Командлет Set-AzStorageAccount изменяет учетную запись хранения Azure.
Этот командлет можно использовать для изменения типа учетной записи, обновления домена заказчика или настройки тегов в учетной записи хранения.
Команда задает личный домен и теги для учетной записи хранения.
Пример 5. Установка ключа шифрования KeySource в Keyvault
Set-AzStorageAccount -ResourceGroupName "MyResourceGroup" -Name "mystorageaccount" -AssignIdentity
$account = Get-AzStorageAccount -ResourceGroupName "MyResourceGroup" -Name "mystorageaccount"
$keyVault = New-AzKeyVault -VaultName "MyKeyVault" -ResourceGroupName "MyResourceGroup" -Location "EastUS2"
$key = Add-AzKeyVaultKey -VaultName "MyKeyVault" -Name "MyKey" -Destination 'Software'
Set-AzKeyVaultAccessPolicy -VaultName "MyKeyVault" -ObjectId $account.Identity.PrincipalId -PermissionsToKeys wrapkey,unwrapkey,get
# In case to enable key auto rotation, don't set KeyVersion
Set-AzStorageAccount -ResourceGroupName "MyResourceGroup" -Name "mystorageaccount" -KeyvaultEncryption -KeyName $key.Name -KeyVersion $key.Version -KeyVaultUri $keyVault.VaultUri
# In case to enable key auto rotation after set keyvault properties with KeyVersion, can update account by set KeyVersion to empty
Set-AzStorageAccount -ResourceGroupName "MyResourceGroup" -Name "mystorageaccount" -KeyvaultEncryption -KeyName $key.Name -KeyVersion "" -KeyVaultUri $keyVault.VaultUri
Эта команда устанавливает шифрование KeySource с новым созданным ключом Keyvault.
Если вы хотите включить автоматическое поворот ключа, не устанавливайте параметр keyversion при первом настройке свойств Keyvault или очистите его, установив свойства keyvault снова с помощью функции keyversion как пустой.
Пример 6. Задайте для параметра Encryption KeySource значение "Microsoft.Storage".
Команда обновляет учетную запись хранения с типом "Хранилище" или "BLOBStorage" до типа "StorageV2".
Пример 10. Обновление учетной записи хранения путем включения проверки подлинности доменных служб Microsoft Entra Файлов Azure и задания DefaultSharePermission.
Команда обновляет учетную запись хранения, включив проверку подлинности доменных служб Microsoft Entra Files Microsoft.
Пример 11. Обновление учетной записи хранения путем включения проверки подлинности доменной службы Active Directory Файлов и отображения параметра проверки подлинности на основе удостоверений файлов
Команда обновляет учетную запись хранения, включив проверку подлинности доменной службы Azure Active Directory, а затем отобразится параметр проверки подлинности на основе удостоверений файлов
Пример 12. Установка MinimumTlsVersion, AllowBlobPublicAccess и AllowSharedKeyAccess
Эта команда обновляет учетную запись хранения с параметром RoutingPreference: PublishMicrosoftEndpoint как false, PublishInternetEndpoint как true, и RoutingChoice как MicrosoftRouting.
Пример 14. Обновление учетной записи хранения с помощью KeyExpirationPeriod и SasExpirationPeriod с помощью SasExpirationAction
Эта команда обновляет учетную запись хранения с помощью KeyExpirationPeriod и SasExpirationPeriod с sasExpirationAction, а затем отображает обновленные свойства, связанные с учетной записью.
