Door de klant beheerde sleutels configureren voor Azure Files-versleuteling

✔️ Van toepassing op: klassieke SMB- en NFS-bestandsshares die zijn gemaakt met de Microsoft.Storage-resourceprovider

✖️ Niet van toepassing op: bestandsshares die zijn gemaakt met de Microsoft.FileShares resourceprovider (preview)

Azure versleutelt alle gegevens in een opslagaccount bij rust, inclusief Azure Files gegevens, met behulp van AES-256-encryptie. Standaard beheert Microsoft de versleutelingssleutels voor een opslagaccount. Voor meer controle over versleutelingssleutels kunt u customer-beheerde sleutels (CMK) gebruiken in plaats van Microsoft beheerde sleutels om de toegang tot de versleutelingssleutel waarmee uw gegevens worden versleuteld, te beveiligen en te beheren. In dit artikel wordt uitgelegd hoe u door de klant beheerde sleutels configureert voor Azure Files workloads.

Wanneer u door de klant beheerde sleutels voor een opslagaccount configureert, worden Azure Files gegevens in dat opslagaccount automatisch versleuteld met behulp van de klantsleutel. Er is geen opt-in per aandeel vereist.

Deze instructies zijn bedoeld voor het opslaan van door de klant beheerde sleutels in Azure Key Vault. Sommige stappen en opdrachten voor Azure Key Vault Beheerde HSM (Hardware Security Module) kunnen enigszins afwijken.

Volg deze stappen om door de klant beheerde sleutels voor een opslagaccount te configureren.

Stap 1: Een sleutelkluis maken of configureren

Als u door de klant beheerde sleutels wilt inschakelen, hebt u een Azure opslagaccount nodig, samen met een Azure Key Vault waarvoor beveiliging tegen opschonen is ingeschakeld. U kunt een bestaande sleutelkluis gebruiken of een nieuwe maken. Het opslagaccount en de sleutelkluis kunnen zich in verschillende regio's of abonnementen binnen dezelfde Microsoft Entra tenant bevinden. Voor scenario's tussen tenants, zie klantbeheerde sleutels configureren voor een bestaand opslagaccount.

Voer de volgende stappen uit om een nieuwe sleutelkluis te maken met behulp van de Azure-portal:

Zoek in de Azure-portal naar Sleutelkluizen en selecteer Maak.
Vul de vereiste velden in (abonnement, resourcegroep, naam, regio).
Onder Herstelopties, selecteer Beveiliging tegen opschonen inschakelen.
Selecteer Beoordelen en maken en selecteer vervolgens Maken.

Als u een bestaande sleutelkluis wilt gebruiken, voert u de volgende stappen uit:

Ga naar uw sleutelkluis in Azure Portal.
Selecteer Eigenschappen in het servicemenu onder Instellingen.
Selecteer in de sectie Beveiliging tegen opschonen de optie Beveiliging tegen opschonen inschakelen en selecteer opslaan.
Zorg ervoor dat soft delete is ingeschakeld voor uw Key Vault. Deze functie is standaard ingeschakeld voor nieuwe sleutelkluizen.

Voer de volgende cmdlet uit om een nieuwe Key Vault te maken waarvoor purge protection is ingeschakeld. Vervang <key-vault-name>, <resource-group> en <region> door uw eigen waarden.

New-AzKeyVault `
    -Name <key-vault-name> `
    -ResourceGroupName <resource-group> `
    -Location <region> `
    -EnablePurgeProtection

Als u opschoningsbeveiliging wilt inschakelen voor een bestaande sleutelkluis, voert u de volgende cmdlet uit. Vervang <key-vault-name> en <resource-group> door uw eigen waarden.

