Mevcut bir depolama hesabı için aynı kiracıda müşteri tarafından yönetilen anahtarları yapılandırma
Azure Depolama bekleyen bir depolama hesabındaki tüm verileri şifreler. Varsayılan olarak, veriler Microsoft tarafından yönetilen anahtarlarla şifrelenir. Şifreleme anahtarları üzerinde daha fazla denetim için kendi anahtarlarınızı yönetebilirsiniz. Müşteri tarafından yönetilen anahtarların Azure Key Vault veya Key Vault Yönetilen Donanım Güvenlik Modeli'nde (HSM) depolanması gerekir.
Bu makalede, depolama hesabı ve anahtar kasası aynı kiracıda olduğunda var olan bir depolama hesabı için müşteri tarafından yönetilen anahtarlarla şifrelemenin nasıl yapılandırılır gösterilmektedir. Müşteri tarafından yönetilen anahtarlar bir anahtar kasasında depolanır.
Yeni bir depolama hesabı için müşteri tarafından yönetilen anahtarları yapılandırmayı öğrenmek için bkz . Yeni bir depolama hesabı için Azure anahtar kasasında müşteri tarafından yönetilen anahtarları yapılandırma.
Yönetilen HSM'de depolanan müşteri tarafından yönetilen anahtarlarla şifrelemeyi yapılandırmayı öğrenmek için bkz . Azure Key Vault Yönetilen HSM'de depolanan müşteri tarafından yönetilen anahtarlarla şifrelemeyi yapılandırma.
Not
Azure Key Vault ve Azure Key Vault Yönetilen HSM, müşteri tarafından yönetilen anahtarların yapılandırılması için aynı API'leri ve yönetim arabirimlerini destekler. Azure Key Vault için desteklenen tüm eylemler, Azure Key Vault Yönetilen HSM için de desteklenir.
Anahtar kasasını yapılandırma
Müşteri tarafından yönetilen anahtarları depolamak için yeni veya mevcut bir anahtar kasası kullanabilirsiniz. Depolama hesabı ve anahtar kasası aynı kiracıdaki farklı bölgelerde veya aboneliklerde olabilir. Azure Key Vault hakkında daha fazla bilgi edinmek için bkz . Azure Key Vault'a Genel Bakış ve Azure Key Vault nedir?.
Azure Depolama şifrelemesi ile müşteri tarafından yönetilen anahtarların kullanılması, anahtar kasası için hem geçici silme hem de temizleme korumasının etkinleştirilmesini gerektirir. Geçici silme, yeni bir anahtar kasası oluşturduğunuzda varsayılan olarak etkinleştirilir ve devre dışı bırakılamaz. Temizleme korumasını anahtar kasasını oluştururken veya oluşturulduktan sonra etkinleştirebilirsiniz.
Azure Key Vault, Azure RBAC izin modeli aracılığıyla Azure RBAC ile yetkilendirmeyi destekler. Microsoft, anahtar kasası erişim ilkeleri üzerinde Azure RBAC izin modelinin kullanılmasını önerir. Daha fazla bilgi için bkz . Uygulamalara Azure RBAC kullanarak Azure anahtar kasasına erişim izni verme.
Azure portalıyla anahtar kasası oluşturmayı öğrenmek için bkz . Hızlı Başlangıç: Azure portalını kullanarak anahtar kasası oluşturma. Anahtar kasasını oluştururken, aşağıdaki görüntüde gösterildiği gibi Temizleme korumasını etkinleştir'i seçin.
Mevcut bir anahtar kasasında temizleme korumasını etkinleştirmek için şu adımları izleyin:
- Azure portalında anahtar kasanıza gidin.
- Ayarlar'ın altında Özellikler'i seçin.
- Temizleme koruması bölümünde Temizleme korumasını etkinleştir'i seçin.
Anahtar ekleme
Ardından, anahtar kasasına bir anahtar ekleyin. Anahtarı eklemeden önce kendinize Key Vault Şifreleme Yetkilisi rolünü atadığınızdan emin olun.
