Configuración de claves administradas por el cliente para el cifrado de Azure Files

✔️ Se aplica a recursos compartidos de archivos clásicos SMB y NFS creados con el proveedor de recursos Microsoft.Storage

✖️ No se aplica a: Recursos compartidos de archivos creados con el proveedor de recursos Microsoft.FileShares (versión preliminar)

Azure cifra todos los datos de una cuenta de almacenamiento en reposo, incluidos los datos de Azure Files, mediante el cifrado AES-256. De forma predeterminada, Microsoft administra las claves de cifrado de una cuenta de almacenamiento. Para obtener más control sobre las claves de cifrado, puede usar claves administradas por el cliente (CMK) en lugar de las claves administradas por Microsoft para proteger y controlar el acceso a la clave que cifra sus datos. En este artículo se explica cómo configurar claves administradas por el cliente para cargas de trabajo de Azure Files.

Al configurar claves administradas por el cliente para una cuenta de almacenamiento, Azure Files los datos de esa cuenta de almacenamiento se cifran automáticamente mediante la clave de cliente. No se requiere ninguna participación por recurso compartido.

Estas instrucciones son para almacenar claves administradas por el cliente en Azure Key Vault. Algunos pasos y comandos para HSM administrado de Azure Key Vault (módulo de seguridad de hardware) pueden variar ligeramente.

Siga estos pasos para configurar claves administradas por el cliente para una cuenta de almacenamiento.

Paso 1: Creación o configuración de un almacén de claves

Para habilitar las claves administradas por el cliente, necesita una cuenta de almacenamiento de Azure junto con una Azure Key Vault con la protección de purga habilitada. Puede usar un almacén de claves existente o crear uno nuevo. La cuenta de almacenamiento y la bóveda de claves pueden ubicarse en diferentes regiones o suscripciones dentro del mismo inquilino de Microsoft Entra. Para escenarios interorganizacionales, consulte Configurar claves administradas por clientes para una cuenta de almacenamiento existente.

Para crear un nuevo almacén de claves mediante el portal de Azure, siga estos pasos:

En el portal de Azure, busque 'almacenes de claves' y seleccione Crear.
Rellene los campos obligatorios (suscripción, grupo de recursos, nombre, región).
En Opciones de recuperación, seleccione Habilitar protección de purga.
Seleccione Revisar y crear y, luego, Crear.

Si desea usar un almacén de claves existente, siga estos pasos:

Vaya al almacén de claves en el Azure Portal.
En el menú servicio, en Configuración, seleccione Propiedades.
En la sección Protección de purga, seleccione Habilitar protección de purga y, a continuación, seleccione Guardar.
Asegúrese de que la eliminación suave esté habilitada en la bóveda de claves. Está habilitado de forma predeterminada para los nuevos almacenes de claves.

Para crear un nuevo almacén de claves con la protección de purga habilitada, ejecute el siguiente cmdlet. Reemplace <key-vault-name>, <resource-group> y <region> con sus propios valores.

New-AzKeyVault `
    -Name <key-vault-name> `
    -ResourceGroupName <resource-group> `
    -Location <region> `
    -EnablePurgeProtection

Para habilitar la protección de purga en un almacén de claves existente, ejecute el siguiente cmdlet. Reemplace <key-vault-name> y <resource-group> con sus propios valores.

Update-AzKeyVault `
    -VaultName <key-vault-name> `
    -ResourceGroupName <resource-group> `
    -EnablePurgeProtection

Para crear un nuevo almacén de claves con protección de purga habilitada, ejecute el siguiente comando. Reemplace <key-vault-name>, <resource-group> y <region> con sus propios valores.

az keyvault create \
    --name <key-vault-name> \
    --resource-group <resource-group> \
    --location <region> \
    --enable-purge-protection true

Para habilitar la protección de purga en un almacén de claves existente, ejecute el siguiente comando. Reemplace <key-vault-name> y <resource-group> con sus propios valores.

az keyvault update \
    --name <key-vault-name> \
    --resource-group <resource-group> \
    --enable-purge-protection true

Asignación del rol de Key Vault Crypto Officer

Para crear y administrar claves en la bóveda de claves, necesita el rol Key Vault Crypto Officer en la bóveda de claves. Puede asignar este rol a sí mismo mediante el portal de Azure, PowerShell o CLI de Azure. Si ya tiene este rol en el Key Vault, puede omitir esta sección y continuar con el paso 2.

