$scopeName = "<encryption-scope>"

New-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName1 `
    -StorageEncryption

Создание область шифрования, защищенного ключами, управляемыми клиентом, в том же клиенте

Чтобы создать область шифрования, защищенную ключами, управляемыми клиентом, хранящимися в хранилище ключей или управляемом HSM, который находится в том же клиенте, что и учетная запись хранения, сначала настройте управляемые клиентом ключи для учетной записи хранения. Необходимо назначить управляемое удостоверение учетной записи хранения с разрешениями на доступ к хранилищу ключей. Управляемое удостоверение может быть управляемым удостоверением, назначаемое пользователем, или управляемым удостоверением, назначаемое системой. Дополнительные сведения о настройке ключей, управляемых клиентом, см. в статье Настройка ключей, управляемых клиентом, в том же клиенте для существующей учетной записи хранения.

Чтобы предоставить разрешения управляемого удостоверения для доступа к хранилищу ключей, назначьте роль пользователя шифрования службы шифрования key Vault управляемому удостоверению.

Чтобы настроить ключи, управляемые клиентом, для использования с областью шифрования, необходимо включить защиту от очистки в хранилище ключей или управляемом модуле HSM.

В следующем примере показано, как настроить область шифрования с управляемым удостоверением, назначаемое системой. Не забудьте заменить значения заполнителей в примере собственными значениями.

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$keyVaultName = "<key-vault>"
$scopeName = "<encryption-scope>"

# Assign a system-assigned managed identity to the storage account.
$storageAccount = Set-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -AssignIdentity

# Assign the necessary permissions to the managed identity 
# so that it can access the key vault.
$principalId = $storageAccount.Identity.PrincipalId
$keyVault = Get-AzKeyVault $keyVaultName

New-AzRoleAssignment -ObjectId $storageAccount.Identity.PrincipalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

Затем вызовите команду New-AzStorageEncryptionScope с параметром -KeyvaultEncryption и укажите URI ключа. Включать версию ключа в URI ключа необязательно. Если опустить версию ключа, то в области шифрования будет автоматически использоваться последняя версия ключа. При включении версии ключа нужно будет вручную обновлять версию ключа, чтобы использовать другую версию.

Формат URI ключа аналогичен следующим примерам и может быть создан из свойства VaultUri хранилища ключей и имени ключа:

# Without the key version
https://<key-vault>.vault.azure.net/keys/<key>

# With the key version
https://<key-vault>.vault.azure.net/keys/<key>/<version>

Если для учетной записи хранения включено шифрование инфраструктуры, оно автоматически будет включено и для новой области шифрования. В противном случае можно выбрать, включать ли шифрование инфраструктуры для области шифрования. Чтобы создать новую область с включенным шифрованием инфраструктуры, включите параметр -RequireInfrastructureEncryption.

Не забудьте заменить значения заполнителей в примере собственными значениями.

$keyUri = $keyVault.VaultUri + "keys/" + $keyName

New-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName `
    -KeyUri $keyUri `
    -KeyvaultEncryption

Создание область шифрования, защищенного ключами, управляемыми клиентом, в другом клиенте

Чтобы создать область шифрования, защищенную ключами, управляемыми клиентом, хранящимися в хранилище ключей или управляемом HSM, который находится в другом клиенте, отличном от учетной записи хранения, сначала настройте управляемые клиентом ключи для учетной записи хранения. Необходимо настроить управляемое удостоверение, назначаемое пользователем, для учетной записи хранения с разрешениями на доступ к хранилищу ключей в другом клиенте. Дополнительные сведения о настройке ключей, управляемых клиентом, см. в статье Настройка ключей, управляемых клиентом, для существующей учетной записи хранения.

Чтобы настроить ключи, управляемые клиентом, для использования с областью шифрования, необходимо включить защиту от очистки в хранилище ключей или управляемом модуле HSM.

После настройки ключей, управляемых клиентом для учетной записи хранения, можно создать область шифрования для учетной записи хранения в одном клиенте, который область ключ в хранилище ключей в другом клиенте. Для создания межтенантного шифрования область потребуется универсальный код ресурса (URI) ключа.

