Erstellen und Verwalten von Verschlüsselungsbereichen

Verschlüsselungsbereiche ermöglichen die Verwaltung der Verschlüsselung auf der Ebene einzelner Blobs oder Container. Sie können Verschlüsselungsbereiche verwenden, um sichere Grenzen zwischen Daten zu erstellen, die sich im selben Speicherkonto befinden, aber zu unterschiedlichen Kunden gehören. Weitere Informationen zu Verschlüsselungsbereichen finden Sie unter Verschlüsselungsbereiche für Blobspeicher.

In diesem Artikel wird gezeigt, wie Sie einen Verschlüsselungsbereich erstellen. Darüber hinaus wird erläutert, wie Sie beim Erstellen eines Blobs oder Containers einen Verschlüsselungsbereich angeben.

Erstellen eines Verschlüsselungsbereichs

Sie können einen Verschlüsselungsbereich erstellen, der mit einem von Microsoft verwalteten Schlüssel oder mit einem kundenseitig verwalteten Schlüssel geschützt ist, der in Azure Key Vault oder in einem Azure Key Vault Managed Hardware Security Model (HSM) gespeichert ist. Zum Erstellen eines Verschlüsselungsbereichs mit einem kundenseitig verwalteten Schlüssel müssen Sie zunächst einen Schlüsseltresor oder ein verwaltetes HSM erstellen und den Schlüssel hinzufügen, den Sie für den Bereich verwenden möchten. Für den Schlüsseltresor oder das verwaltete HSM muss der Löschschutz aktiviert sein.

Das Speicherkonto und der Schlüsseltresor können sich im selben Mandanten oder in verschiedenen Mandanten befinden. Das Speicherkonto und der Schlüsseltresor können sich, so oder so, in verschiedenen Regionen befinden.

Ein Verschlüsselungsbereich wird bei der Erstellung immer automatisch aktiviert. Nach der Erstellung des Verschlüsselungsbereichs können Sie diesen beim Erstellen eines Blobs angeben. Sie können beim Erstellen eines Containers auch einen Standardverschlüsselungsbereich angeben, der automatisch für alle Blobs im Container gilt.

Wenn Sie einen Verschlüsselungsbereich konfigurieren, wird Ihnen mindestens ein Monat (30 Tage) in Rechnung gestellt. Nach dem ersten Monat werden die Gebühren für einen Verschlüsselungsbereich stündlich anteilig berechnet. Weitere Informationen finden Sie unter Abrechnung für Verschlüsselungsbereiche.

Führen Sie die folgenden Schritte aus, um einen Verschlüsselungsbereich im Azure-Portal zu erstellen:

  1. Navigieren Sie zum Speicherkonto im Azure-Portal.

  2. Wählen Sie unter Sicherheit + Netzwerk die Option Verschlüsselung aus.

  3. Wählen Sie die Registerkarte Verschlüsselungsbereiche aus.

  4. Klicken Sie auf die Schaltfläche Hinzufügen, um einen neuen Verschlüsselungsbereich hinzuzufügen.

  5. Geben Sie im Bereich Verschlüsselungsbereich erstellen einen Namen für den neuen Bereich ein.

  6. Wählen Sie den gewünschten Typ der Verschlüsselungsschlüsselunterstützung aus: Von Microsoft verwaltete Schlüssel oder Kundenseitig verwaltete Schlüssel.

    • Wenn Sie Von Microsoft verwaltete Schlüssel ausgewählt haben, klicken Sie auf Erstellen, um den Verschlüsselungsbereich zu erstellen.
    • Wenn Sie Kundenseitig verwaltete Schlüssel ausgewählt haben, wählen Sie ein Abonnement aus. Geben Sie dann einen Schlüsseltresor und einen Schlüssel an, die für diesen Verschlüsselungsbereich verwendet werden sollen. Wenn sich der gewünschte Schlüsseltresor in einer anderen Region befindet, wählen Sie Schlüssel-URI eingeben aus, und geben Sie den Schlüssel-URI an.
  7. Wenn die Infrastrukturverschlüsselung für das Speicherkonto aktiviert wurde, wird sie für den neuen Verschlüsselungsbereich automatisch aktiviert. Andernfalls können Sie auswählen, ob die Infrastrukturverschlüsselung für den Verschlüsselungsbereich aktiviert werden soll.

