Mevcut depolama hesabı için kiracılar arası müşteri tarafından yönetilen anahtarları yapılandırma

Azure Depolama bekleyen bir depolama hesabındaki tüm verileri şifreler. Varsayılan olarak, veriler Microsoft tarafından yönetilen anahtarlarla şifrelenir. Şifreleme anahtarları üzerinde ek denetim için kendi anahtarlarınızı yönetebilirsiniz. Müşteri tarafından yönetilen anahtarlar bir Azure Key Vault'ta veya Azure Key Vault Yönetilen Donanım Güvenlik Modeli'nde (HSM) depolanmalıdır.

Bu makalede, mevcut bir depolama hesabı için müşteri tarafından yönetilen anahtarlarla şifrelemeyi yapılandırma gösterilmektedir. Kiracılar arası senaryoda, depolama hesabı ISV tarafından yönetilen bir kiracıda bulunurken, bu depolama hesabının şifresi için kullanılan anahtar müşteri tarafından yönetilen bir kiracıdaki bir anahtar kasasında yer alır.

Yeni bir depolama hesabı için müşteri tarafından yönetilen anahtarları yapılandırmayı öğrenmek için bkz . Yeni bir depolama hesabı için kiracılar arası müşteri tarafından yönetilen anahtarları yapılandırma.

Not

Azure Key Vault ve Azure Key Vault Yönetilen HSM, müşteri tarafından yönetilen anahtarların yapılandırılması için aynı API'leri ve yönetim arabirimlerini destekler. Azure Key Vault için desteklenen tüm eylemler, Azure Key Vault Yönetilen HSM için de desteklenir.

Kiracılar arası müşteri tarafından yönetilen anahtarlar hakkında

Azure'da Hizmet Olarak Yazılım (SaaS) teklifleri oluşturan birçok hizmet sağlayıcısı, müşterilerine kendi şifreleme anahtarlarını yönetme seçeneği sunmak istiyor. Müşteri tarafından yönetilen anahtarlar, hizmet sağlayıcısının müşterisi tarafından yönetilen ve hizmet sağlayıcısı tarafından erişilmeyen bir şifreleme anahtarı kullanarak hizmet sağlayıcısının verilerini şifrelemesine olanak sağlar. Azure'da, hizmet sağlayıcısının müşterisi kendi Microsoft Entra kiracısında ve aboneliğinde şifreleme anahtarlarını yönetmek için Azure Key Vault'u kullanabilir.

Hizmet sağlayıcısına ait olan ve hizmet sağlayıcısının kiracısında bulunan Azure platform hizmetleri ve kaynakları, şifreleme/şifre çözme işlemlerini gerçekleştirmek için müşterinin kiracısından anahtara erişim gerektirir.

Aşağıdaki görüntüde, hizmet sağlayıcısını ve müşterisini kapsayan bir kiracılar arası CMK iş akışında federasyon kimliğiyle bekleyen bir veri şifreleme gösterilmektedir.

Federasyon kimliğine sahip kiracılar arası CMK'nin gösterildiği ekran görüntüsü.

Yukarıdaki örnekte iki Microsoft Entra kiracısı vardır: bağımsız bir hizmet sağlayıcısının kiracısı (Kiracı 1) ve bir müşterinin kiracısı (Kiracı 2). Kiracı 1 , Azure platform hizmetlerini, Kiracı 2 ise müşterinin anahtar kasasını barındırıyor.

Kiracı 1'de hizmet sağlayıcısı tarafından çok kiracılı bir uygulama kaydı oluşturulur. Bu uygulamada kullanıcı tarafından atanan yönetilen kimlik kullanılarak federasyon kimliği kimlik bilgileri oluşturulur. Ardından, uygulamanın adı ve uygulama kimliği müşteriyle paylaşılır.

