Konfigurieren von vom Kunden verwalteten Schlüsseln für Azure Files-Verschlüsselung

✔️ Gilt für: Klassische SMB- und NFS-Dateifreigaben, die mit dem Microsoft.Storage-Ressourcenanbieter erstellt wurden.

✖️ Gilt nicht für: Datei-Shares, die mit dem Microsoft.FileShares-Ressourcenanbieter (Vorschau) erstellt wurden

Azure verschlüsselt alle Daten in einem ruhenden Speicherkonto, einschließlich Azure Files Daten, mithilfe der AES-256-Verschlüsselung. Standardmäßig verwaltet Microsoft die Verschlüsselungsschlüssel für ein Speicherkonto. Um mehr Kontrolle über Verschlüsselungsschlüssel zu erhalten, können Sie customer-managed keys (CMK) anstelle von Microsoft verwalteten Schlüsseln verwenden, um den Zugriff auf den Verschlüsselungsschlüssel zu schützen und zu steuern, der Ihre Daten verschlüsselt. In diesem Artikel wird erläutert, wie Sie vom Kunden verwaltete Schlüssel für Azure Files Workloads konfigurieren.

Wenn Sie vom Kunden verwaltete Schlüssel für ein Speicherkonto konfigurieren, werden Azure Files Daten in diesem Speicherkonto automatisch mit dem Kundenschlüssel verschlüsselt. Kein Opt-In pro Aktie ist erforderlich.

Diese Anweisungen dienen zum Speichern von vom Kunden verwalteten Schlüsseln in Azure Key Vault. Einige Schritte und Befehle für Azure Key Vault Managed HSM (Hardware Security Module) unterscheiden sich möglicherweise geringfügig.

Führen Sie die folgenden Schritte aus, um vom Kunden verwaltete Schlüssel für ein Speicherkonto zu konfigurieren.

Schritt 1: Erstellen oder Konfigurieren eines Key Vault

Um vom Kunden verwaltete Schlüssel zu aktivieren, benötigen Sie ein Azure Speicherkonto zusammen mit einem Azure Key Vault mit aktiviertem Löschschutz. Sie können einen vorhandenen Key Vault verwenden oder einen neuen erstellen. Das Storage-Konto und der Key Vault können sich in verschiedenen Regionen oder Abonnements innerhalb desselben Microsoft Entra-Mandanten befinden. Informationen zu mandantenübergreifenden Szenarien finden Sie unter Konfigurieren mandantenübergreifender vom Kunden verwalteter Schlüssel für ein vorhandenes Speicherkonto.

Führen Sie die folgenden Schritte aus, um einen neuen Schlüsseltresor mithilfe des Azure-Portals zu erstellen:

Suchen Sie im Azure-Portal nach Key Vaults, und wählen Sie Create aus.
Füllen Sie die erforderlichen Felder aus (Abonnement, Ressourcengruppe, Name, Region).
Wählen Sie unter "Wiederherstellungsoptionen" die Option " Löschschutz aktivieren" aus.
Klicken Sie auf Überprüfen und erstellen und dann auf Erstellen.

Wenn Sie einen vorhandenen Key Vault verwenden möchten, führen Sie die folgenden Schritte aus:

Wechseln Sie im Azure-Portal zu Ihrem Schlüsseltresor.
Wählen Sie im Dienstmenü unter "Einstellungen" die Option "Eigenschaften" aus.
Wählen Sie im Abschnitt " Löschschutz " die Option "Löschschutz aktivieren" und dann " Speichern" aus.
Stellen Sie sicher, dass "Weiches Löschen" in Ihrem Schlüsselarchiv aktiviert ist. Er ist standardmäßig für neue Key Vaults aktiviert.

Führen Sie das folgende Cmdlet aus, um einen neuen Key Vault mit aktiviertem Löschschutz zu erstellen. Ersetzen Sie <key-vault-name>, <resource-group> und <region> durch Ihre eigenen Werte.

New-AzKeyVault `
    -Name <key-vault-name> `
    -ResourceGroupName <resource-group> `
    -Location <region> `
    -EnablePurgeProtection

Führen Sie das folgende Cmdlet aus, um den Löschschutz für einen vorhandenen Schlüsseltresor zu aktivieren. Ersetzen Sie <key-vault-name> und <resource-group> durch Ihre eigenen Werte.

