Configurare le chiavi gestite dal cliente per la crittografia File di Azure

✔️ Si applica a: condivisioni file SMB e NFS classiche create con il provider di risorse Microsoft.Storage

✖️ Non si applica a: Condivisioni file create con il provider di risorse Microsoft.FileShares (anteprima)

Azure crittografa tutti i dati in un account di archiviazione inattivi, inclusi i dati File di Azure, usando la crittografia AES-256. Per impostazione predefinita, Microsoft gestisce le chiavi di crittografia per un account di archiviazione. Per un maggiore controllo sulle chiavi di crittografia, è possibile usare chiavi gestite dal cliente (CMK) anziché chiavi gestite da Microsoft per proteggere e controllare l'accesso alla chiave di crittografia che crittografa i dati. Questo articolo illustra come configurare le chiavi gestite dal cliente per i carichi di lavoro File di Azure.

Quando si configurano chiavi gestite dal cliente per un account di archiviazione, File di Azure i dati in tale account di archiviazione vengono crittografati automaticamente usando la chiave del cliente. Non è necessario alcun consenso esplicito per condivisione.

Queste istruzioni sono per l'archiviazione delle chiavi gestite dal cliente in Azure Key Vault. Alcuni passaggi e comandi per Azure Key Vault modulo di protezione hardware gestito (modulo di sicurezza hardware) potrebbero essere leggermente diversi.

Seguire questa procedura per configurare le chiavi gestite dal cliente per un account di archiviazione.

Passaggio 1: Creare o configurare un archivio di chiavi

Per abilitare le chiavi gestite dal cliente, è necessario un account di archiviazione Azure insieme a un Azure Key Vault con la protezione dell'eliminazione abilitata. È possibile usare un insieme di credenziali delle chiavi esistente o crearne uno nuovo. L'account di archiviazione e il Key Vault possono trovarsi in regioni o sottoscrizioni diverse all'interno dello stesso tenant Microsoft Entra. Per gli scenari tra tenant, vedere Configurare chiavi gestite dal cliente tra tenant per un account di archiviazione esistente.

Per creare un nuovo insieme di credenziali delle chiavi usando il portale di Azure, seguire questa procedura:

Nel portale di Azure, cercare Key Vault e selezionare Crea.
Compilare i campi obbligatori (sottoscrizione, gruppo di risorse, nome, area).
In Opzioni di ripristino selezionare Abilita protezione ripulitura.
Seleziona Rivedi e crea e quindi seleziona Crea.

Se si vuole usare un key vault esistente, seguire questa procedura:

Vai al Key Vault nel portale di Azure.
Dal menu del servizio, in Impostazioni, selezionare Proprietà.
Nella sezione Protezione da eliminazione, selezionare Abilita protezione da eliminazione, e quindi selezionare Salva.
Verifica che il soft delete sia abilitato nel Key Vault. È abilitata per impostazione predefinita per i nuovi insiemi di credenziali delle chiavi.

Per creare un nuovo Key Vault con la protezione anti-eliminazione abilitata, eseguire il cmdlet seguente. Sostituire <key-vault-name>, <resource-group> e <region> con i propri valori.

New-AzKeyVault `
    -Name <key-vault-name> `
    -ResourceGroupName <resource-group> `
    -Location <region> `
    -EnablePurgeProtection

Per abilitare la protezione dall'eliminazione su un key vault esistente, eseguire il seguente cmdlet. Sostituire <key-vault-name> e <resource-group> con valori personalizzati.

