Konfigurace klíčů spravovaných zákazníkem napříč tenanty pro existující účet úložiště

Přihlaste se k webu Azure Portal a postupujte podle těchto kroků.

Zprostředkovatel služeb konfiguruje identity.

Následující kroky provádí poskytovatel služeb v tenantovi tenanta poskytovatele služeb 1.

Poskytovatel služeb vytvoří novou registraci aplikace s více tenanty.

Můžete buď vytvořit novou registraci aplikace Microsoft Entra pro více tenantů, nebo začít s existující registrací aplikace s více tenanty. Pokud začínáte s existující registrací aplikace, poznamenejte si ID aplikace (ID klienta) aplikace.

Vytvoření nové registrace:

1. Do vyhledávacího pole vyhledejte ID Microsoft Entra. Vyhledejte a vyberte rozšíření Microsoft Entra ID .

2. V levém podokně vyberte Spravovat > Registrace aplikací.

3. Vyberte + Nová registrace.

4. Zadejte název registrace aplikace a vyberte Účet v libovolném organizačním adresáři (Libovolný adresář Microsoft Entra – Víceklient).

5. Vyberte Zaregistrovat.

6. Poznamenejte si ID aplikace nebo CLIENTID aplikace.

   

Poskytovatel služeb vytvoří spravovanou identitu přiřazenou uživatelem.

Vytvořte spravovanou identitu přiřazenou uživatelem, která se použije jako přihlašovací údaje federované identity.

1. Ve vyhledávacím poli vyhledejte spravované identity . Vyhledejte a vyberte rozšíření Spravované identity .

2. Vyberte + Vytvořit.

3. Zadejte skupinu prostředků, oblast a název spravované identity.

4. Vyberte Zkontrolovat a vytvořit.

5. Při úspěšném nasazení si poznamenejte Id prostředku Azure spravované identity přiřazené uživatelem, která je k dispozici v části Vlastnosti. Příklad:

   /subscriptions/tttttttt-0000-tttt-0000-tttt0000tttt/resourcegroups/XTCMKDemo/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ConsotoCMKDemoUA

   

Zprostředkovatel služeb nakonfiguruje spravovanou identitu přiřazenou uživatelem jako federované přihlašovací údaje v aplikaci.

Nakonfigurujte spravovanou identitu přiřazenou uživatelem jako přihlašovací údaje federované identity v aplikaci, aby se zosobněla identita aplikace.

1. Přejděte na Microsoft Entra ID > Registrace aplikací > vaší aplikaci.

2. Vyberte Certifikáty a tajné kódy.

3. Vyberte federované přihlašovací údaje.

   

4. Vyberte + Přidat přihlašovací údaje.

5. V části Scénář federovaných přihlašovacích údajů vyberte Klíče spravované zákazníkem.

6. Klikněte na Vybrat spravovanou identitu. V podokně vyberte předplatné. V části Spravovaná identita vyberte spravovanou identitu přiřazenou uživatelem. V poli Vybrat vyhledejte spravovanou identitu, kterou jste vytvořili dříve, a potom klikněte na vybrat v dolní části podokna.

   

7. V části Podrobnosti přihlašovacích údajů zadejte název a volitelný popis přihlašovacích údajů a vyberte Přidat.

   

Pokud chcete ke konfiguraci tenanta isV použít Azure PowerShell, nainstalujte nejnovější modul Az . Další informace o instalaci PowerShellu najdete v tématu Instalace Azure PowerShellu ve Windows pomocí modulu PowerShellGet.

• Pokud se rozhodnete používat Azure PowerShell místně:
  • Nainstalujte nejnovější verzi modulu Az PowerShell.
  • Připojte se ke svému účtu Azure pomocí rutiny Connect-AzAccount .
• Pokud se rozhodnete použít Azure Cloud Shell:
  • Další informace najdete v přehledu služby Azure Cloud Shell .

Zprostředkovatel služeb konfiguruje identity.

Následující kroky provádí poskytovatel služeb (ISV) v tenantovi poskytovatele služeb Tenant1.