Uygun izinlere sahip bir kullanıcı, hizmet sağlayıcısının uygulamasını müşteri kiracısı olan Kiracı 2'ye yükler. Ardından bir kullanıcı, yüklü uygulamayla ilişkili hizmet sorumlusuna müşterinin anahtar kasasına erişim verir. Müşteri ayrıca şifreleme anahtarını veya müşteri tarafından yönetilen anahtarı anahtar kasasında depolar. Müşteri anahtar konumunu (anahtarın URL'si) hizmet sağlayıcısıyla paylaşır.

Hizmet sağlayıcısında artık:

  • Müşterinin kiracısında yüklü olan ve müşteri tarafından yönetilen anahtara erişim verilmiş çok kiracılı bir uygulamanın uygulama kimliği.
  • Çok kiracılı uygulamada kimlik bilgisi olarak yapılandırılmış yönetilen kimlik.
  • Müşterinin anahtar kasasında anahtarın konumu.

Bu üç parametreyle hizmet sağlayıcısı Kiracı 1'de Kiracı 2'de müşteri tarafından yönetilen anahtarla şifrelenebilir Azure kaynakları sağlar.

Yukarıdaki uçtan uca çözümü üç aşamaya ayıralım:

  1. Hizmet sağlayıcısı kimlikleri yapılandırıyor.
  2. Müşteri, hizmet sağlayıcısının çok kiracılı uygulamasına Azure Key Vault'taki bir şifreleme anahtarına erişim verir.
  3. Hizmet sağlayıcısı, CMK kullanarak bir Azure kaynağındaki verileri şifreler.

1. Aşamadaki işlemler, çoğu hizmet sağlayıcısı uygulaması için tek seferlik bir kurulum olacaktır. Aşama 2 ve 3'teki işlemler her müşteri için yineler.

1. Aşama - Hizmet sağlayıcısı bir Microsoft Entra uygulaması yapılandırıyor

Adımlar Açıklama Azure RBAC'de en düşük rol Microsoft Entra RBAC'de en düşük rol
1. Yeni bir çok kiracılı Microsoft Entra uygulama kaydı oluşturun veya mevcut bir uygulama kaydıyla başlayın. Azure portal, Microsoft Graph API, Azure PowerShell veya Azure CLI kullanarak uygulama kaydının uygulama kimliğini (istemci kimliği) not edin Hiçbiri Uygulama Geliştirici
2. Kullanıcı tarafından atanan bir yönetilen kimlik oluşturun (Federasyon Kimliği Kimlik Bilgileri olarak kullanılacak).
Azure portalı / Azure CLI / Azure PowerShell/ Azure Resource Manager Şablonları
Yönetilen kimlik katkıda bulunanı Hiçbiri
3. Kullanıcı tarafından atanan yönetilen kimliği, uygulamanın kimliğine bürünebilmesi için uygulamada federasyon kimliği kimlik bilgileri olarak yapılandırın.
Graph API başvurusu/ Azure portalı/ Azure CLI/ Azure PowerShell
Hiçbiri Uygulamanın sahibi
4. Uygulamayı yükleyip yetkilendirilebilmesi için uygulama adını ve uygulama kimliğini müşteriyle paylaşın. Hiçbiri Hiçbiri

Hizmet sağlayıcıları için dikkat edilmesi gerekenler

  • Microsoft Entra uygulamaları oluşturmak için Azure Resource Manager (ARM) şablonları önerilmez.
  • Kiracı 2, Kiracı 3, Kiracı 4 vb. gibi herhangi bir sayıda kiracıdaki anahtarlara erişmek için aynı çok kiracılı uygulama kullanılabilir. Her kiracıda, aynı uygulama kimliğine ancak farklı bir nesne kimliğine sahip bağımsız bir uygulama örneği oluşturulur. Bu nedenle bu uygulamanın her örneği bağımsız olarak yetkilendirilmiştir. Bu özellik için kullanılan uygulama nesnesinin uygulamanızı tüm müşteriler arasında bölümlendirmek için nasıl kullanıldığını düşünün.
  • Nadir senaryolarda, bir hizmet sağlayıcısı müşteri başına tek bir Application nesnesi kullanabilir, ancak bu, tüm müşteriler genelinde uygulamaları büyük ölçekte yönetmek için önemli bakım maliyetleri gerektirir.
  • Hizmet sağlayıcısı kiracısında Yayımcı Doğrulamasını otomatikleştirmek mümkün değildir.