Update-AzKeyVault `
    -VaultName <key-vault-name> `
    -ResourceGroupName <resource-group> `
    -EnablePurgeProtection

Per creare un nuovo insieme di credenziali con protezione dall'eliminazione abilitata, eseguire il comando seguente. Sostituire <key-vault-name>, <resource-group> e <region> con i propri valori.

az keyvault create \
    --name <key-vault-name> \
    --resource-group <resource-group> \
    --location <region> \
    --enable-purge-protection true

Per abilitare la protezione dall'eliminazione in un Key Vault esistente, eseguire il comando seguente. Sostituire <key-vault-name> e <resource-group> con valori personalizzati.

az keyvault update \
    --name <key-vault-name> \
    --resource-group <resource-group> \
    --enable-purge-protection true

Assegnare il ruolo Key Vault Crypto Officer

Per creare e gestire le chiavi nel key vault, è necessario il ruolo Key Vault Crypto Officer nel key vault. È possibile assegnare questo ruolo a se stessi usando il portale di Azure, PowerShell o interfaccia della riga di comando di Azure. Se si dispone già di questo ruolo nella Key Vault, è possibile ignorare questa sezione e procedere al passaggio 2.

È necessario avere il ruolo RBAC Owner o Amministratore accesso utente nell'ambito del key vault per assegnare il ruolo Key Vault Crypto Officer. Se necessario, contattare l'amministratore.

Per assegnare il ruolo Key Vault Crypto Officer a se stessi usando il portale di Azure, seguire questa procedura:

Passare all'insieme di credenziali delle chiavi.
Dal menu del servizio selezionare Controllo di accesso (IAM).
Sotto Concedi accesso a questa risorsa, selezionare Aggiungi assegnazione di ruolo.
Cercare e selezionare Key Vault Crypto Officer e quindi selezionare Next.
In Assegna accesso a selezionare Utente, gruppo o entità servizio.
In Membri scegliere +Seleziona membri.
Cercare e selezionare il proprio account, quindi scegliere Seleziona.
Selezionare Rivedi e assegna e quindi rivedi e assegna di nuovo.

Per assegnare il ruolo Key Vault Crypto Officer a se stessi usando Azure PowerShell, eseguire il cmdlet seguente. Sostituire <key-vault-name> con il proprio valore.

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>
$currentUser = (Get-AzADUser -SignedIn).Id

New-AzRoleAssignment `
    -ObjectId $currentUser `
    -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $keyVault.ResourceId

Per assegnare il ruolo Key Vault Crypto Officer a se stessi usando interfaccia della riga di comando di Azure, eseguire i comandi seguenti. Sostituire <key-vault-name> con il proprio valore.

KV_RESOURCE_ID=$(az keyvault show --name <key-vault-name> --query id -o tsv)
CURRENT_USER=$(az ad signed-in-user show --query id -o tsv)

az role assignment create \
    --assignee-object-id $CURRENT_USER \
    --assignee-principal-type User \
    --role "Key Vault Crypto Officer" \
    --scope $KV_RESOURCE_ID

Passaggio 2: Creare o importare una chiave di crittografia

È necessaria una chiave RSA o RSA-HSM di dimensione 2048, 3072 o 4096. Generare o importare una chiave RSA nell'archivio delle chiavi. Prima di generare una chiave, assicurarsi di avere il ruolo Key Vault Crypto Officer nel key vault.

Per generare una nuova chiave di crittografia RSA usando il portale di Azure, seguire questa procedura.

Vai al Key Vault nel portale di Azure.
Nel menu del servizio, in Oggetti, selezionare Chiavi.
Seleziona Genera/Importa. In Opzioni selezionare Genera.
Immettere un nome per la chiave. I nomi delle chiavi possono contenere solo caratteri alfanumerici e trattini.
Impostare Tipo di chiave su RSA e dimensioni chiave RSA su 2048 (o 3072/4096).
Fare clic su Crea.

Per importare una chiave di crittografia RSA esistente usando il portale di Azure, seguire questa procedura.

Vai al Key Vault nel portale di Azure.
Nel menu del servizio, in Oggetti, selezionare Chiavi.
Seleziona Genera/Importa. In Opzioni selezionare Importa.
Selezionare la chiave da caricare.
Immettere un nome per la chiave. I nomi delle chiavi possono contenere solo caratteri alfanumerici e trattini.
Impostare Tipo di chiave su RSA.
Fare clic su Crea.