Не забудьте заменить значения заполнителей в примере собственными значениями.

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$scopeName = "<encryption-scope>"

# Construct the key URI from the key vault URI and key name.
$keyUri = $kvUri + "keys/" + $keyName

New-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName `
    -KeyUri $keyUri `
    -KeyvaultEncryption

Azure CLI

Чтобы создать область шифрования с помощью Azure CLI, сначала установите Azure CLI версии 2.20.0 или более поздней.

Создание области шифрования, защищенной с помощью ключей, управляемых Майкрософт

Чтобы создать область шифрования, защищенную ключами, управляемыми корпорацией Майкрософт, вызовите команду az storage account encryption-область create, указав --key-source параметр как Microsoft.Storage.

Если для учетной записи хранения включено шифрование инфраструктуры, оно автоматически будет включено и для новой области шифрования. В противном случае можно выбрать, включать ли шифрование инфраструктуры для области шифрования. Чтобы создать новую область с включенным шифрованием инфраструктуры, включите параметр --require-infrastructure-encryption и установите для него значение true.

Не забудьте заменить значения заполнителей собственными значениями.

az storage account encryption-scope create \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.Storage

Создание область шифрования, защищенного ключами, управляемыми клиентом, в том же клиенте

Чтобы создать область шифрования, защищенную ключами, управляемыми клиентом, хранящимися в хранилище ключей или управляемом HSM, который находится в том же клиенте, что и учетная запись хранения, сначала настройте управляемые клиентом ключи для учетной записи хранения. Необходимо назначить управляемое удостоверение учетной записи хранения с разрешениями на доступ к хранилищу ключей. Управляемое удостоверение может быть управляемым удостоверением, назначаемое пользователем, или управляемым удостоверением, назначаемое системой. Дополнительные сведения о настройке ключей, управляемых клиентом, см. в статье Настройка ключей, управляемых клиентом, в том же клиенте для существующей учетной записи хранения.

Чтобы предоставить разрешения управляемого удостоверения для доступа к хранилищу ключей, назначьте роль пользователя шифрования службы шифрования key Vault управляемому удостоверению.

Чтобы настроить ключи, управляемые клиентом, для использования с областью шифрования, необходимо включить защиту от очистки в хранилище ключей или управляемом модуле HSM.

В следующем примере показано, как настроить область шифрования с управляемым удостоверением, назначаемое системой. Не забудьте заменить значения заполнителей в примере собственными значениями.

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --assign-identity

principalId=$(az storage account show --name <storage-account> \
    --resource-group <resource_group> \
    --query identity.principalId \
    --output tsv)

$kvResourceId=$(az keyvault show \
    --resource-group <resource-group> \
    --name <key-vault> \
    --query id \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId

Затем вызовите команду az storage account encryption-scope с параметром --key-uri и укажите URI ключа. Включать версию ключа в URI ключа необязательно. Если опустить версию ключа, то в области шифрования будет автоматически использоваться последняя версия ключа. При включении версии ключа нужно будет вручную обновлять версию ключа, чтобы использовать другую версию.

Формат URI ключа аналогичен следующим примерам и может быть создан из свойства хранилища ключей и имени ключа:

# Without the key version
https://<key-vault>.vault.azure.net/keys/<key>

# With the key version
https://<key-vault>.vault.azure.net/keys/<key>/<version>

Если для учетной записи хранения включено шифрование инфраструктуры, оно автоматически будет включено и для новой области шифрования. В противном случае можно выбрать, включать ли шифрование инфраструктуры для области шифрования. Чтобы создать новую область с включенным шифрованием инфраструктуры, включите параметр --require-infrastructure-encryption и установите для него значение true.

Не забудьте заменить значения заполнителей в примере собственными значениями.

az storage account encryption-scope create \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.KeyVault \
    --key-uri <key-uri>

Создание область шифрования, защищенного ключами, управляемыми клиентом, в другом клиенте

Чтобы создать область шифрования, защищенную ключами, управляемыми клиентом, хранящимися в хранилище ключей или управляемом HSM, который находится в другом клиенте, отличном от учетной записи хранения, сначала настройте управляемые клиентом ключи для учетной записи хранения. Необходимо настроить управляемое удостоверение, назначаемое пользователем, для учетной записи хранения с разрешениями на доступ к хранилищу ключей в другом клиенте. Дополнительные сведения о настройке ключей, управляемых клиентом, см. в статье Настройка ключей, управляемых клиентом, для существующей учетной записи хранения.

