Konfigurera kundhanterade nycklar i samma klientorganisation för ett befintligt lagringskonto

Azure Storage krypterar alla data i ett lagringskonto i vila. Som standard krypteras data med Microsoft-hanterade nycklar. Om du vill ha mer kontroll över krypteringsnycklar kan du hantera dina egna nycklar. Kundhanterade nycklar måste lagras i Azure Key Vault eller Key Vault Managed Hardware Security Model (HSM).

Den här artikeln visar hur du konfigurerar kryptering med kundhanterade nycklar för ett befintligt lagringskonto när lagringskontot och nyckelvalvet finns i samma klientorganisation. Kundhanterade nycklar lagras i ett nyckelvalv.

Information om hur du konfigurerar kundhanterade nycklar för ett nytt lagringskonto finns i Konfigurera kundhanterade nycklar i ett Azure-nyckelvalv för ett nytt lagringskonto.

Information om hur du konfigurerar kryptering med kundhanterade nycklar som lagras i en hanterad HSM finns i Konfigurera kryptering med kundhanterade nycklar som lagras i Azure Key Vault Managed HSM.

Kommentar

Azure Key Vault och Azure Key Vault Managed HSM stöder samma API:er och hanteringsgränssnitt för konfiguration av kundhanterade nycklar. Alla åtgärder som stöds för Azure Key Vault stöds också för Azure Key Vault Managed HSM.

Konfigurera nyckelvalvet

Du kan använda ett nytt eller befintligt nyckelvalv för att lagra kundhanterade nycklar. Lagringskontot och nyckelvalvet kan finnas i olika regioner eller prenumerationer i samma klientorganisation. Mer information om Azure Key Vault finns i Översikt över Azure Key Vault och Vad är Azure Key Vault?.

Användning av kundhanterade nycklar med Azure Storage-kryptering kräver att både skydd mot mjuk borttagning och rensning aktiveras för nyckelvalvet. Mjuk borttagning är aktiverat som standard när du skapar ett nytt nyckelvalv och inte kan inaktiveras. Du kan aktivera rensningsskydd antingen när du skapar nyckelvalvet eller när det har skapats.

Azure Key Vault stöder auktorisering med Azure RBAC via en Azure RBAC-behörighetsmodell. Microsoft rekommenderar att du använder Azure RBAC-behörighetsmodellen för åtkomstprinciper för nyckelvalv. Mer information finns i Bevilja behörighet till program för åtkomst till ett Azure-nyckelvalv med Hjälp av Azure RBAC.

Azure-portalen

Information om hur du skapar ett nyckelvalv med Azure Portal finns i Snabbstart: Skapa ett nyckelvalv med hjälp av Azure Portal. När du skapar nyckelvalvet väljer du Aktivera rensningsskydd enligt följande bild.

Följ dessa steg för att aktivera rensningsskydd i ett befintligt nyckelvalv:

1. Gå till nyckelvalvet i Azure Portal.
2. Under Inställningar väljer du Egenskaper.
3. I avsnittet Rensa skydd väljer du Aktivera rensningsskydd.

PowerShell

Om du vill skapa ett nytt nyckelvalv med PowerShell installerar du version 2.0.0 eller senare av Az.KeyVault PowerShell-modulen. Anropa sedan New-AzKeyVault för att skapa ett nytt nyckelvalv. Med version 2.0.0 och senare av Az.KeyVault-modulen aktiveras mjuk borttagning som standard när du skapar ett nytt nyckelvalv.

I följande exempel skapas ett nytt nyckelvalv med mjukt borttagnings- och rensningsskydd aktiverat. Nyckelvalvets behörighetsmodell är inställd på att använda Azure RBAC. Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden.

$rgName = "<resource_group>"
$location = "<location>"
$kvName = "<key-vault>"

$keyVault = New-AzKeyVault -Name $kvName `
    -ResourceGroupName $rgName `
    -Location $location `
    -EnablePurgeProtection `
    -EnableRbacAuthorization

Information om hur du aktiverar rensningsskydd i ett befintligt nyckelvalv med PowerShell finns i Översikt över Azure Key Vault-återställning.