    Screenshot showing how to create encryption scope in Azure portal

Auflisten der Verschlüsselungsbereiche für das Speicherkonto

Navigieren Sie zum Anzeigen der Verschlüsselungsbereiche für ein Speicherkonto im Azure-Portal zur Einstellung Verschlüsselungsbereiche für das Speicherkonto. In diesem Bereich können Sie einen Verschlüsselungsbereich aktivieren oder deaktivieren oder den Schlüssel für einen Verschlüsselungsbereich ändern.

Screenshot showing list of encryption scopes in Azure portal

Zum Anzeigen von Details für einen kundenseitig verwalteten Schlüssel, einschließlich Schlüssel-URI und -version und ob die Schlüsselversion automatisch aktualisiert wird, folgen Sie dem Link in der Spalte Schlüssel.

Screenshot showing details for a key used with an encryption scope

Erstellen eines Containers mit einem Standardverschlüsselungsbereich

Wenn Sie einen Container erstellen, können Sie einen standardmäßigen Verschlüsselungsbereich angeben. Blobs in diesem Container verwenden dann standardmäßig diesen Bereich.

Ein einzelnes Blob kann mit einem eigenen Verschlüsselungsbereich erstellt werden, sofern der Container nicht so konfiguriert ist, dass alle Blobs den Standardbereich verwenden. Weitere Informationen finden Sie unter Verschlüsselungsbereiche für Container und Blobs.

Wenn Sie einen Container mit einem Standardverschlüsselungsbereich im Azure-Portal erstellen möchten, erstellen Sie zunächst den Verschlüsselungsbereich wie unter Erstellen eines Verschlüsselungsbereichs beschrieben. Führen Sie anschließend die folgenden Schritte aus, um den Container zu erstellen:

  1. Navigieren Sie zur Liste der Container in Ihrem Speicherkonto, und wählen Sie die Schaltfläche Hinzufügen aus, um einen neuen Container zu erstellen.

  2. Erweitern Sie im Bereich Neuer Container die Einstellungen unter Erweitert.

  3. Wählen Sie in der Dropdownliste Verschlüsselungsbereich den Standardverschlüsselungsbereich für den Container aus.

  4. Wenn alle Blobs im Container den Standardverschlüsselungsbereich verwenden sollen, aktivieren Sie das Kontrollkästchen Use this encryption scope for all blobs in the container (Diesen Verschlüsselungsbereich für alle Blobs im Container verwenden). Ist dieses Kontrollkästchen aktiviert, kann ein einzelnes Blob im Container den Verschlüsselungsbereich nicht überschreiben.

    Screenshot showing container with default encryption scope

Versucht ein Client, einen Bereich anzugeben, wenn ein Blob in einen Container mit einem Standardverschlüsselungsbereich hochgeladen wird und der Container so konfiguriert ist, dass Blobs den Standardbereich nicht überschreiben können, tritt bei diesem Vorgang ein Fehler auf. Eine Meldung wird angezeigt, die angibt, dass die Anforderung durch die Containerverschlüsselungsrichtlinie untersagt wird.

Hochladen eines Blobs mit einem Verschlüsselungsbereich

Beim Hochladen eines Blobs können Sie einen Verschlüsselungsbereich für das Blob angeben oder den Standardverschlüsselungsbereich für den Container verwenden, sofern einer angegeben wurde.