Poskytovatel služeb se přihlásí k Azure.

V Azure PowerShellu se přihlaste k tenantovi isV a nastavte aktivní předplatné na předplatné nezávislých výrobců softwaru.

$isvTenantId="<isv-tenant-id>"
$isvSubscriptionId="<isv-subscription-id>"

# Sign in to Azure in the ISV's tenant.
Connect-AzAccount -Tenant $isvTenantId
# Set the context to the ISV's subscription.
Set-AzContext -Subscription $isvSubscriptionId

Poskytovatel služeb vytvoří novou registraci aplikace s více tenanty.

Vyberte název aplikace zaregistrované pro více tenantů v Tenant1 a vytvořte aplikaci s více tenanty na webu Azure Portal.

Název, který zadáte pro aplikaci s více tenanty, používá zákazník k identifikaci aplikace v Tenant2. Poznamenejte si ID objektu a ID aplikace. Tyto hodnoty budete potřebovat v dalších krocích.

$multiTenantAppName="<multi-tenant-app>"
$multiTenantApp = New-AzADApplication -DisplayName $multiTenantAppName `
    -SignInAudience AzureADMultipleOrgs

# Object ID for the new multi-tenant app
$objectId = $multiTenantApp.Id
# Application (client) ID for the multi-tenant app
$multiTenantAppObjectId = $multiTenantApp.AppId

Poskytovatel služeb vytvoří spravovanou identitu přiřazenou uživatelem.

Přihlaste se k tenantovi isV a pak vytvořte spravovanou identitu přiřazenou uživatelem, která se použije jako přihlašovací údaje federované identity. Pokud chcete vytvořit novou spravovanou identitu přiřazenou uživatelem, musíte mít přiřazenou roli, která zahrnuje akci Microsoft.ManagedIdentity/userAssignedIdentities/write .

$isvRgName="<isv-resource-group>"
$isvLocation="<location>"
$userIdentityName="<user-assigned-managed-identity>"

# Create a new resource group in the ISV's subscription.
New-AzResourceGroup -Location $isvLocation -ResourceGroupName $isvRgName

# Create the new user-assigned managed identity.
$userIdentity = New-AzUserAssignedIdentity -Name $userIdentityName `
    -ResourceGroupName $isvRgName `
    -Location $isvLocation `
    -SubscriptionId $isvSubscriptionId

Zprostředkovatel služeb nakonfiguruje spravovanou identitu přiřazenou uživatelem jako federované přihlašovací údaje v aplikaci.

Nakonfigurujte spravovanou identitu přiřazenou uživatelem jako přihlašovací údaje federované identity v aplikaci, aby se zosobněla identita aplikace.

Pokud chcete nakonfigurovat přihlašovací údaje federované identity z PowerShellu, nejprve nainstalujte verzi 6.3.0 nebo novější modulu Az.Resources .

New-AzADAppFederatedCredential -ApplicationObjectId $multiTenantApp.Id `
    -Name "MyFederatedIdentityCredential" `
    -Audience "api://AzureADTokenExchange" `
    -Issuer "https://login.microsoftonline.com/<tenant-id>/v2.0" `
    -Subject $userIdentity.PrincipalId `
    -Description "Federated Identity Credential for CMK"

• Použijte prostředí Bash v Azure Cloud Shellu. Další informace najdete v tématu Rychlý start pro Bash v Azure Cloud Shellu.

  

• Pokud dáváte přednost místnímu spouštění referenčních příkazů rozhraní příkazového řádku, nainstalujte Azure CLI. Pokud používáte Windows nebo macOS, zvažte spuštění Azure CLI v kontejneru Docker. Další informace najdete v tématu Jak spustit Azure CLI v kontejneru Dockeru.

  • Pokud používáte místní instalaci, přihlaste se k Azure CLI pomocí příkazu az login. Pokud chcete dokončit proces ověřování, postupujte podle kroků zobrazených na terminálu. Další možnosti přihlášení najdete v tématu Přihlášení pomocí Azure CLI.