När du har skapat nyckelvalvet måste du tilldela rollen Key Vault Crypto Officer till dig själv. Med den här rollen kan du skapa en nyckel i nyckelvalvet. I följande exempel tilldelas rollen till en användare som är begränsad till nyckelvalvet:

New-AzRoleAssignment -SignInName "<user-email>" `
    -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $keyVault.ResourceId

Mer information om hur du tilldelar en RBAC-roll med PowerShell finns i Tilldela Azure-roller med Azure PowerShell.

Azure CLI

Om du vill skapa ett nytt nyckelvalv med Azure CLI anropar du az keyvault create. I följande exempel skapas ett nytt nyckelvalv med mjukt borttagnings- och rensningsskydd aktiverat. Nyckelvalvets behörighetsmodell är inställd på att använda Azure RBAC. Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden.

rgName="<resource_group>"
location="<location>"
kvName="<key-vault>"

az keyvault create \
    --name $kvName \
    --resource-group $rgName \
    --location $location \
    --enable-purge-protection \
    --enable-rbac-authorization

Information om hur du aktiverar rensningsskydd i ett befintligt nyckelvalv med Azure CLI finns i Översikt över Azure Key Vault-återställning.

När du har skapat nyckelvalvet måste du tilldela rollen Key Vault Crypto Officer till dig själv. Med den här rollen kan du skapa en nyckel i nyckelvalvet. I följande exempel tilldelas rollen till en användare som är begränsad till nyckelvalvet:

kvResourceId=$(az keyvault show --resource-group $rgName \
    --name $kvName \
    --query id \
    --output tsv)

az role assignment create --assignee "<user-email>" \
    --role "Key Vault Crypto Officer" \
    --scope $kvResourceId

Mer information om hur du tilldelar en RBAC-roll med Azure CLI finns i Tilldela Azure-roller med Hjälp av Azure CLI.

Lägga till en nyckel

Lägg sedan till en nyckel i nyckelvalvet. Innan du lägger till nyckeln kontrollerar du att du har tilldelat dig rollen Key Vault Crypto Officer .

Azure Storage-kryptering stöder RSA- och RSA-HSM-nycklar i storlekarna 2048, 3072 och 4096. Mer information om nyckeltyper som stöds finns i Om nycklar.

Azure-portalen

Information om hur du lägger till en nyckel med Azure Portal finns i Snabbstart: Ange och hämta en nyckel från Azure Key Vault med hjälp av Azure Portal.

PowerShell

Om du vill lägga till en nyckel med PowerShell anropar du Add-AzKeyVaultKey. Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden och att använda variablerna som definierats i föregående exempel.

$keyName = "<key-name>"

$key = Add-AzKeyVaultKey -VaultName $keyVault.VaultName `
    -Name $keyName `
    -Destination 'Software'

Azure CLI

Om du vill lägga till en nyckel med Azure CLI anropar du az keyvault key create. Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden.

keyName="<key-name>"

az keyvault key create \
    --name $keyName \
    --vault-name $kvName

Välj en hanterad identitet för att auktorisera åtkomst till nyckelvalvet

När du aktiverar kundhanterade nycklar för ett befintligt lagringskonto måste du ange en hanterad identitet som ska användas för att auktorisera åtkomst till nyckelvalvet som innehåller nyckeln. Den hanterade identiteten måste ha behörighet att komma åt nyckeln i nyckelvalvet.

Den hanterade identitet som auktoriserar åtkomst till nyckelvalvet kan vara antingen en användartilldelad eller systemtilldelad hanterad identitet. Mer information om systemtilldelade och användartilldelade hanterade identiteter finns i Hanterade identitetstyper.

Använda en användartilldelad hanterad identitet för att auktorisera åtkomst

När du aktiverar kundhanterade nycklar för ett nytt lagringskonto måste du ange en användartilldelad hanterad identitet. Ett befintligt lagringskonto stöder användning av antingen en användartilldelad hanterad identitet eller en systemtilldelad hanterad identitet för att konfigurera kundhanterade nycklar.

När du konfigurerar kundhanterade nycklar med en användartilldelad hanterad identitet används den användartilldelade hanterade identiteten för att auktorisera åtkomst till nyckelvalvet som innehåller nyckeln. Du måste skapa den användartilldelade identiteten innan du konfigurerar kundhanterade nycklar.