Hinweis

Wenn Sie ein neues Blob mit einem Verschlüsselungsbereich hochladen, können Sie die Standardzugriffsebene für dieses Blob nicht ändern. Die Zugriffsebene für ein vorhandenes Blob, das einen Verschlüsselungsbereich verwendet, kann ebenfalls nicht geändert werden. Weitere Informationen zu Zugriffsebenen finden Sie unter Zugriffsebenen „Heiß“, „Kalt“ und „Archiv“ für Blobdaten.

Wenn Sie ein Blob hochladen und den Verschlüsselungsbereich über das Azure-Portal angeben möchten, erstellen Sie zunächst den Verschlüsselungsbereich wie unter Erstellen eines Verschlüsselungsbereichs beschrieben. Führen Sie anschließend die folgenden Schritte aus, um das Blob zu erstellen:

  1. Navigieren Sie zu dem Container, in den Sie das Blob hochladen möchten.

  2. Wählen Sie die Schaltfläche Hochladen aus, und navigieren Sie zum hochzuladenden Blob.

  3. Erweitern Sie im Bereich Blob hochladen die Einstellungen unter Erweitert.

  4. Navigieren Sie zum Dropdownmenü im Abschnitt Verschlüsselungsbereich. Standardmäßig wird das Blob mit dem Standardverschlüsselungsbereich für den Container erstellt, sofern einer angegeben wurde. Wenn der Container erfordert, dass Blobs den Standardverschlüsselungsbereich verwenden, ist dieser Abschnitt deaktiviert.

  5. Wenn Sie einen anderen Bereich für das hochzuladende Blob angeben möchten, wählen Sie Vorhandenen Bereich auswählen und dann in der Dropdownliste den gewünschten Bereich aus.

    Screenshot showing how to upload a blob with an encryption scope

Ändern des Verschlüsselungsschlüssels für einen Bereich

Wenn Sie den Schlüssel, der einen Verschlüsselungsbereich schützt, von einem von Microsoft verwalteten Schlüssel in einen kundenseitig verwalteten Schlüssel ändern möchten, vergewissern Sie sich zunächst, dass Sie kundenseitig verwaltete Schlüssel mit Azure Key Vault oder Key Vault HSM für das Speicherkonto aktiviert haben. Weitere Informationen finden Sie unter Konfigurieren der Verschlüsselung mit kundenseitig verwalteten Schlüsseln, die in Azure Key Vault gespeichert sind oder Konfigurieren der Verschlüsselung mit kundenseitig verwalteten Schlüsseln, die in Azure Key Vault Managed HSM gespeichert sind.

Führen Sie die folgenden Schritte aus, um den Schlüssel zu ändern, der einen Bereich im Azure-Portal schützt:

  1. Navigieren Sie zur Registerkarte Verschlüsselungsbereiche, um die Liste der Verschlüsselungsbereiche für das Speicherkonto anzuzeigen.
  2. Wählen Sie neben dem Bereich, den Sie ändern möchten, die Schaltfläche Mehr aus.
  3. Im Bereich Verschlüsselungsbereich bearbeiten können Sie den Verschlüsselungstyp von „Von Microsoft verwaltete Schlüssel“ in „Kundenseitig verwaltete Schlüssel“ ändern und umgekehrt.
  4. Wählen Sie zum Auswählen eines neuen kundenseitig verwalteten Schlüssels die Option Neuen Schlüssel verwenden aus, und geben Sie den Schlüsseltresor, den Schlüssel und die Schlüsselversion an.

Deaktivieren eines Verschlüsselungsbereichs

Deaktivieren Sie alle Verschlüsselungsbereiche, die nicht benötigt werden, um unnötige Gebühren zu vermeiden. Weitere Informationen finden Sie unter Abrechnung für Verschlüsselungsbereiche.

Navigieren Sie zum Deaktivieren eines Verschlüsselungsbereichs im Azure-Portal zur Einstellung Verschlüsselungsbereiche für das Speicherkonto, und wählen Sie den gewünschten Verschlüsselungsbereich und dann Deaktivieren aus.

Nächste Schritte