Update-AzKeyVault `
    -VaultName <key-vault-name> `
    -ResourceGroupName <resource-group> `
    -EnablePurgeProtection

Voer de volgende opdracht uit om een nieuwe sleutelkluis te maken waarvoor opschoningsbeveiliging is ingeschakeld. Vervang <key-vault-name>, <resource-group> en <region> door uw eigen waarden.

az keyvault create \
    --name <key-vault-name> \
    --resource-group <resource-group> \
    --location <region> \
    --enable-purge-protection true

Voer de volgende opdracht uit om verwijderingsbescherming in te schakelen voor een bestaande sleutelkluis. Vervang <key-vault-name> en <resource-group> door uw eigen waarden.

az keyvault update \
    --name <key-vault-name> \
    --resource-group <resource-group> \
    --enable-purge-protection true

De rol Key Vault Crypto Officer toewijzen

Als u sleutels in uw key vault wilt maken en beheren, hebt u de rol Key Vault Crypto Officer voor de key vault nodig. U kunt deze rol aan uzelf toewijzen met behulp van de Azure-portal, PowerShell of Azure CLI. Als u deze rol al hebt op de Key Vault, kunt u deze sectie overslaan en doorgaan met stap 2.

U hebt de RBAC-rol Owner of User Access Administrator binnen de key vault-scope nodig om de rol Key Vault Crypto Officer toe te wijzen. Neem indien nodig contact op met uw beheerder.

Volg deze stappen om de rol Key Vault Crypto Officer aan uzelf toe te wijzen met behulp van de Azure-portal:

Ga naar uw Key Vault.
Selecteer toegangsbeheer (IAM) in het servicemenu.
Onder Toegang verlenen tot deze bron, selecteert u Roltoewijzing toevoegen.
Zoek en selecteer Key Vault Crypto Officer en selecteer Volgende.
Selecteer onder Toegang toewijzen de optie Gebruiker, groep of service-principal.
Kies onder Ledende optie +Leden selecteren.
Zoek en selecteer uw eigen account en kies Selecteren.
Selecteer Beoordelen en toewijzen en vervolgens Opnieuw beoordelen en toewijzen .

Voer de volgende cmdlet uit om de rol Key Vault Crypto Officer aan uzelf toe te wijzen met behulp van Azure PowerShell. Vervang <key-vault-name> door uw eigen waarde.

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>
$currentUser = (Get-AzADUser -SignedIn).Id

New-AzRoleAssignment `
    -ObjectId $currentUser `
    -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $keyVault.ResourceId

Voer de volgende opdrachten uit om de rol Key Vault Crypto Officer aan uzelf toe te wijzen met behulp van Azure CLI. Vervang <key-vault-name> door uw eigen waarde.

KV_RESOURCE_ID=$(az keyvault show --name <key-vault-name> --query id -o tsv)
CURRENT_USER=$(az ad signed-in-user show --query id -o tsv)

az role assignment create \
    --assignee-object-id $CURRENT_USER \
    --assignee-principal-type User \
    --role "Key Vault Crypto Officer" \
    --scope $KV_RESOURCE_ID

Stap 2: Een versleutelingssleutel maken of importeren

U hebt een RSA- of RSA-HSM sleutel van grootte 2048, 3072 of 4096 nodig. Genereer of importeer een RSA-sleutel in uw sleutelkluis. Voordat u een sleutel genereert, moet u de rol Key Vault Crypto Officer hebben op de key vault.

Volg deze stappen om een nieuwe RSA-versleutelingssleutel te genereren met behulp van de Azure-portal.

Ga naar uw sleutelkluis in Azure Portal.
Selecteer Sleutels in het servicemenu onder Objecten.
Selecteer Genereren/Importeren. Selecteer Onder Opties de optie Genereren.
Voer een naam in voor de sleutel. Sleutelnamen mogen alleen alfanumerieke tekens en streepjes bevatten.
Stel sleuteltype in op RSA - en RSA-sleutelgrootte op 2048 (of 3072/4096).
Klik op Creëren.

Als u een bestaande RSA-versleutelingssleutel wilt importeren met behulp van de Azure-portal, volgt u deze stappen.

Ga naar uw sleutelkluis in Azure Portal.
Selecteer Sleutels in het servicemenu onder Objecten.
Selecteer Genereren/Importeren. Selecteer Importeren onder Opties.
Selecteer uw sleutel die u wilt uploaden.
Voer een naam in voor de sleutel. Sleutelnamen mogen alleen alfanumerieke tekens en streepjes bevatten.
Stel sleuteltype in op RSA.
Klik op Creëren.