Пример 15. Обновление учетной записи хранения до шифрования Keyvault и доступ к Keyvault с назначенным пользователем удостоверением
# Create KeyVault (no need if using exist keyvault)
$keyVault = New-AzKeyVault -VaultName $keyvaultName -ResourceGroupName $resourceGroupName -Location eastus2euap -EnablePurgeProtection
$key = Add-AzKeyVaultKey -VaultName $keyvaultName -Name $keyname -Destination 'Software'
# create user assigned identity and grant access to keyvault (no need if using exist user assigned identity)
$userId = New-AzUserAssignedIdentity -ResourceGroupName $resourceGroupName -Name $userIdName
Set-AzKeyVaultAccessPolicy -VaultName $keyvaultName -ResourceGroupName $resourceGroupName -ObjectId $userId.PrincipalId -PermissionsToKeys get,wrapkey,unwrapkey -BypassObjectIdValidation
$useridentityId= $userId.Id
# Update Storage account with Keyvault encryption and access Keyvault with user assigned identity, then show properties
$account = Set-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName `
-IdentityType UserAssigned -UserAssignedIdentityId $useridentityId `
-KeyVaultUri $keyVault.VaultUri -KeyName $keyname -KeyVaultUserAssignedIdentityId $useridentityId
$account.Encryption.EncryptionIdentity.EncryptionUserAssignedIdentity
/subscriptions/{subscription-id}/resourceGroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myuserid
$account.Encryption.KeyVaultProperties
KeyName : wrappingKey
KeyVersion :
KeyVaultUri : https://mykeyvault.vault.azure.net:443
CurrentVersionedKeyIdentifier : https://mykeyvault.vault.azure.net/keys/wrappingKey/8e74036e0d534e58b3bd84b319e31d8f
LastKeyRotationTimestamp : 4/12/2021 8:17:57 AM
Эта команда сначала создает ключи и назначаемое пользователем удостоверение, а затем обновляет учетную запись хранения с шифрованием keyvault, ключ доступа к хранилищу с назначенным пользователем удостоверением.
Пример 16. Обновление зашифрованной учетной записи хранения Keyvault из доступа Keyvault с назначенным пользователем удостоверением для доступа к Keyvault с назначенным системой удостоверением
# Assign System identity to the account, and give the system assigned identity access to the keyvault
$account = Set-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName -IdentityType SystemAssignedUserAssigned
Set-AzKeyVaultAccessPolicy -VaultName $keyvaultName -ResourceGroupName $resourceGroupName -ObjectId $account.Identity.PrincipalId -PermissionsToKeys get,wrapkey,unwrapkey -BypassObjectIdValidation
# Update account from access Keyvault with user assigned identity to access Keyvault with system assigned identity
$account = Set-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName -IdentityType SystemAssignedUserAssigned -KeyName $keyname -KeyVaultUri $keyvaultUri -KeyVaultUserAssignedIdentityId ""
# EncryptionUserAssignedIdentity is empty, so the account access keyvault with system assigned identity
$account.Encryption.EncryptionIdentity
EncryptionUserAssignedIdentity
------------------------------
$account.Encryption.KeyVaultProperties
KeyName : wrappingKey
KeyVersion :
KeyVaultUri : https://mykeyvault.vault.azure.net:443
CurrentVersionedKeyIdentifier : https://mykeyvault.vault.azure.net/keys/wrappingKey/8e74036e0d534e58b3bd84b319e31d8f
LastKeyRotationTimestamp : 4/12/2021 8:17:57 AM
Эта команда сначала назначает системное удостоверение учетной записи и предоставляет системе доступ к ключу, назначенному системой; Затем обновляет учетную запись хранения, чтобы получить доступ к Keyvault с назначенным системой удостоверением.
Пример 17. Обновление keyvault и назначаемого пользователем удостоверения для доступа к keyvault
# Update to another user assigned identity
$account = Set-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName -IdentityType SystemAssignedUserAssigned -UserAssignedIdentityId $useridentity2 -KeyVaultUserAssignedIdentityId $useridentity2
# Update to encrypt with another keyvault
$account = Set-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName -KeyVaultUri $keyvaultUri2 -KeyName $keyname2 -KeyVersion $keyversion2
Эта команда сначала обновите удостоверение, назначенное пользователем, для доступа к keyvault, а затем обновите keyvault для шифрования.
Чтобы обновить как Keyvault, так и назначаемое пользователем удостоверение, необходимо обновить с помощью описанных выше 2 шагов.