2. Aşama - Müşteri anahtar kasasına erişim yetkisi alır

Adımlar Açıklama En az ayrıcalıklı Azure RBAC rolleri En az ayrıcalıklı Microsoft Entra rolleri
1.
  • Önerilen: Kullanıcıyı uygulamanızda oturum açması için gönderin. Kullanıcı oturum açabiliyorsa, kiracısında uygulamanız için bir hizmet sorumlusu vardır.
  • Hizmet sorumlusunu oluşturmak için Microsoft Graph, Microsoft Graph PowerShell, Azure PowerShell veya Azure CLI kullanın.
  • Yönetici onayı URL'si oluşturun ve uygulama kimliğini kullanarak hizmet sorumlusunu oluşturmak için kiracı genelinde onay verin.
  • Hiçbiri Uygulama yükleme izinleri olan kullanıcılar
    2. Azure Key Vault ve müşteri tarafından yönetilen anahtar olarak kullanılan bir anahtar oluşturun. Anahtar kasasını oluşturmak için kullanıcıya Key Vault Katkıda Bulunanı rolü atanmalıdır

    Anahtar kasasına anahtar eklemek için kullanıcıya Key Vault Şifreleme Yetkilisi rolü atanmalıdır
    Hiçbiri
    3. Anahtar Kasası Şifreleme Hizmeti Şifreleme Kullanıcısı rolünü atayarak azure anahtar kasasına onaylanan uygulama kimliği erişimi verme Uygulamaya Key Vault Şifreleme Hizmeti Şifreleme Kullanıcı rolünü atamak için size Kullanıcı Erişimi Yöneticisi rolü atanmış olmalıdır. Hiçbiri
    4. Anahtar kasası URL'sini ve anahtar adını SaaS teklifinin müşteri tarafından yönetilen anahtar yapılandırmasına kopyalayın. Hiçbiri Hiçbiri

    Not

    CMK kullanarak şifreleme için Yönetilen HSM'ye erişimi yetkilendirmek için buradaki Depolama Hesabı örneğine bakın. Yönetilen HSM ile anahtarları yönetme hakkında daha fazla bilgi için bkz . Azure CLI kullanarak Yönetilen HSM'yi yönetme

    Hizmet sağlayıcılarının müşterileri için dikkat edilmesi gerekenler

    • Kiracı 2 olan müşteri kiracısında yönetici, yönetici olmayan kullanıcıların uygulama yüklemesini engelleyecek ilkeler ayarlayabilir. Bu ilkeler, yönetici olmayan kullanıcıların hizmet sorumluları oluşturmasını engelleyebilir. Böyle bir ilke yapılandırıldıysa, hizmet sorumluları oluşturma izinleri olan kullanıcıların dahil edilmesi gerekir.
    • Azure Key Vault'a erişim, Azure RBAC veya erişim ilkeleri kullanılarak yetkilendirilebilir. Anahtar kasasına erişim izni verirken, anahtar kasanız için etkin mekanizmayı kullandığınızdan emin olun.
    • Microsoft Entra uygulama kaydında uygulama kimliği (istemci kimliği) vardır. Uygulama kiracınıza yüklendiğinde bir hizmet sorumlusu oluşturulur. Hizmet sorumlusu, uygulama kaydıyla aynı uygulama kimliğini paylaşır, ancak kendi nesne kimliğini oluşturur. Uygulamaya kaynaklara erişim izni verdiğinizde, hizmet sorumlusunu Name veya ObjectID özelliğini kullanmanız gerekebilir.