Voer de volgende cmdlet uit om een RSA-sleutel te maken met behulp van Azure PowerShell. Vervang <key-vault-name> en <key-name> door uw eigen waarden. Voor -Sizekunt u 2048, 3072 of 4096 opgeven.

Add-AzKeyVaultKey `
    -VaultName <key-vault-name> `
    -Name <key-name> `
    -Destination Software `
    -KeyType RSA `
    -Size 2048

Als u een bestaande RSA-versleutelingssleutel wilt importeren met behulp van Azure PowerShell, voert u de volgende cmdlet uit. Vervang <key-vault-name>, <key-name> en <key-path> door uw eigen waarden. Als het sleutelbestand geen wachtwoord heeft, laat u de -KeyFilePassword parameter weg.

Add-AzKeyVaultKey `
    -VaultName <key-vault-name> `
    -Name <key-name> `
    -KeyFilePath <key-path> `
    -KeyFilePassword $password

Voer de volgende opdracht uit om een RSA-sleutel te maken met behulp van Azure CLI. Vervang <key-vault-name> en <key-name> door uw eigen waarden. Voor --sizekunt u 2048, 3072 of 4096 opgeven.

az keyvault key create \
    --vault-name <key-vault-name> \
    --name <key-name> \
    --kty RSA \
    --size 2048

Voer de volgende opdracht uit om een bestaande RSA-versleutelingssleutel te importeren met behulp van Azure CLI. Vervang <key-vault-name>, <key-name> en <key-path> door uw eigen waarden. Als het sleutelbestand geen wachtwoord heeft, laat u de --password parameter weg.

az keyvault key import \
    --vault-name <key-vault-name> \
    --name <key-name> \
    --pem-file <key-path> \
    --password <key-password>

Stap 3: Een beheerde identiteit maken en machtigingen toewijzen

Het opslagaccount heeft een beheerde identiteit nodig om zich te authentiseren bij de sleutelkluis. Met behulp van een beheerde identiteit heeft het opslagaccount veilig toegang tot de versleutelingssleutel in uw sleutelkluis zonder referenties op te slaan.

Maak een door gebruiker toegewezen beheerde identiteit en ken die identiteit de rol Key Vault Crypto Service Encryption User toe in de key vault.

Maak een door de gebruiker toegewezen beheerde identiteit

Maak een door de gebruiker toegewezen beheerde identiteit met behulp van de Azure-portal, Azure PowerShell of Azure CLI.

Volg deze stappen om een door de gebruiker toegewezen beheerde identiteit te maken met behulp van de Azure-portal.

Zoek naar beheerde identiteiten en selecteer Maken.
Kies een abonnement, resourcegroep, regio en naam.
Selecteer Beoordelen en maken en selecteer vervolgens Maken.

Als u een door de gebruiker toegewezen beheerde identiteit wilt maken met behulp van Azure PowerShell, voert u de volgende cmdlet uit. Vervang <resource-group>, <identity-name> en <region> door uw eigen waarden.

New-AzUserAssignedIdentity `
    -ResourceGroupName <resource-group> `
    -Name <identity-name> `
    -Location <region>

Voer de volgende opdracht uit om een door de gebruiker toegewezen beheerde identiteit te maken met behulp van Azure CLI. Vervang <resource-group>, <identity-name> en <region> door uw eigen waarden.

az identity create \
    --name <identity-name> \
    --resource-group <resource-group> \
    --location <region>

De Key Vault cryptoserviceversleutelingsgebruikersrol toewijzen aan de beheerde identiteit

Wijs de rol Key Vault Crypto Service Encryption User toe aan de beheerde identiteit die u hebt gemaakt met behulp van de Azure-portal, PowerShell of Azure CLI.

Voer de volgende stappen uit om de rol Key Vault Crypto Service Encryption User toe te wijzen aan de beheerde identiteit met behulp van de Azure-portal:

Ga naar uw sleutelkluis in Azure Portal.
Selecteer toegangsbeheer (IAM) in het servicemenu.
Onder Toegang verlenen tot deze bron, selecteert u Roltoewijzing toevoegen.
Zoek en selecteer Key Vault Crypto Service Encryption User en selecteer Next.
Selecteer beheerde identiteit onder Toegang toewijzen aan.
Kies onder Ledende optie +Leden selecteren.
Het venster Beheerde identiteiten selecteren wordt geopend. Selecteer onder Beheerde identiteit de door de gebruiker toegewezen beheerde identiteit.
Selecteer de beheerde identiteit die u hebt gemaakt en kies vervolgens Selecteren.
Selecteer Beoordelen en toewijzen en vervolgens Opnieuw beoordelen en toewijzen .

