Создание областей шифрования и управление ими

Чтобы создать область шифрования на портале Azure, выполните следующие действия.

1. Войдите в свою учетную запись хранения на портале Azure.

2. В разделе "Безопасность и сеть" выберите "Шифрование".

3. Перейдите на вкладку "Области шифрования ".

4. Нажмите кнопку "Добавить ", чтобы добавить новую область шифрования.

5. В области создания области шифрования введите имя новой области.

6. Выберите нужный тип поддержки ключа шифрования, управляемые корпорацией Майкрософт или ключи, управляемые клиентом.

   • Если вы выбрали ключи, управляемые корпорацией Майкрософт, нажмите кнопку "Создать ", чтобы создать область шифрования.
   • Если вы выбрали ключи, управляемые клиентом, выберите подписку и укажите хранилище ключей и ключ, используемый для этой области шифрования. Если нужное хранилище ключей находится в другом регионе, выберите Ввести URI ключа и укажите URI ключа.

7. Если для учетной записи хранения включено шифрование инфраструктуры, она автоматически будет включена для новой области шифрования. В противном случае можно выбрать, следует ли включить шифрование инфраструктуры для области шифрования.

   

Чтобы создать область шифрования с помощью PowerShell, установите модуль PowerShell Az.Storage версии 3.4.0 или более поздней версии.

Создание области шифрования, защищенной ключами, управляемыми корпорацией Майкрософт

Чтобы создать область шифрования, защищенную ключами, управляемыми Корпорацией Майкрософт, вызовите команду New-AzStorageEncryptionScope с параметром -StorageEncryption .

Если для учетной записи хранения включено шифрование инфраструктуры, она автоматически будет включена для новой области шифрования. В противном случае можно выбрать, следует ли включить шифрование инфраструктуры для области шифрования. Чтобы создать новую область с включенным шифрованием инфраструктуры, включите -RequireInfrastructureEncryption параметр.

Не забудьте заменить значения заполнителей в примере собственными значениями:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$scopeName = "<encryption-scope>"

New-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName1 `
    -StorageEncryption

Создание области шифрования, защищенной ключами, управляемыми клиентом, в одном клиенте

Чтобы создать область шифрования, защищенную ключами, управляемыми клиентом, хранящимися в хранилище ключей или управляемом HSM, который находится в том же клиенте, что и учетная запись хранения, сначала настройте управляемые клиентом ключи для учетной записи хранения. Необходимо присвоить управляемое удостоверение учетной записи хранилища, имеющего разрешения на доступ к хранилищу ключей. Управляемое удостоверение может быть управляемым удостоверением, назначаемое пользователем, или управляемым удостоверением, назначаемое системой. Дополнительные сведения о настройке ключей, управляемых клиентом, см. в статье Настройка ключей, управляемых клиентом, в том же клиенте для существующей учетной записи хранения.

Чтобы предоставить управляемому удостоверению разрешения на доступ к Key Vault, назначьте этому удостоверению роль пользователя шифрования криптографической службы Key Vault.

Чтобы настроить ключи, управляемые клиентом, для использования с областью шифрования, необходимо включить защиту от удаления в хранилище ключей или управляемой аппаратной системе безопасности (HSM).

В следующем примере показано, как настроить область шифрования с управляемым удостоверением, назначаемое системой. Не забудьте заменить значения заполнителей в примере собственными значениями:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$keyVaultName = "<key-vault>"
$scopeName = "<encryption-scope>"

# Assign a system-assigned managed identity to the storage account.
$storageAccount = Set-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -AssignIdentity

# Assign the necessary permissions to the managed identity 
# so that it can access the key vault.
$principalId = $storageAccount.Identity.PrincipalId
$keyVault = Get-AzKeyVault $keyVaultName

New-AzRoleAssignment -ObjectId $storageAccount.Identity.PrincipalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

Затем вызовите команду New-AzStorageEncryptionScope с параметром -KeyvaultEncryption и укажите URI ключа. Включение версии ключа в URI ключа является необязательным. Если опустить версию ключа, область шифрования будет автоматически использовать последнюю версию ключа. Если вы включаете версию ключа, то необходимо вручную обновить ее, чтобы использовать другую версию.

