Настройте ключи, управляемые клиентом, в том же арендаторе для существующего аккаунта хранения.

О том, как создать хранилище ключей с помощью портала Azure см. в этом кратком руководстве. При создании хранилища ключей выберите Включить защиту от очистки, как показано на следующем рисунке.

Чтобы включить защиту от очистки в существующем хранилище ключей, выполните следующие действия.

1. Откройте хранилище ключей на портале Azure.
2. В разделе Параметры выберите Свойства.
3. В разделе Защита от очистки выберите Включить защиту от очистки.

Чтобы создать новое хранилище ключей с помощью PowerShell, установите модуль PowerShell Az.KeyVault версии 2.0.0 или выше. Затем вызовите New-AzKeyVault, чтобы создать хранилище ключей. В модуле Az.KeyVault версии 2.0.0 и выше обратимое удаление включается по умолчанию при создании хранилища ключей.

В следующем примере создается новое хранилище ключей с включенным мягким удалением и защитой от очистки. Модель разрешений хранилища ключей настроена для использования Azure RBAC. Не забудьте заменить значения заполнителей в скобках собственными значениями.

$rgName = "<resource_group>"
$location = "<location>"
$kvName = "<key-vault>"

$keyVault = New-AzKeyVault -Name $kvName `
    -ResourceGroupName $rgName `
    -Location $location `
    -EnablePurgeProtection `
    -EnableRbacAuthorization

Дополнительные сведения о том, как включить защиту от очистки в существующем хранилище ключей с помощью PowerShell, см. в статье Общие сведения о восстановлении Azure Key Vault.

После создания хранилища ключей вам потребуется назначить роль офицера шифрования Key Vault для себя. Эта роль позволяет создать ключ в хранилище ключей. В следующем примере эта роль назначается пользователю, привязанному к хранилищу ключей.

New-AzRoleAssignment -SignInName "<user-email>" `
    -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $keyVault.ResourceId

Дополнительные сведения о назначении роли RBAC с помощью PowerShell см. в статье "Назначение ролей Azure с помощью Azure PowerShell".

Чтобы создать новое хранилище ключей с помощью Azure CLI, вызовите команду az keyvault create. В следующем примере создается новое хранилище ключей с включенной функцией мягкого удаления и защитой от уничтожения. Модель разрешений хранилища ключей настроена для использования Azure RBAC. Не забудьте заменить значения заполнителей в скобках собственными значениями.

rgName="<resource_group>"
location="<location>"
kvName="<key-vault>"

az keyvault create \
    --name $kvName \
    --resource-group $rgName \
    --location $location \
    --enable-purge-protection \
    --enable-rbac-authorization

Дополнительные сведения о том, как включить защиту от очистки в существующем хранилище ключей с помощью Azure CLI, см. в статье Общие сведения о восстановлении Azure Key Vault.

После создания хранилища ключей вам потребуется назначить себя на роль Key Vault Crypto Officer. Эта роль дает возможность создать ключ в хранилище ключей. В следующем примере эта роль назначается пользователю с областью действия, ограниченной хранилищем ключей.

kvResourceId=$(az keyvault show --resource-group $rgName \
    --name $kvName \
    --query id \
    --output tsv)

az role assignment create --assignee "<user-email>" \
    --role "Key Vault Crypto Officer" \
    --scope $kvResourceId

Дополнительные сведения о назначении роли RBAC с помощью Azure CLI см. в статье "Назначение ролей Azure с помощью Azure CLI".

О том, как добавить ключ с помощью портала Azure, см. в статье Краткое руководство. Настройка и получение ключа из Azure Key Vault с помощью портала Azure.

Чтобы добавить ключ с помощью PowerShell, вызовите команду Add-AzKeyVaultKey. Не забудьте заменить значения заполнителей в скобках собственными значениями и использовать переменные, определенные в предыдущих примерах.