    3. Aşama - Hizmet sağlayıcısı, müşteri tarafından yönetilen anahtarı kullanarak bir Azure kaynağındaki verileri şifreler

    1. ve 2. aşamalar tamamlandıktan sonra, hizmet sağlayıcısı Müşterinin kiracısında anahtar ve anahtar kasası ile ISV'nin kiracısında Azure kaynağı ile Azure kaynağında şifrelemeyi yapılandırabilir. Hizmet sağlayıcısı, kiracılar arası müşteri tarafından yönetilen anahtarları, bu Azure kaynağı tarafından desteklenen istemci araçlarıyla, bir ARM şablonuyla veya REST API ile yapılandırabilir.

    Kiracılar arası müşteri tarafından yönetilen anahtarları yapılandırma

    Bu bölümde, kiracılar arası müşteri tarafından yönetilen anahtar (CMK) yapılandırma ve müşteri verilerini şifreleme işlemleri açıklanmaktadır. Kiracı1'deki bir kaynaktaki müşteri verilerini, Tenant2'deki bir anahtar kasasında depolanan bir CMK kullanarak nasıl şifreleyeceğinizi öğrenirsiniz. Azure portalını, Azure PowerShell'i veya Azure CLI'yı kullanabilirsiniz.

    Azure portalında oturum açın ve şu adımları izleyin.

    Hizmet sağlayıcısı kimlikleri yapılandırıyor

    Aşağıdaki adımlar hizmet sağlayıcısının Kiracı1 kiracısında hizmet sağlayıcısı tarafından gerçekleştirilir.

    Hizmet sağlayıcısı yeni bir çok kiracılı uygulama kaydı oluşturur

    Yeni bir çok kiracılı Microsoft Entra uygulama kaydı oluşturabilir veya mevcut çok kiracılı uygulama kaydıyla başlayabilirsiniz. Mevcut bir uygulama kaydıyla başlıyorsanız, uygulamanın uygulama kimliğini (istemci kimliği) not edin.

    Yeni kayıt oluşturmak için:

    1. Arama kutusunda Microsoft Entra Id için arama yapın. Microsoft Entra ID uzantısını bulun ve seçin.

    2. Sol bölmeden Uygulama kayıtları yönet'i > seçin.

    3. + Yeni kayıt'ı seçin.

    4. Uygulama kaydının adını belirtin ve herhangi bir kuruluş dizininde (Herhangi bir Microsoft Entra dizini – Çok Kiracılı) Hesap'ı seçin.

    5. Kaydet'i seçin.

    6. Uygulamanın ApplicationId/ClientId değerini not edin.

      Yeni bir çok kiracılı uygulama kaydının nasıl oluşturulacağını gösteren ekran görüntüsü.

    Hizmet sağlayıcısı kullanıcı tarafından atanan bir yönetilen kimlik oluşturur

    Federasyon kimliği kimlik bilgileri olarak kullanılacak kullanıcı tarafından atanan bir yönetilen kimlik oluşturun.

    1. Arama kutusunda Yönetilen Kimlikler'i arayın. Yönetilen Kimlikler uzantısını bulun ve seçin.

    2. +Oluştur'u seçin.

    3. Yönetilen kimlik için kaynak grubunu, bölgeyi ve adını belirtin.

    4. Gözden geçir ve oluştur’u seçin.

    5. Başarılı bir dağıtımda, Özellikler altında bulunan kullanıcı tarafından atanan yönetilen kimliğin Azure ResourceId değerini not edin. Örneğin:

      /subscriptions/tttttttt-0000-tttt-0000-tttt0000tttt/resourcegroups/XTCMKDemo/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ConsotoCMKDemoUA

      Kaynak grubunun ve kullanıcı tarafından atanan yönetilen kimliğin nasıl oluşturulacağını gösteren ekran görüntüsü.