Чтобы настроить ключи, управляемые клиентом, для использования с областью шифрования, необходимо включить защиту от очистки в хранилище ключей или управляемом модуле HSM.

После настройки ключей, управляемых клиентом для учетной записи хранения, можно создать область шифрования для учетной записи хранения в одном клиенте, который область ключ в хранилище ключей в другом клиенте. Для создания межтенантного шифрования область потребуется универсальный код ресурса (URI) ключа.

Не забудьте заменить значения заполнителей в примере собственными значениями.

az storage account encryption-scope create \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.KeyVault \
    --key-uri <key-uri>

Список областей шифрования для учетной записи хранения

Портал

Чтобы просмотреть области шифрования для учетной записи хранения на портале Azure, перейдите к параметру Области шифрования для учетной записи хранения. В этой области можно включить или выключить область шифрования или изменить ключ для области шифрования.

Чтобы просмотреть сведения о ключе, управляемом клиентом, включая версию и URI ключа, а также выполняется ли автоматическое обновление версии ключа, перейдите по ссылке в столбце Key (Ключ).

PowerShell

Чтобы получить список областей шифрования, доступных для учетной записи хранения, с помощью PowerShell, вызовите команду Get-AzStorageEncryptionScope. Не забудьте заменить значения заполнителей в примере собственными значениями.

Get-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName

Чтобы получить список всех областей шифрования в группе ресурсов по учетным записям хранения, используйте синтаксис конвейера:

Get-AzStorageAccount -ResourceGroupName $rgName | Get-AzStorageEncryptionScope

Azure CLI

Чтобы получить список областей шифрования, доступных для учетной записи хранения, с помощью Azure CLI, вызовите команду az storage account encryption-scope list. Не забудьте заменить значения заполнителей в примере собственными значениями.

az storage account encryption-scope list \
    --account-name <storage-account> \
    --resource-group <resource-group>

Создание контейнера с областью шифрования по умолчанию

При создании контейнера можно указать область шифрования по умолчанию. BLOB-объекты в этом контейнере будут использовать эту область по умолчанию.

Можно создать отдельный BLOB-объект с собственной областью шифрования, если только контейнер не настроен так, чтобы все BLOB-объекты использовали область по умолчанию. Дополнительные сведения см. в разделе Области шифрования для контейнеров и BLOB-объектов.

Портал

Чтобы создать контейнер с областью шифрования по умолчанию на портале Azure, сначала создайте область шифрования, как описано в разделе Создание области шифрования. Затем создайте контейнер, выполнив следующие действия.

1. Перейдите к списку контейнеров в учетной записи хранения и нажмите кнопку "Добавить ", чтобы создать контейнер.

2. Разверните дополнительные параметры в панели создания контейнера.

3. В раскрывающемся списке области шифрования выберите область шифрования по умолчанию для контейнера.

4. Чтобы указать, что все BLOB-объекты в контейнере используют область шифрования по умолчанию, установите флажок Use this encryption scope for all blobs in the container (Использовать эту область шифрования для всех BLOB-объектов в контейнере). Если этот флажок установлен, то отдельный BLOB-объект в контейнере не может переопределить область шифрования по умолчанию.

   

PowerShell

Чтобы создать контейнер с областью шифрования по умолчанию с помощью PowerShell, вызовите команду New-AzStorageContainer, указав область для параметра -DefaultEncryptionScope. Чтобы все BLOB-объекты в контейнере принудительно использовали область по умолчанию контейнера, задайте для параметра -PreventEncryptionScopeOverride значение true.

