Konfigurowanie kluczy zarządzanych przez klienta w tej samej dzierżawie dla nowego konta magazynu

Aby dowiedzieć się, jak utworzyć magazyn kluczy w witrynie Azure Portal, zobacz Szybki start: tworzenie magazynu kluczy przy użyciu witryny Azure Portal. Podczas tworzenia magazynu kluczy wybierz pozycję Włącz ochronę przed przeczyszczeniem, jak pokazano na poniższej ilustracji.

Aby włączyć ochronę przed przeczyszczeniem w istniejącym magazynie kluczy, wykonaj następujące kroki:

1. Przejdź do magazynu kluczy w witrynie Azure Portal.
2. W obszarze Ustawienia wybierz pozycję Właściwości.
3. W sekcji Ochrona przed przeczyszczanie wybierz pozycję Włącz ochronę przeczyszczania.

Aby utworzyć nowy magazyn kluczy za pomocą programu PowerShell, zainstaluj wersję 2.0.0 lub nowszą modułu Az.KeyVault programu PowerShell. Następnie wywołaj polecenie New-AzKeyVault , aby utworzyć nowy magazyn kluczy. W wersji 2.0.0 lub nowszej modułu Az.KeyVault usuwanie nietrwałe jest domyślnie włączone podczas tworzenia nowego magazynu kluczy.

Poniższy przykład tworzy nowy magazyn kluczy z włączoną ochroną usuwania nietrwałego i przeczyszczania. Model uprawnień magazynu kluczy jest ustawiony na używanie kontroli dostępu opartej na rolach platformy Azure. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami.

$rgName = "<resource_group>"
$location = "<location>"
$kvName = "<key-vault>"

$keyVault = New-AzKeyVault -Name $kvName `
    -ResourceGroupName $rgName `
    -Location $location `
    -EnablePurgeProtection `
    -EnableRbacAuthorization

Aby dowiedzieć się, jak włączyć ochronę przed przeczyszczeniem w istniejącym magazynie kluczy przy użyciu programu PowerShell, zobacz Omówienie odzyskiwania usługi Azure Key Vault.

Po utworzeniu magazynu kluczy musisz przypisać sobie rolę crypto officer usługi Key Vault. Ta rola umożliwia utworzenie klucza w magazynie kluczy. Poniższy przykład przypisuje tę rolę użytkownikowi o zakresie do magazynu kluczy:

New-AzRoleAssignment -SignInName "<user-email>" `
    -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $keyVault.ResourceId

Aby uzyskać więcej informacji na temat przypisywania roli RBAC za pomocą programu PowerShell, zobacz Przypisywanie ról platformy Azure przy użyciu programu Azure PowerShell.

Aby utworzyć nowy magazyn kluczy przy użyciu interfejsu wiersza polecenia platformy Azure, wywołaj polecenie az keyvault create. Poniższy przykład tworzy nowy magazyn kluczy z włączoną ochroną usuwania nietrwałego i przeczyszczania. Model uprawnień magazynu kluczy jest ustawiony na używanie kontroli dostępu opartej na rolach platformy Azure. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami.

rgName="<resource_group>"
location="<location>"
kvName="<key-vault>"

az keyvault create \
    --name $kvName \
    --resource-group $rgName \
    --location $location \
    --enable-purge-protection \
    --enable-rbac-authorization

Aby dowiedzieć się, jak włączyć ochronę przeczyszczania w istniejącym magazynie kluczy za pomocą interfejsu wiersza polecenia platformy Azure, zobacz Omówienie odzyskiwania usługi Azure Key Vault.

Po utworzeniu magazynu kluczy musisz przypisać sobie rolę crypto officer usługi Key Vault. Ta rola umożliwia utworzenie klucza w magazynie kluczy. Poniższy przykład przypisuje tę rolę użytkownikowi o zakresie do magazynu kluczy:

kvResourceId=$(az keyvault show --resource-group $rgName \
    --name $kvName \
    --query id \
    --output tsv)

az role assignment create --assignee "<user-email>" \
    --role "Key Vault Crypto Officer" \
    --scope $kvResourceId

Aby uzyskać więcej informacji na temat przypisywania roli RBAC za pomocą interfejsu wiersza polecenia platformy Azure, zobacz Przypisywanie ról platformy Azure przy użyciu interfejsu wiersza polecenia platformy Azure.

Aby dowiedzieć się, jak dodać klucz za pomocą witryny Azure Portal, zobacz Szybki start: ustawianie i pobieranie klucza z usługi Azure Key Vault przy użyciu witryny Azure Portal.

Aby dodać klucz za pomocą programu PowerShell, wywołaj metodę Add-AzKeyVaultKey. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami i użyć zmiennych zdefiniowanych w poprzednich przykładach.