Voer de volgende cmdlet uit om de rol Key Vault Crypto Service Encryption User toe te wijzen aan de door de gebruiker toegewezen beheerde identiteit met behulp van Azure PowerShell. Vervang <resource-group>, <identity-name> en <key-vault-name> door uw eigen waarden.

$identity = Get-AzUserAssignedIdentity `
    -ResourceGroupName <resource-group> `
    -Name <identity-name>

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>

New-AzRoleAssignment `
    -ObjectId $identity.PrincipalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

Voer de volgende opdrachten uit om de rol Key Vault Crypto Service Encryption User toe te wijzen aan de door de gebruiker toegewezen beheerde identiteit met behulp van Azure CLI. Vervang <resource-group>, <identity-name> en <key-vault-name> door uw eigen waarden.

# Get the principal ID of the user-assigned managed identity
IDENTITY_PRINCIPAL_ID=$(az identity show \
    --name <identity-name> \
    --resource-group <resource-group> \
    --query principalId -o tsv)

# Get the key vault resource ID
KV_RESOURCE_ID=$(az keyvault show \
    --name <key-vault-name> \
    --query id -o tsv)

# Assign the Key Vault Crypto Service Encryption User role to the user-assigned managed identity
az role assignment create \
    --assignee-object-id $IDENTITY_PRINCIPAL_ID \
    --assignee-principal-type ServicePrincipal \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $KV_RESOURCE_ID

Stap 4: Door de klant beheerde sleutels configureren in het opslagaccount

Met de sleutelkluis, sleutel en beheerde identiteit kunt u door de klant beheerde sleutels inschakelen in het opslagaccount.

Volg deze stappen om het opslagaccount te configureren voor het gebruik van uw sleutel voor versleuteling. De Azure-portal maakt altijd gebruik van het automatisch bijwerken van sleutelversies. Als u in plaats daarvan handmatig sleutelversiebeheer wilt gebruiken, gebruikt u Azure PowerShell of Azure CLI en geeft u een sleutelversie op.

Important

Voor opslagaccounts die zijn gekoppeld aan een netwerkbeveiligingsperimeter, moet de sleutelkluis zich idealiter in dezelfde netwerkbeveiligingsperimeter bevinden. Als dat niet het geval is, moet u het perimeterprofiel voor netwerkbeveiliging van de sleutelkluis configureren om het opslagaccount ermee te laten communiceren.

Door de klant beheerde sleutels configureren voor een bestaand opslagaccount

U kunt door de klant beheerde sleutels configureren voor een bestaand opslagaccount met behulp van de Azure-portal, Azure PowerShell of Azure CLI.

Volg deze stappen om door de klant beheerde sleutels te configureren voor een bestaand opslagaccount met behulp van de Azure-portal. De portal maakt standaard gebruik van het automatisch bijwerken van de sleutelversie. U kunt geen sleutelversie opgeven.

Ga naar uw opslagaccount.
Selecteer Versleuteling in het servicemenu onder Beveiliging en netwerken.
Selecteer voor versleutelingstype de optie Customer-Managed Keys. Als het opslagaccount al is geconfigureerd voor CMK, selecteert u Sleutel wijzigen.
Selecteer versleutelingssleutel en kies Selecteren in de sleutelkluis.
Selecteer een sleutelkluis en sleutel, en kies vervolgens uw sleutelkluis en sleutel.
Voor identiteitstype kiest u Door de gebruiker toegewezen om uw eerder gemaakte door de gebruiker toegewezen beheerde identiteit te gebruiken.
Zoek en selecteer de door de gebruiker toegewezen beheerde identiteit en selecteer vervolgens Toevoegen.
Selecteer Opslaan.

Schermopname van de versleutelingsselectie en sleutelselectie voor het configureren van door de klant beheerde sleutels.