  • Po zobrazení výzvy nainstalujte rozšíření Azure CLI při prvním použití. Další informace o rozšířeních najdete v tématu Využití rozšíření v Azure CLI.

  • Spuštěním příkazu az version zjistěte verzi a závislé knihovny, které jsou nainstalované. Pokud chcete upgradovat na nejnovější verzi, spusťte az upgrade.

Zprostředkovatel služeb konfiguruje identity.

Následující kroky provádí poskytovatel služeb v tenantovi tenanta poskytovatele služeb 1.

Poskytovatel služeb se přihlásí k Azure.

Přihlaste se k Azure a použijte Azure CLI.

az login

Poskytovatel služeb vytvoří novou registraci aplikace s více tenanty.

Vyberte název aplikace s více tenanty v tenantovi1 a vytvořte aplikaci s více tenanty na webu Azure Portal.

Název, který zadáte pro aplikaci s více tenanty, používá zákazník k identifikaci aplikace v Tenant2. Zkopírujte ID aplikace (nebo ID klienta), ID objektu aplikace a také ID tenanta aplikace. Tyto hodnoty budete potřebovat v následujících krocích.

multiTenantAppName="<multi-tenant-app>"
multiTenantAppObjectId=$(az ad app create --display-name $multiTenantAppName \
    --sign-in-audience AzureADMultipleOrgs \
    --query id \
    --output tsv)

multiTenantAppId=$(az ad app show --id $multiTenantAppObjectId --query appId --output tsv)

Poskytovatel služeb vytvoří spravovanou identitu přiřazenou uživatelem.

Přihlaste se k tenantovi isV a pak vytvořte spravovanou identitu přiřazenou uživatelem, která se použije jako přihlašovací údaje federované identity. Pokud chcete vytvořit novou spravovanou identitu přiřazenou uživatelem, musíte mít přiřazenou roli, která zahrnuje akci Microsoft.ManagedIdentity/userAssignedIdentities/write .

isvSubscriptionId="<isv-subscription-id>"
isvRgName="<isv-resource-group>"
isvLocation="<location>"
userIdentityName="<user-assigned-managed-identity>"

az group create --location $isvLocation \
    --resource-group $isvRgName \
    --subscription $isvSubscriptionId

principalId=$(az identity create --name $userIdentityName \
    --resource-group $isvRgName \
    --location $isvLocation \
    --subscription $isvSubscriptionId \
    --query principalId \
    --out tsv)

Zprostředkovatel služeb nakonfiguruje spravovanou identitu přiřazenou uživatelem jako federované přihlašovací údaje v aplikaci.

Spuštěním metody az ad app federated-credential create nakonfigurujte přihlašovací údaje federované identity v aplikaci a vytvořte vztah důvěryhodnosti s externím zprostředkovatelem identity.

Použijte api://AzureADTokenExchange jako audience hodnotu v přihlašovacích údajích federované identity. Další podrobnosti najdete v referenčních informacích k rozhraní API.

# Create a file named "credential.json" with the following content.
# Replace placeholders in angle brackets with your own values.
{
    "name": "MyFederatedIdentityCredential",
    "issuer": "https://login.microsoftonline.com/<tenantID>/v2.0",
    "subject": "<user-assigned-identity-principal-id>",
    "description": "Federated Identity Credential for CMK",
    "audiences": [
        "api://AzureADTokenExchange"
    ]
}

az ad app federated-credential create --id $multiTenantAppObjectId --parameters credential.json

Přihlaste se k webu Azure Portal a postupujte podle těchto kroků.

Zákazník nainstaluje aplikaci poskytovatele služeb do tenanta zákazníka.

Pokud chcete nainstalovat zaregistrovanou aplikaci poskytovatele služeb v tenantovi zákazníka, vytvoříte instanční objekt s ID aplikace z registrované aplikace. Instanční objekt můžete vytvořit některým z následujících způsobů:

• K ručnímu vytvoření instančního objektu použijte Microsoft Graph, Microsoft Graph PowerShell, Azure PowerShell nebo Azure CLI .
• Vytvořte adresu URL souhlasu správce a udělte souhlas tenanta pro vytvoření instančního objektu. Budete je muset zadat s ID vaší aplikace.