En användartilldelad hanterad identitet är en fristående Azure-resurs. Mer information om användartilldelade hanterade identiteter finns i Hanterade identitetstyper. Information om hur du skapar och hanterar en användartilldelad hanterad identitet finns i Hantera användartilldelade hanterade identiteter.

Den användartilldelade hanterade identiteten måste ha behörighet att komma åt nyckeln i nyckelvalvet. Tilldela rollen Kryptokrypteringsanvändare för Key Vault till den användartilldelade hanterade identiteten med key vault-omfånget för att bevilja dessa behörigheter.

Azure-portalen

Innan du kan konfigurera kundhanterade nycklar med en användartilldelad hanterad identitet måste du tilldela rollen krypteringsanvändare för Key Vault Crypto Service till den användartilldelade hanterade identiteten, som är begränsad till nyckelvalvet. Den här rollen ger den användartilldelade hanterade identiteten behörighet att komma åt nyckeln i nyckelvalvet. Mer information om hur du tilldelar Azure RBAC-roller med Azure Portal finns i Tilldela Azure-roller med hjälp av Azure Portal.

När du konfigurerar kundhanterade nycklar med Azure Portal kan du välja en befintlig användartilldelad identitet via portalens användargränssnitt.

PowerShell

I följande exempel visas hur du hämtar den användartilldelade hanterade identiteten och tilldelar den den nödvändiga RBAC-rollen, som är begränsad till nyckelvalvet. Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden och att använda variablerna som definierats i föregående exempel:

$userIdentity = Get-AzUserAssignedIdentity -Name <user-assigned-identity> `
    -ResourceGroupName $rgName

$principalId = $userIdentity.PrincipalId

New-AzRoleAssignment -ObjectId $principalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

Azure CLI

I följande exempel visas hur du hämtar den användartilldelade hanterade identiteten och tilldelar den den nödvändiga RBAC-rollen, som är begränsad till nyckelvalvet. Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden och att använda variablerna som definierats i föregående exempel:

identityResourceId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query id \
    --output tsv)

principalId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query principalId \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId \
    --assignee-principal-type ServicePrincipal

Använda en systemtilldelad hanterad identitet för att auktorisera åtkomst

En systemtilldelad hanterad identitet är associerad med en instans av en Azure-tjänst, i det här fallet ett Azure Storage-konto. Du måste uttryckligen tilldela en systemtilldelad hanterad identitet till ett lagringskonto innan du kan använda den systemtilldelade hanterade identiteten för att auktorisera åtkomst till nyckelvalvet som innehåller din kundhanterade nyckel.

Endast befintliga lagringskonton kan använda en systemtilldelad identitet för att auktorisera åtkomst till nyckelvalvet. Nya lagringskonton måste använda en användartilldelad identitet om kundhanterade nycklar konfigureras när kontot skapas.

Den systemtilldelade hanterade identiteten måste ha behörighet att komma åt nyckeln i nyckelvalvet. Tilldela key vault-krypteringstjänstens användarroll till den systemtilldelade hanterade identiteten med nyckelvalvsomfånget för att bevilja dessa behörigheter.

Azure-portalen

Innan du kan konfigurera kundhanterade nycklar med en systemtilldelad hanterad identitet måste du tilldela rollen Key Vault Crypto Service Encryption User till den systemtilldelade hanterade identiteten, som är begränsad till nyckelvalvet. Den här rollen ger systemtilldelade hanterade identitetsbehörigheter för åtkomst till nyckeln i nyckelvalvet. Mer information om hur du tilldelar Azure RBAC-roller med Azure Portal finns i Tilldela Azure-roller med hjälp av Azure Portal.

När du konfigurerar kundhanterade nycklar med Azure Portal med en systemtilldelad hanterad identitet tilldelas den systemtilldelade hanterade identiteten till lagringskontot åt dig under täcket.