$keyName = "<key-name>"

$key = Add-AzKeyVaultKey -VaultName $keyVault.VaultName `
    -Name $keyName `
    -Destination 'Software'

Чтобы добавить ключ с помощью Azure CLI, вызовите команду az keyvault key create. Не забудьте заменить значения заполнителей в скобках собственными значениями.

keyName="<key-name>"

az keyvault key create \
    --name $keyName \
    --vault-name $kvName

Прежде чем настроить управляемые клиентом ключи с помощью управляемого удостоверения, назначаемого пользователем, необходимо назначить роль пользователь службы шифрования для Key Vault этому управляемому удостоверению, назначенному пользователем, в пределах хранилища ключей. Эта роль предоставляет назначенному пользователем управляемому удостоверению разрешения для доступа к ключу в хранилище ключей. Дополнительные сведения о назначении ролей Azure RBAC с помощью портал Azure см. в статье "Назначение ролей Azure с помощью портал Azure".

При настройке ключей, управляемых клиентом, с помощью портала Azure вы можете выбрать существующее назначаемое пользователем удостоверение через пользовательский интерфейс портала.

В следующем примере показано, как получить управляемое удостоверение, назначаемое пользователем, и назначить ему необходимую роль RBAC, ограниченную хранилищем ключей. Не забудьте заменить значения заполнителей в скобках собственными значениями и использовать переменные, определенные в предыдущих примерах:

$userIdentity = Get-AzUserAssignedIdentity -Name <user-assigned-identity> `
    -ResourceGroupName $rgName

$principalId = $userIdentity.PrincipalId

New-AzRoleAssignment -ObjectId $principalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

В следующем примере показано, как получить управляемое удостоверение, назначаемое пользователем, и назначить ему необходимую роль RBAC, ограниченную хранилищем ключей. Не забудьте заменить значения заполнителей в скобках собственными значениями и использовать переменные, определенные в предыдущих примерах:

identityResourceId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query id \
    --output tsv)

principalId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query principalId \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId \
    --assignee-principal-type ServicePrincipal

Прежде чем настроить управляемые клиентом ключи с помощью системного управляемого удостоверения, необходимо назначить управляемому удостоверению системы роль пользователя шифрования службы криптографии хранилища ключей, охватывающую хранилище ключей. Эта роль предоставляет разрешения на управляемое удостоверение, назначаемое системой, для доступа к ключу в хранилище ключей. Дополнительные сведения о назначении ролей Azure RBAC с помощью портал Azure см. в статье "Назначение ролей Azure с помощью портал Azure".

Когда вы настраиваете ключи, управляемые клиентом, с помощью портала Azure и управляемого удостоверения, назначаемого системой, это удостоверение автоматически назначается вашей учетной записи хранения скрыто от вас.

Чтобы назначить учетной записи хранения системное управляемое удостоверение, сначала вызовите Set-AzStorageAccount:

$accountName = "<storage-account>"

$storageAccount = Set-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -AssignIdentity

Затем назначьте управляемому удостоверению, созданному системой, требуемую роль RBAC в масштабе хранилища ключей. Не забудьте заменить значения заполнителей в скобках собственными значениями и использовать переменные, определенные в предыдущих примерах:

$principalId = $storageAccount.Identity.PrincipalId

New-AzRoleAssignment -ObjectId $storageAccount.Identity.PrincipalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

Чтобы пройти проверку подлинности доступа к хранилищу ключей с помощью управляемого удостоверения, назначаемого системой, сначала назначьте управляемое удостоверение, назначаемое системой, учетной записи хранения, вызвав az storage account update:

accountName="<storage-account>"

az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --assign-identity

Затем назначьте управляемому удостоверению, которое назначается системой, требуемую роль RBAC на уровне хранилища ключей. Не забудьте заменить значения заполнителей в скобках собственными значениями и использовать переменные, определенные в предыдущих примерах:

principalId=$(az storage account show --name $accountName \
    --resource-group $rgName \
    --query identity.principalId \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId

Чтобы настроить управляемые клиентом ключи для существующей учетной записи с автоматическим обновлением версии ключа в портал Azure, выполните следующие действия.