Zákazník vytvoří trezor klíčů.

Pokud chcete vytvořit trezor klíčů, musí mít účet uživatele přiřazenou roli Přispěvatel služby Key Vault nebo jinou roli, která umožňuje vytvoření trezoru klíčů.

1. V nabídce webu Azure Portal nebo na domovské stránce vyberte + Vytvořit prostředek. Do vyhledávacího pole zadejte trezory klíčů. V seznamu výsledků vyberte trezory klíčů. Na stránce Trezory klíčů vyberte Vytvořit.

2. Na kartě Základy zvolte předplatné. V části Skupina prostředků vyberte Vytvořit nový a zadejte název skupiny prostředků.

3. Zadejte jedinečný název trezoru klíčů.

4. Vyberte oblast a cenovou úroveň.

5. Povolte ochranu před vymazáním pro nový trezor klíčů.

6. Na kartě Zásady přístupu vyberte řízení přístupu na základě role Azure pro model oprávnění.

7. Vyberte Zkontrolovat a vytvořit a pak Vytvořit.

   

Poznamenejte si název trezoru klíčů a aplikace URI, které přistupuje k trezoru klíčů, musí používat tento identifikátor URI.

Další informace najdete v tématu Rychlý start – Vytvoření služby Azure Key Vault pomocí webu Azure Portal.

Zákazník přiřadí roli kryptografického důstojníka služby Key Vault k uživatelskému účtu.

Tento krok zajistí, že můžete vytvořit šifrovací klíče.

1. Přejděte do trezoru klíčů a v levém podokně vyberte Řízení přístupu (IAM ).
2. V části Udělit přístup k tomuto zdroji vyberte Přidat přiřazení role.
3. Vyhledejte a vyberte kryptografický důstojník služby Key Vault.
4. V části Členové vyberte Uživatele, skupinu nebo instanční objekt.
5. Vyberte Členy a vyhledejte svůj uživatelský účet.
6. Vyberte Zkontrolovat + přiřadit.

Zákazník vytvoří šifrovací klíč.

Pokud chcete vytvořit šifrovací klíč, musí mít účet uživatele přiřazenou roli kryptografického důstojníka služby Key Vault nebo jinou roli, která umožňuje vytvoření klíče.

1. Na stránce vlastností služby Key Vault vyberte Klíče.
2. Vyberte Generovat/importovat.
3. Na obrazovce Vytvořit klíč zadejte název klíče. U ostatních hodnot ponechte jejich výchozí nastavení.
4. Vyberte Vytvořit.
5. Zkopírujte identifikátor URI klíče.

Zákazník udělí aplikaci poskytovatele služeb přístup k trezoru klíčů.

Přiřaďte uživateli šifrování kryptografických služeb služby Key Vault role Azure RBAC zaregistrované aplikaci poskytovatele služeb, aby mohl přistupovat k trezoru klíčů.

1. Přejděte do trezoru klíčů a v levém podokně vyberte Řízení přístupu (IAM ).
2. V části Udělit přístup k tomuto zdroji vyberte Přidat přiřazení role.
3. Vyhledejte a vyberte uživatele šifrování šifrovací služby Key Vault.
4. V části Členové vyberte Uživatele, skupinu nebo instanční objekt.
5. Vyberte Členy a vyhledejte název aplikace, kterou jste nainstalovali od poskytovatele služeb.
6. Vyberte Zkontrolovat + přiřadit.

Teď můžete nakonfigurovat klíče spravované zákazníkem pomocí identifikátoru URI a klíče trezoru klíčů.

Pokud chcete ke konfiguraci tenanta klienta použít Azure PowerShell, nainstalujte nejnovější modul Az . Další informace o instalaci PowerShellu najdete v tématu Instalace Azure PowerShellu ve Windows pomocí modulu PowerShellGet.

• Pokud se rozhodnete používat Azure PowerShell místně:
  • Nainstalujte nejnovější verzi modulu Az PowerShell.
  • Připojte se ke svému účtu Azure pomocí rutiny Connect-AzAccount .
• Pokud se rozhodnete použít Azure Cloud Shell:
  • Další informace najdete v přehledu služby Azure Cloud Shell .