Necesita el rol Owner o User Access Administrator de RBAC en el ámbito del almacén de claves para asignar el rol Key Vault Crypto Officer. Si es necesario, póngase en contacto con el administrador.

Para asignar el rol Key Vault Crypto Officer a sí mismo mediante el portal de Azure, siga estos pasos:

Vaya al almacén de claves.
En el menú servicio, seleccione Control de acceso (IAM) .
En Conceder acceso a este recurso seleccione Agregar asignación de rol.
Busque y seleccione Key Vault Crypto Officer y seleccione Next.
En Asignar acceso a, seleccione Usuario, grupo o entidad de servicio.
En Miembros, elija +Seleccionar miembros.
Busque y seleccione su propia cuenta y elija Seleccionar.
Seleccione Revisar y asignar y, después, Revisar y asignar de nuevo.

Para asignar el rol Key Vault Crypto Officer a sí mismo mediante Azure PowerShell, ejecute el siguiente cmdlet. Reemplace <key-vault-name> por su propio valor.

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>
$currentUser = (Get-AzADUser -SignedIn).Id

New-AzRoleAssignment `
    -ObjectId $currentUser `
    -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $keyVault.ResourceId

Para asignar el rol Key Vault Crypto Officer a sí mismo mediante CLI de Azure, ejecute los siguientes comandos. Reemplace <key-vault-name> por su propio valor.

KV_RESOURCE_ID=$(az keyvault show --name <key-vault-name> --query id -o tsv)
CURRENT_USER=$(az ad signed-in-user show --query id -o tsv)

az role assignment create \
    --assignee-object-id $CURRENT_USER \
    --assignee-principal-type User \
    --role "Key Vault Crypto Officer" \
    --scope $KV_RESOURCE_ID

Paso 2: Crear o importar una clave de cifrado

Necesita una clave RSA o RSA-HSM de tamaño 2048, 3072 o 4096. Genere o importe una clave RSA en el almacén de claves. Antes de generar una clave, asegúrese de tener el rol de Key Vault Crypto Officer en el almacén de claves.

Para generar una nueva clave de cifrado RSA mediante el portal de Azure, siga estos pasos.

Vaya al almacén de claves en el Azure Portal.
En el menú de servicio, en Objetos, seleccione Claves.
Seleccione Generar/Importar. En Opciones, seleccione Generar.
Escriba un nombre para la clave. Los nombres de clave solo pueden contener caracteres alfanuméricos y guiones.
Establezca Tipo de clave en RSA y tamaño de clave RSA en 2048 (o 3072/4096).
Selecciona Crear.

Para importar una clave de cifrado RSA existente mediante el portal de Azure, siga estos pasos.

Vaya al almacén de claves en el Azure Portal.
En el menú de servicio, en Objetos, seleccione Claves.
Seleccione Generar/Importar. En Opciones, seleccione Importar.
Seleccione la clave que desea cargar.
Escriba un nombre para la clave. Los nombres de clave solo pueden contener caracteres alfanuméricos y guiones.
Establezca Tipo de clave en RSA.
Selecciona Crear.

Para crear una clave RSA mediante Azure PowerShell, ejecute el siguiente cmdlet. Reemplace <key-vault-name> y <key-name> con sus propios valores. Para -Size, puede especificar 2048, 3072 o 4096.

Add-AzKeyVaultKey `
    -VaultName <key-vault-name> `
    -Name <key-name> `
    -Destination Software `
    -KeyType RSA `
    -Size 2048

Para importar una clave de cifrado RSA existente mediante Azure PowerShell, ejecute el siguiente cmdlet. Reemplace <key-vault-name>, <key-name> y <key-path> con sus propios valores. Si el archivo de clave no tiene una contraseña, omita el -KeyFilePassword parámetro .

