Configurare le chiavi gestite dal cliente nello stesso tenant per un nuovo account di archiviazione

Articolo
08/08/2024

Archiviazione di Azure crittografa tutti i dati in un account di archiviazione inattivo. Per impostazione predefinita, i dati vengono crittografati con chiavi gestite da Microsoft. Per un maggiore controllo sulle chiavi di crittografia, è possibile usare chiavi gestite dal cliente. Le chiavi gestite dal cliente devono essere archiviate in un'istanza di Azure Key Vault o in un modulo di protezione hardware gestito da Azure Key Vault.

Questo articolo illustra come configurare la crittografia con chiavi gestite dal cliente al momento della creazione di un nuovo account di archiviazione. Le chiavi gestite dal cliente vengono archiviate in un insieme di credenziali delle chiavi.

Per informazioni su come configurare le chiavi gestite dal cliente per un account di archiviazione esistente, vedere Configurare chiavi gestite dal cliente in un insieme di credenziali delle chiavi di Azure per un account di archiviazione esistente.

Nota

Azure Key Vault e il modulo di protezione hardware gestito da Azure Key Vault supportano le stesse API e interfacce di gestione per la configurazione delle chiavi gestite dal cliente. Qualsiasi azione supportata per Azure Key Vault è supportata anche per il modulo di protezione hardware gestito da Azure Key Vault.

Configurare l'insieme di credenziali delle chiavi

È possibile usare un insieme di credenziali delle chiavi nuovo o esistente per archiviare le chiavi gestite dal cliente. L'account di archiviazione e l'insieme di credenziali delle chiavi possono trovarsi in aree o sottoscrizioni diverse nello stesso tenant. Per altre informazioni su Azure Key Vault, vedere Panoramica di Azure Key Vault e Che cos'è Azure Key Vault?.

L'uso delle chiavi gestite dal cliente con la crittografia Archiviazione di Azure richiede che sia l'eliminazione temporanea che la protezione dall'eliminazione siano abilitate per l'insieme di credenziali delle chiavi. L'eliminazione temporanea è abilitata per impostazione predefinita quando si crea un nuovo insieme di credenziali delle chiavi e non può essere disabilitata. È possibile abilitare la protezione dall'eliminazione quando si crea l'insieme di credenziali delle chiavi o dopo la creazione.

Azure Key Vault supporta l'autorizzazione con il controllo degli accessi in base al ruolo di Azure tramite un modello di autorizzazione del controllo degli accessi in base al ruolo di Azure. Microsoft consiglia di usare il modello di autorizzazione del controllo degli accessi in base al ruolo di Azure sui criteri di accesso dell'insieme di credenziali delle chiavi. Per altre informazioni, vedere Concedere alle applicazioni l'autorizzazione per accedere a un insieme di credenziali delle chiavi di Azure usando il controllo degli accessi in base al ruolo di Azure.

Per informazioni su come creare un insieme di credenziali delle chiavi con il portale di Azure, vedere Avvio rapido: Creare un insieme di credenziali delle chiavi usando il portale di Azure. Quando si crea l'insieme di credenziali delle chiavi, selezionare Abilita ripulitura protezione, come illustrato nell'immagine seguente.

Screenshot che mostra come abilitare la protezione dall'eliminazione durante la creazione di un insieme di credenziali delle chiavi.

Per abilitare la protezione dall'eliminazione in un insieme di credenziali delle chiavi esistente, seguire questa procedura:

Passare all'insieme di credenziali delle chiavi nel portale di Azure.
In Impostazioni, scegliere Proprietà.
Nella sezione Protezione dalla rimozione definitiva, scegliere Abilita protezione dalla rimozione definitiva.

Per creare un nuovo insieme di credenziali delle chiavi con PowerShell, installare la versione 2.0.0 o successive del modulo PowerShell Az.KeyVault. Quindi, chiamare New-AzKeyVault per creare un nuovo insieme di credenziali delle chiavi. Con la versione 2.0.0 e successive del modulo Az.KeyVault, l'eliminazione temporanea è abilitata per impostazione predefinita quando si crea un nuovo insieme di credenziali delle chiavi.

L'esempio seguente crea un nuovo insieme di credenziali delle chiavi con eliminazione temporanea e protezione dalla rimozione definitiva abilitate. Il modello di autorizzazione dell'insieme di credenziali delle chiavi è impostato per l'uso del Controllo degli accessi in base al ruolo di Azure. Ricordare di sostituire i valori segnaposto tra parentesi con i valori personalizzati.