1. Перейдите к учетной записи хранилища.

2. В разделе "Безопасность и сеть" выберите "Шифрование". По умолчанию для управления ключами задано значение "Ключи , управляемые Корпорацией Майкрософт", как показано на рисунке ниже:

   

3. Выберите параметр "Ключи, управляемые клиентом". Если учетная запись ранее была настроена для ключей , управляемых клиентом, с ручным обновлением версии ключа, выберите "Изменить ключ " в нижней части страницы.

4. Выберите опцию Select from Key Vault.

5. Нажмите Выбрать хранилище ключей и ключ.

6. Выберите хранилище ключей, содержащее ключ, который вы хотите использовать. Кроме того, можно создать новое хранилище ключей.

7. Выберите ключ из хранилища ключей. Вы также можете создать новый ключ.

   

8. Выберите тип удостоверений, который будет использоваться для аутентификации доступа к хранилищу ключей. Возможные варианты: Назначаемое системой (по умолчанию) или Назначаемое пользователем. Дополнительные данные о каждом типе управляемых удостоверений см. в статье Тип управляемых удостоверений.

   1. Если выбрано Назначаемое системой, для учетной записи хранения автоматически создается управляемое удостоверение, назначаемое системой, если оно еще не существует.
   2. Если выбрано Назначаемое пользователем, необходимо выбрать существующее удостоверение, назначаемое пользователем, у которого есть разрешения на доступ к хранилищу ключей. Чтобы узнать, как создать удостоверение, назначаемое пользователем, см. статью Администрирование управляемых удостоверений, назначаемых пользователем.

   

9. Сохраните изменения.

После указания ключа портал Azure указывает, что автоматическое обновление версии ключа включено и отображает версию ключа, используемую в настоящее время для шифрования. На портале также отображается тип управляемой идентичности, используемой для авторизации доступа к хранилищу ключей, и идентификатор принципала для управляемой идентичности.

Чтобы с помощью PowerShell настроить ключи под управлением клиента для существующей учетной записи с автоматическим обновлением версии ключа, установите модуль Az.Storage версии 2.0.0 или выше.

Затем вызовите Set-AzStorageAccount , чтобы обновить параметры шифрования учетной записи хранения. KeyvaultEncryption Включите параметр, чтобы включить ключи, управляемые клиентом для учетной записи хранения, и задайте KeyVersion пустую строку, чтобы включить автоматическое обновление версии ключа. Если учетная запись хранения ранее была настроена для ключей, управляемых клиентом, с определенной версией ключа, то установка версии ключа на пустую строку позволяет автоматически обновлять версию ключа.

$accountName = "<storage-account>"

# Use this form of the command with a user-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyvaultEncryption `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion "" `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

# Use this form of the command with a system-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -KeyvaultEncryption `
    -KeyName $key.Name `
    -KeyVersion "" `
    -KeyVaultUri $keyVault.VaultUri

Чтобы настроить ключи, управляемые клиентом, для существующей учетной записи с автоматическим обновлением версии ключа с помощью Azure CLI, установите Azure CLI версии 2.4.0 или выше. Дополнительные сведения см. в статье Установка Azure CLI.