Per creare una chiave RSA usando Azure PowerShell, eseguire il cmdlet seguente. Sostituire <key-vault-name> e <key-name> con valori personalizzati. Per -Sizeè possibile specificare 2048, 3072 o 4096.

Add-AzKeyVaultKey `
    -VaultName <key-vault-name> `
    -Name <key-name> `
    -Destination Software `
    -KeyType RSA `
    -Size 2048

Per importare una chiave di crittografia RSA esistente usando Azure PowerShell, eseguire il cmdlet seguente. Sostituire <key-vault-name>, <key-name> e <key-path> con i propri valori. Se il file di chiave non ha una password, omettere il -KeyFilePassword parametro .

Add-AzKeyVaultKey `
    -VaultName <key-vault-name> `
    -Name <key-name> `
    -KeyFilePath <key-path> `
    -KeyFilePassword $password

Per creare una chiave RSA usando interfaccia della riga di comando di Azure, eseguire il comando seguente. Sostituire <key-vault-name> e <key-name> con valori personalizzati. Per --sizeè possibile specificare 2048, 3072 o 4096.

az keyvault key create \
    --vault-name <key-vault-name> \
    --name <key-name> \
    --kty RSA \
    --size 2048

Per importare una chiave di crittografia RSA esistente usando interfaccia della riga di comando di Azure, eseguire il comando seguente. Sostituire <key-vault-name>, <key-name> e <key-path> con i propri valori. Se il file di chiave non ha una password, omettere il --password parametro .

az keyvault key import \
    --vault-name <key-vault-name> \
    --name <key-name> \
    --pem-file <key-path> \
    --password <key-password>

Passaggio 3: Creare un'identità gestita e assegnare autorizzazioni

L'account di archiviazione richiede un'identità gestita per autenticarsi con il Key Vault. Usando un'identità gestita, l'account di archiviazione può accedere in modo sicuro alla chiave di crittografia nel Key Vault senza memorizzare le credenziali.

Creare un'identità gestita assegnata dall'utente e concedere a tale identità il ruolo di Utente del Servizio Crittografia di Key Vault nel key vault.

Creare un'identità gestita assegnata dall'utente

Creare un'identità gestita assegnata dall'utente usando il portale di Azure, Azure PowerShell o interfaccia della riga di comando di Azure.

Per creare un'identità gestita assegnata dall'utente usando il portale di Azure, seguire questa procedura.

Cercare Identità gestite e selezionare Crea.
Scegliere una sottoscrizione, un gruppo di risorse, un'area e un nome.
Seleziona Rivedi e crea e quindi seleziona Crea.

Per creare un'identità gestita assegnata dall'utente usando Azure PowerShell, eseguire il cmdlet seguente. Sostituire <resource-group>, <identity-name> e <region> con i propri valori.

New-AzUserAssignedIdentity `
    -ResourceGroupName <resource-group> `
    -Name <identity-name> `
    -Location <region>

Per creare un'identità gestita assegnata dall'utente usando interfaccia della riga di comando di Azure, eseguire il comando seguente. Sostituire <resource-group>, <identity-name> e <region> con i propri valori.

az identity create \
    --name <identity-name> \
    --resource-group <resource-group> \
    --location <region>

Assegnare il ruolo di utente del servizio di crittografia di Key Vault all'identità gestita

Assegna il ruolo Key Vault Crypto Service Encryption User all'identità gestita creata utilizzando il portale di Azure, PowerShell o interfaccia della riga di comando di Azure.

Per assegnare il ruolo Key Vault Crypto Service Encryption User all'identità gestita usando il portale di Azure, seguire questa procedura:

Vai al Key Vault nel portale di Azure.
Dal menu del servizio selezionare Controllo di accesso (IAM).
Sotto Concedi accesso a questa risorsa, selezionare Aggiungi assegnazione di ruolo.
Cercare e selezionare Key Vault Crypto Service Encryption User, e quindi selezionare Avanti.
In Assegna accesso a , selezionare Identità gestita.
In Membri scegliere +Seleziona membri.
Verrà visualizzata la finestra Seleziona identità gestite . In Identità gestita selezionare Identità gestita assegnata dall'utente.
Selezionare l'identità gestita creata e quindi scegliere Seleziona.
Selezionare Rivedi e assegna e quindi rivedi e assegna di nuovo.