    Hizmet sağlayıcısı, kullanıcı tarafından atanan yönetilen kimliği uygulamada federasyon kimlik bilgisi olarak yapılandırıyor

    Kullanıcı tarafından atanan yönetilen kimliği, uygulamanın kimliğine bürünebilmesi için uygulamada federasyon kimliği kimlik bilgileri olarak yapılandırın.

    1. Uygulamanızı Uygulama kayıtları > Microsoft Entra Id'ye > gidin.

    2. Sertifikalar ve gizli diziler'i seçin.

    3. Federasyon kimlik bilgileri'ne tıklayın.

      Sertifika ve gizli dizilere gitmeyi gösteren ekran görüntüsü.

    4. + Kimlik bilgisi ekle'yi seçin.

    5. Federasyon kimlik bilgisi senaryosu altında Müşteri Tarafından Yönetilen Anahtarlar'ı seçin.

    6. Yönetilen kimlik seçin'e tıklayın. Bölmeden aboneliği seçin. Yönetilen kimlik'in altında Kullanıcı tarafından atanan yönetilen kimlik'i seçin. Seç kutusunda, daha önce oluşturduğunuz yönetilen kimliği arayın ve bölmenin alt kısmındaki Seç'e tıklayın.

      Yönetilen kimliğin nasıl seçildiğini gösteren ekran görüntüsü.

    7. Kimlik bilgisi ayrıntıları'nın altında, kimlik bilgisi için bir ad ve isteğe bağlı bir açıklama sağlayın ve Ekle'yi seçin.

      Kimlik bilgilerinin nasıl ekleneceğini gösteren ekran görüntüsü.

    Hizmet sağlayıcısı uygulama kimliğini müşteriyle paylaşır

    Çok kiracılı uygulamanın uygulama kimliğini (istemci kimliği) bulun ve müşteriyle paylaşın.

    Müşteri, hizmet sağlayıcısının uygulama erişimine anahtar kasasındaki anahtara erişim verir

    Aşağıdaki adımlar müşterinin Kiracı2 kiracısında müşteri tarafından gerçekleştirilir. Müşteri Azure portalını, Azure PowerShell'i veya Azure CLI'yı kullanabilir.

    Adımları yürüten kullanıcının Uygulama Yöneticisi, Bulut Uygulaması Yöneticisi veya Genel Yönetici gibi ayrıcalıklı bir role sahip bir yönetici olması gerekir.

    Azure portalında oturum açın ve şu adımları izleyin.

    Müşteri, hizmet sağlayıcısı uygulamasını müşteri kiracısında yükler

    Hizmet sağlayıcısının kayıtlı uygulamasını müşterinin kiracısına yüklemek için kayıtlı uygulamadan uygulama kimliğiyle bir hizmet sorumlusu oluşturursunuz. Hizmet sorumlusunu aşağıdaki yollardan biriyle oluşturabilirsiniz:

    • Hizmet sorumlusunu el ile oluşturmak için Microsoft Graph, Microsoft Graph PowerShell, Azure PowerShell veya Azure CLI kullanın.
    • Yönetici onayı URL'si oluşturun ve hizmet sorumlusunu oluşturmak için kiracı genelinde onay verin. Onlara AppId'nizi sağlamanız gerekir.

    Müşteri bir anahtar kasası oluşturur

    Anahtar kasasını oluşturmak için kullanıcının hesabına Key Vault Katılımcısı rolü veya anahtar kasası oluşturulmasına izin veren başka bir rol atanmalıdır.

    1. Azure portalı menüsünden veya Giriş sayfasında + Kaynak oluştur'u seçin. Arama kutusuna Anahtar kasaları yazın. Sonuç listesinden Anahtar kasaları'nı seçin. Anahtar kasaları sayfasında Oluştur'u seçin.

    2. Temel Bilgiler sekmesinde bir abonelik seçin. Kaynak grubu'nun altında Yeni oluştur'u seçin ve bir kaynak grubu adı girin.