Update-AzKeyVault `
    -VaultName <key-vault-name> `
    -ResourceGroupName <resource-group> `
    -EnablePurgeProtection

Um einen neuen Key Vault mit aktiviertem Bereinigungsschutz zu erstellen, führen Sie den folgenden Befehl aus. Ersetzen Sie <key-vault-name>, <resource-group> und <region> durch Ihre eigenen Werte.

az keyvault create \
    --name <key-vault-name> \
    --resource-group <resource-group> \
    --location <region> \
    --enable-purge-protection true

Um den Bereinigungsschutz für einen bestehenden Key Vault zu aktivieren, führen Sie den folgenden Befehl aus. Ersetzen Sie <key-vault-name> und <resource-group> durch Ihre eigenen Werte.

az keyvault update \
    --name <key-vault-name> \
    --resource-group <resource-group> \
    --enable-purge-protection true

Zuweisung der Rolle Key Vault Crypto Officer

Um Schlüssel in Ihrem Schlüsselsafe zu erstellen und zu verwalten, benötigen Sie die Rolle Key Vault Crypto Officer für den Schlüsselsafe. Sie können diese Rolle sich selbst zuweisen, indem Sie das Azure Portal, PowerShell oder Azure CLI verwenden. Wenn Sie diese Rolle bereits im Key Vault haben, können Sie diesen Abschnitt überspringen und mit Schritt 2 fortfahren.

Sie benötigen die RBAC-Rolle Besitzer oder Benutzerzugriffsadministrator im Bereich des Key Vault, um die Rolle Key Vault Crypto Officer zuzuweisen. Wenden Sie sich bei Bedarf an Ihren Administrator.

Führen Sie die folgenden Schritte aus, um die Rolle Key Vault Crypto Officer sich selbst mithilfe des Azure Portals zuzuweisen:

Navigieren Sie zu Ihrem Schlüsseltresor.
Wählen Sie im Menü "Service" die Option Access Control (IAM) aus.
Wählen Sie unter Zugriff auf diese RessourceRollen Zuweisung hinzufügen aus.
Suchen Sie nach Key Vault Crypto Officer, und wählen Sie dann Next aus.
Wählen Sie unter " Zugriff zuweisen"den Befehl "Benutzer", "Gruppe" oder "Dienstprinzipal" aus.
Wählen Sie unter "Mitglieder" die Option "+Mitglieder auswählen" aus.
Suchen und wählen Sie Ihr eigenes Konto aus, und klicken Sie dann auf Auswählen.
Wählen Sie "Überprüfen+ Zuweisen" aus, und wählen Sie dann erneut "Überprüfen+ Zuweisen" aus .

Führen Sie das folgende Cmdlet aus, um die Rolle Key Vault Crypto Officer sich selbst zuzuweisen, indem Sie Azure PowerShell verwenden. Ersetzen Sie <key-vault-name> durch Ihren eigenen Wert.

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>
$currentUser = (Get-AzADUser -SignedIn).Id

New-AzRoleAssignment `
    -ObjectId $currentUser `
    -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $keyVault.ResourceId

Um die rolle Key Vault Crypto Officer sich selbst zuzuweisen, indem Sie Azure CLI verwenden, führen Sie die folgenden Befehle aus. Ersetzen Sie <key-vault-name> durch Ihren eigenen Wert.

KV_RESOURCE_ID=$(az keyvault show --name <key-vault-name> --query id -o tsv)
CURRENT_USER=$(az ad signed-in-user show --query id -o tsv)

az role assignment create \
    --assignee-object-id $CURRENT_USER \
    --assignee-principal-type User \
    --role "Key Vault Crypto Officer" \
    --scope $KV_RESOURCE_ID

Schritt 2: Erstellen oder Importieren eines Verschlüsselungsschlüssels

Sie benötigen einen RSA oder RSA-HSM Schlüssel der Größe 2048, 3072 oder 4096. Generieren oder importieren Sie einen RSA-Schlüssel in Ihrem Schlüsseltresor. Bevor Sie einen Schlüssel generieren, stellen Sie sicher, dass Sie über die Rolle Key Vault Crypto Officer auf dem key vault verfügen.

Führen Sie die folgenden Schritte aus, um einen neuen RSA-Verschlüsselungsschlüssel mithilfe des Azure Portals zu generieren.

Wechseln Sie im Azure-Portal zu Ihrem Schlüsseltresor.
Wählen Sie im Dienstmenü unter "Objekte" die Option "Schlüssel" aus.
Wählen Sie die Option Generieren/Importieren aus. Wählen Sie unter "Optionen" die Option "Generieren" aus.
Geben Sie einen Namen für den Schlüssel ein. Schlüsselnamen können nur alphanumerische Zeichen und Gedankenstriche enthalten.
Legen Sie den Schlüsseltyp auf RSA und RSA-Schlüsselgröße auf 2048 (oder 3072/4096) fest.
Wählen Sie "Erstellen" aus.

Führen Sie die folgenden Schritte aus, um einen vorhandenen RSA-Verschlüsselungsschlüssel mithilfe des Azure Portals zu importieren.

Wechseln Sie im Azure-Portal zu Ihrem Schlüsseltresor.
Wählen Sie im Dienstmenü unter "Objekte" die Option "Schlüssel" aus.
Wählen Sie die Option Generieren/Importieren aus. Wählen Sie unter "Optionen" die Option "Importieren" aus.
Wählen Sie Ihren Schlüssel zum Hochladen aus.
Geben Sie einen Namen für den Schlüssel ein. Schlüsselnamen können nur alphanumerische Zeichen und Gedankenstriche enthalten.
Legen Sie Schlüsseltyp auf RSA fest.
Wählen Sie "Erstellen" aus.