Per assegnare il ruolo Key Vault Crypto Service Encryption User all'identità gestita assegnata dall'utente usando Azure PowerShell, eseguire il cmdlet seguente. Sostituire <resource-group>, <identity-name> e <key-vault-name> con i propri valori.

$identity = Get-AzUserAssignedIdentity `
    -ResourceGroupName <resource-group> `
    -Name <identity-name>

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>

New-AzRoleAssignment `
    -ObjectId $identity.PrincipalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

Per assegnare il ruolo Key Vault Crypto Service Encryption User all'identità gestita assegnata dall'utente usando interfaccia della riga di comando di Azure, eseguire i comandi seguenti. Sostituire <resource-group>, <identity-name> e <key-vault-name> con i propri valori.

# Get the principal ID of the user-assigned managed identity
IDENTITY_PRINCIPAL_ID=$(az identity show \
    --name <identity-name> \
    --resource-group <resource-group> \
    --query principalId -o tsv)

# Get the key vault resource ID
KV_RESOURCE_ID=$(az keyvault show \
    --name <key-vault-name> \
    --query id -o tsv)

# Assign the Key Vault Crypto Service Encryption User role to the user-assigned managed identity
az role assignment create \
    --assignee-object-id $IDENTITY_PRINCIPAL_ID \
    --assignee-principal-type ServicePrincipal \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $KV_RESOURCE_ID

Passaggio 4: Configurare le chiavi gestite dal cliente nell'account di archiviazione

Con il vault delle chiavi, la chiave e l'identità gestita disponibili, è possibile abilitare le chiavi gestite dal cliente nell'account di archiviazione.

Seguire questa procedura per configurare l'account di archiviazione per l'uso della chiave per la crittografia. Il portale di Azure usa sempre l'aggiornamento automatico della versione della chiave. Per usare invece la gestione manuale delle versioni delle chiavi, usare Azure PowerShell o interfaccia della riga di comando di Azure e specificare una versione della chiave.

Importante

Per gli account di archiviazione associati a un perimetro di sicurezza di rete, il Key Vault deve trovarsi idealmente nello stesso perimetro di sicurezza di rete. In caso contrario, è necessario configurare il profilo di sicurezza perimetrale della rete del Key Vault per consentire all'account di archiviazione di comunicare con esso.

Configurare le chiavi gestite dal cliente per un account di archiviazione esistente

È possibile configurare chiavi gestite dal cliente in un account di archiviazione esistente usando il portale di Azure, Azure PowerShell o interfaccia della riga di comando di Azure.

Per configurare le chiavi gestite dal cliente in un account di archiviazione esistente usando il portale di Azure, seguire questa procedura. Il portale usa l'aggiornamento automatico della versione della chiave per impostazione predefinita. Non è possibile specificare una versione chiave.

Vai al tuo account di archiviazione.
Dal menu del servizio, in Sicurezza e rete, selezionare Crittografia.
In Tipo di crittografia, selezionare Chiavi gestite dal cliente. Se l'account di archiviazione è già configurato per CMK, selezionare Cambia chiave.
Per Chiave di crittografia, selezionare Seleziona da Key Vault.
Selezionare Selezionare un insieme di credenziali delle chiavi e una chiave e quindi scegliere l'insieme di credenziali delle chiavi e la chiave.
In Tipo di identità scegliere Assegnato dall'utente per usare l'identità gestita assegnata dall'utente creata in precedenza.
Cercare e selezionare l'identità gestita assegnata dall'utente e quindi selezionare Aggiungi.
Seleziona Salva.

Screenshot che mostra la selezione della crittografia e la selezione della chiave per la configurazione delle chiavi gestite dal cliente.