Azure Depolama şifrelemesi, 2048, 3072 ve 4096 boyutlarında RSA ve RSA-HSM anahtarlarını destekler. Desteklenen anahtar türleri hakkında daha fazla bilgi için bkz . Anahtarlar hakkında.
Azure portalıyla anahtar eklemeyi öğrenmek için bkz . Hızlı Başlangıç: Azure portalını kullanarak Azure Key Vault'tan anahtar ayarlama ve alma.
Anahtar kasasına erişimi yetkilendirmek için yönetilen kimlik seçme
Mevcut bir depolama hesabı için müşteri tarafından yönetilen anahtarları etkinleştirdiğinizde, anahtarı içeren anahtar kasasına erişimi yetkilendirmek için kullanılacak bir yönetilen kimlik belirtmeniz gerekir. Yönetilen kimliğin anahtar kasasında anahtara erişmek için izinleri olmalıdır.
Anahtar kasasına erişim yetkisi veren yönetilen kimlik, kullanıcı tarafından atanan veya sistem tarafından atanan yönetilen kimlik olabilir. Sistem tarafından atanan ve kullanıcı tarafından atanan yönetilen kimlikler hakkında daha fazla bilgi edinmek için bkz . Yönetilen kimlik türleri.
Erişimi yetkilendirmek için kullanıcı tarafından atanan yönetilen kimlik kullanma
Yeni bir depolama hesabı için müşteri tarafından yönetilen anahtarları etkinleştirdiğinizde, kullanıcı tarafından atanan bir yönetilen kimlik belirtmeniz gerekir. Mevcut depolama hesabı, müşteri tarafından yönetilen anahtarları yapılandırmak için kullanıcı tarafından atanan yönetilen kimlik veya sistem tarafından atanan yönetilen kimlik kullanılmasını destekler.
Müşteri tarafından yönetilen anahtarları kullanıcı tarafından atanan yönetilen kimlikle yapılandırdığınızda, anahtarı içeren anahtar kasasına erişim yetkisi vermek için kullanıcı tarafından atanan yönetilen kimlik kullanılır. Müşteri tarafından yönetilen anahtarları yapılandırmadan önce kullanıcı tarafından atanan kimliği oluşturmanız gerekir.
Kullanıcı tarafından atanan yönetilen kimlik tek başına bir Azure kaynağıdır. Kullanıcı tarafından atanan yönetilen kimlikler hakkında daha fazla bilgi edinmek için bkz . Yönetilen kimlik türleri. Kullanıcı tarafından atanan yönetilen kimlik oluşturmayı ve yönetmeyi öğrenmek için bkz . Kullanıcı tarafından atanan yönetilen kimlikleri yönetme.
Kullanıcı tarafından atanan yönetilen kimliğin anahtar kasasında anahtara erişme izinleri olmalıdır. Bu izinleri vermek için anahtar kasası kapsamına sahip kullanıcı tarafından atanan yönetilen kimliğe Key Vault Şifreleme Hizmeti Şifreleme Kullanıcı rolünü atayın.
Kullanıcı tarafından atanan yönetilen kimlikle müşteri tarafından yönetilen anahtarları yapılandırabilmeniz için önce anahtar kasası kapsamında kullanıcı tarafından atanan yönetilen kimliğe Key Vault Şifreleme Hizmeti Kullanıcı rolünü atamanız gerekir. Bu rol, kullanıcı tarafından atanan yönetilen kimliklere anahtar kasasında anahtara erişme izni verir. Azure portalı ile Azure RBAC rolleri atama hakkında daha fazla bilgi için bkz . Azure portalını kullanarak Azure rolleri atama.
Müşteri tarafından yönetilen anahtarları Azure portalıyla yapılandırdığınızda, portal kullanıcı arabirimi aracılığıyla kullanıcı tarafından atanan mevcut bir kimliği seçebilirsiniz.