Führen Sie das folgende Cmdlet aus, um mithilfe von Azure PowerShell einen RSA-Schlüssel zu erstellen. Ersetzen Sie <key-vault-name> und <key-name> durch Ihre eigenen Werte. Für -Size, können Sie 2048, 3072 oder 4096 angeben.

Add-AzKeyVaultKey `
    -VaultName <key-vault-name> `
    -Name <key-name> `
    -Destination Software `
    -KeyType RSA `
    -Size 2048

Führen Sie das folgende Cmdlet aus, um einen vorhandenen RSA-Verschlüsselungsschlüssel mithilfe von Azure PowerShell zu importieren. Ersetzen Sie <key-vault-name>, <key-name> und <key-path> durch Ihre eigenen Werte. Wenn die Schlüsseldatei kein Kennwort hat, lassen Sie den -KeyFilePassword Parameter aus.

Add-AzKeyVaultKey `
    -VaultName <key-vault-name> `
    -Name <key-name> `
    -KeyFilePath <key-path> `
    -KeyFilePassword $password

Führen Sie zum Erstellen eines RSA-Schlüssels mithilfe von Azure CLI den folgenden Befehl aus. Ersetzen Sie <key-vault-name> und <key-name> durch Ihre eigenen Werte. Für --size, können Sie 2048, 3072 oder 4096 angeben.

az keyvault key create \
    --vault-name <key-vault-name> \
    --name <key-name> \
    --kty RSA \
    --size 2048

Um einen vorhandenen RSA-Verschlüsselungsschlüssel mithilfe von Azure CLI zu importieren, führen Sie den folgenden Befehl aus. Ersetzen Sie <key-vault-name>, <key-name> und <key-path> durch Ihre eigenen Werte. Wenn die Schlüsseldatei kein Kennwort hat, lassen Sie den --password Parameter aus.

az keyvault key import \
    --vault-name <key-vault-name> \
    --name <key-name> \
    --pem-file <key-path> \
    --password <key-password>

Schritt 3: Erstellen einer verwalteten Identität und Zuweisen von Berechtigungen

Das Speicherkonto benötigt eine verwaltete Identität, um sich beim Key Vault zu authentifizieren. Mithilfe einer verwalteten Identität kann das Speicherkonto sicher auf den Verschlüsselungsschlüssel in Ihrem Schlüsseltresor zugreifen, ohne Anmeldeinformationen zu speichern.

Erstellen Sie eine vom Benutzer zugewiesene verwaltete Identität, und gewähren Sie dieser Identität die Rolle Key Vault Crypto Service Encryption User für den Key Vault.

Erstellen einer vom Benutzer zugewiesenen verwalteten Identität

Erstellen Sie eine vom Benutzer zugewiesene verwaltete Identität mithilfe des Azure Portals, Azure PowerShell oder Azure CLI.

Führen Sie die folgenden Schritte aus, um eine vom Benutzer zugewiesene verwaltete Identität mithilfe des Azure Portals zu erstellen.

Suchen Sie nach verwalteten Identitäten , und wählen Sie "Erstellen" aus.
Wählen Sie ein Abonnement, eine Ressourcengruppe, eine Region und einen Namen aus.
Klicken Sie auf Überprüfen und erstellen und dann auf Erstellen.

Führen Sie das folgende Cmdlet aus, um mithilfe von Azure PowerShell eine vom Benutzer zugewiesene verwaltete Identität zu erstellen. Ersetzen Sie <resource-group>, <identity-name> und <region> durch Ihre eigenen Werte.

New-AzUserAssignedIdentity `
    -ResourceGroupName <resource-group> `
    -Name <identity-name> `
    -Location <region>

Führen Sie den folgenden Befehl aus, um mithilfe von Azure CLI eine vom Benutzer zugewiesene verwaltete Identität zu erstellen. Ersetzen Sie <resource-group>, <identity-name> und <region> durch Ihre eigenen Werte.

az identity create \
    --name <identity-name> \
    --resource-group <resource-group> \
    --location <region>

Weisen Sie der verwalteten Identität die Rolle "Key Vault Crypto Service Encryption User" zu.

Weisen Sie die Rolle Key Vault Crypto Service Encryption User der verwalteten Identität zu, die Sie mithilfe des Azure Portals, PowerShell oder Azure CLI erstellt haben.