Пример 18. Обновление учетной записи хранения с помощью AllowCrossTenantReplication
Эта команда обновляет учетную запись хранения, задав allowCrossTenantReplication значение false, а затем отображает обновленные свойства, связанные с учетной записью.
Пример 18. Обновление учетной записи хранения путем включения PublicNetworkAccess
Команда обновляет свойства политики неизменяемости на уровне учетной записи хранения и отображает результат.
Учетная запись хранения должна быть создана с включением неизменяемости уровня учетной записи с помощью управления версиями.
Политика неизменяемости на уровне учетной записи наследуется и применяется к объектам, которые не обладают явной политикой неизменяемости на уровне объекта.
Пример 20. Обновление учетной записи хранения путем включения Sftp и localuser
Эта команда обновляет учетную запись хранения, включив Sftp и localuser.
Чтобы выполнить команду успешно, учетная запись хранения уже должна включить иерархическое пространство имен.
Пример 21. Обновление учетной записи хранения с помощью Keyvault из другого клиента (доступ к Keyvault с помощью FederatedClientId)
Эта команда обновляет учетную запись хранения с помощью Keyvault из другого клиента (доступ к Keyvault с помощью FederatedClientId).
Параметры
-AccessTier
Указывает уровень доступа учетной записи хранения, которая изменяет этот командлет.
Допустимыми значениями этого параметра являются горячие и холодные.
Если изменить уровень доступа, это может привести к дополнительным расходам. Дополнительные сведения см. в статье хранилище BLOB-объектов Azure: горячие и холодные уровни хранилища.
Если учетная запись хранения имеет тип StorageV2 или BlobStorage, можно указать параметр AccessTier.
Если учетная запись хранения имеет тип хранилища, не указывайте параметр AccessTier.
Указывает идентификатор безопасности (SID) для службы хранилища Azure. Этот параметр должен быть задан, если для -EnableActiveDirectoryDomainServicesForFile задано значение true.
Указывает основной домен, для которому является DNS-сервер AD. Этот параметр должен быть задан, если для -EnableActiveDirectoryDomainServicesForFile задано значение true.
Указывает идентификатор безопасности (SID). Этот параметр должен быть задан, если для -EnableActiveDirectoryDomainServicesForFile задано значение true.
Указывает лес Active Directory для получения. Этот параметр должен быть задан, если для -EnableActiveDirectoryDomainServicesForFile задано значение true.
Возвращает или задает разрешение или запретить репликацию объектов клиента Microsoft Entra. Интерпретация по умолчанию имеет значение true для этого свойства.
Установите ограничение копирования на учетные записи хранения в клиенте Microsoft Entra или с помощью приватных ссылок на ту же виртуальную сеть. Возможные значения: PrivateLink, AAD
Указывает, разрешает ли учетная запись хранения авторизовать запросы с помощью ключа доступа к учетной записи с помощью общего ключа. Если значение false, то все запросы, включая подписанные URL-адреса, должны быть авторизованы с помощью идентификатора Microsoft Entra. Значение по умолчанию равно NULL, которое эквивалентно true.
Создайте и назначьте новое удостоверение учетной записи хранения для этой учетной записи хранения для использования с службами управления ключами, такими как Azure KeyVault.
Указывает, может ли учетная запись хранения поддерживать большие общие папки с более чем 5 тиБ емкости.
После включения учетной записи функция не может быть отключена.
В настоящее время поддерживается только для типов репликации LRS и ZRS, поэтому преобразование учетных записей в геоизбыточные учетные записи невозможно.
Дополнительные сведения см. по адресу https://go.microsoft.com/fwlink/?linkid=2086047.
Задайте новый тип удостоверения учетной записи хранения, удостоверение предназначено для использования со службами управления ключами, такими как Azure KeyVault.
Период неизменяемости больших двоичных объектов в контейнере с момента создания политики в днях.
Это свойство можно изменить только при создании учетной записи с параметром -EnableAccountLevelImmutability.
Режим политики. Возможные значения включают: "Разблокировано", "Заблокировано", "Отключено".
Отключенное состояние отключает политику.