    3. Anahtar kasası için benzersiz bir ad girin.

    4. Bir bölge ve fiyatlandırma katmanı seçin.

    5. Yeni anahtar kasası için temizleme korumasını etkinleştirin.

    6. Erişim ilkesi sekmesinde İzin modeli için Azure rol tabanlı erişim denetimi'ni seçin.

    7. Gözden Geçir + oluştur'u ve ardından Oluştur'u seçin.

      Anahtar kasası oluşturmayı gösteren ekran görüntüsü.

    Anahtar kasası adını ve URI'yi not alın Anahtar kasanıza erişen uygulamaların bu URI'yi kullanması gerekir.

    Daha fazla bilgi için bkz . Hızlı Başlangıç - Azure portal ile Azure Key Vault oluşturma.

    Müşteri bir kullanıcı hesabına Key Vault Şifreleme Yetkilisi rolü atar

    Bu adım, şifreleme anahtarları oluşturabilmenizi sağlar.

    1. Anahtar kasanıza gidin ve sol bölmeden Erişim Denetimi (IAM) öğesini seçin.
    2. Bu kaynağa erişim ver'in altında Rol ataması ekle'yi seçin.
    3. Key Vault Crypto Officer'ı arayın ve seçin.
    4. Üyeler'in altında Kullanıcı, grup veya hizmet sorumlusu'nun seçin.
    5. Üyeler'i seçin ve kullanıcı hesabınızı arayın.
    6. Gözden geçir + Ata'yı seçin.

    Müşteri bir şifreleme anahtarı oluşturur

    Şifreleme anahtarını oluşturmak için kullanıcının hesabına Anahtar Kasası Şifreleme Yetkilisi rolü veya anahtar oluşturulmasına izin veren başka bir rol atanmalıdır.

    1. Key Vault özellikleri sayfasında Anahtarlar'ı seçin.
    2. Oluştur/İçeri Aktar'ı seçin.
    3. Anahtar oluştur ekranında anahtar için bir ad belirtin. Diğer değerleri varsayılan değerlerinde bırakın.
    4. Oluştur'u belirleyin.
    5. Anahtar URI'sini kopyalayın.

    Müşteri, hizmet sağlayıcısı uygulamasına anahtar kasasına erişim verir

    Anahtar kasasına erişebilmesi için Hizmet sağlayıcısının kayıtlı uygulamasına Azure RBAC rolü Key Vault Şifreleme Hizmeti Şifreleme Kullanıcısını atayın.

    1. Anahtar kasanıza gidin ve sol bölmeden Erişim Denetimi (IAM) öğesini seçin.
    2. Bu kaynağa erişim ver'in altında Rol ataması ekle'yi seçin.
    3. Key Vault Şifreleme Hizmeti Şifreleme Kullanıcısını arayın ve seçin.
    4. Üyeler'in altında Kullanıcı, grup veya hizmet sorumlusu'nun seçin.
    5. Üyeler'i seçin ve hizmet sağlayıcısından yüklediğiniz uygulamanın uygulama adını arayın.
    6. Gözden geçir + Ata'yı seçin.

    Artık anahtar kasası URI'siyle ve anahtarıyla müşteri tarafından yönetilen anahtarları yapılandırabilirsiniz.

    Mevcut bir hesap için müşteri tarafından yönetilen anahtarları yapılandırma

    Bu noktaya kadar, ISV'nin kiracısında çok kiracılı uygulamayı yapılandırmış, uygulamayı müşterinin kiracısına yüklemiş ve müşterinin kiracısında anahtar kasasını ve anahtarı yapılandırmışsınızdır. Ardından, müşterinin kiracısından alınan anahtarla mevcut bir depolama hesabında müşteri tarafından yönetilen anahtarları yapılandırabilirsiniz.

