Создайте учетную запись для поддержки ключей, управляемых клиентом для таблиц и очередей

Статья
2025-04-08

Служба хранилища Azure шифрует все данные в неактивных учетных записях хранения. По умолчанию хранилище очередей и хранилище таблиц используют ключ, который распространяется на службу и управляется корпорацией Майкрософт. Вы также можете использовать ключи, управляемые клиентом, для шифрования данных очереди или таблицы. Чтобы использовать ключи, управляемые клиентом, с очередями и таблицами, необходимо сначала создать учетную запись хранения, которая использует ключ шифрования, охватывающий учетную запись, а не службу. После создания учетной записи, которая использует ключ шифрования учетной записи для данных очереди и таблицы, вы можете настроить управляемые клиентом ключи для этой учетной записи хранения.

В этой статье описывается, как создать учетную запись хранения, которая зависит от ключа, ограниченного учетной записью. При первом создании учетной записи корпорация Майкрософт использует ключ учетной записи для шифрования данных в учетной записи, а корпорация Майкрософт управляет ключом. Впоследствии вы можете настроить управляемые клиентом ключи для учетной записи, чтобы воспользоваться этими преимуществами, включая возможность предоставления собственных ключей, обновления версии ключа, смены ключей и отзыва элементов управления доступом.

Создание учетной записи, используюющей ключ шифрования учетной записи

Необходимо настроить новую учетную запись хранения, чтобы использовать ключ шифрования учетной записи для очередей и таблиц во время создания учетной записи хранения. Область ключа шифрования невозможно изменить после создания учетной записи.

Учетная запись хранения должна иметь тип общего назначения версии 2. Вы можете создать учетную запись хранения и настроить ее для использования ключа шифрования учетной записи с помощью портала Azure, PowerShell, Azure CLI или шаблона Azure Resource Manager.

Дополнительные сведения о создании учетной записи хранения см. в статье "Создание учетной записи хранения".

Примечание.

Только для хранилища очередей и таблиц можно при создании учетной записи хранения настроить шифрование данных с помощью ключа шифрования учетной записи. Хранилище BLOB-объектов и файлы Azure всегда используют ключ шифрования учетной записи для шифрования данных.

Чтобы создать учетную запись хранения, которая использует ключ шифрования учетных записей на портале Azure, выполните следующие действия.

На портале в меню слева выберите Учетные записи хранения, чтобы открыть список учетных записей хранения.
На странице Учетные записи хранения выберите Создать.
Заполните поля на вкладке "Основные сведения".
На вкладке "Дополнительно" найдите раздел "Таблицы и очереди " и выберите "Включить поддержку ключей, управляемых клиентом".

Чтобы использовать PowerShell для создания учетной записи хранения, которая зависит от ключа шифрования учетной записи, убедитесь, что вы установили модуль Azure PowerShell версии 3.4.0 или более поздней версии. Дополнительные сведения см. в разделе "Установка модуля Azure PowerShell".

Затем создайте учетную запись хранения общего назначения версии 2, вызвав команду New-AzStorageAccount с соответствующими параметрами:

Включите опцию -EncryptionKeyTypeForQueue и установите ее значение на Account, чтобы использовать ключ шифрования учетной записи для шифрования данных в хранилище очередей.
-EncryptionKeyTypeForTable Включите параметр и задайте его значение, чтобы Account использовать ключ шифрования учетной записи для шифрования данных в хранилище таблиц.

В следующем примере показано, как создать учетную запись хранения общего назначения версии 2, которая настроена для геоизбыточного хранилища для чтения (RA-GRS) и использует ключ шифрования учетной записи для шифрования данных для хранилища очередей и таблиц. Не забудьте заменить значения заполнителей в скобках собственными значениями.

New-AzStorageAccount -ResourceGroupName <resource_group> `
    -AccountName <storage-account> `
    -Location <location> `
    -SkuName "Standard_RAGRS" `
    -Kind StorageV2 `
    -EncryptionKeyTypeForTable Account `
    -EncryptionKeyTypeForQueue Account

Чтобы использовать Azure CLI для создания учетной записи хранения, которая зависит от ключа шифрования учетной записи, убедитесь, что вы установили Azure CLI версии 2.0.80 или более поздней. Дополнительные сведения см. в статье Установка Azure CLI.

Затем создайте учетную запись хранения общего назначения версии 2, вызвав команду az storage account create с соответствующими параметрами:

Включите параметр --encryption-key-type-for-queue и установите для него значение Account, чтобы использовать ключ шифрования учетной записи для шифрования данных в хранилище очередей.
--encryption-key-type-for-table Включите параметр и задайте его значение, чтобы Account использовать ключ шифрования учетной записи для шифрования данных в хранилище таблиц.