Формат URI ключа аналогичен следующим примерам и может быть создан из свойства VaultUri хранилища ключей и имени ключа:

# Without the key version
https://<key-vault>.vault.azure.net/keys/<key>

# With the key version
https://<key-vault>.vault.azure.net/keys/<key>/<version>

Если для учетной записи хранения включено шифрование инфраструктуры, она автоматически будет включена для новой области шифрования. В противном случае можно выбрать, следует ли включить шифрование инфраструктуры для области шифрования. Чтобы создать новую область с включенным шифрованием инфраструктуры, включите -RequireInfrastructureEncryption параметр.

Не забудьте заменить значения заполнителей в примере собственными значениями:

$keyUri = $keyVault.VaultUri + "keys/" + $keyName

New-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName `
    -KeyUri $keyUri `
    -KeyvaultEncryption

Создание области шифрования, защищенной ключами, управляемыми клиентом, в другом клиенте

Чтобы создать область шифрования, защищенную ключами, управляемыми клиентом, хранящимися в хранилище ключей или управляемом HSM, который находится в другом клиенте, отличном от учетной записи хранения, сначала настройте управляемые клиентом ключи для учетной записи хранения. Необходимо настроить управляемое удостоверение, назначаемое пользователем, для учетной записи хранения с разрешениями на доступ к хранилищу ключей в другом клиенте. Дополнительные сведения о настройке ключей, управляемых клиентом, см. в статье Настройка ключей, управляемых клиентом, для существующей учетной записи хранения.

Чтобы настроить клиентские ключи для использования с областью шифрования, необходимо включить защиту от удаления в хранилище ключей или управляемом модуле аппаратного обеспечения безопасности (HSM).

После того как вы настроите управляемые клиентом ключи для учетной записи хранения в разных клиентах, можно создать область шифрования для учетной записи хранения в одном арендаторе, связанную с ключом в хранилище ключей в другом арендаторе. Для создания межклиентской области шифрования вам потребуется ключ URI.

Не забудьте заменить значения заполнителей в примере собственными значениями:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$scopeName = "<encryption-scope>"

# Construct the key URI from the key vault URI and key name.
$keyUri = $kvUri + "keys/" + $keyName

New-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName `
    -KeyUri $keyUri `
    -KeyvaultEncryption

Чтобы создать область шифрования с помощью Azure CLI, сначала установите Azure CLI версии 2.20.0 или более поздней.

Создание области шифрования, защищенной ключами, управляемыми корпорацией Майкрософт

Чтобы создать область шифрования, защищенную ключами, управляемыми Корпорацией Майкрософт, вызовите команду az storage account encryption-scope create , указав --key-source параметр как Microsoft.Storage.

Если для учетной записи хранения включено шифрование инфраструктуры, она автоматически будет включена для новой области шифрования. В противном случае можно выбрать, следует ли включить шифрование инфраструктуры для области шифрования. Чтобы создать новую область с включенным шифрованием инфраструктуры, включите --require-infrastructure-encryption параметр и задайте для него значение true.

Не забудьте заменить значения заполнителей собственными значениями.

az storage account encryption-scope create \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.Storage

Создание области шифрования, защищенной ключами, управляемыми клиентом, в одном клиенте

Чтобы создать среду шифрования, защищенную ключами, управление которыми осуществляет клиент и которые хранятся в хранилище ключей или управляемом HSM, которое находится в том же арендаторе, что и учетная запись хранения, сначала настройте ключи управления клиентом для учетной записи хранения. Необходимо назначить управляемую идентификацию учетной записи хранилища с разрешениями на доступ к хранилищу ключей. Управляемое удостоверение может быть управляемым удостоверением, назначаемое пользователем, или управляемым удостоверением, назначаемое системой. Дополнительные сведения о настройке ключей, управляемых клиентом, см. в статье Настройка ключей, управляемых клиентом, в том же клиенте для существующей учетной записи хранения.