    Bu makaledeki örneklerde, anahtar kasasına erişimi yetkilendirmek için kullanıcı tarafından atanan bir yönetilen kimlik kullanarak mevcut depolama hesabında müşteri tarafından yönetilen anahtarların nasıl yapılandırılır gösterilmektedir. Mevcut depolama hesabında müşteri tarafından yönetilen anahtarları yapılandırmak için sistem tarafından atanan yönetilen kimliği de kullanabilirsiniz. Her iki durumda da, yönetilen kimliğin anahtar kasasına erişmek için uygun izinlere sahip olması gerekir. Daha fazla bilgi için bkz . Azure Key Vault'ta kimlik doğrulaması yapma.

    Mevcut bir depolama hesabı için müşteri tarafından yönetilen anahtarlarla şifrelemeyi yapılandırırken, ilişkili anahtar kasasında yeni bir sürüm kullanılabilir olduğunda Azure Depolama şifrelemesi için kullanılan anahtar sürümünü otomatik olarak güncelleştirmeyi seçebilirsiniz. Bunu yapmak için anahtar URI'sinden anahtar sürümünü atlar. Alternatif olarak, anahtar sürümü el ile güncelleştirilene kadar şifreleme için kullanılacak bir anahtar sürümünü açıkça belirtebilirsiniz. Anahtar URI'sine anahtar sürümü dahil olmak üzere, anahtar sürümünün el ile güncelleştirilmesi için müşteri tarafından yönetilen anahtarlar yapılandırılır.

    Önemli

    Anahtarı döndürmek için Azure Key Vault'ta anahtarın yeni bir sürümünü oluşturun. Azure Depolama anahtar döndürmeyi işlemez, bu nedenle anahtar kasasında anahtarın döndürmesini yönetmeniz gerekir. Azure Key Vault'ta anahtar otomatik döndürmeyi yapılandırabilir veya anahtarınızı el ile döndürebilirsiniz.

    Azure Depolama, anahtar kasasını yeni bir anahtar sürümü için günde yalnızca bir kez denetler. Azure Key Vault'ta bir anahtarı döndürdüğünüzde, eski sürümü devre dışı bırakmadan önce 24 saat beklediğinizi unutmayın.

    Azure portalında mevcut bir depolama hesabı için kiracılar arası müşteri tarafından yönetilen anahtarları yapılandırmak için şu adımları izleyin:

    1. Depolama hesabınıza gidin.

    2. Güvenlik + ağ altında Şifreleme'yi seçin. Varsayılan olarak, aşağıdaki görüntüde gösterildiği gibi anahtar yönetimi Microsoft tarafından yönetilen anahtarlar olarak ayarlanır.

      Azure portalında şifreleme seçeneklerini gösteren ekran görüntüsü.

    3. Müşteri tarafından yönetilen anahtarlar seçeneğini belirleyin.

    4. Key Vault'tan Seç seçeneğini belirleyin.

    5. Anahtar URI'sini girin'i seçin ve anahtar URI'sini belirtin. Azure Depolama'nın yeni bir anahtar sürümünü otomatik olarak denetlemesini ve güncelleştirmesini istiyorsanız URI'den anahtar sürümünü atlayın.

    6. Anahtar kasasını ve anahtarı içeren aboneliği seçin.

    7. Kimlik türü alanında Kullanıcı tarafından atanan'ı seçin, ardından daha önce oluşturduğunuz federasyon kimliği kimlik bilgileriyle yönetilen kimliği belirtin.

    8. Gelişmiş bölümünü genişletin ve ISV'nin kiracısında daha önce oluşturduğunuz çok kiracılı kayıtlı uygulamayı seçin.

      Azure portalında mevcut bir depolama hesabı için kiracılar arası müşteri tarafından yönetilen anahtarları yapılandırmayı gösteren ekran görüntüsü.