Add-AzKeyVaultKey `
    -VaultName <key-vault-name> `
    -Name <key-name> `
    -KeyFilePath <key-path> `
    -KeyFilePassword $password

Para crear una clave RSA mediante CLI de Azure, ejecute el comando siguiente. Reemplace <key-vault-name> y <key-name> con sus propios valores. Para --size, puede especificar 2048, 3072 o 4096.

az keyvault key create \
    --vault-name <key-vault-name> \
    --name <key-name> \
    --kty RSA \
    --size 2048

Para importar una clave de cifrado RSA existente mediante CLI de Azure, ejecute el siguiente comando. Reemplace <key-vault-name>, <key-name> y <key-path> con sus propios valores. Si el archivo de clave no tiene una contraseña, omita el --password parámetro .

az keyvault key import \
    --vault-name <key-vault-name> \
    --name <key-name> \
    --pem-file <key-path> \
    --password <key-password>

Paso 3: Creación de una identidad administrada y asignación de permisos

La cuenta de almacenamiento necesita una identidad administrada para autenticarse en el almacén de claves. Mediante el uso de una identidad administrada, la cuenta de almacenamiento puede acceder de forma segura a la clave de cifrado en el almacén de claves sin almacenar credenciales.

Cree una identidad administrada asignada por el usuario y asigne a esa identidad el rol Key Vault Usuario de cifrado de servicios criptográficos en la bóveda de claves.

Creación de una identidad administrada asignada por el usuario

Cree una identidad administrada asignada por el usuario mediante el portal de Azure, Azure PowerShell o CLI de Azure.

Para crear una identidad administrada asignada por el usuario mediante el portal de Azure, siga estos pasos.

Busque Identidades administradas y seleccione Crear.
Elija una suscripción, un grupo de recursos, una región y un nombre.
Seleccione Revisar y crear y, luego, Crear.

Para crear una identidad administrada asignada por el usuario mediante Azure PowerShell, ejecute el siguiente cmdlet. Reemplace <resource-group>, <identity-name> y <region> con sus propios valores.

New-AzUserAssignedIdentity `
    -ResourceGroupName <resource-group> `
    -Name <identity-name> `
    -Location <region>

Para crear una identidad administrada asignada por el usuario mediante CLI de Azure, ejecute el siguiente comando. Reemplace <resource-group>, <identity-name> y <region> con sus propios valores.

az identity create \
    --name <identity-name> \
    --resource-group <resource-group> \
    --location <region>

Asigna el rol de Usuario de Cifrado del Servicio Criptográfico de Key Vault a la Identidad Administrada

Asigne el rol Key Vault Crypto Service Encryption User a la identidad administrada que creó mediante el portal de Azure, PowerShell o CLI de Azure.

Para asignar el rol Key Vault Crypto Service Encryption User a la identidad administrada mediante el portal de Azure, siga estos pasos:

Vaya al almacén de claves en el Azure Portal.
En el menú servicio, seleccione Control de acceso (IAM) .
En Conceder acceso a este recurso seleccione Agregar asignación de rol.
Busque y seleccione Key Vault Crypto Service Encryption User y seleccione Next.
En Asignar acceso a, seleccione Identidad administrada.
En Miembros, elija +Seleccionar miembros.
Se abre la ventana Seleccionar identidades administradas . En Identidad administrada, seleccione Identidad administrada asignada por el usuario.
Seleccione la identidad administrada que creó y, a continuación, elija Seleccionar.
Seleccione Revisar y asignar y, después, Revisar y asignar de nuevo.

Para asignar el rol Key Vault Crypto Service Encryption User a la identidad administrada asignada por el usuario mediante Azure PowerShell, ejecute el siguiente cmdlet. Reemplace <resource-group>, <identity-name> y <key-vault-name> con sus propios valores.

$identity = Get-AzUserAssignedIdentity `
    -ResourceGroupName <resource-group> `
    -Name <identity-name>

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>

New-AzRoleAssignment `
    -ObjectId $identity.PrincipalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

Para asignar el rol Key Vault Crypto Service Encryption User a la identidad administrada asignada por el usuario mediante CLI de Azure, ejecute los siguientes comandos. Reemplace <resource-group>, <identity-name> y <key-vault-name> con sus propios valores.

# Get the principal ID of the user-assigned managed identity
IDENTITY_PRINCIPAL_ID=$(az identity show \
    --name <identity-name> \
    --resource-group <resource-group> \
    --query principalId -o tsv)

# Get the key vault resource ID
KV_RESOURCE_ID=$(az keyvault show \
    --name <key-vault-name> \
    --query id -o tsv)

# Assign the Key Vault Crypto Service Encryption User role to the user-assigned managed identity
az role assignment create \
    --assignee-object-id $IDENTITY_PRINCIPAL_ID \
    --assignee-principal-type ServicePrincipal \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $KV_RESOURCE_ID

Paso 4: Configuración de claves administradas por el cliente en la cuenta de almacenamiento

Con la bóveda de claves, la clave y la identidad administrada en su lugar, puede habilitar las claves de cliente en la cuenta de almacenamiento.