Per configurare le chiavi gestite dal cliente in un account di archiviazione esistente usando Azure PowerShell con aggiornamento automatico della versione della chiave (scelta consigliata), eseguire il cmdlet seguente. Sostituire <resource-group>, <identity-name><storage-account-name>, <key-vault-name>, e <key-name> con i propri valori.

Il cmdlet seguente usa l'identità gestita assegnata dall'utente creata in precedenza. Se invece si vuole usare l'identità di sistema dell'account di archiviazione, impostare IdentityType su SystemAssigned e omettere la variabile $identity, UserAssignedIdentityId e KeyVaultUserAssignedIdentityId.

$identity = Get-AzUserAssignedIdentity `
    -ResourceGroupName <resource-group> `
    -Name <identity-name>

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>
$key = Get-AzKeyVaultKey -VaultName <key-vault-name> -Name <key-name>

Set-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -IdentityType UserAssigned `
    -UserAssignedIdentityId $identity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVaultEncryption `
    -KeyVaultUserAssignedIdentityId $identity.Id

Per usare l'aggiornamento manuale della versione della chiave anziché l'aggiornamento automatico, aggiungere il -KeyVersion $key.Version parametro al Set-AzStorageAccount cmdlet .

Per configurare le chiavi gestite dal cliente in un account di archiviazione esistente usando interfaccia della riga di comando di Azure con aggiornamento automatico della versione della chiave (scelta consigliata), eseguire i comandi seguenti. Sostituire <resource-group>, <identity-name><storage-account-name>, <key-vault-name>, e <key-name> con i propri valori.

Il comando seguente usa l'identità gestita assegnata dall'utente creata in precedenza. Se invece si desidera utilizzare l'identità di sistema dell'account di archiviazione, impostare --identity-type su SystemAssigned e omettere la variabile IDENTITY_RESOURCE_ID, --user-identity-id e --key-vault-user-identity-id.

# Using user-assigned managed identity. Omit for system assigned.
IDENTITY_RESOURCE_ID=$(az identity show \
    --name <identity-name> \
    --resource-group <resource-group> \
    --query id -o tsv)

# Get the key vault URI
KEY_VAULT_URI=$(az keyvault show \
    --name <key-vault-name> \
    --query properties.vaultUri -o tsv)

az storage account update \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --encryption-key-vault $KEY_VAULT_URI \
    --encryption-key-name <key-name> \
    --encryption-key-source Microsoft.Keyvault \
    --key-vault-user-identity-id $IDENTITY_RESOURCE_ID \
    --identity-type UserAssigned \
    --user-identity-id $IDENTITY_RESOURCE_ID

Per usare l'aggiornamento manuale della versione della chiave anziché l'aggiornamento automatico, aggiungere --encryption-key-version <key-version> al az storage account update comando .

Configurare le chiavi gestite dal cliente per un nuovo account di archiviazione

È possibile configurare chiavi gestite dal cliente quando si crea un nuovo account di archiviazione usando il portale di Azure, Azure PowerShell o interfaccia della riga di comando di Azure.

Non è possibile usare un'identità assegnata dal sistema durante la creazione dell'account di archiviazione perché l'identità non esiste finché non viene creato l'account di archiviazione. È necessario usare un'identità gestita assegnata dall'utente.

Per configurare le chiavi gestite dal cliente per un nuovo account di archiviazione usando il portale di Azure, seguire questa procedura. Il portale usa per impostazione predefinita l'aggiornamento automatico della versione della chiave. Non è possibile specificare una versione chiave.

Nella scheda Crittografia durante la creazione dell'account di archiviazione selezionare Chiavi gestite dal cliente (CMK) per Tipo di crittografia.
In Chiave di crittografia scegliere Selezionare un insieme di credenziali delle chiavi e una chiave, quindi selezionare l'insieme di credenziali delle chiavi e la chiave.
In Identità assegnata dall'utente scegliere Seleziona un'identità. Verrà visualizzata la finestra Seleziona identità gestita assegnata dall'utente .
Cerca e seleziona la tua identità gestita assegnata dall'utente già creata. I nuovi account di archiviazione non possono usare un'identità gestita assegnata dal sistema.
Seleziona Aggiungi.
Completare le schede rimanenti e selezionare Rivedi e crea.