    9. Değişikliklerinizi kaydedin.

    Müşterinin kiracısında anahtar kasasından anahtarı belirttikten sonra Azure portalı, müşteri tarafından yönetilen anahtarların bu anahtarla yapılandırıldığını gösterir. Ayrıca anahtar sürümünün otomatik olarak güncelleştirilmesinin etkinleştirildiğini ve şifreleme için kullanılmakta olan anahtar sürümünün görüntülendiğini gösterir. Portal ayrıca anahtar kasasına erişimi yetkilendirmek için kullanılan yönetilen kimliğin türünü, yönetilen kimliğin asıl kimliğini ve çok kiracılı uygulamanın uygulama kimliğini görüntüler.

    Kiracılar arası müşteri tarafından yönetilen anahtar yapılandırmasını gösteren ekran görüntüsü.

    Anahtarı değiştirme

    Azure Depolama şifrelemesi için kullandığınız anahtarı istediğiniz zaman değiştirebilirsiniz.

    Not

    Anahtar veya anahtar sürümünü değiştirdiğinizde kök şifreleme anahtarının koruması değişir, ancak Azure Depolama hesabınızdaki veriler her zaman şifrelenmiş olarak kalır. Verilerinizin korunmasını sağlamak için sizin tarafınızdan ek işlem gerekmez. Anahtarın değiştirilmesi veya anahtar sürümünün döndürülmesi performansı etkilemez. Anahtarı değiştirme veya anahtar sürümünü döndürme ile ilişkili kapalı kalma süresi yoktur.

    Anahtarı Azure portalıyla değiştirmek için şu adımları izleyin:

    1. Depolama hesabınıza gidin ve Şifreleme ayarlarını görüntüleyin.
    2. Anahtar kasasını seçin ve yeni bir anahtar seçin.
    3. Değişikliklerinizi kaydedin.

    Müşteri tarafından yönetilen anahtarları kullanan bir depolama hesabına erişimi iptal etme

    Müşteri tarafından yönetilen anahtarları kullanan bir depolama hesabına erişimi geçici olarak iptal etmek için, anahtar kasasında kullanılmakta olan anahtarı devre dışı bırakın. Anahtarı devre dışı bırakma ve yeniden oluşturma ile ilişkili performans etkisi veya kapalı kalma süresi yoktur.

    Anahtar devre dışı bırakıldıktan sonra, istemciler blobdan veya meta verilerinden okuma veya bloba yazma işlemlerini çağıramaz. Hangi işlemlerin başarısız olacağı hakkında bilgi için bkz . Müşteri tarafından yönetilen anahtarları kullanan bir depolama hesabına erişimi iptal etme.

    Dikkat

    Anahtar kasasında anahtarı devre dışı bırakırsanız Azure Depolama hesabınızdaki veriler şifrelenmiş olarak kalır, ancak siz anahtarı yeniden etkinleştirmediğiniz sürece erişilemez hale gelir.

    Müşteri tarafından yönetilen bir anahtarı Azure portalıyla devre dışı bırakmak için şu adımları izleyin:

    1. Anahtarı içeren anahtar kasasına gidin.

    2. Nesneler'in altında Anahtarlar'ı seçin.

    3. Tuşa sağ tıklayın ve Devre dışı bırak'ı seçin.

      Anahtar kasasında müşteri tarafından yönetilen anahtarı devre dışı bırakma işlemini gösteren ekran görüntüsü.

    Microsoft tarafından yönetilen anahtarlara geri dönme

    Azure portalını, PowerShell'i veya Azure CLI'yı kullanarak müşteri tarafından yönetilen anahtarlardan Microsoft tarafından yönetilen anahtarlara dilediğiniz zaman geçiş yapabilirsiniz.

    Müşteri tarafından yönetilen anahtarlardan Azure portalında Microsoft tarafından yönetilen anahtarlara geri dönmek için şu adımları izleyin:

    1. Depolama hesabınıza gidin.

    2. Güvenlik + ağ altında Şifreleme'yi seçin.

    3. Şifreleme türünü Microsoft tarafından yönetilen anahtarlar olarak değiştirin.

      Depolama hesabı için Microsoft tarafından yönetilen anahtarlara geçmeyi gösteren ekran görüntüsü.

    Ayrıca bkz.