$containerName1 = "container1"
$ctx = New-AzStorageContext -StorageAccountName $accountName -UseConnectedAccount

# Create a container with a default encryption scope that cannot be overridden.
New-AzStorageContainer -Name $containerName1 `
    -Context $ctx `
    -DefaultEncryptionScope $scopeName1 `
    -PreventEncryptionScopeOverride $true

Azure CLI

Чтобы создать контейнер с областью шифрования по умолчанию с помощью Azure CLI, вызовите команду az storage container create, указав область для параметра --default-encryption-scope. Чтобы все BLOB-объекты в контейнере принудительно использовали область по умолчанию контейнера, задайте для параметра --prevent-encryption-scope-override значение true.

В следующем примере используется учетная запись Microsoft Entra для авторизации операции для создания контейнера. Вы также можете использовать ключ доступа к учетной записи. Дополнительные сведения см. в статье Авторизация доступа к данным BLOB-объектов или очередей с помощью Azure CLI.

az storage container create \
    --account-name <storage-account> \
    --resource-group <resource-group> \
    --name <container> \
    --default-encryption-scope <encryption-scope> \
    --prevent-encryption-scope-override true \
    --auth-mode login

Если клиент пытается указать область при отправке BLOB-объекта в контейнер с областью шифрования по умолчанию, и в этом контейнере настроен запрет переопределения области по умолчанию для BLOB-объектов, то операция завершится неудачно с сообщением о том, что запрос запрещен политикой шифрования контейнеров.

Отправка BLOB-объекта с областью шифрования

При отправке BLOB-объекта можно указать область шифрования для этого BLOB-объекта или использовать область шифрования по умолчанию для контейнера, если она была задана.

Примечание.

При отправке нового большого двоичного объекта с областью шифрования изменить уровень доступа по умолчанию для этого большого двоичного объекта нельзя. Нельзя также изменить уровень доступа для существующего BLOB-объекта, который использует область шифрования. Дополнительные сведения об уровнях доступа см. в статье Хранилище BLOB-объектов Azure: горячий, холодный и архивный уровни доступа.

Портал

Чтобы отправить BLOB-объект с областью шифрования на портале Azure, сначала создайте область шифрования, как описано в разделе Создание области шифрования. Затем создайте контейнер, выполнив следующие действия.

1. Перейдите к контейнеру, в который необходимо отправить BLOB-объект.

2. Нажмите кнопку Отправить и выберите BLOB-объект для отправки.

3. Разверните дополнительные параметры в области Отправка BLOB-объекта.

4. Найдите раздел с раскрывающимся списком Область шифрования. По умолчанию BLOB-объект создается с областью шифрования по умолчанию для контейнера, если она задана. Если контейнер требует, чтобы BLOB-объекты использовали область шифрования по умолчанию, этот раздел будет отключен.

5. Чтобы указать другую область для отправляемого BLOB-объекта, нажмите Выбрать существующую область, а затем выберите нужную область из раскрывающегося списка.

   

PowerShell

Чтобы отправить BLOB-объект с областью шифрования с помощью PowerShell, вызовите команду Set-AzStorageBlobContent и укажите область шифрования для BLOB-объекта.

$containerName2 = "container2"
$localSrcFile = "C:\temp\helloworld.txt"
$ctx = New-AzStorageContext -StorageAccountName $accountName -UseConnectedAccount

# Create a container with no default scope defined.
New-AzStorageContainer -Name $containerName2 -Context $ctx

# Upload a block upload with an encryption scope specified.
Set-AzStorageBlobContent -Context $ctx `
    -Container $containerName2 `
    -File $localSrcFile `
    -Blob "helloworld.txt" `
    -BlobType Block `
    -EncryptionScope $scopeName2

Azure CLI

Чтобы отправить BLOB-объект с областью шифрования с помощью Azure CLI, вызовите команду az storage blob upload и укажите область шифрования для BLOB-объекта.