Per creare un nuovo account di archiviazione con chiavi gestite dal cliente usando Azure PowerShell, eseguire il cmdlet seguente. Sostituire <resource-group>, <identity-name>, <storage-account-name><key-vault-name>, <key-name>, e <region> con i propri valori. È possibile specificare valori diversi per -Kind e -SkuName , se lo si desidera.

$identity = Get-AzUserAssignedIdentity `
    -ResourceGroupName <resource-group> `
    -Name <identity-name>

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>
$key = Get-AzKeyVaultKey -VaultName <key-vault-name> -Name <key-name>

New-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -Location <region> `
    -SkuName Standard_LRS `
    -Kind StorageV2 `
    -IdentityType UserAssigned `
    -UserAssignedIdentityId $identity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVaultUserAssignedIdentityId $identity.Id

Per usare l'aggiornamento manuale della versione della chiave anziché automatico, aggiungere il -KeyVersion $key.Version parametro al New-AzStorageAccount cmdlet .

Per creare un nuovo account di archiviazione con chiavi gestite dal cliente usando interfaccia della riga di comando di Azure, eseguire i comandi seguenti. Sostituire <resource-group>, <identity-name>, <storage-account-name><key-vault-name>, <key-name>, e <region> con i propri valori. È possibile specificare valori diversi per --kind e --sku , se lo si desidera.

IDENTITY_RESOURCE_ID=$(az identity show \
    --name <identity-name> \
    --resource-group <resource-group> \
    --query id -o tsv)

# Get the key vault URI
KEY_VAULT_URI=$(az keyvault show \
    --name <key-vault-name> \
    --query properties.vaultUri -o tsv)

az storage account create \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --location <region> \
    --sku Standard_LRS \
    --kind StorageV2 \
    --identity-type UserAssigned \
    --user-identity-id $IDENTITY_RESOURCE_ID \
    --encryption-key-vault $KEY_VAULT_URI \
    --encryption-key-name <key-name> \
    --encryption-key-source Microsoft.Keyvault \
    --key-vault-user-identity-id $IDENTITY_RESOURCE_ID

Per usare l'aggiornamento manuale della versione della chiave anziché automatico, aggiungere --encryption-key-version <key-version> al az storage account create comando .

Passaggio 5: Verificare la configurazione

Dopo aver abilitato le chiavi gestite dal cliente, verificare che la crittografia sia configurata correttamente nell'account di archiviazione. A tale scopo, è possibile usare il portale di Azure, Azure PowerShell o interfaccia della riga di comando di Azure.

Per verificare la configurazione dell'account di archiviazione usando il portale di Azure, seguire questa procedura:

Accedi al tuo account di archiviazione nel portale di Azure.
Dal menu del servizio, in Sicurezza e rete, selezionare Crittografia.
Verificare che tipo di crittografia mostri Chiavi gestite dal cliente.
Verificare che le informazioni in Selezione chiave siano corrette.

Per verificare la configurazione dell'account di archiviazione usando Azure PowerShell, eseguire il cmdlet seguente. Sostituire <resource-group> e <storage-account-name> con valori personalizzati.

$account = Get-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name>

$account.Encryption.KeySource
$account.Encryption.KeyVaultProperties

Verificare che KeySource sia Microsoft.Keyvault e che KeyVaultProperties mostri il tuo URI dell'insieme di credenziali e il nome della chiave.

Per verificare la configurazione usando interfaccia della riga di comando di Azure, eseguire il comando seguente. Sostituire <resource-group> e <storage-account-name> con valori personalizzati.

az storage account show \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --query encryption

Verificare che keySource sia Microsoft.Keyvault e la sezione keyVaultProperties visualizzi l'URI e il nome della chiave del Key Vault.