Разблокируемое состояние позволяет увеличивать и уменьшать время хранения неизменяемости, а также позволяет переключать свойство allowProtectedAppendWrites.
Заблокированное состояние позволяет увеличить время хранения неизменяемости.
Политика может быть создана только в отключенном или разблокированного состоянии и может быть переключается между двумя состояниями. Только политика в разблокированном состоянии может переходить в заблокированное состояние, которое невозможно отменить.
Это свойство можно изменить только при создании учетной записи с параметром -EnableAccountLevelImmutability.
Указывает, следует ли использовать Microsoft KeyVault для ключей шифрования при использовании шифрования службы хранилища.
Если задано значение KeyName, KeyVersion и KeyVaultUri, KeySource будет иметь значение Microsoft.Keyvault, задано ли этот параметр.
Задайте ClientId мультитенантного приложения, которое будет использоваться вместе с удостоверением, назначенным пользователем, для шифрования на стороне сервера на стороне клиента между клиентами и ключами на стороне сервера в учетной записи хранения.
При использовании шифрования Key Vault, указав параметр -KeyvaultEncryption, используйте этот параметр, чтобы указать универсальный код ресурса (URI) в Key Vault.
Задайте идентификатор ресурса для назначаемого пользователем удостоверения, используемого для доступа к Azure KeyVault шифрования учетной записи хранения, идентификатор должен находиться в идентификаторе userAssignIdentityIdentityId.
При использовании шифрования Key Vault, указав параметр -KeyvaultEncryption, используйте этот параметр, чтобы указать универсальный код ресурса (URI) для версии ключа.
NetworkRuleSet используется для определения набора правил конфигурации для брандмауэров и виртуальных сетей, а также для задания значений сетевых свойств, таких как службы, разрешенные для обхода правил и обработки запросов, которые не соответствуют определенным правилам.
Действие, выполняеме при нарушении SasExpirationPeriod. Действие "Журнал" можно использовать для аудита, а действие "Блокировать" можно использовать для блокировки и запрета использования маркеров SAS, которые не соответствуют сроку действия политики SAS.
Задает имя SKU учетной записи хранения.
Допустимые значения для этого параметра:
Standard_LRS — локально избыточное хранилище.
Standard_ZRS — хранилище, избыточное между зонами.
Standard_GRS — геоизбыточное хранилище.
Standard_RAGRS — геоизбыточное хранилище для чтения.
Premium_LRS — локально избыточное хранилище класса Premium.
Standard_GZRS — геоизбыточное хранилище, избыточное между зонами.
Standard_RAGZRS — геоизбыточное хранилище с геоизбыточными зонами для чтения.
StandardV2_LRS — локально избыточное хранилище для подготовки файлов версии 2.
StandardV2_GRS — геоизбыточное хранилище для подготовки файлов версии 2.
StandardV2_ZRS — хранилище, избыточное между зонами для подготовки файлов версии 2.
StandardV2_GZRS — геоизбыточное хранилище, избыточное между зонами для подготовки файлов версии 2.
PremiumV2_LRS — локально избыточное хранилище класса Premium для подготовки файлов версии 2.
PremiumV2_ZRS — хранилище, избыточное между зонами уровня "Премиум" для подготовки файлов версии 2.
Изменить Standard_ZRS и типы Premium_LRS на другие типы учетных записей нельзя.
Вы не можете изменить другие типы учетных записей на Standard_ZRS или Premium_LRS.
Задайте идентификаторы ресурсов для нового назначаемого пользователем учетной записи хранения удостоверения, удостоверение будет использоваться со службами управления ключами, такими как Azure KeyVault.
Этот командлет поддерживает общие параметры: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutBuffer, -OutVariable, -PipelineVariable, -ProgressAction, -Verbose, -WarningAction и -WarningVariable. Дополнительные сведения см. в разделе about_CommonParameters.
Источник этого содержимого можно найти на GitHub, где также можно создавать и просматривать проблемы и запросы на вытягивание. Дополнительные сведения см. в нашем руководстве для участников.