Führen Sie folgende Schritte aus, um der verwalteten Identität mithilfe des Azure-Portals die Rolle Key Vault Crypto Service Encryption User zuzuweisen:

Wechseln Sie im Azure-Portal zu Ihrem Schlüsseltresor.
Wählen Sie im Menü "Service" die Option Access Control (IAM) aus.
Wählen Sie unter Zugriff auf diese RessourceRollen Zuweisung hinzufügen aus.
Suchen Sie und wählen Sie Key Vault Crypto Service Encryption User aus, und wählen Sie dann Weiter aus.
Wählen Sie unter Zugriff zuweisen an die Option Verwaltete Identität aus.
Wählen Sie unter "Mitglieder" die Option "+Mitglieder auswählen" aus.
Das Fenster "Verwaltete Identitäten auswählen " wird geöffnet. Wählen Sie unter Verwaltete Identität die Option Benutzerseitig zugewiesene verwaltete Identität aus.
Wählen Sie die verwaltete Identität aus, die Sie erstellt haben, und wählen Sie dann "Auswählen" aus.
Wählen Sie "Überprüfen+ Zuweisen" aus, und wählen Sie dann erneut "Überprüfen+ Zuweisen" aus .

Um die Key Vault Crypto Service Encryption User Rolle der vom Benutzer zugewiesenen verwalteten Identität mithilfe von Azure PowerShell zuzuweisen, führen Sie das folgende Cmdlet aus. Ersetzen Sie <resource-group>, <identity-name> und <key-vault-name> durch Ihre eigenen Werte.

$identity = Get-AzUserAssignedIdentity `
    -ResourceGroupName <resource-group> `
    -Name <identity-name>

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>

New-AzRoleAssignment `
    -ObjectId $identity.PrincipalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

Um die Key Vault Crypto Service Encryption User Rolle der vom Benutzer zugewiesenen verwalteten Identität mithilfe von Azure CLI zuzuweisen, führen Sie die folgenden Befehle aus. Ersetzen Sie <resource-group>, <identity-name> und <key-vault-name> durch Ihre eigenen Werte.

# Get the principal ID of the user-assigned managed identity
IDENTITY_PRINCIPAL_ID=$(az identity show \
    --name <identity-name> \
    --resource-group <resource-group> \
    --query principalId -o tsv)

# Get the key vault resource ID
KV_RESOURCE_ID=$(az keyvault show \
    --name <key-vault-name> \
    --query id -o tsv)

# Assign the Key Vault Crypto Service Encryption User role to the user-assigned managed identity
az role assignment create \
    --assignee-object-id $IDENTITY_PRINCIPAL_ID \
    --assignee-principal-type ServicePrincipal \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $KV_RESOURCE_ID

Schritt 4: Konfigurieren von vom Kunden verwalteten Schlüsseln für das Speicherkonto

Wenn der Key Vault, der Schlüssel und die verwaltete Identität vorhanden sind, können Sie kundenverwaltete Schlüssel für das Storage-Konto aktivieren.

Um das Speicherkonto zu konfigurieren, damit es Ihren Schlüssel zur Verschlüsselung verwendet, führen Sie die folgenden Schritte aus. Das Azure Portal verwendet immer die automatische Aktualisierung der Schlüsselversion. Um stattdessen die manuelle Schlüsselversionsverwaltung zu verwenden, verwenden Sie Azure PowerShell oder Azure CLI, und geben Sie eine Schlüsselversion an.

Important

Für Speicherkonten, die einem Netzwerksicherheitsperimeter zugeordnet sind, sollte sich der Schlüsseltresor idealerweise im gleichen Netzwerksicherheitsperimeter befinden. Wenn dies nicht der Fall ist, müssen Sie das Perimeter-Profil für die Netzwerksicherheit des Key Vault konfigurieren, um die Kommunikation mit dem Storage-Konto zuzulassen.

Konfigurieren von vom Kunden verwalteten Schlüsseln für ein vorhandenes Speicherkonto

Sie können vom Kunden verwaltete Schlüssel für ein vorhandenes Speicherkonto mithilfe des Azure Portals, Azure PowerShell oder Azure CLI konfigurieren.

Führen Sie die folgenden Schritte aus, um kundenverwaltete Schlüssel für ein vorhandenes Speicherkonto mithilfe des Azure Portals zu konfigurieren. Das Portal verwendet standardmäßig die automatische Aktualisierung der Schlüsselversion. Sie können keine Schlüsselversion angeben.

Wechseln Sie zum Speicherkonto.
Wählen Sie im Menü "Dienst" unter "Sicherheit + Netzwerk" die Option "Verschlüsselung" aus.
Wählen Sie für den VerschlüsselungstypKundenverwaltete Schlüssel aus. Wenn das Speicherkonto bereits für CMK konfiguriert ist, wählen Sie "Schlüssel ändern" aus.
Wählen Sie für Verschlüsselungsschlüsseldie Option "Aus Schlüsseltresor auswählen" aus.
Wählen Sie Auswahl eines Key Vault und Schlüssels, und wählen Sie dann Ihren Key Vault und Schlüssel.
Wählen Sie für den Identitätstyp die Option "Benutzer zugewiesen " aus, um Ihre zuvor erstellte vom Benutzer zugewiesene verwaltete Identität zu verwenden.
Suchen und wählen Sie die vom Benutzer zugewiesene verwaltete Identität aus, und wählen Sie dann Hinzufügen aus.
Wählen Sie Speichern aus.