$keyName = "<key-name>"

$key = Add-AzKeyVaultKey -VaultName $keyVault.VaultName `
    -Name $keyName `
    -Destination 'Software'

Aby dodać klucz za pomocą interfejsu wiersza polecenia platformy Azure, wywołaj polecenie az keyvault key create. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami.

keyName="<key-name>"

az keyvault key create \
    --name $keyName \
    --vault-name $kvName

Aby można było skonfigurować klucze zarządzane przez klienta przy użyciu tożsamości zarządzanej przypisanej przez użytkownika, musisz przypisać rolę użytkownika szyfrowania usługi Kryptograficznej usługi Key Vault do tożsamości zarządzanej przypisanej przez użytkownika w zakresie do magazynu kluczy. Ta rola udziela uprawnień tożsamości zarządzanej przypisanej przez użytkownika w celu uzyskania dostępu do klucza w magazynie kluczy. Aby uzyskać więcej informacji na temat przypisywania ról RBAC platformy Azure za pomocą witryny Azure Portal, zobacz Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal.

Podczas konfigurowania kluczy zarządzanych przez klienta za pomocą witryny Azure Portal możesz wybrać istniejącą tożsamość przypisaną przez użytkownika za pośrednictwem interfejsu użytkownika portalu.

W poniższym przykładzie pokazano, jak pobrać tożsamość zarządzaną przypisaną przez użytkownika i przypisać do niej wymaganą rolę RBAC w zakresie do magazynu kluczy. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami i użyć zmiennych zdefiniowanych w poprzednich przykładach:

$userIdentity = Get-AzUserAssignedIdentity -Name <user-assigned-identity> `
    -ResourceGroupName $rgName

$principalId = $userIdentity.PrincipalId

New-AzRoleAssignment -ObjectId $principalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

W poniższym przykładzie pokazano, jak pobrać tożsamość zarządzaną przypisaną przez użytkownika i przypisać do niej wymaganą rolę RBAC w zakresie do magazynu kluczy. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami i użyć zmiennych zdefiniowanych w poprzednich przykładach:

identityResourceId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query id \
    --output tsv)

principalId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query principalId \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId \
    --assignee-principal-type ServicePrincipal

Aby skonfigurować klucze zarządzane przez klienta dla nowego konta magazynu z automatycznym aktualizowaniem wersji klucza, wykonaj następujące kroki:

1. W witrynie Azure Portal przejdź do strony Konta magazynu i wybierz przycisk Utwórz , aby utworzyć nowe konto.

2. Wykonaj kroki opisane w temacie Tworzenie konta magazynu, aby wypełnić pola na kartach Podstawowe, Zaawansowane, Sieciowe i Ochrona danych .

3. Na karcie Szyfrowanie wskaż usługi, dla których chcesz włączyć obsługę kluczy zarządzanych przez klienta, w polu Włącz obsługę kluczy zarządzanych przez klienta.

4. W polu Typ szyfrowania wybierz pozycję Klucze zarządzane przez klienta (CMK).

5. W polu Klucz szyfrowania wybierz pozycję Wybierz magazyn kluczy i klucz, a następnie określ magazyn kluczy i klucz.

6. W polu Tożsamość przypisana przez użytkownika wybierz istniejącą tożsamość zarządzaną przypisaną przez użytkownika.

   

7. Wybierz przycisk Przejrzyj, aby zweryfikować i utworzyć konto.

Klucze zarządzane przez klienta można również skonfigurować przy użyciu ręcznego aktualizowania wersji klucza podczas tworzenia nowego konta magazynu. Wykonaj kroki opisane w temacie Konfigurowanie szyfrowania na potrzeby ręcznego aktualizowania wersji kluczy.

Aby skonfigurować klucze zarządzane przez klienta dla nowego konta magazynu z automatycznym aktualizowaniem wersji klucza, wywołaj polecenie New-AzStorageAccount, jak pokazano w poniższym przykładzie. Użyj zmiennej utworzonej wcześniej dla identyfikatora zasobu tożsamości zarządzanej przypisanej przez użytkownika. Potrzebny będzie również identyfikator URI magazynu kluczy i nazwa klucza:

$accountName = "<storage-account>"

New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Kind StorageV2 `
    -SkuName Standard_LRS `
    -Location $location `
    -AllowBlobPublicAccess $false `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