Чтобы предоставить управляемому удостоверению разрешения на доступ к хранилищу ключей, назначьте управляемому удостоверению роль Key Vault Crypto Service Encryption User.

Чтобы настроить управляемые клиентом ключи для использования с областью шифрования, необходимо включить защиту очистки в хранилище ключей или управляемом HSM.

В следующем примере показано, как настроить область шифрования с управляемым удостоверением, назначаемое системой. Не забудьте заменить значения заполнителей в примере собственными значениями:

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --assign-identity

principalId=$(az storage account show --name <storage-account> \
    --resource-group <resource_group> \
    --query identity.principalId \
    --output tsv)

$kvResourceId=$(az keyvault show \
    --resource-group <resource-group> \
    --name <key-vault> \
    --query id \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId

Затем вызовите команду az storage account encryption-scope с параметром --key-uri и укажите URI ключа. Включение версии ключа в URI ключа является необязательным. Если опустить версию ключа, область шифрования будет автоматически использовать последнюю версию ключа. Если у вас есть версия ключа, необходимо вручную обновить её, чтобы использовать другую версию.

Формат URI ключа аналогичен следующим примерам и может быть создан из свойства хранилища ключей и имени ключа:

# Without the key version
https://<key-vault>.vault.azure.net/keys/<key>

# With the key version
https://<key-vault>.vault.azure.net/keys/<key>/<version>

Если для учетной записи хранения включено шифрование инфраструктуры, она автоматически будет включена для новой области шифрования. В противном случае можно выбрать, следует ли включить шифрование инфраструктуры для области шифрования. Чтобы создать новую область с включенным шифрованием инфраструктуры, включите --require-infrastructure-encryption параметр и задайте для него значение true.

Не забудьте заменить значения заполнителей в примере собственными значениями:

az storage account encryption-scope create \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.KeyVault \
    --key-uri <key-uri>

Создание области шифрования, защищенной ключами, управляемыми клиентом, в другом клиенте

Чтобы создать область шифрования, защищенную ключами, управляемыми клиентом, хранящимися в хранилище ключей или управляемом HSM, который находится в другом клиенте, отличном от учетной записи хранения, сначала настройте управляемые клиентом ключи для учетной записи хранения. Необходимо настроить назначаемое пользователем управляемое удостоверение для учетной записи хранения, которое обладает разрешениями на доступ к хранилищу ключей в другом арендаторе. Дополнительные сведения о настройке ключей, управляемых клиентом, см. в статье Настройка ключей, управляемых клиентом, для существующей учетной записи хранения.

Чтобы настроить ключи, управляемые клиентом, для использования с областью шифрования, необходимо включить защиту от удаления в хранилище ключей или в управляемом HSM.

После настройки клиентских ключей с управлением между клиентами для учетной записи хранения, можно создать область шифрования в одной учетной записи хранения, которая связана с ключом в хранилище ключей другого клиента. Для создания межклиентской области шифрования потребуется универсальный идентификатор ресурса (URI) ключа.

Не забудьте заменить значения заполнителей в примере собственными значениями:

az storage account encryption-scope create \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.KeyVault \
    --key-uri <key-uri>

Чтобы просмотреть области шифрования для учетной записи хранения на портале Azure, перейдите к параметру "Области шифрования " для учетной записи хранения. На этой панели можно включить или отключить область шифрования или изменить ключ для области шифрования.

Чтобы просмотреть сведения о ключе, управляемом клиентом, включая URI ключа и версию, а также автоматически ли обновляется версия ключа, перейдите по ссылке в столбце "Ключ ".