$rgName = "<resource_group>"
$location = "<location>"
$kvName = "<key-vault>"

$keyVault = New-AzKeyVault -Name $kvName `
    -ResourceGroupName $rgName `
    -Location $location `
    -EnablePurgeProtection `
    -EnableRbacAuthorization

Per informazioni su come abilitare la protezione dalla rimozione definitiva in un insieme di credenziali delle chiavi esistente con PowerShell, vedere Panoramica del ripristino di Azure Key Vault.

Dopo aver creato l'insieme di credenziali delle chiavi, è necessario assegnare a se stessi il ruolo di Agente di crittografia dell'insieme di credenziali delle chiavi. Questo ruolo consente di creare una chiave nell'insieme di credenziali delle chiavi. L'esempio seguente assegna questo ruolo a un utente, con ambito all'insieme di credenziali delle chiavi:

New-AzRoleAssignment -SignInName "<user-email>" `
    -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $keyVault.ResourceId

Per altre informazioni su come assegnare un ruolo Controllo degli accessi in base al ruolo con PowerShell, vedere Assegnare ruoli di Azure usando Azure PowerShell.

Per creare un nuovo insieme di credenziali delle chiavi usando l'interfaccia della riga di comando di Azure, chiamare az keyvault create. L'esempio seguente crea un nuovo insieme di credenziali delle chiavi con eliminazione temporanea e protezione dalla rimozione definitiva abilitate. Il modello di autorizzazione dell'insieme di credenziali delle chiavi è impostato per l'uso del Controllo degli accessi in base al ruolo di Azure. Ricordare di sostituire i valori segnaposto tra parentesi con i valori personalizzati.

rgName="<resource_group>"
location="<location>"
kvName="<key-vault>"

az keyvault create \
    --name $kvName \
    --resource-group $rgName \
    --location $location \
    --enable-purge-protection \
    --enable-rbac-authorization

Per informazioni su come abilitare la protezione dalla rimozione definitiva in un insieme di credenziali delle chiavi esistente con l'interfaccia della riga di comando di Azure, vedere Panoramica del ripristino di Azure Key Vault.

kvResourceId=$(az keyvault show --resource-group $rgName \
    --name $kvName \
    --query id \
    --output tsv)

az role assignment create --assignee "<user-email>" \
    --role "Key Vault Crypto Officer" \
    --scope $kvResourceId

Per altre informazioni su come assegnare un ruolo controllo degli accessi in base al ruolo con l'interfaccia della riga di comando di Azure, vedere Assegnare ruoli di Azure tramite l'interfaccia della riga di comando di Azure.

Aggiungere una chiave

Aggiungere quindi una chiave all'insieme di credenziali delle chiavi. Prima di aggiungere la chiave, assicurarsi di aver assegnato a se stessi il ruolo di Responsabile della crittografia di Key Vault.

Archiviazione di Azure crittografia supporta chiavi RSA e RSA-HSM di dimensioni 2048, 3072 e 4096. Per altre informazioni sui tipi di chiave supportati, vedere Informazioni sulle chiavi.

Per informazioni su come aggiungere una chiave con il portale di Azure, vedere Avvio rapido: Impostare e recuperare una chiave da Azure Key Vault usando il portale di Azure.

Per aggiungere una chiave con PowerShell, chiamare Add-AzKeyVaultKey. Ricordare di sostituire i valori segnaposto tra parentesi quadre con i propri valori e di usare le variabili definite negli esempi precedenti.

$keyName = "<key-name>"

$key = Add-AzKeyVaultKey -VaultName $keyVault.VaultName `
    -Name $keyName `
    -Destination 'Software'

Per aggiungere una chiave con l'interfaccia della riga di comando di Azure, chiamare az keyvault key create. Ricordare di sostituire i valori segnaposto tra parentesi con i valori personalizzati.

keyName="<key-name>"

az keyvault key create \
    --name $keyName \
    --vault-name $kvName

Usare un'identità gestita assegnata dall'utente per autorizzare l'accesso all'insieme di credenziali delle chiavi

Quando si abilitano le chiavi gestite dal cliente per un nuovo account di archiviazione, è necessario specificare un'identità gestita assegnata dall'utente. Un account di archiviazione esistente supporta l'uso di un'identità gestita assegnata dall'utente o di un'identità gestita assegnata dal sistema per configurare le chiavi gestite dal cliente.