Zákazník se přihlásí k Azure.

V Azure PowerShellu se přihlaste k tenantovi zákazníka a nastavte aktivní předplatné na předplatné zákazníka.

$customerTenantId="<customer-tenant-id>"
$customerSubscriptionId="<customer-subscription-id>"

# Sign in to Azure in the customer's tenant.
Connect-AzAccount -Tenant $customerTenantId
# Set the context to the customer's subscription.
Set-AzContext -Subscription $customerSubscriptionId

Zákazník nainstaluje aplikaci poskytovatele služeb do tenanta zákazníka.

Jakmile obdržíte ID aplikace poskytovatele služeb s více tenanty, nainstalujte aplikaci do tenanta Tenant2 vytvořením instančního objektu.

V tenantovi, ve kterém plánujete vytvořit trezor klíčů, spusťte následující příkazy.

$customerRgName="<customer-resource-group>"
$customerLocation="<location>"
$multiTenantAppId="<multi-tenant-app-id>" # appId value from Tenant1 

# Create a resource group in the customer's subscription.
New-AzResourceGroup -Location $customerLocation -ResourceGroupName $customerRgName

# Create the service principal with the registered app's application ID (client ID).
$servicePrincipal = New-AzADServicePrincipal -ApplicationId $multiTenantAppId

Zákazník vytvoří trezor klíčů.

Pokud chcete vytvořit trezor klíčů, musí mít účet zákazníka přiřazenou roli Přispěvatel služby Key Vault nebo jinou roli, která umožňuje vytvoření trezoru klíčů.

$kvName="<key-vault>"

$kv = New-AzKeyVault -Location $customerLocation `
    -Name $kvName `
    -ResourceGroupName $customerRgName `
    -SubscriptionId $customerSubscriptionId `
    -EnablePurgeProtection `
    -EnableRbacAuthorization

Zákazník přiřadí roli kryptografického důstojníka služby Key Vault k uživatelskému účtu.

Přiřaďte roli kryptografického důstojníka služby Key Vault k uživatelskému účtu. Tento krok zajistí, že uživatel může vytvořit trezor klíčů a šifrovací klíče. Následující příklad přiřadí roli aktuálnímu přihlášeného uživateli.

$currentUserObjectId = (Get-AzADUser -SignedIn).Id

New-AzRoleAssignment -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $kv.ResourceId `
    -ObjectId $currentUserObjectId

Zákazník vytvoří šifrovací klíč.

Pokud chcete vytvořit šifrovací klíč, musí mít účet uživatele přiřazenou roli kryptografického důstojníka služby Key Vault nebo jinou roli, která umožňuje vytvoření klíče.

$keyName="<key-name>"

Add-AzKeyVaultKey -Name $keyName `
    -VaultName $kvName `
    -Destination software

Zákazník udělí aplikaci poskytovatele služeb přístup k trezoru klíčů.

Pomocí instančního objektu, který jste vytvořili dříve, přiřaďte uživateli šifrování kryptografických služeb služby Key Vault role Key Vault Služby Key Vault prostřednictvím dříve vytvořeného instančního objektu, aby mohl přistupovat k trezoru klíčů.

New-AzRoleAssignment -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $kv.ResourceId `
    -ObjectId $servicePrincipal.Id

Teď můžete nakonfigurovat klíče spravované zákazníkem pomocí identifikátoru URI a klíče trezoru klíčů.

• Použijte prostředí Bash v Azure Cloud Shellu. Další informace najdete v tématu Rychlý start pro Bash v Azure Cloud Shellu.

  

• Pokud dáváte přednost místnímu spouštění referenčních příkazů rozhraní příkazového řádku, nainstalujte Azure CLI. Pokud používáte Windows nebo macOS, zvažte spuštění Azure CLI v kontejneru Docker. Další informace najdete v tématu Jak spustit Azure CLI v kontejneru Dockeru.