Rotazione delle chiavi

Ruotare regolarmente la chiave di crittografia limita l'esposizione se una chiave dovesse mai essere compromessa. Esistono due modi per ruotare la crittografia per un account di archiviazione che usa chiavi gestite dal cliente:

Ruota la versione della chiave - creare una nuova versione della stessa chiave nell'insieme di credenziali di chiavi. Il nome della chiave rimane invariato, ma la versione cambia.
Modificare la chiave - Cambiare l'account di archiviazione per utilizzare una chiave completamente diversa (con un nome diverso) nello stesso insieme di credenziali delle chiavi o in un insieme diverso.

Importante

Azure controlla l'Azure Key Vault per una nuova versione della chiave solo una volta al giorno. Dopo aver ruotato una chiave, attendere 24 ore prima di disabilitare la versione precedente della chiave.

Ruotare la versione della chiave

Per seguire le migliori pratiche di sicurezza, ruotare la versione della chiave almeno una volta ogni due anni.

Rotazione automatica delle versioni delle chiavi (scelta consigliata)

Se sono state configurate chiavi gestite dal cliente senza specificare una versione della chiave (impostazione predefinita quando si usa il portale di Azure), Azure verifica automaticamente la presenza di nuove versioni delle chiavi ogni giorno. Se si crea una nuova versione della chiave nell'Azure Key Vault, viene rilevata da Azure entro 24 ore. È anche possibile configurare rotazione automatica delle chiavi in Azure Key Vault per generare nuove versioni delle chiavi in base a una pianificazione.

Rotazione manuale della versione delle chiavi

Se è stata specificata una versione della chiave durante la configurazione delle chiavi gestite dal cliente tramite PowerShell o interfaccia della riga di comando di Azure, Azure usa tale versione specifica e non verifica automaticamente la presenza di nuove versioni. È necessario aggiornare manualmente la configurazione dell'account di archiviazione in modo che punti alla nuova versione della chiave.

La rotazione manuale della versione delle chiavi non è supportata nel portale di Azure. Per ruotare manualmente la versione della chiave, usare Azure PowerShell o interfaccia della riga di comando di Azure.

Per ruotare manualmente la versione della chiave usando Azure PowerShell, eseguire il cmdlet seguente. Sostituire <resource-group>, <storage-account-name>, <key-vault-name> e <key-name> con valori personalizzati.

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>
$key = Get-AzKeyVaultKey -VaultName <key-vault-name> -Name <key-name>

Set-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version `
    -KeyVaultEncryption

Per ruotare manualmente la versione della chiave usando interfaccia della riga di comando di Azure, eseguire i comandi seguenti. Sostituire <storage-account-name>, <resource-group>, <key-vault-name> e <key-name> con valori personalizzati.

# Get the key vault URI
KEY_VAULT_URI=$(az keyvault show \
    --name <key-vault-name> \
    --query properties.vaultUri -o tsv)

# Get the latest key version
KEY_VERSION=$(az keyvault key show \
    --vault-name <key-vault-name> \
    --name <key-name> \
    --query key.kid -o tsv | sed -e 's|.*/||')

az storage account update \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --encryption-key-vault $KEY_VAULT_URI \
    --encryption-key-name <key-name> \
    --encryption-key-version $KEY_VERSION \
    --encryption-key-source Microsoft.Keyvault

Modificare la chiave

Per cambiare l'account di archiviazione per usare una chiave completamente diversa, creare o importare una nuova chiave nell'insieme di credenziali delle chiavi (vedere Creare o importare una chiave di crittografia) e quindi aggiornare la configurazione della crittografia dell'account di archiviazione per usare la nuova chiave.

Per modificare la chiave usando il portale di Azure, seguire questa procedura:

Vai al tuo account di archiviazione.
Dal menu del servizio, in Sicurezza e rete, selezionare Crittografia.
Selezionare Cambia chiave.
Selezionare un insieme di credenziali e una chiave, e quindi scegliere l'insieme di credenziali e la nuova chiave.
Seleziona Salva.