Erişimi yetkilendirmek için sistem tarafından atanan yönetilen kimlik kullanma
Sistem tarafından atanan yönetilen kimlik, bir Azure hizmetinin örneğiyle (bu örnekte bir Azure Depolama hesabı) ilişkilendirilir. Sistem tarafından atanan yönetilen kimliği kullanarak müşteri tarafından yönetilen anahtarınızı içeren anahtar kasasına erişim yetkisi verebilmek için önce bir depolama hesabına sistem tarafından atanan yönetilen kimliği açıkça atamanız gerekir.
Anahtar kasasına erişimi yetkilendirmek için yalnızca mevcut depolama hesapları sistem tarafından atanan bir kimlik kullanabilir. Müşteri tarafından yönetilen anahtarlar hesap oluşturma işleminde yapılandırıldıysa, yeni depolama hesaplarının kullanıcı tarafından atanan bir kimlik kullanması gerekir.
Sistem tarafından atanan yönetilen kimliğin anahtar kasasında anahtara erişme izinleri olmalıdır. Bu izinleri vermek için anahtar kasası kapsamıyla sistem tarafından atanan yönetilen kimliğe Key Vault Şifreleme Hizmeti Şifreleme Kullanıcı rolünü atayın.
Müşteri tarafından yönetilen anahtarları sistem tarafından atanan yönetilen kimlikle yapılandırabilmeniz için önce anahtar kasası kapsamında sistem tarafından atanan yönetilen kimliğe Anahtar Kasası Şifreleme Kullanıcı rolünü atamanız gerekir. Bu rol, sistem tarafından atanan yönetilen kimliklere anahtar kasasında anahtara erişme izni verir. Azure portalı ile Azure RBAC rolleri atama hakkında daha fazla bilgi için bkz . Azure portalını kullanarak Azure rolleri atama.
Azure portalıyla müşteri tarafından yönetilen anahtarları sistem tarafından atanan yönetilen kimlikle yapılandırdığınızda, sistem tarafından atanan yönetilen kimlik sizin için depolama hesabına kapaklar altında atanır.
Mevcut bir hesap için müşteri tarafından yönetilen anahtarları yapılandırma
Mevcut bir depolama hesabı için müşteri tarafından yönetilen anahtarlarla şifrelemeyi yapılandırırken, ilişkili anahtar kasasında yeni bir sürüm kullanılabilir olduğunda Azure Depolama şifrelemesi için kullanılan anahtar sürümünü otomatik olarak güncelleştirmeyi seçebilirsiniz. Alternatif olarak, anahtar sürümü el ile güncelleştirilene kadar şifreleme için kullanılacak bir anahtar sürümünü açıkça belirtebilirsiniz.
Anahtar sürümü otomatik veya el ile değiştirildiğinde kök şifreleme anahtarının koruması değişir, ancak Azure Depolama hesabınızdaki veriler her zaman şifrelenmiş olarak kalır. Verilerinizin korunduğundan emin olmak için başka bir işlem yapmanız gerekmez. Anahtar sürümünün döndürülmesi performansı etkilemez. Anahtar sürümünü döndürmeyle ilişkili kapalı kalma süresi yoktur.
Mevcut bir depolama hesabı için müşteri tarafından yönetilen anahtarları yapılandırırken anahtar kasasına erişimi yetkilendirmek için sistem tarafından atanan veya kullanıcı tarafından atanan yönetilen kimliği kullanabilirsiniz.
Not
Anahtarı döndürmek için Azure Key Vault'ta anahtarın yeni bir sürümünü oluşturun. Azure Depolama anahtar döndürmeyi işlemez, bu nedenle anahtar kasasında anahtarın döndürmesini yönetmeniz gerekir. Azure Key Vault'ta anahtar otomatik döndürmeyi yapılandırabilir veya anahtarınızı el ile döndürebilirsiniz.
Anahtar sürümlerinin otomatik güncelleştirilmesi için şifrelemeyi yapılandırma
Azure Depolama, anahtar kasasından en son anahtar sürümünü kullanmak üzere şifreleme için kullanılan müşteri tarafından yönetilen anahtarı otomatik olarak güncelleştirebilir. Azure Depolama, anahtarın yeni sürümü için anahtar kasasını günlük olarak denetler. Yeni bir sürüm kullanıma sunulduğunda Azure Depolama otomatik olarak şifreleme için anahtarın en son sürümünü kullanmaya başlar.