Aby skonfigurować klucze zarządzane przez klienta dla nowego konta magazynu z automatycznym aktualizowaniem wersji klucza, wywołaj polecenie az storage account create, jak pokazano w poniższym przykładzie. Użyj zmiennej utworzonej wcześniej dla identyfikatora zasobu tożsamości zarządzanej przypisanej przez użytkownika. Potrzebny będzie również identyfikator URI magazynu kluczy i nazwa klucza:

accountName="<storage-account>"

az storage account create \
    --name $accountName \
    --resource-group $rgName \
    --location $location \
    --sku Standard_LRS \
    --kind StorageV2 \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-vault <key-vault-uri> \
    --encryption-key-name $keyName \
    --encryption-key-source Microsoft.Keyvault \
    --key-vault-user-identity-id $identityResourceId

Aby skonfigurować klucze zarządzane przez klienta przy użyciu ręcznego aktualizowania wersji klucza w witrynie Azure Portal, określ identyfikator URI klucza, w tym wersję, podczas tworzenia konta magazynu. Aby określić klucz jako identyfikator URI, wykonaj następujące kroki:

1. W witrynie Azure Portal przejdź do strony Konta magazynu i wybierz przycisk Utwórz , aby utworzyć nowe konto.

2. Wykonaj kroki opisane w temacie Tworzenie konta magazynu, aby wypełnić pola na kartach Podstawowe, Zaawansowane, Sieciowe i Ochrona danych .

3. Na karcie Szyfrowanie wskaż usługi, dla których chcesz włączyć obsługę kluczy zarządzanych przez klienta, w polu Włącz obsługę kluczy zarządzanych przez klienta.

4. W polu Typ szyfrowania wybierz pozycję Klucze zarządzane przez klienta (CMK).

5. Aby zlokalizować identyfikator URI klucza w witrynie Azure Portal, przejdź do magazynu kluczy i wybierz ustawienie Klucze . Wybierz żądany klucz, a następnie wybierz klucz, aby wyświetlić jego wersje. Wybierz wersję klucza, aby wyświetlić ustawienia dla tej wersji.

6. Skopiuj wartość pola Identyfikator klucza , który udostępnia identyfikator URI.

   

7. W ustawieniach klucza szyfrowania dla konta magazynu wybierz opcję Wprowadź identyfikator URI klucza.

8. Wklej skopiowany identyfikator URI do pola Identyfikator URI klucza. Uwzględnij wersję klucza w identyfikatorze URI, aby skonfigurować ręczną aktualizację wersji klucza.

9. Określ tożsamość zarządzaną przypisaną przez użytkownika, wybierając link Wybierz tożsamość .

   

10. Wybierz przycisk Przejrzyj, aby zweryfikować i utworzyć konto.

Aby skonfigurować klucze zarządzane przez klienta przy użyciu ręcznego aktualizowania wersji klucza, jawnie podaj wersję klucza podczas konfigurowania szyfrowania podczas tworzenia konta magazynu. Wywołaj metodę Set-AzStorageAccount , aby zaktualizować ustawienia szyfrowania konta magazynu, jak pokazano w poniższym przykładzie, i dołącz opcję -KeyvaultEncryption , aby włączyć klucze zarządzane przez klienta dla konta magazynu.

Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami i użyć zmiennych zdefiniowanych w poprzednich przykładach.

$accountName = "<storage-account>"

New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Kind StorageV2 `
    -SkuName Standard_LRS `
    -Location $location `
    -AllowBlobPublicAccess $false `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

W przypadku ręcznej aktualizacji wersji klucza należy zaktualizować ustawienia szyfrowania konta magazynu, aby używać nowej wersji. Najpierw wywołaj metodę Get-AzKeyVaultKey , aby uzyskać najnowszą wersję klucza. Następnie wywołaj polecenie Set-AzStorageAccount , aby zaktualizować ustawienia szyfrowania konta magazynu, aby użyć nowej wersji klucza, jak pokazano w poprzednim przykładzie.

Aby skonfigurować klucze zarządzane przez klienta przy użyciu ręcznego aktualizowania wersji klucza, jawnie podaj wersję klucza podczas konfigurowania szyfrowania podczas tworzenia konta magazynu. Wywołaj polecenie az storage account update , aby zaktualizować ustawienia szyfrowania konta magazynu, jak pokazano w poniższym przykładzie. --encryption-key-source Dołącz parametr i ustaw go w celu Microsoft.Keyvault włączenia kluczy zarządzanych przez klienta dla konta.

Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami.

accountName="<storage-account>"

key_vault_uri=$(az keyvault show \
    --name <key-vault> \
    --resource-group <resource_group> \
    --query properties.vaultUri \
    --output tsv)

key_version=$(az keyvault key list-versions \
    --name <key> \
    --vault-name <key-vault> \
    --query [-1].kid \
    --output tsv | cut -d '/' -f 6)

az storage account create \
    --name $accountName \
    --resource-group $rgName \
    --location $location \
    --sku Standard_LRS \
    --kind StorageV2 \
    --allow-blob-public-access false \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-vault $keyVaultUri \
    --encryption-key-name $keyName \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-version $keyVersion \
    --key-vault-user-identity-id $identityResourceId

W przypadku ręcznej aktualizacji wersji klucza należy zaktualizować ustawienia szyfrowania konta magazynu, aby używać nowej wersji. Najpierw wykonaj zapytanie o identyfikator URI magazynu kluczy, wywołując polecenie az keyvault show, a w przypadku wersji klucza przez wywołanie polecenia az keyvault key list-versions. Następnie wywołaj polecenie az storage account update , aby zaktualizować ustawienia szyfrowania konta magazynu, aby użyć nowej wersji klucza, jak pokazano w poprzednim przykładzie.

Aby zmienić klucz w witrynie Azure Portal, wykonaj następujące kroki:

1. Przejdź do konta magazynu i wyświetl ustawienia szyfrowania .
2. Wybierz magazyn kluczy i wybierz nowy klucz.
3. Zapisz zmiany.

Aby zmienić klucz przy użyciu programu PowerShell, wywołaj polecenie Set-AzStorageAccount i podaj nową nazwę klucza i wersję. Jeśli nowy klucz znajduje się w innym magazynie kluczy, należy również zaktualizować identyfikator URI magazynu kluczy.

Aby zmienić klucz za pomocą interfejsu wiersza polecenia platformy Azure, wywołaj polecenie az storage account update i podaj nową nazwę klucza i wersję. Jeśli nowy klucz znajduje się w innym magazynie kluczy, należy również zaktualizować identyfikator URI magazynu kluczy.

Aby wyłączyć klucz zarządzany przez klienta w witrynie Azure Portal, wykonaj następujące kroki:

1. Przejdź do magazynu kluczy zawierającego klucz.

2. W obszarze Obiekty wybierz pozycję Klucze.

3. Kliknij prawym przyciskiem myszy klucz i wybierz polecenie Wyłącz.

   

Aby odwołać klucz zarządzany przez klienta za pomocą programu PowerShell, wywołaj polecenie Update-AzKeyVaultKey , jak pokazano w poniższym przykładzie. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami, aby zdefiniować zmienne, lub użyć zmiennych zdefiniowanych w poprzednich przykładach.

$kvName  = "<key-vault-name>"
$keyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it

# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $keyName -VaultName $kvName

# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $kvName -Name $keyName -Enable $enabled

Aby odwołać klucz zarządzany przez klienta za pomocą interfejsu wiersza polecenia platformy Azure, wywołaj polecenie az keyvault key set-attributes , jak pokazano w poniższym przykładzie. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami, aby zdefiniować zmienne, lub użyć zmiennych zdefiniowanych w poprzednich przykładach.

kvName="<key-vault-name>"
keyName="<key-name>"
enabled="false"
# "false" to disable the key / "true" to enable it:

# Check the current state of the key (before and after enabling/disabling it)
az keyvault key show \
    --vault-name $kvName \
    --name $keyName

# Disable (or enable) the key
az keyvault key set-attributes \
    --vault-name $kvName \
    --name $keyName \
    --enabled $enabled

Aby przełączyć się z kluczy zarządzanych przez klienta z powrotem do kluczy zarządzanych przez firmę Microsoft w witrynie Azure Portal, wykonaj następujące kroki:

1. Przejdź do swojego konta magazynu.

2. W obszarze Zabezpieczenia i sieć wybierz pozycję Szyfrowanie.

3. Zmień typ szyfrowania na klucze zarządzane przez firmę Microsoft.

   

Aby przełączyć się z kluczy zarządzanych przez klienta z powrotem do kluczy zarządzanych przez firmę Microsoft za pomocą programu PowerShell, wywołaj polecenie Set-AzStorageAccount z opcją -StorageEncryption , jak pokazano w poniższym przykładzie. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami i użyć zmiennych zdefiniowanych w poprzednich przykładach.

Set-AzStorageAccount -ResourceGroupName $storageAccount.ResourceGroupName `
    -AccountName $storageAccount.StorageAccountName `
    -StorageEncryption  

Aby przełączyć się z kluczy zarządzanych przez klienta z powrotem do kluczy zarządzanych przez firmę Microsoft za pomocą interfejsu wiersza polecenia platformy Azure, wywołaj polecenie az storage account update i ustaw wartość na --encryption-key-source parameter Microsoft.Storage, jak pokazano w poniższym przykładzie. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami i użyć zmiennych zdefiniowanych w poprzednich przykładach.

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-source Microsoft.Storage