Per modificare la chiave usando Azure PowerShell, eseguire il cmdlet seguente. Sostituire <resource-group>, <storage-account-name>, <key-vault-name> e <new-key-name> con valori personalizzati. Per usare l'aggiornamento automatico della versione della chiave (scelta consigliata), omettere il -KeyVersion parametro .

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>
$key = Get-AzKeyVaultKey -VaultName <key-vault-name> -Name <new-key-name>

Set-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVaultEncryption

Per modificare la chiave usando interfaccia della riga di comando di Azure, eseguire i comandi seguenti. Sostituire <storage-account-name>, <resource-group>, <key-vault-name> e <new-key-name> con valori personalizzati. Per usare l'aggiornamento automatico della versione della chiave (scelta consigliata), omettere il --encryption-key-version parametro .

# Get the key vault URI
KEY_VAULT_URI=$(az keyvault show \
    --name <key-vault-name> \
    --query properties.vaultUri -o tsv)

az storage account update \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --encryption-key-vault $KEY_VAULT_URI \
    --encryption-key-name <new-key-name> \
    --encryption-key-source Microsoft.Keyvault

È possibile bloccare immediatamente l'accesso ai dati della condivisione file crittografata disabilitando o eliminando la chiave gestita dal cliente. Mentre la chiave è disabilitata, tutte le operazioni del piano dati File di Azure hanno esito negativo con HTTP 403 (Accesso negato), tra cui:

Elencare directory e file
Creare/ottenere/impostare directory o file
Ottenere/impostare i metadati dei file
Imposta intervallo, copia file, rinomina file

Per revocare l'accesso ai dati della condivisione file, disabilitare la chiave nel Key Vault usando il portale di Azure, Azure PowerShell o interfaccia della riga di comando di Azure. Riabilitare la chiave per ripristinare l'accesso.

Per disabilitare la chiave usando il portale di Azure, seguire questa procedura:

Vai al Key Vault nel portale di Azure.
Nel menu del servizio, in Oggetti, selezionare Chiavi.
Fare clic con il pulsante destro del mouse sulla chiave e scegliere Disabilita.

Per disabilitare la chiave usando Azure PowerShell, eseguire il cmdlet seguente. Sostituire <key-vault-name> e <key-name> con valori personalizzati.

Update-AzKeyVaultKey `
    -VaultName <key-vault-name> `
    -Name <key-name> `
    -Enable $false

Per disabilitare la chiave usando interfaccia della riga di comando di Azure, eseguire il comando seguente. Sostituire <key-vault-name> e <key-name> con valori personalizzati.

az keyvault key set-attributes \
    --vault-name <key-vault-name> \
    --name <key-name> \
    --enabled false

Passare nuovamente alle chiavi gestite da Microsoft

Se non sono più necessarie chiavi gestite dal cliente, è possibile tornare all'account di archiviazione usando chiavi gestite da Microsoft per la crittografia usando il portale di Azure, Azure PowerShell o interfaccia della riga di comando di Azure.

Per tornare alle chiavi gestite da Microsoft tramite il portale di Azure, seguire questa procedura:

Accedi al tuo account di archiviazione nel portale di Azure.
Dal menu del servizio, in Sicurezza e rete, selezionare Crittografia.
Modificare il Tipo di crittografia in Microsoft-Managed Keys.
Seleziona Salva.

Per tornare alle chiavi gestite da Microsoft usando Azure PowerShell, eseguire il cmdlet seguente. Sostituire <resource-group> e <storage-account-name> con valori personalizzati.

Set-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -StorageEncryption

Per tornare alle chiavi gestite da Microsoft usando interfaccia della riga di comando di Azure, eseguire il comando seguente. Sostituire <resource-group> e <storage-account-name> con valori personalizzati.

az storage account update \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --encryption-key-source Microsoft.Storage

Per altre informazioni sulla crittografia e sulla gestione delle chiavi, vedere gli articoli seguenti.

Commenti e suggerimenti

Questa pagina è stata utile?

Last updated on 2026-05-08