PowerShell

Om du vill tilldela en systemtilldelad hanterad identitet till ditt lagringskonto anropar du först Set-AzStorageAccount:

$accountName = "<storage-account>"

$storageAccount = Set-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -AssignIdentity

Tilldela sedan den systemtilldelade hanterade identiteten den RBAC-roll som krävs, som är begränsad till nyckelvalvet. Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden och att använda variablerna som definierats i föregående exempel:

$principalId = $storageAccount.Identity.PrincipalId

New-AzRoleAssignment -ObjectId $storageAccount.Identity.PrincipalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

Azure CLI

Om du vill autentisera åtkomsten till nyckelvalvet med en systemtilldelad hanterad identitet tilldelar du först den systemtilldelade hanterade identiteten till lagringskontot genom att anropa az storage account update:

accountName="<storage-account>"

az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --assign-identity

Tilldela sedan den systemtilldelade hanterade identiteten den RBAC-roll som krävs, som är begränsad till nyckelvalvet. Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden och att använda variablerna som definierats i föregående exempel:

principalId=$(az storage account show --name $accountName \
    --resource-group $rgName \
    --query identity.principalId \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId

Konfigurera kundhanterade nycklar för ett befintligt konto

När du konfigurerar kryptering med kundhanterade nycklar för ett befintligt lagringskonto kan du välja att automatiskt uppdatera den nyckelversion som används för Azure Storage-kryptering när en ny version är tillgänglig i det associerade nyckelvalvet. Alternativt kan du uttryckligen ange en nyckelversion som ska användas för kryptering tills nyckelversionen uppdateras manuellt.

När nyckelversionen ändras, antingen automatiskt eller manuellt, ändras skyddet av rotkrypteringsnyckeln, men data i ditt Azure Storage-konto förblir krypterade hela tiden. Det krävs ingen ytterligare åtgärd från din sida för att säkerställa att dina data skyddas. Att rotering av nyckelversionen påverkar inte prestanda. Det finns ingen stilleståndstid som är associerad med att rotera nyckelversionen.

Du kan använda antingen en systemtilldelad eller användartilldelad hanterad identitet för att auktorisera åtkomst till nyckelvalvet när du konfigurerar kundhanterade nycklar för ett befintligt lagringskonto.

Kommentar

Om du vill rotera en nyckel skapar du en ny version av nyckeln i Azure Key Vault. Azure Storage hanterar inte nyckelrotation, så du måste hantera rotation av nyckeln i nyckelvalvet. Du kan konfigurera automatisk rotation av nycklar i Azure Key Vault eller rotera nyckeln manuellt.

Konfigurera kryptering för automatisk uppdatering av nyckelversioner

Azure Storage kan automatiskt uppdatera den kundhanterade nyckel som används för kryptering för att använda den senaste nyckelversionen från nyckelvalvet. Azure Storage kontrollerar nyckelvalvet dagligen efter en ny version av nyckeln. När en ny version blir tillgänglig börjar Azure Storage automatiskt använda den senaste versionen av nyckeln för kryptering.

Viktigt!

Azure Storage kontrollerar nyckelvalvet efter en ny nyckelversion bara en gång dagligen. När du roterar en nyckel måste du vänta 24 timmar innan du inaktiverar den äldre versionen.

Azure-portalen

Följ stegen nedan för att konfigurera kundhanterade nycklar för ett befintligt konto med automatisk uppdatering av nyckelversionen i Azure Portal:

1. Navigera till ditt lagringskonto.

2. Under Säkerhet + nätverk väljer du Kryptering. Som standard är nyckelhantering inställt på Microsoft-hanterade nycklar enligt bilden nedan:

   

3. Välj alternativet Kundhanterade nycklar. Om kontot tidigare har konfigurerats för kundhanterade nycklar med manuell uppdatering av nyckelversionen väljer du Ändra nyckel längst ned på sidan.

4. Välj alternativet Välj från Key Vault.

5. Välj Välj ett nyckelvalv och en nyckel.

6. Välj nyckelvalvet som innehåller den nyckel som du vill använda. Du kan också skapa ett nytt nyckelvalv.

7. Välj nyckeln från nyckelvalvet. Du kan också skapa en ny nyckel.

   

8. Välj den typ av identitet som ska användas för att autentisera åtkomsten till nyckelvalvet. Alternativen är Systemtilldelade (standard) eller Användartilldelade. Mer information om varje typ av hanterad identitet finns i Hanterade identitetstyper.