Затем вызовите az storage account update , чтобы обновить параметры шифрования учетной записи хранения. Включите параметр --encryption-key-source и задайте его значение как Microsoft.Keyvault, чтобы включить ключи, управляемые клиентом для учетной записи, и задайте значение encryption-key-version как пустую строку, чтобы включить автоматическое обновление версии ключа. Если учетная запись хранения ранее была настроена для ключей, управляемых клиентом, с определенной версией ключа, то установка версии ключа на пустую строку позволяет автоматически обновлять версию ключа.

accountName="<storage-account>"

keyVaultUri=$(az keyvault show \
    --name $kvName \
    --resource-group $rgName \
    --query properties.vaultUri \
    --output tsv)

# Use this form of the command with a user-assigned managed identity.
az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-name $keyName \
    --encryption-key-version "" \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $keyVaultUri \
    --key-vault-user-identity-id $identityResourceId

# Use this form of the command with a system-assigned managed identity.
az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --encryption-key-name $keyName \
    --encryption-key-version "" \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $keyVaultUri

Чтобы настроить ручное обновление версий ключей, управляемых клиентом, с помощью портала Azure, укажите URI ключа, включая версию. Чтобы указать ключ с помощью URI, выполните следующие действия.

1. Чтобы найти URI ключа на портале Azure, перейдите в хранилище ключей и выберите параметр Ключи. Выберите нужный ключ, затем выберите его, чтобы просмотреть его версии. Выберите версию ключа для просмотра ее параметров.

2. Скопируйте значение поля Идентификатор ключа, которое предоставляет универсальный код ресурса (URI).

   

3. В параметрах раздела Ключ шифрования для учетной записи хранения нажмите Введите URI ключа.

4. Вставьте скопированный URI в поле URI ключа. Не указывайте версию ключа в URI, чтобы включилось автоматическое обновление версии ключа.

   

5. Укажите подписку, которая содержит хранилище ключей.

6. Укажите управляемую учетную запись, назначаемую системой или пользователем.

7. Сохраните изменения.

Чтобы настроить ручное обновление версий ключей, управляемых клиентом, явно укажите версию ключа при настройке шифрования для учетной записи хранения. Вызовите команду Set-AzStorageAccount, чтобы обновить параметры шифрования учетной записи хранения, как показано в следующем примере, и укажите параметр -KeyvaultEncryption, чтобы включить ключи, управляемые клиентом, для учетной записи хранения.

Не забудьте заменить значения заполнителей в скобках собственными значениями и использовать переменные, определенные в предыдущих примерах.

$accountName = "<storage-account>"

# Use this form of the command with a user-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyvaultEncryption `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

# Use this form of the command with a system-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -KeyvaultEncryption `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version

При обновлении версии ключа вручную необходимо обновить параметры шифрования учетной записи хранения, чтобы использовать новую версию. Сначала вызовите команду Get-AzKeyVaultKey, чтобы получить последнюю версию ключа. Затем вызовите команду Set-AzStorageAccount, чтобы обновить параметры шифрования учетной записи хранения для использования новой версии ключа, как показано в предыдущем примере.

Чтобы настроить ручное обновление версий ключей, управляемых клиентом, явно укажите версию ключа при настройке шифрования для учетной записи хранения. Вызовите команду az storage account update, чтобы обновить параметры шифрования учетной записи хранения, как показано в следующем примере. Добавьте параметр --encryption-key-source и присвойте ему значение Microsoft.Keyvault, чтобы включить ключи, управляемые клиентом, для учетной записи.

Не забудьте заменить значения заполнителей в скобках собственными значениями.

accountName="<storage-account>"

keyVaultUri=$(az keyvault show \
    --name $kvName \
    --resource-group $rgName \
    --query properties.vaultUri \
    --output tsv)

keyVersion=$(az keyvault key list-versions \
    --name $keyName \
    --vault-name $kvName \
    --query [-1].kid \
    --output tsv | cut -d '/' -f 6)

# Use this form of the command with a user-assigned managed identity
az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-name $keyName \
    --encryption-key-version $keyVersion \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $keyVaultUri \
    --key-vault-user-identity-id $identityResourceId

# Use this form of the command with a system-assigned managed identity
az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --encryption-key-name $keyName \
    --encryption-key-version $keyVersion \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $keyVaultUri

При обновлении версии ключа вручную необходимо обновить параметры шифрования учетной записи хранения, чтобы использовать новую версию. Сначала запросите универсальный код ресурса (URI) хранилища ключей, вызвав команду az keyvault show, а для версии ключа выполните команду az keyvault key list-versions. Затем вызовите команду az storage account update, чтобы обновить параметры шифрования учетной записи хранения для использования новой версии ключа, как показано в предыдущем примере.