Screenshot der Verschlüsselungsauswahl und der Schlüsselauswahl zum Konfigurieren von vom Kunden verwalteten Schlüsseln.

Um vom Kunden verwaltete Schlüssel für ein vorhandenes Speicherkonto mithilfe von Azure PowerShell mit automatischer Aktualisierung der Schlüsselversion (empfohlen) zu konfigurieren, führen Sie das folgende Cmdlet aus. Ersetzen Sie <resource-group>, <identity-name>, <storage-account-name>, <key-vault-name> und <key-name> mit Ihren eigenen Werten.

Das folgende Cmdlet verwendet die zuvor erstellte benutzerzugewiesene verwaltete Identität. Wenn Sie stattdessen die Systemidentität des Speicherkontos verwenden möchten, setzen Sie IdentityType auf SystemAssigned und lassen Sie die Variable $identity, UserAssignedIdentityId und KeyVaultUserAssignedIdentityId weg.

$identity = Get-AzUserAssignedIdentity `
    -ResourceGroupName <resource-group> `
    -Name <identity-name>

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>
$key = Get-AzKeyVaultKey -VaultName <key-vault-name> -Name <key-name>

Set-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -IdentityType UserAssigned `
    -UserAssignedIdentityId $identity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVaultEncryption `
    -KeyVaultUserAssignedIdentityId $identity.Id

Um die manuelle Aktualisierung der Schlüsselversion anstelle der automatischen Aktualisierung zu verwenden, fügen Sie dem -KeyVersion $key.Version Cmdlet den Set-AzStorageAccount Parameter hinzu.

Um vom Kunden verwaltete Schlüssel für ein vorhandenes Speicherkonto mithilfe von Azure CLI mit automatischer Aktualisierung der Schlüsselversion (empfohlen) zu konfigurieren, führen Sie die folgenden Befehle aus. Ersetzen Sie <resource-group>, <identity-name>, <storage-account-name>, <key-vault-name> und <key-name> mit Ihren eigenen Werten.

Der folgende Befehl verwendet die zuvor erstellte benutzerdefinierte verwaltete Identität. Wenn Sie stattdessen die Systemidentität des Speicherkontos verwenden möchten, setzen Sie --identity-type auf SystemAssigned und lassen Sie die Variablen IDENTITY_RESOURCE_ID, --user-identity-id und --key-vault-user-identity-id weg.

# Using user-assigned managed identity. Omit for system assigned.
IDENTITY_RESOURCE_ID=$(az identity show \
    --name <identity-name> \
    --resource-group <resource-group> \
    --query id -o tsv)

# Get the key vault URI
KEY_VAULT_URI=$(az keyvault show \
    --name <key-vault-name> \
    --query properties.vaultUri -o tsv)

az storage account update \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --encryption-key-vault $KEY_VAULT_URI \
    --encryption-key-name <key-name> \
    --encryption-key-source Microsoft.Keyvault \
    --key-vault-user-identity-id $IDENTITY_RESOURCE_ID \
    --identity-type UserAssigned \
    --user-identity-id $IDENTITY_RESOURCE_ID

Um die manuelle Aktualisierung der Schlüsselversion anstelle der automatischen Aktualisierung zu verwenden, fügen Sie --encryption-key-version <key-version> dem az storage account update Befehl hinzu.

Konfigurieren von kundenseitig verwalteten Schlüsseln für ein neues Speicherkonto

Sie können vom Kunden verwaltete Schlüssel konfigurieren, wenn Sie ein neues Speicherkonto erstellen, indem Sie das Azure Portal, Azure PowerShell oder Azure CLI verwenden.

Sie können während der Erstellung des Speicherkontos keine vom System zugewiesene Identität verwenden, da die Identität erst vorhanden ist, nachdem das Speicherkonto erstellt wurde. Sie müssen eine vom Benutzer zugewiesene verwaltete Identität verwenden.

Führen Sie die folgenden Schritte aus, um vom Kunden verwaltete Schlüssel für ein neues Speicherkonto mithilfe des Azure Portals zu konfigurieren. Das Portal verwendet standardmäßig die automatische Aktualisierung der Schlüsselversion. Sie können keine Schlüsselversion angeben.