Voer de volgende cmdlet uit om door de klant beheerde sleutels voor een bestaand opslagaccount te configureren met behulp van Azure PowerShell met automatisch bijwerken van de sleutelversie (aanbevolen). Vervang <resource-group>, <identity-name>, <storage-account-name>, en <key-vault-name><key-name> door uw eigen waarden.

De volgende cmdlet maakt gebruik van uw eerder gemaakte door de gebruiker toegewezen beheerde identiteit. Als u in plaats daarvan de systeemidentiteit van het opslagaccount wilt gebruiken, stelt u de variabele in IdentityTypeSystemAssigned en laat u deze $identity weg, UserAssignedIdentityIden KeyVaultUserAssignedIdentityId.

$identity = Get-AzUserAssignedIdentity `
    -ResourceGroupName <resource-group> `
    -Name <identity-name>

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>
$key = Get-AzKeyVaultKey -VaultName <key-vault-name> -Name <key-name>

Set-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -IdentityType UserAssigned `
    -UserAssignedIdentityId $identity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVaultEncryption `
    -KeyVaultUserAssignedIdentityId $identity.Id

Als u handmatige sleutelversie wilt bijwerken in plaats van automatisch bijwerken, voegt u de -KeyVersion $key.Version parameter toe aan de Set-AzStorageAccount cmdlet.

Voer de volgende opdrachten uit om door de klant beheerde sleutels voor een bestaand opslagaccount te configureren met behulp van Azure CLI met automatisch bijwerken van de sleutelversie (aanbevolen). Vervang <resource-group>, <identity-name>, <storage-account-name>, en <key-vault-name><key-name> door uw eigen waarden.

De volgende opdracht maakt gebruik van uw eerder gemaakte door de gebruiker toegewezen beheerde identiteit. Als u in plaats daarvan de systeemidentiteit van het opslagaccount wilt gebruiken, stelt u de variabele in --identity-typeSystemAssigned en laat u deze IDENTITY_RESOURCE_ID weg, --user-identity-iden --key-vault-user-identity-id.

# Using user-assigned managed identity. Omit for system assigned.
IDENTITY_RESOURCE_ID=$(az identity show \
    --name <identity-name> \
    --resource-group <resource-group> \
    --query id -o tsv)

# Get the key vault URI
KEY_VAULT_URI=$(az keyvault show \
    --name <key-vault-name> \
    --query properties.vaultUri -o tsv)

az storage account update \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --encryption-key-vault $KEY_VAULT_URI \
    --encryption-key-name <key-name> \
    --encryption-key-source Microsoft.Keyvault \
    --key-vault-user-identity-id $IDENTITY_RESOURCE_ID \
    --identity-type UserAssigned \
    --user-identity-id $IDENTITY_RESOURCE_ID

Als u handmatige sleutelversie wilt bijwerken in plaats van automatisch bijwerken, voegt u deze toe --encryption-key-version <key-version> aan de az storage account update opdracht.

Door de klant beheerde sleutels configureren voor een nieuw opslagaccount

U kunt door de klant beheerde sleutels configureren wanneer u een nieuw opslagaccount maakt met behulp van de Azure-portal, Azure PowerShell of Azure CLI.

U kunt geen door het systeem toegewezen identiteit gebruiken tijdens het maken van het opslagaccount, omdat de identiteit pas bestaat nadat het opslagaccount is gemaakt. U moet een door de gebruiker toegewezen beheerde identiteit gebruiken.

Volg deze stappen om door de klant beheerde sleutels voor een nieuw opslagaccount te configureren met behulp van de Azure-portal. De portal maakt standaard gebruik van het automatisch bijwerken van de sleutelversie. U kunt geen sleutelversie opgeven.

Selecteer op het tabblad Versleuteling tijdens het maken van het opslagaccount de optie Door de klant beheerde sleutels (CMK) voor het versleutelingstype.
Kies onder Versleutelingssleuteleen sleutelkluis en sleutel selecteren en selecteer vervolgens uw sleutelkluis en sleutel.
Kies onder Door de gebruiker toegewezen identiteiteen identiteit selecteren. Het venster Gebruiker toegewezen beheerde identiteit selecteren wordt geopend.
Zoek en selecteer uw vooraf gemaakte door de gebruiker toegewezen beheerde identiteit. Nieuwe opslagaccounts kunnen geen door het systeem toegewezen beheerde identiteit gebruiken.
Selecteer Toevoegen.
Voltooi de resterende tabbladen en selecteer Beoordelen en maken.