В следующем примере показано, как создать учетную запись хранения v2 общего назначения, которая настроена для геоизбыточного хранилища с доступом только для чтения (RA-GRS) и использует ключ шифрования учетной записи для шифрования данных как в хранилище очередей, так и в таблицах. Не забудьте заменить значения заполнителей в скобках собственными значениями.

az storage account create \
    --name <storage-account> \
    --resource-group <resource-group> \
    --location <location> \
    --sku Standard_RAGRS \
    --kind StorageV2 \
    --encryption-key-type-for-table Account \
    --encryption-key-type-for-queue Account

В следующем примере JSON создается учетная запись хранения общего назначения версии 2, настроенная для геоизбыточного хранилища для чтения (RA-GRS) и которая использует ключ шифрования учетной записи для шифрования данных для хранилища очередей и таблиц. Не забудьте заменить значения заполнителей в угловых скобках собственными значениями.

"resources": [
    {
        "type": "Microsoft.Storage/storageAccounts",
        "apiVersion": "2019-06-01",
        "name": "[parameters('<storage-account>')]",
        "location": "[parameters('<location>')]",
        "dependsOn": [],
        "tags": {},
        "sku": {
            "name": "[parameters('Standard_RAGRS')]"
        },
        "kind": "[parameters('StorageV2')]",
        "properties": {
            "accessTier": "[parameters('<accessTier>')]",
            "supportsHttpsTrafficOnly": "[parameters('supportsHttpsTrafficOnly')]",
            "largeFileSharesState": "[parameters('<largeFileSharesState>')]",
            "encryption": {
                "services": {
                    "queue": {
                        "keyType": "Account"
                    },
                    "table": {
                        "keyType": "Account"
                    }
                },
                "keySource": "Microsoft.Storage"
            }
        }
    }
],

После создания учетной записи, использующей ключ шифрования учетной записи, вы можете настроить управляемые клиентом ключи, хранящиеся в Azure Key Vault или в управляемой аппаратной модели безопасности Key Vault (HSM). Сведения о хранении ключей, управляемых клиентом, в хранилище ключей см. в статье Настройка шифрования с помощью ключей, управляемых клиентом, хранящихся в Azure Key Vault. Сведения о хранении управляемых клиентом ключей в управляемом HSM см. в статье Настройка шифрования с помощью ключей, управляемых клиентом, хранящихся в управляемом HSM в Azure Key Vault.

Проверка ключа шифрования учетной записи

После создания учетной записи можно убедиться, что учетная запись хранения использует ключ шифрования, который распространяется на учетную запись с помощью портала Azure, PowerShell или Azure CLI.

Чтобы убедиться, что служба в учетной записи хранения использует ключ шифрования, который связан с учетной записью, через портал Azure, выполните следующие действия.

Войдите в новую учетную запись хранения на портале Azure.
В разделе "Безопасность и сеть" выберите "Шифрование".
Если учетная запись хранения была создана для использования ключа шифрования учетной записи, на вкладке Шифрование будет видно, что можно включить ключи, управляемые клиентом, для всех четырех служб хранилища Azure: BLOB-объектов, файлов, таблиц и очередей.

Чтобы убедиться, что служба в учетной записи хранения использует ключ шифрования учетной записи с помощью PowerShell, вызовите команду Get-AzStorageAccount. Эта команда возвращает свойства учетной записи хранения и их значения. KeyType Найдите поле для каждой службы в свойстве Encryption и убедитесь, что оно заданоAccount.

$account = Get-AzStorageAccount -ResourceGroupName <resource-group> `
    -StorageAccountName <storage-account>
$account.Encryption.Services.Queue
$account.Encryption.Services.Table

Чтобы убедиться, что служба в учетной записи хранения использует ключ шифрования учетной записи с помощью Azure CLI, вызовите команду az storage account show . Эта команда возвращает свойства учетной записи хранения и их значения. keyType Найдите поле для каждой службы в свойстве шифрования и убедитесь, что оно установлено на Account.

az storage account show \
    --name <storage-account> \
    --resource-group <resource-group>

Проверив, что для учетной записи хранения используется ключ шифрования, охватывающий эту учетную запись, вы можете включить управляемые клиентами ключи для учетной записи. Все четыре службы хранилища Azure — блобы, файлы, таблицы и очереди — затем будут использовать управляемый клиентом ключ для шифрования.

Цены и выставление счетов

Учетная запись хранения, созданная для использования ключа шифрования, ограниченного для учетной записи, взимается для емкости хранилища таблиц и транзакций с другой скоростью, отличной от учетной записи, которая использует ключ с областью обслуживания по умолчанию. Дополнительные сведения см. в разделе о ценах на хранилище таблиц Azure.

Поделиться через

Создайте учетную запись для поддержки ключей, управляемых клиентом для таблиц и очередей

Создание учетной записи, используюющей ключ шифрования учетной записи

Проверка ключа шифрования учетной записи

Цены и выставление счетов

Дальнейшие действия

Обратная связь

Дополнительные ресурсы