Wählen Sie auf der Registerkarte "Verschlüsselung " während der Erstellung des Speicherkontos die Option "Vom Kunden verwaltete Schlüssel ( CMK) für den Verschlüsselungstyp aus.
Unter Verschlüsselungsschlüssel wählen Sie die Option Schlüsseltresor und Schlüssel auswählen aus, und wählen Sie dann den Schlüsseltresor und den Schlüssel aus.
Wählen Sie unter "Benutzer zugewiesene Identität" die Option "Identität auswählen" aus. Das Fenster " Vom Benutzer zugewiesene verwaltete Identität auswählen " wird geöffnet.
Suchen und wählen Sie Ihre zuvor erstellte, benutzerzugewiesene verwaltete Identität aus. Neue Speicherkonten können keine vom System zugewiesene verwaltete Identität verwenden.
Wählen Sie Hinzufügen aus.
Schließen Sie die verbleibenden Registerkarten ab, und wählen Sie "Überprüfen+ erstellen" aus.

Führen Sie das folgende Cmdlet aus, um ein neues Speicherkonto mit vom Kunden verwalteten Schlüsseln mithilfe von Azure PowerShell zu erstellen. Ersetzen Sie <resource-group>, <identity-name>, <storage-account-name>, <key-vault-name>, <key-name> und <region> durch Ihre eigenen Werte. Sie können unterschiedliche Werte für -Kind und -SkuName bei Bedarf angeben.

$identity = Get-AzUserAssignedIdentity `
    -ResourceGroupName <resource-group> `
    -Name <identity-name>

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>
$key = Get-AzKeyVaultKey -VaultName <key-vault-name> -Name <key-name>

New-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -Location <region> `
    -SkuName Standard_LRS `
    -Kind StorageV2 `
    -IdentityType UserAssigned `
    -UserAssignedIdentityId $identity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVaultUserAssignedIdentityId $identity.Id

Wenn Sie die manuelle Aktualisierung der Schlüsselversion anstelle der automatischen Aktualisierung verwenden möchten, fügen Sie den -KeyVersion $key.Version Parameter zum New-AzStorageAccount Cmdlet hinzu.

Führen Sie die folgenden Befehle aus, um ein neues Speicherkonto mit vom Kunden verwalteten Schlüsseln mithilfe von Azure CLI zu erstellen. Ersetzen Sie <resource-group>, <identity-name>, <storage-account-name>, <key-vault-name>, <key-name> und <region> mit Ihren eigenen Werten. Sie können unterschiedliche Werte für --kind und --sku bei Bedarf angeben.

IDENTITY_RESOURCE_ID=$(az identity show \
    --name <identity-name> \
    --resource-group <resource-group> \
    --query id -o tsv)

# Get the key vault URI
KEY_VAULT_URI=$(az keyvault show \
    --name <key-vault-name> \
    --query properties.vaultUri -o tsv)

az storage account create \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --location <region> \
    --sku Standard_LRS \
    --kind StorageV2 \
    --identity-type UserAssigned \
    --user-identity-id $IDENTITY_RESOURCE_ID \
    --encryption-key-vault $KEY_VAULT_URI \
    --encryption-key-name <key-name> \
    --encryption-key-source Microsoft.Keyvault \
    --key-vault-user-identity-id $IDENTITY_RESOURCE_ID

Um die manuelle Schlüsselversionsaktualisierung anstatt der automatischen Aktualisierung zu verwenden, fügen Sie --encryption-key-version <key-version> dem az storage account create Befehl hinzu.

Schritt 5: Überprüfen der Konfiguration

Nachdem Sie vom Kunden verwaltete Schlüssel aktiviert haben, vergewissern Sie sich, dass die Verschlüsselung für Ihr Speicherkonto ordnungsgemäß konfiguriert ist. Dazu können Sie das Azure Portal, Azure PowerShell oder Azure CLI verwenden.

Führen Sie die folgenden Schritte aus, um die Konfiguration des Speicherkontos mithilfe des Azure-Portals zu überprüfen:

Wechseln Sie im Azure-Portal zu Ihrem Speicherkonto.
Wählen Sie im Menü "Dienst" unter "Sicherheit + Netzwerk" die Option "Verschlüsselung" aus.
Vergewissern Sie sich, dass VerschlüsselungstypCustomer-Managed Keys anzeigt.
Stellen Sie sicher, dass die Informationen unter "Schlüsselauswahl " korrekt sind.

Führen Sie das folgende Cmdlet aus, um die Konfiguration des Speicherkontos mithilfe von Azure PowerShell zu überprüfen. Ersetzen Sie <resource-group> und <storage-account-name> durch Ihre eigenen Werte.

$account = Get-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name>

$account.Encryption.KeySource
$account.Encryption.KeyVaultProperties

Vergewissern Sie sich, dass KeySourceMicrosoft.Keyvault ist und dass KeyVaultProperties Ihren Schlüsseltresor-URI und Schlüsselnamen anzeigt.

Führen Sie den folgenden Befehl aus, um die Konfiguration mithilfe von Azure CLI zu überprüfen. Ersetzen Sie <resource-group> und <storage-account-name> durch Ihre eigenen Werte.

az storage account show \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --query encryption

Vergewissern Sie sich, dass keySource gleich Microsoft.Keyvault ist und der Abschnitt keyVaultProperties den URI und den Namen Ihres Key Vault anzeigt.