Als u een nieuw opslagaccount wilt maken met door de klant beheerde sleutels met behulp van Azure PowerShell, voert u de volgende cmdlet uit. Vervang <resource-group>, <identity-name>, <storage-account-name>, , <key-vault-name>, en <key-name><region>door uw eigen waarden. U kunt verschillende waarden opgeven voor -Kind en -SkuName indien gewenst.

$identity = Get-AzUserAssignedIdentity `
    -ResourceGroupName <resource-group> `
    -Name <identity-name>

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>
$key = Get-AzKeyVaultKey -VaultName <key-vault-name> -Name <key-name>

New-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -Location <region> `
    -SkuName Standard_LRS `
    -Kind StorageV2 `
    -IdentityType UserAssigned `
    -UserAssignedIdentityId $identity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVaultUserAssignedIdentityId $identity.Id

Als u handmatige sleutelversie wilt bijwerken in plaats van automatisch, voegt u de -KeyVersion $key.Version parameter toe aan de New-AzStorageAccount cmdlet.

Voer de volgende opdrachten uit om een nieuw opslagaccount te maken met door de klant beheerde sleutels met behulp van Azure CLI. Vervang <resource-group>, <identity-name>, <storage-account-name>, , <key-vault-name>, en <key-name><region>door uw eigen waarden. U kunt verschillende waarden opgeven voor --kind en --sku indien gewenst.

IDENTITY_RESOURCE_ID=$(az identity show \
    --name <identity-name> \
    --resource-group <resource-group> \
    --query id -o tsv)

# Get the key vault URI
KEY_VAULT_URI=$(az keyvault show \
    --name <key-vault-name> \
    --query properties.vaultUri -o tsv)

az storage account create \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --location <region> \
    --sku Standard_LRS \
    --kind StorageV2 \
    --identity-type UserAssigned \
    --user-identity-id $IDENTITY_RESOURCE_ID \
    --encryption-key-vault $KEY_VAULT_URI \
    --encryption-key-name <key-name> \
    --encryption-key-source Microsoft.Keyvault \
    --key-vault-user-identity-id $IDENTITY_RESOURCE_ID

Als u handmatige sleutelversie wilt bijwerken in plaats van automatisch, voegt u deze toe --encryption-key-version <key-version> aan de az storage account create opdracht.

Stap 5: De configuratie controleren

Nadat u door de klant beheerde sleutels hebt ingeschakeld, controleert u of versleuteling juist is geconfigureerd voor uw opslagaccount. U kunt dit doen met behulp van de Azure-portal, Azure PowerShell of Azure CLI.

Voer de volgende stappen uit om de configuratie van het opslagaccount te controleren met behulp van de Azure-portal:

Ga naar uw opslagaccount in de Azure Portal.
Selecteer Versleuteling in het servicemenu onder Beveiliging en netwerken.
Controleer dat het versleutelingstypeCustomer-Managed Sleutels weergeeft.
Controleer of de informatie onder Sleutelselectie juist is.

Voer de volgende cmdlet uit om de configuratie van het opslagaccount te controleren met behulp van Azure PowerShell. Vervang <resource-group> en <storage-account-name> door uw eigen waarden.

$account = Get-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name>

$account.Encryption.KeySource
$account.Encryption.KeyVaultProperties

Controleer of KeySource is Microsoft.Keyvault en dat KeyVaultProperties de URI en sleutelnaam van uw sleutelkluis weergeeft.

Voer de volgende opdracht uit om de configuratie te controleren met behulp van Azure CLI. Vervang <resource-group> en <storage-account-name> door uw eigen waarden.

az storage account show \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --query encryption

Controleer of keySource is Microsoft.Keyvault en dat in de sectie keyVaultProperties uw sleutelkluis- en sleutelnaam wordt weergegeven.