Чтобы получить список областей шифрования, доступных для учетной записи хранения с помощью PowerShell, вызовите команду Get-AzStorageEncryptionScope . Не забудьте заменить значения заполнителей в примере собственными значениями:

Get-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName

Чтобы перечислить все области шифрования в группе ресурсов по учетной записи хранения, используйте синтаксис конвейера:

Get-AzStorageAccount -ResourceGroupName $rgName | Get-AzStorageEncryptionScope

Чтобы получить список областей шифрования, доступных для учетной записи хранения с помощью Azure CLI, вызовите команду az storage account encryption-scope list . Не забудьте заменить значения заполнителей в примере собственными значениями:

az storage account encryption-scope list \
    --account-name <storage-account> \
    --resource-group <resource-group>

Чтобы создать контейнер с областью шифрования по умолчанию на портале Azure, сначала создайте область шифрования, как описано в разделе "Создание области шифрования". Затем выполните следующие действия, чтобы создать контейнер:

1. Перейдите к списку контейнеров в учетной записи хранения и нажмите кнопку "Добавить ", чтобы создать контейнер.

2. Разверните дополнительные параметры в области "Создать контейнер ".

3. В раскрывающемся списке области шифрования выберите область шифрования по умолчанию для контейнера.

4. Чтобы все большие двоичные объекты в контейнере использовали область шифрования по умолчанию, установите флажок использовать эту область шифрования для всех больших двоичных объектов в контейнере. Если этот флажок установлен, отдельный объект Blob в контейнере не может переопределить область шифрования по умолчанию.

   

Чтобы создать контейнер с областью шифрования по умолчанию с помощью PowerShell, вызовите команду New-AzStorageContainer , указав область для -DefaultEncryptionScope параметра. Чтобы все объекты BLOB в контейнере использовали область по умолчанию, параметру -PreventEncryptionScopeOverride присвойте значение true.

$containerName1 = "container1"
$ctx = New-AzStorageContext -StorageAccountName $accountName -UseConnectedAccount

# Create a container with a default encryption scope that cannot be overridden.
New-AzStorageContainer -Name $containerName1 `
    -Context $ctx `
    -DefaultEncryptionScope $scopeName1 `
    -PreventEncryptionScopeOverride $true

Чтобы создать контейнер с областью шифрования по умолчанию с помощью Azure CLI, вызовите команду az storage container create , указав область для --default-encryption-scope параметра. Чтобы заставить все двоичные большие объекты в контейнере использовать область контейнера по умолчанию, задайте для параметра --prevent-encryption-scope-override значение true.

В следующем примере используется учетная запись Microsoft Entra для авторизации операции для создания контейнера. Вы также можете использовать ключ доступа к учетной записи. Дополнительные сведения см. в разделе Авторизация доступа к объектам BLOB или данным очередей с помощью Azure CLI.

az storage container create \
    --account-name <storage-account> \
    --resource-group <resource-group> \
    --name <container> \
    --default-encryption-scope <encryption-scope> \
    --prevent-encryption-scope-override true \
    --auth-mode login

Чтобы загрузить blob с областью шифрования через портал Azure, сначала создайте область шифрования, как описано в разделе «Создание области шифрования». Затем следуйте этим шагам, чтобы создать блоб:

1. Перейдите к контейнеру, в который вы хотите загрузить блоб.

2. Нажмите кнопку Загрузить и найдите объект BLOB для загрузки.

3. Разверните Дополнительные параметры в области загрузки BLOB-объектов.

4. Найдите раскрывающийся список Область действия шифрования. По умолчанию объект BLOB создается с областью шифрования по умолчанию для контейнера, если область шифрования определена. Если контейнер требует, чтобы объекты использовали шифрование по умолчанию, этот раздел отключен.

5. Чтобы указать другую область для загружаемого объекта BLOB, выберите Выберите существующую область, а затем выберите нужную область в раскрывающемся списке.

   

Чтобы отправить большой двоичный объект с областью шифрования с помощью PowerShell, вызовите команду Set-AzStorageBlobContent и укажите область шифрования для большого двоичного объекта.