Schlüsselrotation

Durch das regelmäßige Wechseln Ihres Verschlüsselungsschlüssels kann das Risiko begrenzt werden, sollte ein Schlüssel jemals kompromittiert werden. Es gibt zwei Möglichkeiten zum Drehen der Verschlüsselung für ein Speicherkonto, das vom Kunden verwaltete Schlüssel verwendet:

Rotieren Sie die Schlüsselversion – Erstellen Sie eine neue Version desselben Schlüssels im Key Vault. Der Schlüsselname bleibt gleich, aber die Version ändert sich.
Ändern Sie den Schlüssel – Wechseln Sie das Speicherkonto, um einen vollständig anderen Schlüssel (mit einem anderen Namen) im selben oder einem anderen Schlüsseltresor zu verwenden.

Important

Azure überprüft den Key Vault nur einmal täglich auf eine neue Version des Schlüssels. Warten Sie nach dem Drehen eines Schlüssels 24 Stunden, bevor Sie die vorherige Schlüsselversion deaktivieren.

Rotieren der Schlüsselversion

Um die Sicherheit durch bewährte Methoden sicherzustellen, wechseln Sie die Schlüsselversion mindestens einmal alle zwei Jahre.

Automatische Rotation der Schlüsselversion (empfohlen)

Wenn Sie vom Kunden verwaltete Schlüssel konfiguriert haben, ohne eine Schlüsselversion anzugeben (die Standardeinstellung bei Verwendung des Azure Portals), sucht Azure täglich automatisch nach neuen Schlüsselversionen. Wenn Sie eine neue Version des Schlüssels im Key Vault erstellen, Azure sie innerhalb von 24 Stunden abholt. Sie können auch automatische Schlüsseldrehung in Azure Key Vault konfigurieren, um neue Schlüsselversionen nach einem Zeitplan zu generieren.

Manuelle Rotation der Schlüsselversion

Wenn Sie beim Konfigurieren von vom Kunden verwalteten Schlüsseln mithilfe von PowerShell oder Azure CLI eine Schlüsselversion angegeben haben, verwendet Azure diese bestimmte Version und sucht nicht automatisch nach neuen Versionen. Sie müssen die Konfiguration des Speicherkontos manuell aktualisieren, um auf die neue Schlüsselversion zu verweisen.

Die Rotation der Version eines manuellen Schlüssels wird im Azure-Portal nicht unterstützt. Um die Schlüsselversion manuell zu drehen, verwenden Sie Azure PowerShell oder Azure CLI.

Um die Schlüsselversion mithilfe von Azure PowerShell manuell zu drehen, führen Sie das folgende Cmdlet aus. Ersetzen Sie <resource-group>, <storage-account-name>, <key-vault-name> und <key-name> durch Ihre eigenen Werte.

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>
$key = Get-AzKeyVaultKey -VaultName <key-vault-name> -Name <key-name>

Set-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version `
    -KeyVaultEncryption

Um die Schlüsselversion mithilfe von Azure CLI manuell zu drehen, führen Sie die folgenden Befehle aus. Ersetzen Sie <storage-account-name>, <resource-group>, <key-vault-name> und <key-name> durch Ihre eigenen Werte.

# Get the key vault URI
KEY_VAULT_URI=$(az keyvault show \
    --name <key-vault-name> \
    --query properties.vaultUri -o tsv)

# Get the latest key version
KEY_VERSION=$(az keyvault key show \
    --vault-name <key-vault-name> \
    --name <key-name> \
    --query key.kid -o tsv | sed -e 's|.*/||')

az storage account update \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --encryption-key-vault $KEY_VAULT_URI \
    --encryption-key-name <key-name> \
    --encryption-key-version $KEY_VERSION \
    --encryption-key-source Microsoft.Keyvault

Ändern des Schlüssels

Um das Speicherkonto zu wechseln, um einen völlig anderen Schlüssel zu verwenden, erstellen oder importieren Sie einen neuen Schlüssel in Ihrem Schlüsseltresor (siehe Erstellen oder Importieren eines Verschlüsselungsschlüssels), und aktualisieren Sie dann die Verschlüsselungskonfiguration des Speicherkontos, um den neuen Schlüssel zu verwenden.

Führen Sie die folgenden Schritte aus, um den Schlüssel mithilfe des Azure Portals zu ändern:

Wechseln Sie zum Speicherkonto.
Wählen Sie im Menü "Dienst" unter "Sicherheit + Netzwerk" die Option "Verschlüsselung" aus.
Wählen Sie Schlüssel ändern.
Wählen Sie Auswahl eines Key Vault und Schlüssel und wählen Sie dann Ihren Key Vault und den neuen Schlüssel.
Wählen Sie Speichern aus.