Sleutelrotatie

Het regelmatig roteren van uw versleutelingssleutel beperkt de blootstelling als een sleutel ooit wordt aangetast. Er zijn twee manieren om versleuteling te roteren voor een opslagaccount dat gebruikmaakt van door de klant beheerde sleutels:

Roteer de sleutelversie - maak een nieuwe versie van dezelfde sleutel in de sleutelkluis. De sleutelnaam blijft hetzelfde, maar de versie wordt gewijzigd.
Wijzig de sleutel : schakel over naar het opslagaccount om een volledig andere sleutel (met een andere naam) in dezelfde of een andere sleutelkluis te gebruiken.

Important

Azure controleert de sleutelkluis slechts één keer per dag op een nieuwe sleutelversie. Nadat u een sleutel hebt gedraaid, wacht u 24 uur voordat u de vorige sleutelversie uitschakelt.

De sleutelversie draaien

Om aan aanbevolen beveiligingspraktijken te voldoen, draai de sleutelversie minstens eens in de twee jaar.

Automatische rotatie van sleutelversies (aanbevolen)

Als u door de klant beheerde sleutels hebt geconfigureerd zonder een sleutelversie op te geven (de standaardinstelling bij het gebruik van de Azure-portal), controleert Azure automatisch dagelijks op nieuwe sleutelversies. Als u een nieuwe versie van de sleutel in de sleutelkluis maakt, Azure deze binnen 24 uur ophaalt. U kunt ook automatische sleutelrotatie configureren in Azure Key Vault om nieuwe sleutelversies te genereren volgens een schema.

Handmatige rotatie van sleutelversie

Als u een sleutelversie hebt opgegeven bij het configureren van door de klant beheerde sleutels met behulp van PowerShell of Azure CLI, gebruikt Azure die specifieke versie en controleert deze niet automatisch op nieuwe versies. U moet de configuratie van het opslagaccount handmatig bijwerken om naar de nieuwe sleutelversie te verwijzen.

Handmatige draaiing van sleutelversies wordt niet ondersteund in de Azure-portal. Als u de versie van de sleutel handmatig wilt wijzigen, gebruikt u Azure PowerShell of Azure CLI.

Voer de volgende cmdlet uit om de versie van de sleutel handmatig te roteren met Azure PowerShell. Vervang <resource-group>, <storage-account-name>, <key-vault-name> en <key-name> door uw eigen waarden.

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>
$key = Get-AzKeyVaultKey -VaultName <key-vault-name> -Name <key-name>

Set-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version `
    -KeyVaultEncryption

Voer de volgende opdrachten uit om de sleutelversie handmatig te wijzigen met behulp van Azure CLI. Vervang <storage-account-name>, <resource-group>, <key-vault-name> en <key-name> door uw eigen waarden.

# Get the key vault URI
KEY_VAULT_URI=$(az keyvault show \
    --name <key-vault-name> \
    --query properties.vaultUri -o tsv)

# Get the latest key version
KEY_VERSION=$(az keyvault key show \
    --vault-name <key-vault-name> \
    --name <key-name> \
    --query key.kid -o tsv | sed -e 's|.*/||')

az storage account update \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --encryption-key-vault $KEY_VAULT_URI \
    --encryption-key-name <key-name> \
    --encryption-key-version $KEY_VERSION \
    --encryption-key-source Microsoft.Keyvault

De sleutel wijzigen

Als u wilt overschakelen naar een ander opslagaccount, maakt of importeert u een nieuwe sleutel in uw sleutelkluis (zie Een versleutelingssleutel maken of importeren) en werkt u vervolgens de versleutelingsconfiguratie van het opslagaccount bij om de nieuwe sleutel te gebruiken.

Voer de volgende stappen uit om de sleutel te wijzigen met behulp van de Azure-portal:

Ga naar uw opslagaccount.
Selecteer Versleuteling in het servicemenu onder Beveiliging en netwerken.
Selecteer Verander sleutel.
Selecteer een sleutelkluis en sleutel en kies vervolgens uw sleutelkluis en nieuwe sleutel.
Selecteer Opslaan.