Чтобы изменить ключ с помощью портала Azure, выполните следующие действия:

1. Перейдите к своей учетной записи хранения и откройте раздел параметров Шифрование.
2. Выберите хранилище ключей, а затем — новый ключ.
3. Сохраните изменения.

Чтобы изменить ключ с помощью PowerShell, вызовите команду Set-AzStorageAccount и укажите имя и версию нового ключа. Если новый ключ находится в другом хранилище ключей, необходимо также обновить URI хранилища ключей.

Чтобы изменить ключ с помощью Azure CLI, вызовите команду az storage account update, а также укажите имя и версию нового ключа. Если новый ключ находится в другом хранилище ключей, необходимо также обновить URI хранилища ключей.

Чтобы отключить управляемый клиентом ключ с помощью портал Azure, выполните следующие действия.

1. Перейдите в хранилище ключей, содержащее ключ.

2. В разделе "Объекты" выберите "Ключи".

3. Щелкните правой кнопкой мыши ключ и выберите "Отключить".

   

Чтобы отозвать управляемый клиентом ключ с помощью PowerShell, вызовите команду Update-AzKeyVaultKey , как показано в следующем примере. Не забудьте заменить значения заполнителей в квадратных скобках собственными значениями, чтобы определить переменные или использовать переменные, определенные в предыдущих примерах.

$kvName  = "<key-vault-name>"
$keyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it

# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $keyName -VaultName $kvName

# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $kvName -Name $keyName -Enable $enabled

Чтобы отозвать управляемый клиентом ключ с помощью Azure CLI, вызовите команду az keyvault key set-attributes , как показано в следующем примере. Не забудьте заменить значения заполнителей в квадратных скобках собственными значениями, чтобы определить переменные или использовать переменные, определенные в предыдущих примерах.

kvName="<key-vault-name>"
keyName="<key-name>"
enabled="false"
# "false" to disable the key / "true" to enable it:

# Check the current state of the key (before and after enabling/disabling it)
az keyvault key show \
    --vault-name $kvName \
    --name $keyName

# Disable (or enable) the key
az keyvault key set-attributes \
    --vault-name $kvName \
    --name $keyName \
    --enabled $enabled

Чтобы перейти с ключей, управляемых клиентом, обратно в управляемые корпорацией Майкрософт ключи в портал Azure, выполните следующие действия.

1. Перейдите к учетной записи хранилища.

2. В разделе "Безопасность и сеть" выберите "Шифрование".

3. Измените тип шифрования на ключи, управляемые корпорацией Майкрософт.

   

Чтобы переключиться с управляемых клиентом ключей обратно на ключи, управляемые корпорацией Майкрософт, с помощью PowerShell вызовите Set-AzStorageAccount с -StorageEncryption параметром, как показано в следующем примере. Не забудьте заменить значения заполнителей в скобках собственными значениями и использовать переменные, определенные в предыдущих примерах.

Set-AzStorageAccount -ResourceGroupName $storageAccount.ResourceGroupName `
    -AccountName $storageAccount.StorageAccountName `
    -StorageEncryption  

Чтобы переключиться с ключей, управляемых клиентом, на ключи, управляемые корпорацией Майкрософт, с помощью Azure CLI, вызовите az storage account update и задайте значение --encryption-key-source parameterMicrosoft.Storage, как показано в следующем примере. Не забудьте заменить значения заполнителей в скобках собственными значениями и использовать переменные, определенные в предыдущих примерах.

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-source Microsoft.Storage