Creare un account che supporti le chiavi gestite dal cliente per tabelle e code

Archiviazione di Azure crittografa tutti i dati in un account di archiviazione inattivo. Per impostazione predefinita, l'archiviazione code e l'archiviazione tabelle usano una chiave con ambito per il servizio e gestita da Microsoft. È anche possibile scegliere di usare chiavi gestite dal cliente per crittografare i dati della coda o della tabella. Per usare chiavi gestite dal cliente con code e tabelle, è innanzitutto necessario creare un account di archiviazione che usa una chiave di crittografia con ambito per l'account, anziché per il servizio. Dopo aver creato un account che usa la chiave di crittografia dell'account per i dati della coda e della tabella, è possibile configurare le chiavi gestite dal cliente per tale account di archiviazione.

Questo articolo descrive come creare un account di archiviazione basato su una chiave con ambito per l'account. Quando l'account viene creato per la prima volta, Microsoft usa la chiave dell'account per crittografare i dati nell'account e Microsoft gestisce la chiave. Successivamente è possibile configurare le chiavi gestite dal cliente per l'account per sfruttare questi vantaggi, inclusa la possibilità di fornire chiavi personalizzate, aggiornare la versione della chiave, ruotare le chiavi e revocare i controlli di accesso.

Creare un account che usa la chiave di crittografia dell'account

È necessario configurare un nuovo account di archiviazione per usare la chiave di crittografia dell'account per le code e le tabelle al momento della creazione dell'account di archiviazione. L'ambito della chiave di crittografia non può essere modificato dopo la creazione dell'account.

L'account di archiviazione deve essere di tipo per utilizzo generico v2. È possibile creare l'account di archiviazione e configurarlo in modo che si basi sulla chiave di crittografia dell'account usando il modello di portale di Azure, PowerShell, l'interfaccia della riga di comando di Azure o un modello di Azure Resource Manager.

Per altre informazioni sulla creazione di un account di archiviazione, vedere Creare un account di archiviazione.

Nota

Solo l'archiviazione code e tabelle può essere configurata facoltativamente per crittografare i dati con la chiave di crittografia dell'account quando viene creato l'account di archiviazione. Archiviazione BLOB e File di Azure usare sempre la chiave di crittografia dell'account per crittografare i dati.

Per creare un account di archiviazione che si basa sulla chiave di crittografia dell'account con il portale di Azure, seguire questa procedura:

  1. Nel menu del portale a sinistra selezionare Account di archiviazione per visualizzare un elenco degli account di archiviazione.

  2. Nella pagina Account di archiviazione selezionare Nuovo.

  3. Compilare i campi nella scheda Informazioni di base .

  4. Nella scheda Avanzate individuare la sezione Tabelle e code e selezionare Abilita supporto per le chiavi gestite dal cliente.

    Screenshot che mostra come abilitare le chiavi gestite dal cliente per code e tabelle durante la creazione di un nuovo account

Dopo aver creato un account che si basa sulla chiave di crittografia dell'account, è possibile configurare le chiavi gestite dal cliente archiviate in Azure Key Vault o in Key Vault modello di protezione hardware gestito ( HSM). Per informazioni su come archiviare le chiavi gestite dal cliente in un insieme di credenziali delle chiavi, vedere Configurare la crittografia con chiavi gestite dal cliente archiviate in Azure Key Vault. Per informazioni su come archiviare le chiavi gestite dal cliente in un modulo di protezione hardware gestito, vedere Configurare la crittografia con chiavi gestite dal cliente archiviate in Azure Key Vault modulo di protezione hardware gestito.

Verificare la chiave di crittografia dell'account

Dopo aver creato l'account, è possibile verificare che l'account di archiviazione usi una chiave di crittografia con ambito per l'account usando il portale di Azure, PowerShell o l'interfaccia della riga di comando di Azure.

Per verificare che un servizio in un account di archiviazione usi una chiave di crittografia con ambito per l'account con il portale di Azure, seguire questa procedura:

  1. Passare al nuovo account di archiviazione nel portale di Azure.

  2. Nella sezione Sicurezza e rete selezionare Crittografia.

  3. Se l'account di archiviazione è stato creato per basarsi sulla chiave di crittografia dell'account, nella scheda Crittografia è possibile abilitare le chiavi gestite dal cliente per tutti e quattro i servizi di archiviazione di Azure: BLOB, file, tabelle e code.

    Screenshot che mostra come verificare che l'account di archiviazione si basi sulla chiave di crittografia dell'account

Dopo aver verificato che l'account di archiviazione usa una chiave di crittografia con ambito per l'account, è possibile abilitare le chiavi gestite dal cliente per l'account. Tutti e quattro i servizi di Archiviazione di Azure, ovvero BLOB, file, tabelle e code, useranno quindi la chiave gestita dal cliente per la crittografia.

Prezzi e fatturazione

Un account di archiviazione creato per l'uso di una chiave di crittografia con ambito per l'account viene fatturato per la capacità di archiviazione tabelle e le transazioni a una tariffa diversa rispetto a un account che usa la chiave predefinita con ambito servizio. Per informazioni dettagliate, vedere Prezzi di Archiviazione tabelle di Azure.

Passaggi successivi