Als u de sleutel wilt wijzigen met behulp van Azure PowerShell, voert u de volgende cmdlet uit. Vervang <resource-group>, <storage-account-name>, <key-vault-name> en <new-key-name> door uw eigen waarden. Om automatische sleutelversie-updates te gebruiken (aanbevolen), laat u de -KeyVersion parameter weg.

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>
$key = Get-AzKeyVaultKey -VaultName <key-vault-name> -Name <new-key-name>

Set-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVaultEncryption

Als u de sleutel wilt wijzigen met behulp van Azure CLI, voert u de volgende opdrachten uit. Vervang <storage-account-name>, <resource-group>, <key-vault-name> en <new-key-name> door uw eigen waarden. Als u gebruik wilt maken van de automatische sleutelversieversie bijwerken (aanbevolen), laat u de --encryption-key-version parameter weg.

# Get the key vault URI
KEY_VAULT_URI=$(az keyvault show \
    --name <key-vault-name> \
    --query properties.vaultUri -o tsv)

az storage account update \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --encryption-key-vault $KEY_VAULT_URI \
    --encryption-key-name <new-key-name> \
    --encryption-key-source Microsoft.Keyvault

U kunt de toegang tot versleutelde bestandssharegegevens onmiddellijk blokkeren door de door de klant beheerde sleutel uit te schakelen of te verwijderen. Hoewel de sleutel is uitgeschakeld, mislukken alle Azure Files gegevensvlakbewerkingen met HTTP 403 (verboden), waaronder:

Mappen en bestanden weergeven
Directory of bestand aanmaken/ophalen/instellen
Metagegevens van bestanden ophalen/instellen
Bereik plaatsen, bestand kopiëren, naam van bestand wijzigen

Als u de toegang tot uw bestandssharegegevens wilt intrekken, schakelt u de sleutel in de sleutelkluis uit met behulp van de Azure-portal, Azure PowerShell of Azure CLI. Schakel de sleutel opnieuw in om de toegang te herstellen.

Volg deze stappen om de sleutel uit te schakelen met behulp van de Azure-portal:

Ga naar uw sleutelkluis in Azure Portal.
Selecteer Sleutels in het servicemenu onder Objecten.
Klik met de rechtermuisknop op de toets en selecteer Uitschakelen.

Voer de volgende cmdlet uit om de sleutel uit te schakelen met behulp van Azure PowerShell. Vervang <key-vault-name> en <key-name> door uw eigen waarden.

Update-AzKeyVaultKey `
    -VaultName <key-vault-name> `
    -Name <key-name> `
    -Enable $false

Voer de volgende opdracht uit om de sleutel uit te schakelen met behulp van Azure CLI. Vervang <key-vault-name> en <key-name> door uw eigen waarden.

az keyvault key set-attributes \
    --vault-name <key-vault-name> \
    --name <key-name> \
    --enabled false

Overschakelen naar door Microsoft beheerde sleutels

Als u door de klant beheerde sleutels niet meer nodig hebt, kunt u het opslagaccount weer overschakelen naar het gebruik van door Microsoft beheerde sleutels voor versleuteling met behulp van de Azure-portal, Azure PowerShell of Azure CLI.

Als u wilt terugkeren naar Microsoft beheerde sleutels met behulp van de Azure-portal, voert u de volgende stappen uit:

Ga naar uw opslagaccount in de Azure Portal.
Selecteer Versleuteling in het servicemenu onder Beveiliging en netwerken.
Wijzig Encryptietype in Microsoft-Managed Keys.
Selecteer Opslaan.

Als u wilt terugkeren naar Microsoft beheerde sleutels met behulp van Azure PowerShell, voert u de volgende cmdlet uit. Vervang <resource-group> en <storage-account-name> door uw eigen waarden.

Set-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -StorageEncryption

Als u wilt terugkeren naar Microsoft beheerde sleutels met behulp van Azure CLI, voert u de volgende opdracht uit. Vervang <resource-group> en <storage-account-name> door uw eigen waarden.

az storage account update \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --encryption-key-source Microsoft.Storage

Zie de volgende artikelen voor meer informatie over versleuteling en sleutelbeheer.

Feedback

Is deze pagina nuttig?

Last updated on 2026-05-08