  • Pokud používáte místní instalaci, přihlaste se k Azure CLI pomocí příkazu az login. Pokud chcete dokončit proces ověřování, postupujte podle kroků zobrazených na terminálu. Další možnosti přihlášení najdete v tématu Přihlášení pomocí Azure CLI.

  • Po zobrazení výzvy nainstalujte rozšíření Azure CLI při prvním použití. Další informace o rozšířeních najdete v tématu Využití rozšíření v Azure CLI.

  • Spuštěním příkazu az version zjistěte verzi a závislé knihovny, které jsou nainstalované. Pokud chcete upgradovat na nejnovější verzi, spusťte az upgrade.

Zákazník se přihlásí k Azure.

Přihlaste se k Azure a použijte Azure CLI.

az login

Zákazník nainstaluje aplikaci poskytovatele služeb do tenanta zákazníka.

Jakmile obdržíte ID aplikace poskytovatele služeb s více tenanty, nainstalujte aplikaci do tenanta 2 pomocí následujícího příkazu. Instalace aplikace vytvoří instanční objekt ve vašem tenantovi.

V tenantovi, ve kterém plánujete vytvořit trezor klíčů, spusťte následující příkazy.

# Create the service principal with the registered app's application ID (client ID)
multiTenantAppId="<multi-tenant-app-id>"
az ad sp create --id $multiTenantAppId --query id --out tsv

Zákazník vytvoří trezor klíčů.

Pokud chcete vytvořit trezor klíčů, musí mít účet zákazníka přiřazenou roli Přispěvatel služby Key Vault nebo jinou roli, která umožňuje vytvoření trezoru klíčů.

customerSubscriptionId="<customer-subscription-id>"
customerRgName="<customer-resource-group>"
customerLocation="<location>"
kvName="<key-vault>"

az group create --location $customerLocation \
    --name $customerRgName

az keyvault create --name $kvName \
    --location $customerLocation \
    --resource-group $customerRgName \
    --subscription $customerSubscriptionId \
    --enable-purge-protection true \
    --enable-rbac-authorization true

Zákazník přiřadí roli kryptografického důstojníka služby Key Vault k uživatelskému účtu.

Tento krok zajistí, že můžete vytvořit trezor klíčů a šifrovací klíče.

currentUserObjectId=$(az ad signed-in-user show --query id --output tsv)

kvResourceId=$(az keyvault show --resource-group $customerRgName \
    --name $kvName \
    --query id \
    --output tsv)

az role assignment create --role "Key Vault Crypto Officer" \
    --scope $kvResourceId \
    --assignee-object-id $currentUserObjectId

Zákazník vytvoří šifrovací klíč.

Pokud chcete vytvořit šifrovací klíč, musí mít účet uživatele přiřazenou roli kryptografického důstojníka služby Key Vault nebo jinou roli, která umožňuje vytvoření klíče.

keyName="<key-name>"
az keyvault key create --name $keyName --vault-name $kvName

Zákazník udělí aplikaci poskytovatele služeb přístup k trezoru klíčů.

Pomocí instančního objektu, který jste vytvořili dříve, přiřaďte uživateli šifrování kryptografických služeb služby Key Vault role Key Vault Služby Key Vault prostřednictvím dříve vytvořeného instančního objektu, aby k trezoru klíčů mohl přistupovat zaregistrovaná aplikace.

servicePrincipalId=$(az ad sp show --id $multiTenantAppId --query id --output tsv)

az role assignment create --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId \
    --assignee-object-id $servicePrincipalId

Teď můžete nakonfigurovat klíče spravované zákazníkem pomocí identifikátoru URI a klíče trezoru klíčů.

Pokud chcete nakonfigurovat klíče spravované zákazníkem napříč tenanty pro existující účet úložiště na webu Azure Portal, postupujte takto:

1. Přejděte ke svému účtu úložiště.

2. V části Zabezpečení a sítě vyberte Šifrování. Ve výchozím nastavení je správa klíčů nastavená na klíče spravované Microsoftem, jak je znázorněno na následujícím obrázku.