Um den Schlüssel mithilfe von Azure PowerShell zu ändern, führen Sie das folgende Cmdlet aus. Ersetzen Sie <resource-group>, <storage-account-name>, <key-vault-name> und <new-key-name> durch Ihre eigenen Werte. Um die automatische Aktualisierung der Schlüsselversion zu verwenden (empfohlen), lassen Sie den -KeyVersion Parameter aus.

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>
$key = Get-AzKeyVaultKey -VaultName <key-vault-name> -Name <new-key-name>

Set-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVaultEncryption

Um den Schlüssel mithilfe von Azure CLI zu ändern, führen Sie die folgenden Befehle aus. Ersetzen Sie <storage-account-name>, <resource-group>, <key-vault-name> und <new-key-name> durch Ihre eigenen Werte. Um die automatische Aktualisierung der Schlüsselversion zu verwenden (empfohlen), lassen Sie den --encryption-key-version Parameter aus.

# Get the key vault URI
KEY_VAULT_URI=$(az keyvault show \
    --name <key-vault-name> \
    --query properties.vaultUri -o tsv)

az storage account update \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --encryption-key-vault $KEY_VAULT_URI \
    --encryption-key-name <new-key-name> \
    --encryption-key-source Microsoft.Keyvault

Sie können den Zugriff auf verschlüsselte Dateifreigabedaten sofort blockieren, indem Sie den vom Kunden verwalteten Schlüssel deaktivieren oder löschen. Während der Schlüssel deaktiviert ist, schlagen alle Azure Files Vorgänge auf der Datenebene mit HTTP 403 (Verboten) fehl, einschließlich:

Verzeichnisse und Dateien auflisten
Erstellen/Abrufen/Festlegen eines Verzeichnisses oder einer Datei
Abrufen/Festlegen von Dateimetadaten
Bereich einfügen, Datei kopieren, Datei umbenennen

Um den Zugriff auf Ihre Dateifreigabedaten zu widerrufen, deaktivieren Sie den Schlüssel im Schlüsseltresor mithilfe des Azure Portals, Azure PowerShell oder Azure CLI. Aktivieren Sie den Schlüssel erneut, um den Zugriff wiederherzustellen.

Führen Sie die folgenden Schritte aus, um den Schlüssel mithilfe des Azure Portals zu deaktivieren:

Wechseln Sie im Azure-Portal zu Ihrem Schlüsseltresor.
Wählen Sie im Dienstmenü unter "Objekte" die Option "Schlüssel" aus.
Klicken Sie mit der rechten Maustaste auf den Schlüssel, und wählen Sie Deaktivieren aus.

Um den Schlüssel mithilfe von Azure PowerShell zu deaktivieren, führen Sie das folgende Cmdlet aus. Ersetzen Sie <key-vault-name> und <key-name> durch Ihre eigenen Werte.

Update-AzKeyVaultKey `
    -VaultName <key-vault-name> `
    -Name <key-name> `
    -Enable $false

Um den Schlüssel mithilfe von Azure CLI zu deaktivieren, führen Sie den folgenden Befehl aus. Ersetzen Sie <key-vault-name> und <key-name> durch Ihre eigenen Werte.

az keyvault key set-attributes \
    --vault-name <key-vault-name> \
    --name <key-name> \
    --enabled false

Zurückwechseln zu von Microsoft verwalteten Schlüsseln

Wenn Sie keine vom Kunden verwalteten Schlüssel mehr benötigen, können Sie das Speicherkonto mithilfe des Azure Portals, Azure PowerShell oder Azure CLI zurückwechseln, um Microsoft verwaltete Schlüssel für die Verschlüsselung zu verwenden.

Führen Sie die folgenden Schritte aus, um mithilfe des Azure Portals zurück zu Microsoft verwalteten Schlüsseln zu wechseln:

Wechseln Sie im Azure-Portal zu Ihrem Speicherkonto.
Wählen Sie im Menü "Dienst" unter "Sicherheit + Netzwerk" die Option "Verschlüsselung" aus.
Ändern Sie Encryption-Typ in Microsoft-Managed Keys.
Wählen Sie Speichern aus.

Führen Sie das folgende Cmdlet aus, um mithilfe von Azure PowerShell zurück zu Microsoft verwalteten Schlüsseln zu wechseln. Ersetzen Sie <resource-group> und <storage-account-name> durch Ihre eigenen Werte.

Set-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -StorageEncryption

Um mithilfe von Azure CLI zurück zu Microsoft verwalteten Schlüsseln zu wechseln, führen Sie den folgenden Befehl aus. Ersetzen Sie <resource-group> und <storage-account-name> durch Ihre eigenen Werte.

az storage account update \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --encryption-key-source Microsoft.Storage

Weitere Informationen zur Verschlüsselung und Schlüsselverwaltung finden Sie in den folgenden Artikeln.

Feedback

War diese Seite hilfreich?

Last updated on 2026-05-08