Quando si configurano le chiavi gestite dal cliente con un'identità gestita assegnata dall'utente, l'identità gestita assegnata dall'utente viene usata per autorizzare l'accesso all'insieme di credenziali delle chiavi che contiene la chiave. È necessario creare l'identità assegnata dall'utente prima di configurare le chiavi gestite dal cliente.

Un'identità gestita assegnata dall'utente è una risorsa di Azure autonoma. Per altre informazioni sulle identità gestite assegnate dall'utente, vedere Tipi di identità gestita. Per informazioni su come creare e gestire un'identità gestita assegnata dall'utente, vedere Gestire le identità gestite assegnate dall'utente.

L'identità gestita assegnata dall'utente deve avere le autorizzazioni per accedere alla chiave nell'insieme di credenziali delle chiavi. Assegnare il ruolo utente Crittografia servizio di crittografia dell'insieme di credenziali delle chiavi all'identità gestita assegnata dall'utente con ambito dell'insieme di credenziali delle chiavi per concedere queste autorizzazioni.

Prima di poter configurare le chiavi gestite dal cliente con un'identità gestita assegnata dall'utente, è necessario assegnare il ruolo utente Crittografia servizio crittografia crittografia key vault all'identità gestita assegnata dall'utente, con ambito all'insieme di credenziali delle chiavi. Questo ruolo concede all'identità gestita assegnata dall'utente le autorizzazioni per accedere alla chiave nell'insieme di credenziali delle chiavi. Per altre informazioni sull'assegnazione dei ruoli controllo degli accessi in base al ruolo di Azure con il portale di Azure, vedere Assegnare ruoli di Azure usando il portale di Azure.

Quando si configurano chiavi gestite dal cliente con il portale di Azure, è possibile selezionare un'identità assegnata dall'utente esistente tramite l'interfaccia utente del portale.

Nell'esempio seguente viene illustrato come recuperare l'identità gestita assegnata dall'utente e assegnarvi il ruolo controllo degli accessi in base al ruolo richiesto, con ambito nell'insieme di credenziali delle chiavi. Ricordarsi di sostituire i valori segnaposto tra parentesi quadre con i propri valori e di usare le variabili definite negli esempi precedenti:

$userIdentity = Get-AzUserAssignedIdentity -Name <user-assigned-identity> `
    -ResourceGroupName $rgName

$principalId = $userIdentity.PrincipalId

New-AzRoleAssignment -ObjectId $principalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

identityResourceId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query id \
    --output tsv)

principalId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query principalId \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId \
    --assignee-principal-type ServicePrincipal

Configurare le chiavi gestite dal cliente per un nuovo account di archiviazione

Quando si configura la crittografia con chiavi gestite dal cliente per un nuovo account di archiviazione, è possibile scegliere di aggiornare automaticamente la versione della chiave usata per la crittografia Archiviazione di Azure ogni volta che è disponibile una nuova versione nell'insieme di credenziali delle chiavi associato. In alternativa, è possibile specificare in modo esplicito una versione della chiave da usare per la crittografia fino a quando la versione della chiave non viene aggiornata manualmente.

È necessario usare un'identità gestita assegnata dall'utente esistente per autorizzare l'accesso all'insieme di credenziali delle chiavi quando si configurano le chiavi gestite dal cliente durante la creazione dell'account di archiviazione. L'identità gestita assegnata dall'utente deve disporre delle autorizzazioni appropriate per accedere all'insieme di credenziali delle chiavi. Per altre informazioni, vedere Eseguire l'autenticazione in Azure Key Vault.

Configurare la crittografia per l'aggiornamento automatico delle versioni delle chiavi

Archiviazione di Azure possibile aggiornare automaticamente la chiave gestita dal cliente usata per la crittografia per usare la versione più recente della chiave dall'insieme di credenziali delle chiavi. Archiviazione di Azure controlla ogni giorno l'insieme di credenziali delle chiavi per una nuova versione della chiave. Quando una nuova versione diventa disponibile, Archiviazione di Azure inizia automaticamente a usare la versione più recente della chiave per la crittografia.

Importante

Archiviazione di Azure controlla l'insieme di credenziali delle chiavi per verificare la disponibilità di una nuova versione della chiave una sola volta al giorno. Quando si ruota una chiave, assicurarsi di attendere 24 ore prima di disabilitare la versione precedente.