$containerName2 = "container2"
$localSrcFile = "C:\temp\helloworld.txt"
$ctx = New-AzStorageContext -StorageAccountName $accountName -UseConnectedAccount

# Create a container with no default scope defined.
New-AzStorageContainer -Name $containerName2 -Context $ctx

# Upload a block upload with an encryption scope specified.
Set-AzStorageBlobContent -Context $ctx `
    -Container $containerName2 `
    -File $localSrcFile `
    -Blob "helloworld.txt" `
    -BlobType Block `
    -EncryptionScope $scopeName2

Чтобы отправить большой двоичный объект с областью шифрования с помощью Azure CLI, вызовите команду az storage blob upload и укажите область шифрования для большого двоичного объекта.

Если вы используете Azure Cloud Shell, выполните действия, описанные в разделе «Загрузка BLOB», для создания файла в корневом каталоге. Затем этот файл можно загрузить в BLOB, используя следующий пример.

az storage blob upload \
    --account-name <storage-account> \
    --container-name <container> \
    --file <file> \
    --name <file> \
    --encryption-scope <encryption-scope>

Чтобы изменить ключ, который защищает область на портале Azure, выполните следующие действия.

1. Перейдите на вкладку "Области шифрования" , чтобы просмотреть список областей шифрования для учетной записи хранения.
2. Нажмите кнопку "Дополнительно" рядом с областью, которую вы хотите изменить.
3. В области "Изменение области шифрования " можно изменить тип шифрования с управляемого корпорацией Майкрософт ключа на управляемый клиентом ключ или наоборот.
4. Чтобы выбрать новый ключ, управляемый клиентом, выберите "Использовать новый ключ " и укажите хранилище ключей, ключ и версию ключа.

Чтобы изменить ключ, который защищает область шифрования от управляемого клиентом ключа на ключ, управляемый корпорацией Майкрософт, с помощью PowerShell, вызовите команду Update-AzStorageEncryptionScope и передайте параметр -StorageEncryption :

Update-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName2 `
    -StorageEncryption

Затем вызовите команду Update-AzStorageEncryptionScope и передайте параметры:-KeyUri-KeyvaultEncryption

Update-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName1 `
    -KeyUri $keyUri `
    -KeyvaultEncryption

Чтобы изменить ключ, который защищает область шифрования от управляемого клиентом ключа на ключ, управляемый корпорацией Майкрософт, с помощью Azure CLI, вызовите команду az storage account encryption-scope update и передайте --key-source параметр со значением Microsoft.Storage:

az storage account encryption-scope update \
    --account-name <storage-account> \
    --resource-group <resource-group>
    --name <encryption-scope> \
    --key-source Microsoft.Storage

Затем вызовите команду az storage account encryption-scope update, передайте параметр --key-uri и параметр --key-source со значением Microsoft.KeyVault.

az storage account encryption-scope update \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.KeyVault \
    --key-uri <key-uri>

Чтобы отключить область шифрования на портале Azure, перейдите к параметру "Области шифрования" для учетной записи хранения, выберите нужную область шифрования и нажмите кнопку "Отключить".

Чтобы отключить область шифрования с помощью PowerShell, вызовите команду Update-AzStorageEncryptionScope и включите -State параметр со значением disabled, как показано в следующем примере. Чтобы повторно включить область шифрования, вызовите ту же команду с заданным параметром -Stateenabled. Не забудьте заменить значения заполнителей в примере собственными значениями:

Update-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName1 `
    -State disabled

Чтобы отключить область шифрования с помощью Azure CLI, вызовите команду az storage account encryption-scope update и включите --state параметр со значением Disabled, как показано в следующем примере. Чтобы повторно включить область шифрования, вызовите ту же команду с заданным параметром --stateEnabled. Не забудьте заменить значения заполнителей в примере собственными значениями:

az storage account encryption-scope update \
    --account-name <storage-account> \
    --resource-group <resource-group> \
    --name <encryption-scope> \
    --state Disabled