Если вы используете Azure Cloud Shell, выполните действия, описанные в разделе Отправка BLOB-объекта, чтобы создать файл в корневом каталоге. Затем этот файл можно отправить в BLOB-объект, используя следующий пример.

az storage blob upload \
    --account-name <storage-account> \
    --container-name <container> \
    --file <file> \
    --name <file> \
    --encryption-scope <encryption-scope>

Изменение ключа шифрования для области

Чтобы изменить ключ, защищающий область шифрования, с ключа, управляемого Майкрософт, на ключ, управляемый клиентом, сначала убедитесь, что вы включили ключи, управляемые клиентом, в Azure Key Vault или управляемом модуле HSM Azure Key Vault для учетной записи хранения. Дополнительные сведения см. в разделе Настройка шифрования с помощью управляемых клиентом ключей, хранящихся в Azure Key Vault или Настройка шифрования с помощью управляемых клиентом ключей, хранящихся в Azure Key Vault.

Портал

Чтобы изменить ключ, защищающий область, на портале Azure, выполните следующие действия.

1. Перейдите на вкладку областей шифрования, чтобы просмотреть список областей шифрования для учетной записи хранения.
2. Нажмите кнопку Дополнительно рядом с областью, которую вы хотите изменить.
3. В панели изменения области шифрования можно изменить тип ключа шифрования с управляемого Майкрософт на управляемый клиентом или наоборот.
4. Чтобы задать новый ключ, управляемый клиентом, выберите Использовать новый ключ и укажите хранилище ключей, ключ и версию ключа.

PowerShell

Чтобы изменить ключ, защищающий область шифрования, с ключа, управляемого клиентом, на ключ, управляемый Майкрософт, с помощью PowerShell, вызовите команду Update-AzStorageEncryptionScope и передайте параметр -StorageEncryption:

Update-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName2 `
    -StorageEncryption

Затем вызовите команду Update-AzStorageEncryptionScope и передайте параметры -KeyUri и -KeyvaultEncryption:

Update-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName1 `
    -KeyUri $keyUri `
    -KeyvaultEncryption

Azure CLI

Чтобы изменить ключ, защищающий область шифрования, с ключа, управляемого клиентом, на ключ, управляемый Майкрософт, с помощью Azure CLI, вызовите команду az storage account encryption-scope update и передайте параметр --key-source со значением Microsoft.Storage:

az storage account encryption-scope update \
    --account-name <storage-account> \
    --resource-group <resource-group>
    --name <encryption-scope> \
    --key-source Microsoft.Storage

Затем вызовите команду az storage account encryption-scope update, передайте параметр --key-uri и передайте параметр --key-source со значением Microsoft.KeyVault:

az storage account encryption-scope update \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.KeyVault \
    --key-uri <key-uri>

Отключение области шифрования

Отключите все лишние области шифрования, чтобы избежать ненужных расходов. Дополнительные сведения см. в разделе "Выставление счетов для область шифрования".

Портал

Чтобы отключить область шифрования на портале Azure, перейдите к параметру Области шифрования для учетной записи хранения, выберите нужную область шифрования и нажмите кнопку Отключить.

PowerShell

Чтобы отключить область шифрования с помощью PowerShell, вызовите команду Update-AzStorageEncryptionScope и включите параметр -State со значением disabled, как показано в следующем примере. Чтобы снова включить область шифрования, вызовите ту же команду с параметром -State, для которого задано значение enabled. Не забудьте заменить значения заполнителей в примере собственными значениями.

Update-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName1 `
    -State disabled

Azure CLI

Чтобы отключить область шифрования с помощью Azure CLI, вызовите команду az storage account encryption-scope update и включите параметр --state со значением Disabled, как показано в следующем примере. Чтобы снова включить область шифрования, вызовите ту же команду с параметром --state, для которого задано значение Enabled. Не забудьте заменить значения заполнителей в примере собственными значениями.

az storage account encryption-scope update \
    --account-name <storage-account> \
    --resource-group <resource-group> \
    --name <encryption-scope> \
    --state Disabled

Важно!

Удалить область шифрования невозможно. Чтобы избежать излишних затрат, не забудьте отключить все области шифрования, которые в настоящее время не нужны.

Следующие шаги

• Шифрование службы хранилища Azure для неактивных данных
• Области шифрования для хранилища BLOB-объектов
• Ключи, управляемые клиентом, для шифрования службы хранилища Azure
• Включение шифрования инфраструктуры для двойного шифрования данных