Per configurare le chiavi gestite dal cliente per un nuovo account di archiviazione con l'aggiornamento automatico della versione della chiave, seguire questa procedura:

Nella portale di Azure passare alla pagina Account di archiviazione e selezionare il pulsante Crea per creare un nuovo account.
Seguire i passaggi descritti in Creare un account di archiviazione per compilare i campi nelle schede Informazioni di base, Avanzate, Rete e Protezione dei dati.
Nella scheda Crittografia indicare per quali servizi si vuole abilitare il supporto per le chiavi gestite dal cliente nel campo Abilita supporto per le chiavi gestite dal cliente.
Selezionare Chiavi gestite dal cliente in Tipo di crittografia.
Nel campo Chiave di crittografia scegliere Selezionare un insieme di credenziali delle chiavi e una chiave e specificare l'insieme di credenziali delle chiavi e la chiave.
Per il campo Identità assegnata dall'utente, selezionare un'identità gestita assegnata dall'utente esistente.
Selezionare il pulsante Rivedi per convalidare e creare l'account.

È anche possibile configurare chiavi gestite dal cliente con l'aggiornamento manuale della versione della chiave quando si crea un nuovo account di archiviazione. Seguire i passaggi descritti in Configurare la crittografia per l'aggiornamento manuale delle versioni delle chiavi.

Per configurare le chiavi gestite dal cliente per un nuovo account di archiviazione con l'aggiornamento automatico della versione della chiave, chiamare New-AzStorageAccount, come illustrato nell'esempio seguente. Usare la variabile creata in precedenza per l'ID risorsa per l'identità gestita assegnata dall'utente. Sono necessari anche l'URI dell'insieme di credenziali delle chiavi e il nome della chiave:

$accountName = "<storage-account>"

New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Kind StorageV2 `
    -SkuName Standard_LRS `
    -Location $location `
    -AllowBlobPublicAccess $false `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

Per configurare le chiavi gestite dal cliente per un nuovo account di archiviazione con l'aggiornamento automatico della versione della chiave, chiamare az storage account create, come illustrato nell'esempio seguente. Usare la variabile creata in precedenza per l'ID risorsa per l'identità gestita assegnata dall'utente. Sono necessari anche l'URI dell'insieme di credenziali delle chiavi e il nome della chiave:

accountName="<storage-account>"

az storage account create \
    --name $accountName \
    --resource-group $rgName \
    --location $location \
    --sku Standard_LRS \
    --kind StorageV2 \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-vault <key-vault-uri> \
    --encryption-key-name $keyName \
    --encryption-key-source Microsoft.Keyvault \
    --key-vault-user-identity-id $identityResourceId

Configurare la crittografia per l'aggiornamento manuale delle versioni delle chiavi

Se si preferisce aggiornare manualmente la versione della chiave, specificare in modo esplicito la versione quando si configura la crittografia con chiavi gestite dal cliente durante la creazione dell'account di archiviazione. In questo caso, Archiviazione di Azure non aggiornerà automaticamente la versione della chiave quando viene creata una nuova versione nell'insieme di credenziali delle chiavi. Per usare una nuova versione della chiave, è necessario aggiornare manualmente la versione usata per la crittografia Archiviazione di Azure.

Per configurare le chiavi gestite dal cliente con l'aggiornamento manuale della versione della chiave nel portale di Azure, specificare l'URI della chiave, inclusa la versione, durante la creazione dell'account di archiviazione. Per specificare una chiave come URI, seguire questa procedura:

Nella portale di Azure passare alla pagina Account di archiviazione e selezionare il pulsante Crea per creare un nuovo account.
Seguire i passaggi descritti in Creare un account di archiviazione per compilare i campi nelle schede Informazioni di base, Avanzate, Rete e Protezione dei dati.
Nella scheda Crittografia indicare per quali servizi si vuole abilitare il supporto per le chiavi gestite dal cliente nel campo Abilita supporto per le chiavi gestite dal cliente.
Selezionare Chiavi gestite dal cliente in Tipo di crittografia.
Per individuare l'URI della chiave nel portale di Azure, andare all'insieme di credenziali delle chiavi e selezionare l'impostazione Chiavi. Selezionare la chiave desiderata, quindi selezionare la chiave per visualizzarne le versioni. Selezionare una versione della chiave per visualizzare le relative impostazioni.
Copiare il valore del campo Identificatore della chiave, che fornisce l'URI.
Nelle impostazioni della chiave di crittografia per l'account di archiviazione scegliere l'opzione Immettere l'URI della chiave.
Incollare l'URI copiato nel campo chiave URI. Includere la versione della chiave nell'URI per configurare l'aggiornamento manuale della versione della chiave.
Specificare un'identità gestita assegnata dall'utente scegliendo il collegamento Selezionare un'identità .
Selezionare il pulsante Rivedi per convalidare e creare l'account.