Önemli
Azure Depolama, anahtar kasasını yeni bir anahtar sürümü için günde yalnızca bir kez denetler. Bir anahtarı döndürdüğünüzde, eski sürümü devre dışı bırakmadan önce 24 saat beklemeyi unutmayın.
Azure portalında anahtar sürümünün otomatik olarak güncelleştirilmesiyle mevcut bir hesabın müşteri tarafından yönetilen anahtarlarını yapılandırmak için aşağıdaki adımları izleyin:
Depolama hesabınıza gidin.
Güvenlik + ağ altında Şifreleme'yi seçin. Varsayılan olarak, anahtar yönetimi aşağıdaki görüntüde gösterildiği gibi Microsoft Tarafından Yönetilen Anahtarlar olarak ayarlanır:
Müşteri Tarafından Yönetilen Anahtarlar seçeneğini belirleyin. Hesap daha önce anahtar sürümünün el ile güncelleştirilmesiyle Müşteri Tarafından Yönetilen Anahtarlar için yapılandırıldıysa, sayfanın alt kısmındaki Anahtarı değiştir'i seçin.
Key Vault'tan Seç seçeneğini belirleyin.
Anahtar kasası ve anahtar seçin'i seçin.
Kullanmak istediğiniz anahtarı içeren anahtar kasasını seçin. Yeni bir anahtar kasası da oluşturabilirsiniz.
Anahtar kasasından anahtarı seçin. Yeni bir anahtar da oluşturabilirsiniz.
Anahtar kasasına erişimin kimliğini doğrulamak için kullanılacak kimlik türünü seçin. Seçenekler arasında Sistem tarafından atanan (varsayılan) veya Kullanıcı tarafından atanan bulunur. Yönetilen kimlik türleri hakkında daha fazla bilgi edinmek için bkz . Yönetilen kimlik türleri.
- Sistem tarafından atanan'ı seçerseniz, depolama hesabı için sistem tarafından atanan yönetilen kimlik, henüz yoksa, kapaklar altında oluşturulur.
- Kullanıcı tarafından atanan'ı seçerseniz, anahtar kasasına erişim izinleri olan mevcut kullanıcı tarafından atanan kimliği seçmeniz gerekir. Kullanıcı tarafından atanan kimlik oluşturmayı öğrenmek için bkz . Kullanıcı tarafından atanan yönetilen kimlikleri yönetme.
Değişikliklerinizi kaydedin.
Anahtarı belirttikten sonra Azure portalı, anahtar sürümünün otomatik güncelleştirilmesinin etkinleştirildiğini belirtir ve şifreleme için şu anda kullanılmakta olan anahtar sürümünü görüntüler. Portal ayrıca anahtar kasasına erişimi yetkilendirmek için kullanılan yönetilen kimliğin türünü ve yönetilen kimliğin asıl kimliğini görüntüler.
Anahtar sürümlerinin el ile güncelleştirilmesi için şifrelemeyi yapılandırma
Anahtar sürümünü el ile güncelleştirmeyi tercih ediyorsanız, müşteri tarafından yönetilen anahtarlarla şifrelemeyi yapılandırdığınız sırada sürümü açıkça belirtin. Bu durumda Azure Depolama, anahtar kasasında yeni bir sürüm oluşturulduğunda anahtar sürümünü otomatik olarak güncelleştirmez. Yeni bir anahtar sürümü kullanmak için Azure Depolama şifrelemesi için kullanılan sürümü el ile güncelleştirmeniz gerekir.
Müşteri tarafından yönetilen anahtarları Azure portalında anahtar sürümünün el ile güncelleştirilmesiyle yapılandırmak için, sürüm de dahil olmak üzere anahtar URI'sini belirtin. Anahtarı URI olarak belirtmek için şu adımları izleyin:
Azure portalında anahtar URI'sini bulmak için anahtar kasanıza gidin ve Anahtarlar ayarını seçin. İstediğiniz anahtarı seçin ve ardından sürümlerini görüntülemek için anahtarı seçin. Bu sürümün ayarlarını görüntülemek için bir anahtar sürümü seçin.