   1. Om du väljer Systemtilldelad skapas den systemtilldelade hanterade identiteten för lagringskontot under täcket, om den inte redan finns.
   2. Om du väljer Användartilldelad måste du välja en befintlig användartilldelad identitet som har behörighet att komma åt nyckelvalvet. Information om hur du skapar en användartilldelad identitet finns i Hantera användartilldelade hanterade identiteter.

   

9. Spara dina ändringar.

När du har angett nyckeln anger Azure Portal att automatisk uppdatering av nyckelversionen är aktiverad och visar den nyckelversion som för närvarande används för kryptering. Portalen visar också den typ av hanterad identitet som används för att auktorisera åtkomst till nyckelvalvet och huvud-ID:t för den hanterade identiteten.

PowerShell

Om du vill konfigurera kundhanterade nycklar för ett befintligt konto med automatisk uppdatering av nyckelversionen med PowerShell installerar du Az.Storage-modulen version 2.0.0 eller senare.

Anropa sedan Set-AzStorageAccount för att uppdatera lagringskontots krypteringsinställningar. Inkludera parametern KeyvaultEncryption för att aktivera kundhanterade nycklar för lagringskontot och ange KeyVersion en tom sträng för att aktivera automatisk uppdatering av nyckelversionen. Om lagringskontot tidigare har konfigurerats för kundhanterade nycklar med en specifik nyckelversion kan du automatiskt uppdatera nyckelversionen framöver genom att ange nyckelversionen till en tom sträng.

$accountName = "<storage-account>"

# Use this form of the command with a user-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyvaultEncryption `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion "" `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

# Use this form of the command with a system-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -KeyvaultEncryption `
    -KeyName $key.Name `
    -KeyVersion "" `
    -KeyVaultUri $keyVault.VaultUri

Azure CLI

Om du vill konfigurera kundhanterade nycklar för ett befintligt konto med automatisk uppdatering av nyckelversionen med Azure CLI installerar du Azure CLI version 2.4.0 eller senare. Mer information finns i Installera Azure CLI.

Anropa sedan az storage account update för att uppdatera lagringskontots krypteringsinställningar. Inkludera parametern --encryption-key-source och ange den till Microsoft.Keyvault för att aktivera kundhanterade nycklar för kontot och ange encryption-key-version en tom sträng för att aktivera automatisk uppdatering av nyckelversionen. Om lagringskontot tidigare har konfigurerats för kundhanterade nycklar med en specifik nyckelversion kan du automatiskt uppdatera nyckelversionen framöver genom att ange nyckelversionen till en tom sträng.

accountName="<storage-account>"

keyVaultUri=$(az keyvault show \
    --name $kvName \
    --resource-group $rgName \
    --query properties.vaultUri \
    --output tsv)

# Use this form of the command with a user-assigned managed identity.
az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-name $keyName \
    --encryption-key-version "" \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $keyVaultUri \
    --key-vault-user-identity-id $identityResourceId

# Use this form of the command with a system-assigned managed identity.
az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --encryption-key-name $keyName \
    --encryption-key-version "" \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $keyVaultUri

Konfigurera kryptering för manuell uppdatering av nyckelversioner

Om du föredrar att uppdatera nyckelversionen manuellt anger du uttryckligen den version som du konfigurerar kryptering med kundhanterade nycklar. I det här fallet uppdaterar Azure Storage inte nyckelversionen automatiskt när en ny version skapas i nyckelvalvet. Om du vill använda en ny nyckelversion måste du manuellt uppdatera den version som används för Azure Storage-kryptering.

Azure-portalen

Om du vill konfigurera kundhanterade nycklar med manuell uppdatering av nyckelversionen i Azure Portal anger du nyckel-URI:n, inklusive versionen. Följ dessa steg för att ange en nyckel som en URI:

1. Om du vill hitta nyckel-URI:n i Azure Portal går du till nyckelvalvet och väljer inställningen Nycklar. Välj önskad nyckel och välj sedan nyckeln för att visa dess versioner. Välj en nyckelversion för att visa inställningarna för den versionen.

2. Kopiera värdet för fältet Nyckelidentifierare , som tillhandahåller URI:n.

   

3. I inställningarna för krypteringsnyckeln för ditt lagringskonto väljer du alternativet Ange nyckel-URI.

4. Klistra in den URI som du kopierade till nyckel-URI-fältet. Utelämna nyckelversionen från URI:n för att aktivera automatisk uppdatering av nyckelversionen.