Per configurare le chiavi gestite dal cliente con l'aggiornamento manuale della versione della chiave, fornire in modo esplicito la versione della chiave quando si configura la crittografia durante la creazione dell'account di archiviazione. Chiamare Set-AzStorageAccount per aggiornare le impostazioni di crittografia dell'account di archiviazione, come illustrato nell'esempio seguente e includere l'opzione -KeyvaultEncryption per abilitare le chiavi gestite dal cliente per l'account di archiviazione.

Ricordare di sostituire i valori segnaposto tra parentesi quadre con i propri valori e di usare le variabili definite negli esempi precedenti.

$accountName = "<storage-account>"

New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Kind StorageV2 `
    -SkuName Standard_LRS `
    -Location $location `
    -AllowBlobPublicAccess $false `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

Quando si aggiorna manualmente la versione della chiave, è necessario aggiornare le impostazioni di crittografia dell'account di archiviazione per usare la nuova versione. Prima di tutto, chiama Get-AzKeyVaultKey per ottenere la versione più recente della chiave. Chiamare quindi Set-AzStorageAccount per aggiornare le impostazioni di crittografia dell'account di archiviazione per usare la nuova versione della chiave, come illustrato nell'esempio precedente.

Per configurare le chiavi gestite dal cliente con l'aggiornamento manuale della versione della chiave, fornire in modo esplicito la versione della chiave quando si configura la crittografia durante la creazione dell'account di archiviazione. Chiamare az storage account update per aggiornare le impostazioni di crittografia dell'account di archiviazione, come illustrato nell'esempio seguente. Includere il --encryption-key-source parametro e impostarlo su Microsoft.Keyvault per abilitare le chiavi gestite dal cliente per l'account.

Ricordare di sostituire i valori segnaposto tra parentesi con i valori personalizzati.

accountName="<storage-account>"

key_vault_uri=$(az keyvault show \
    --name <key-vault> \
    --resource-group <resource_group> \
    --query properties.vaultUri \
    --output tsv)

key_version=$(az keyvault key list-versions \
    --name <key> \
    --vault-name <key-vault> \
    --query [-1].kid \
    --output tsv | cut -d '/' -f 6)

az storage account create \
    --name $accountName \
    --resource-group $rgName \
    --location $location \
    --sku Standard_LRS \
    --kind StorageV2 \
    --allow-blob-public-access false \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-vault $keyVaultUri \
    --encryption-key-name $keyName \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-version $keyVersion \
    --key-vault-user-identity-id $identityResourceId

Quando si aggiorna manualmente la versione della chiave, è necessario aggiornare le impostazioni di crittografia dell'account di archiviazione per usare la nuova versione. Prima di tutto, eseguire una query per l'URI dell'insieme di credenziali delle chiavi chiamando az keyvault show e per la versione della chiave chiamando az keyvault key list-versions. Chiamare quindi az storage account update per aggiornare le impostazioni di crittografia dell'account di archiviazione per usare la nuova versione della chiave, come illustrato nell'esempio precedente.

Modificare la chiave

È possibile modificare la chiave usata per la crittografia di Archiviazione di Azure in qualsiasi momento.

Nota

Quando si modifica la chiave o la versione della chiave, la protezione della chiave di crittografia radice cambia, ma i dati nell'account di archiviazione di Azure rimangono sempre crittografati. Non è richiesta alcuna azione aggiuntiva da parte tua per garantire che i tuoi dati siano protetti. La modifica della chiave o la rotazione della versione della chiave non influisce sulle prestazioni. Non sono previsti tempi di inattività associati alla modifica della chiave o alla rotazione della versione della chiave.

Per modificare la chiave usando il portale di Azure, seguire questa procedura:

Passare all'account di archiviazione e visualizzare le impostazioni di Crittografia.
Selezionare l'insieme di credenziali delle chiavi e scegliere una nuova chiave.
Salva le modifiche.

Se la nuova chiave si trova in un insieme di credenziali delle chiavi differente, è necessario concedere all'identità gestita l'accesso alla chiave nel nuovo insieme di credenziali. Se si sceglie l'aggiornamento manuale della versione della chiave, sarà necessario aggiornare anche l'URI dell'insieme di credenziali delle chiavi.