   

3. Vyberte možnost Klíče spravované zákazníkem.

4. Zvolte možnost Vybrat ze služby Key Vault.

5. Vyberte Enter key URI a zadejte identifikátor URI klíče. Pokud chcete, aby služba Azure Storage automaticky zkontrolovala novou verzi klíče a aktualizovala ji, vynecháte verzi klíče z identifikátoru URI.

6. Vyberte předplatné, které obsahuje trezor klíčů a klíč.

7. V poli Typ identity vyberte Uživatelem přiřazenou a potom zadejte spravovanou identitu s přihlašovacími údaji federované identity, které jste vytvořili dříve.

8. Rozbalte část Upřesnit a vyberte aplikaci zaregistrovanou pro více tenantů, kterou jste dříve vytvořili v tenantovi nezávislých výrobců softwaru.

   

9. Uložte provedené změny.

Po zadání klíče z trezoru klíčů v tenantovi zákazníka azure Portal indikuje, že klíče spravované zákazníkem jsou s tímto klíčem nakonfigurované. Označuje také, že je povolená automatická aktualizace verze klíče a zobrazuje verzi klíče, která se aktuálně používá pro šifrování. Portál také zobrazuje typ spravované identity, který se používá k autorizaci přístupu k trezoru klíčů, ID objektu zabezpečení pro spravovanou identitu a ID aplikace s více tenanty.

Pokud chcete nakonfigurovat klíče spravované zákazníkem napříč tenanty pro nový účet úložiště pomocí PowerShellu, nejprve nainstalujte modul Az.Storage PowerShell verze 5.1.0 nebo novější. Tento modul se nainstaluje s modulem Az PowerShell verze 9.1.0 nebo novějším.

Dále zavolejte Set-AzStorageAccount a zadejte ID prostředku pro spravovanou identitu přiřazenou uživatelem, kterou jste nakonfigurovali dříve v předplatném isV, a ID aplikace (klienta) pro aplikaci s více tenanty, kterou jste nakonfigurovali dříve v předplatném isV. Zadejte identifikátor URI trezoru klíčů a název klíče z trezoru klíčů zákazníka.

Nezapomeňte nahradit zástupné hodnoty v závorkách vlastními hodnotami a použít proměnné definované v předchozích příkladech.

$accountName = "<storage-account>"
$kvUri = "<key-vault-uri>"
$keyName = "<key-name>"
$multiTenantAppId = "<multi-tenant-app-id>"

Set-AzStorageAccount -ResourceGroupName $isvRgName `
    -Name $accountName `
    -KeyvaultEncryption `
    -UserAssignedIdentityId $userIdentity.Id `
    -IdentityType SystemAssignedUserAssigned `
    -KeyName $keyName `
    -KeyVaultUri $kvUri `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id `
    -KeyVaultFederatedClientId $multiTenantAppId 

Pokud chcete nakonfigurovat klíče spravované zákazníkem napříč tenanty pro existující účet úložiště pomocí Azure CLI, nejprve nainstalujte Azure CLI verze 2.42.0 nebo novější. Další informace o instalaci Azure CLI najdete v tématu Postup instalace Azure CLI.

Dále zavolejte az storage account update, zadejte ID prostředku pro spravovanou identitu přiřazenou uživatelem, kterou jste nakonfigurovali dříve v předplatném isV, a ID aplikace (klienta) pro aplikaci s více tenanty, kterou jste nakonfigurovali dříve v předplatném nezávislých výrobců softwaru. Zadejte identifikátor URI trezoru klíčů a název klíče z trezoru klíčů zákazníka.