   

5. Ange den prenumeration som innehåller nyckelvalvet.

6. Ange antingen en systemtilldelad eller användartilldelad hanterad identitet.

7. Spara dina ändringar.

PowerShell

Om du vill konfigurera kundhanterade nycklar med manuell uppdatering av nyckelversionen anger du uttryckligen nyckelversionen när du konfigurerar kryptering för lagringskontot. Anropa Set-AzStorageAccount för att uppdatera lagringskontots krypteringsinställningar, som du ser i följande exempel, och inkludera alternativet -KeyvaultEncryption för att aktivera kundhanterade nycklar för lagringskontot.

Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden och att använda variablerna som definierats i föregående exempel.

$accountName = "<storage-account>"

# Use this form of the command with a user-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyvaultEncryption `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

# Use this form of the command with a system-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -KeyvaultEncryption `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version

När du uppdaterar nyckelversionen manuellt måste du uppdatera lagringskontots krypteringsinställningar för att använda den nya versionen. Anropa först Get-AzKeyVaultKey för att hämta den senaste versionen av nyckeln. Anropa sedan Set-AzStorageAccount för att uppdatera lagringskontots krypteringsinställningar för att använda den nya versionen av nyckeln, som du ser i föregående exempel.

Azure CLI

Om du vill konfigurera kundhanterade nycklar med manuell uppdatering av nyckelversionen anger du uttryckligen nyckelversionen när du konfigurerar kryptering för lagringskontot. Anropa az storage account update för att uppdatera lagringskontots krypteringsinställningar, enligt följande exempel. Inkludera parametern --encryption-key-source och ange den till Microsoft.Keyvault för att aktivera kundhanterade nycklar för kontot.

Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden.

accountName="<storage-account>"

keyVaultUri=$(az keyvault show \
    --name $kvName \
    --resource-group $rgName \
    --query properties.vaultUri \
    --output tsv)

keyVersion=$(az keyvault key list-versions \
    --name $keyName \
    --vault-name $kvName \
    --query [-1].kid \
    --output tsv | cut -d '/' -f 6)

# Use this form of the command with a user-assigned managed identity
az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-name $keyName \
    --encryption-key-version $keyVersion \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $keyVaultUri \
    --key-vault-user-identity-id $identityResourceId

# Use this form of the command with a system-assigned managed identity
az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --encryption-key-name $keyName \
    --encryption-key-version $keyVersion \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $keyVaultUri

När du uppdaterar nyckelversionen manuellt måste du uppdatera lagringskontots krypteringsinställningar för att använda den nya versionen. Börja med att fråga efter nyckelvalvets URI genom att anropa az keyvault show och för nyckelversionen genom att anropa az keyvault key list-versions. Anropa sedan az storage account update för att uppdatera lagringskontots krypteringsinställningar för att använda den nya versionen av nyckeln, som du ser i föregående exempel.

Ändra nyckeln

Du kan när som helst ändra den nyckel som du använder för Azure Storage-kryptering.

Kommentar

När du ändrar nyckel- eller nyckelversionen ändras skyddet av rotkrypteringsnyckeln, men data i ditt Azure Storage-konto förblir krypterade hela tiden. För din del krävs ingen ytterligare åtgärd för att säkerställa att dina data är skyddade. Att ändra nyckeln eller rotera nyckelversionen påverkar inte prestandan. Det finns ingen stilleståndstid som är associerad med att ändra nyckeln eller rotera nyckelversionen.

Azure-portalen

Följ dessa steg om du vill ändra nyckeln med Azure Portal:

1. Gå till ditt lagringskonto och visa krypteringsinställningarna.
2. Välj nyckelvalvet och välj en ny nyckel.
3. Spara dina ändringar.

PowerShell

Om du vill ändra nyckeln med PowerShell anropar du Set-AzStorageAccount och anger det nya nyckelnamnet och den nya versionen. Om den nya nyckeln finns i ett annat nyckelvalv måste du även uppdatera nyckelvalvets URI.