URI'yi sağlayan Anahtar Tanımlayıcısı alanının değerini kopyalayın.
Depolama hesabınızın Şifreleme anahtarı ayarlarında Anahtar URI'sini girin seçeneğini belirleyin.
Kopyaladığınız URI'yi Anahtar URI alanına yapıştırın. Anahtar sürümünün otomatik olarak güncelleştirilmesini sağlamak için URI'den anahtar sürümünü atlar.
Anahtar kasasını içeren aboneliği belirtin.
Sistem tarafından atanan veya kullanıcı tarafından atanan yönetilen kimliği belirtin.
Değişikliklerinizi kaydedin.
Anahtarı değiştirme
Azure Depolama şifrelemesi için kullandığınız anahtarı istediğiniz zaman değiştirebilirsiniz.
Not
Anahtar veya anahtar sürümünü değiştirdiğinizde kök şifreleme anahtarının koruması değişir, ancak Azure Depolama hesabınızdaki veriler her zaman şifrelenmiş olarak kalır. Verilerinizin korunmasını sağlamak için sizin tarafınızdan ek işlem gerekmez. Anahtarın değiştirilmesi veya anahtar sürümünün döndürülmesi performansı etkilemez. Anahtarı değiştirme veya anahtar sürümünü döndürme ile ilişkili kapalı kalma süresi yoktur.
Anahtarı Azure portalıyla değiştirmek için şu adımları izleyin:
- Depolama hesabınıza gidin ve Şifreleme ayarlarını görüntüleyin.
- Anahtar kasasını seçin ve yeni bir anahtar seçin.
- Değişikliklerinizi kaydedin.
Yeni anahtar farklı bir anahtar kasasındaysa, yönetilen kimliğe yeni kasadaki anahtara erişim izni vermelisiniz. Anahtar sürümünün el ile güncelleştirilmesini tercih ederseniz anahtar kasası URI'sini de güncelleştirmeniz gerekir.
Müşteri tarafından yönetilen anahtarları kullanan bir depolama hesabına erişimi iptal etme
Müşteri tarafından yönetilen anahtarları kullanan bir depolama hesabına erişimi geçici olarak iptal etmek için, anahtar kasasında kullanılmakta olan anahtarı devre dışı bırakın. Anahtarı devre dışı bırakma ve yeniden oluşturma ile ilişkili performans etkisi veya kapalı kalma süresi yoktur.
Anahtar devre dışı bırakıldıktan sonra, istemciler blobdan veya meta verilerinden okuma veya bloba yazma işlemlerini çağıramaz. Hangi işlemlerin başarısız olacağı hakkında bilgi için bkz . Müşteri tarafından yönetilen anahtarları kullanan bir depolama hesabına erişimi iptal etme.
Dikkat
Anahtar kasasında anahtarı devre dışı bırakırsanız Azure Depolama hesabınızdaki veriler şifrelenmiş olarak kalır, ancak siz anahtarı yeniden etkinleştirmediğiniz sürece erişilemez hale gelir.
Müşteri tarafından yönetilen bir anahtarı Azure portalıyla devre dışı bırakmak için şu adımları izleyin:
Anahtarı içeren anahtar kasasına gidin.
Nesneler'in altında Anahtarlar'ı seçin.
Tuşa sağ tıklayın ve Devre dışı bırak'ı seçin.
Microsoft tarafından yönetilen anahtarlara geri dönme
Azure portalını, PowerShell'i veya Azure CLI'yı kullanarak müşteri tarafından yönetilen anahtarlardan Microsoft tarafından yönetilen anahtarlara dilediğiniz zaman geçiş yapabilirsiniz.
Müşteri tarafından yönetilen anahtarlardan Azure portalında Microsoft tarafından yönetilen anahtarlara geri dönmek için şu adımları izleyin:
Depolama hesabınıza gidin.
Güvenlik + ağ altında Şifreleme'yi seçin.
Şifreleme türünü Microsoft tarafından yönetilen anahtarlar olarak değiştirin.