Nezapomeňte nahradit zástupné hodnoty v závorkách vlastními hodnotami a použít proměnné definované v předchozích příkladech.

accountName="<storage-account>"
kvUri="<key-vault-uri>"
keyName="<key-name>"
multiTenantAppId="<multi-tenant-app-id>" # appId value from multi-tenant app

# Get the resource ID for the user-assigned managed identity.
identityResourceId=$(az identity show --name $userIdentityName \
    --resource-group $isvRgName \
    --query id \
    --output tsv)

az storage account update --name $accountName \
    --resource-group $isvRgName \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-vault $kvUri \
    --encryption-key-name $keyName \
    --encryption-key-source Microsoft.Keyvault \
    --key-vault-user-identity-id $identityResourceId \
    --key-vault-federated-client-id $multiTenantAppId

Pokud chcete změnit klíč pomocí webu Azure Portal, postupujte takto:

1. Přejděte do svého účtu úložiště a zobrazte nastavení šifrování .
2. Vyberte trezor klíčů a zvolte nový klíč.
3. Uložte provedené změny.

Pokud chcete změnit klíč pomocí PowerShellu, zavolejte Set-AzStorageAccount a zadejte název a verzi nového klíče. Pokud je nový klíč v jiném trezoru klíčů, musíte také aktualizovat identifikátor URI trezoru klíčů.

Pokud chcete změnit klíč pomocí Azure CLI, zavolejte az storage account update a zadejte název a verzi nového klíče. Pokud je nový klíč v jiném trezoru klíčů, musíte také aktualizovat identifikátor URI trezoru klíčů.

Pokud chcete pomocí webu Azure Portal zakázat klíč spravovaný zákazníkem, postupujte takto:

1. Přejděte do trezoru klíčů, který tento klíč obsahuje.

2. V části Objekty vyberte Klíče.

3. Klikněte pravým tlačítkem myši na klíč a vyberte Zakázat.

   

Pokud chcete odvolat klíč spravovaný zákazníkem pomocí PowerShellu , zavolejte příkaz Update-AzKeyVaultKey , jak je znázorněno v následujícím příkladu. Nezapomeňte nahradit zástupné hodnoty v hranatých závorkách vlastními hodnotami k definování proměnných nebo použít proměnné definované v předchozích příkladech.

$kvName  = "<key-vault-name>"
$keyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it

# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $keyName -VaultName $kvName

# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $kvName -Name $keyName -Enable $enabled

Pokud chcete odvolat klíč spravovaný zákazníkem pomocí Azure CLI, zavolejte příkaz az keyvault key set-attributes , jak je znázorněno v následujícím příkladu. Nezapomeňte nahradit zástupné hodnoty v hranatých závorkách vlastními hodnotami k definování proměnných nebo použít proměnné definované v předchozích příkladech.

kvName="<key-vault-name>"
keyName="<key-name>"
enabled="false"
# "false" to disable the key / "true" to enable it:

# Check the current state of the key (before and after enabling/disabling it)
az keyvault key show \
    --vault-name $kvName \
    --name $keyName

# Disable (or enable) the key
az keyvault key set-attributes \
    --vault-name $kvName \
    --name $keyName \
    --enabled $enabled

Pokud chcete přejít z klíčů spravovaných zákazníkem zpět na klíče spravované Microsoftem na webu Azure Portal, postupujte takto:

1. Přejděte ke svému účtu úložiště.

2. V části Zabezpečení a sítě vyberte Šifrování.

3. Změňte typ šifrování na klíče spravované Microsoftem.

   

Pokud chcete přepnout z klíčů spravovaných zákazníkem zpět na klíče spravované Microsoftem pomocí PowerShellu, zavolejte Set-AzStorageAccount s -StorageEncryption možností, jak je znázorněno v následujícím příkladu. Nezapomeňte nahradit zástupné hodnoty v závorkách vlastními hodnotami a použít proměnné definované v předchozích příkladech.

Set-AzStorageAccount -ResourceGroupName $storageAccount.ResourceGroupName `
    -AccountName $storageAccount.StorageAccountName `
    -StorageEncryption  

Pokud chcete přepnout z klíčů spravovaných zákazníkem zpět na klíče spravované Microsoftem pomocí Azure CLI, zavolejte az storage account update a nastavte --encryption-key-source parameter na hodnotu Microsoft.Storage, jak je znázorněno v následujícím příkladu. Nezapomeňte nahradit zástupné hodnoty v závorkách vlastními hodnotami a použít proměnné definované v předchozích příkladech.

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-source Microsoft.Storage