Azure CLI

Om du vill ändra nyckeln med Azure CLI anropar du az storage account update och anger det nya nyckelnamnet och den nya versionen. Om den nya nyckeln finns i ett annat nyckelvalv måste du även uppdatera nyckelvalvets URI.

Om den nya nyckeln finns i ett annat nyckelvalv måste du ge den hanterade identiteten åtkomst till nyckeln i det nya valvet. Om du väljer manuell uppdatering av nyckelversionen måste du också uppdatera nyckelvalvets URI.

Återkalla åtkomst till ett lagringskonto som använder kundhanterade nycklar

Om du tillfälligt vill återkalla åtkomsten till ett lagringskonto som använder kundhanterade nycklar inaktiverar du den nyckel som för närvarande används i nyckelvalvet. Det finns ingen prestandapåverkan eller stilleståndstid som är associerad med inaktivering och återaktivering av nyckeln.

När nyckeln har inaktiverats kan klienter inte anropa åtgärder som läser från eller skriver till en blob eller dess metadata. Information om vilka åtgärder som misslyckas finns i Återkalla åtkomst till ett lagringskonto som använder kundhanterade nycklar.

Varning

När du inaktiverar nyckeln i nyckelvalvet förblir data i ditt Azure Storage-konto krypterade, men de blir otillgängliga tills du kan hämta nyckeln igen.

Azure-portalen

Så här inaktiverar du en kundhanterad nyckel med Azure Portal:

1. Gå till nyckelvalvet som innehåller nyckeln.

2. Under Objekt väljer du Nycklar.

3. Högerklicka på nyckeln och välj Inaktivera.

   

PowerShell

Om du vill återkalla en kundhanterad nyckel med PowerShell anropar du kommandot Update-AzKeyVaultKey enligt följande exempel. Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden för att definiera variablerna, eller använd variablerna som definierats i föregående exempel.

$kvName  = "<key-vault-name>"
$keyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it

# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $keyName -VaultName $kvName

# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $kvName -Name $keyName -Enable $enabled

Azure CLI

Om du vill återkalla en kundhanterad nyckel med Azure CLI anropar du kommandot az keyvault key set-attributes , enligt följande exempel. Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden för att definiera variablerna, eller använd variablerna som definierats i föregående exempel.

kvName="<key-vault-name>"
keyName="<key-name>"
enabled="false"
# "false" to disable the key / "true" to enable it:

# Check the current state of the key (before and after enabling/disabling it)
az keyvault key show \
    --vault-name $kvName \
    --name $keyName

# Disable (or enable) the key
az keyvault key set-attributes \
    --vault-name $kvName \
    --name $keyName \
    --enabled $enabled

Växla tillbaka till Microsoft-hanterade nycklar

Du kan när som helst växla från kundhanterade nycklar tillbaka till Microsoft-hanterade nycklar med hjälp av Azure Portal, PowerShell eller Azure CLI.

Azure-portalen

Följ dessa steg om du vill växla från kundhanterade nycklar tillbaka till Microsoft-hanterade nycklar i Azure Portal:

1. Navigera till ditt lagringskonto.

2. Under Säkerhet + nätverk väljer du Kryptering.

3. Ändra krypteringstyp till Microsoft-hanterade nycklar.

   

PowerShell

Om du vill växla från kundhanterade nycklar tillbaka till Microsoft-hanterade nycklar med PowerShell anropar du Set-AzStorageAccount med -StorageEncryption alternativet, som du ser i följande exempel. Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden och att använda variablerna som definierats i föregående exempel.

Set-AzStorageAccount -ResourceGroupName $storageAccount.ResourceGroupName `
    -AccountName $storageAccount.StorageAccountName `
    -StorageEncryption  

Azure CLI

Om du vill växla från kundhanterade nycklar tillbaka till Microsoft-hanterade nycklar med Azure CLI anropar du az storage account update och anger --encryption-key-source parameter till Microsoft.Storage, enligt följande exempel. Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden och att använda variablerna som definierats i föregående exempel.

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-source Microsoft.Storage

Nästa steg

• Azure Storage-kryptering av vilande data
• Kundhanterade nycklar för Azure Storage-kryptering
• Konfigurera kundhanterade nycklar i ett Azure-nyckelvalv för ett nytt lagringskonto