Revocare l'accesso a un account di archiviazione che usa chiavi gestite dal cliente

Per revocare temporaneamente l'accesso a un account di archiviazione che usa chiavi gestite dal cliente, disabilitare la chiave attualmente usata nell'insieme di credenziali delle chiavi. La disabilitazione e la riabilitazione della chiave non comporta alcun impatto sulle prestazioni o tempi di inattività.

Dopo aver disabilitato la chiave, i client non possono chiamare operazioni che leggono o scrivono in un BLOB o nei relativi metadati. Per informazioni sulle operazioni che avranno esito negativo, vedere Revocare l'accesso a un account di archiviazione che usa chiavi gestite dal cliente.

Attenzione

Quando si disabilita la chiave nell'insieme di credenziali delle chiavi, i dati nell'account di archiviazione di Azure rimangono crittografati, ma diventa inaccessibile fino a quando non si riabilita la chiave.

Per disabilitare una chiave gestita dal cliente nel portale di Azure, seguire questa procedura:

Passare all'insieme di credenziali delle chiavi che contiene la chiave.
In Oggetti, selezionare Chiavi.
Fare clic con il pulsante destro del mouse sulla chiave e scegliere Disabilita.

Per revocare una chiave gestita dal cliente con PowerShell, chiamare il comando Update-AzKeyVaultKey, come illustrato nell'esempio seguente. Ricordare di sostituire i valori segnaposto tra parentesi quadre con i propri valori per definire le variabili o usare le variabili definite negli esempi precedenti.

$kvName  = "<key-vault-name>"
$keyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it

# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $keyName -VaultName $kvName

# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $kvName -Name $keyName -Enable $enabled

Per revocare una chiave gestita dal cliente con l'interfaccia della riga di comando di Azure, chiamare il comando az keyvault key set-attributes, come illustrato nell'esempio seguente. Ricordare di sostituire i valori segnaposto tra parentesi quadre con i propri valori per definire le variabili o usare le variabili definite negli esempi precedenti.

kvName="<key-vault-name>"
keyName="<key-name>"
enabled="false"
# "false" to disable the key / "true" to enable it:

# Check the current state of the key (before and after enabling/disabling it)
az keyvault key show \
    --vault-name $kvName \
    --name $keyName

# Disable (or enable) the key
az keyvault key set-attributes \
    --vault-name $kvName \
    --name $keyName \
    --enabled $enabled

La disabilitazione della chiave causerà l'esito negativo dei tentativi di accesso ai dati nell'account di archiviazione con codice di errore 403 (Accesso negato). Per un elenco delle operazioni dell'account di archiviazione che saranno interessate dalla disabilitazione della chiave, vedere Revocare l'accesso a un account di archiviazione che usa chiavi gestite dal cliente.

Passare nuovamente alle chiavi gestite da Microsoft

È possibile passare dalle chiavi gestite dal cliente alle chiavi gestite da Microsoft in qualsiasi momento, usando il portale di Azure, PowerShell o l'interfaccia della riga di comando di Azure.

Per passare nuovamente dalle chiavi gestite dal cliente alle chiavi gestite da Microsoft nel portale di Azure, seguire questa procedura:

Passa all'account di archiviazione.
In Sicurezza e rete selezionare Crittografia.
Impostare Tipo di crittografia su Chiavi gestite da Microsoft.

Per passare dalle chiavi gestite dal cliente alle chiavi gestite da Microsoft con PowerShell, chiamare Set-AzStorageAccount con l'opzione -StorageEncryption, come illustrato nell'esempio seguente. Ricordare di sostituire i valori segnaposto tra parentesi quadre con i propri valori e di usare le variabili definite negli esempi precedenti.

Set-AzStorageAccount -ResourceGroupName $storageAccount.ResourceGroupName `
    -AccountName $storageAccount.StorageAccountName `
    -StorageEncryption

Per passare dalle chiavi gestite dal cliente alle chiavi gestite da Microsoft con l'interfaccia della riga di comando di Azure, chiamare az storage account update e impostare --encryption-key-source parameter su Microsoft.Storage, come illustrato nell'esempio seguente. Ricordare di sostituire i valori segnaposto tra parentesi quadre con i propri valori e di usare le variabili definite negli esempi precedenti.

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-source Microsoft.Storage

Condividi tramite