Siga estos pasos para configurar la cuenta de almacenamiento para usar la clave para el cifrado. El portal de Azure siempre usa la actualización automática de la versión de la clave. Para usar la administración manual de versiones de claves en su lugar, use Azure PowerShell o CLI de Azure y especifique una versión de clave.

Importante

En el caso de las cuentas de almacenamiento asociadas a un perímetro de seguridad de red, el almacén de claves debe estar idealmente en el mismo perímetro de seguridad de red. Si no es así, debe configurar el perfil del perímetro de seguridad de red de la bóveda de claves para permitir que la cuenta de almacenamiento se comunique con ella.

Configuración de claves administradas por el cliente para una cuenta de almacenamiento existente

Puede configurar claves administradas por el cliente en una cuenta de almacenamiento existente mediante el portal de Azure, Azure PowerShell o CLI de Azure.

Para configurar claves administradas por el cliente en una cuenta de almacenamiento existente mediante el portal de Azure, siga estos pasos. El portal usa la actualización automática de la versión de clave de forma predeterminada. No se puede especificar una versión de la clave.

Vaya a la cuenta de almacenamiento.
En el menú servicio, en Seguridad y redes, seleccione Cifrado.
En Tipo de cifrado, seleccione Customer-Managed Claves. Si la cuenta de almacenamiento ya está configurada para CMK, seleccione Cambiar clave.
En Clave de cifrado, seleccione Seleccionar desde el almacén de claves.
Seleccione un almacén de claves y una clave, y a continuación, elija el almacén de claves y la clave.
En Tipo de identidad, elija Asignado por el usuario para usar la identidad administrada asignada por el usuario creada anteriormente.
Busque y seleccione la identidad administrada asignada por el usuario y, a continuación, seleccione Agregar.
Haga clic en Guardar.

Captura de pantalla que muestra la selección de cifrado y la selección de claves para configurar claves administradas por el cliente.

Para configurar claves administradas por el cliente en una cuenta de almacenamiento existente mediante Azure PowerShell con la actualización automática de la versión de clave (recomendada), ejecute el siguiente cmdlet. Reemplace <resource-group>, <identity-name>, <storage-account-name>, <key-vault-name>y <key-name> por sus propios valores.

El siguiente cmdlet usa la identidad administrada asignada por el usuario creada anteriormente. Si quiere usar la identidad del sistema de la cuenta de almacenamiento en su lugar, establezca IdentityType en SystemAssigned y omita $identity, UserAssignedIdentityId, y KeyVaultUserAssignedIdentityId.

$identity = Get-AzUserAssignedIdentity `
    -ResourceGroupName <resource-group> `
    -Name <identity-name>

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>
$key = Get-AzKeyVaultKey -VaultName <key-vault-name> -Name <key-name>

Set-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -IdentityType UserAssigned `
    -UserAssignedIdentityId $identity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVaultEncryption `
    -KeyVaultUserAssignedIdentityId $identity.Id

Para usar la actualización manual de la versión de la clave en lugar de la actualización automática, agregue el -KeyVersion $key.Version parámetro al Set-AzStorageAccount cmdlet .

Para configurar claves administradas por el cliente en una cuenta de almacenamiento existente mediante CLI de Azure con la actualización automática de la versión de clave (recomendada), ejecute los siguientes comandos. Reemplace <resource-group>, <identity-name>, <storage-account-name>, <key-vault-name>y <key-name> por sus propios valores.

El siguiente comando usa la identidad administrada asignada por el usuario creada anteriormente. Si quiere usar en su lugar la identidad del sistema de la cuenta de almacenamiento, establezca --identity-type a SystemAssigned y omita la IDENTITY_RESOURCE_ID variable, --user-identity-id y --key-vault-user-identity-id.

# Using user-assigned managed identity. Omit for system assigned.
IDENTITY_RESOURCE_ID=$(az identity show \
    --name <identity-name> \
    --resource-group <resource-group> \
    --query id -o tsv)

# Get the key vault URI
KEY_VAULT_URI=$(az keyvault show \
    --name <key-vault-name> \
    --query properties.vaultUri -o tsv)

az storage account update \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --encryption-key-vault $KEY_VAULT_URI \
    --encryption-key-name <key-name> \
    --encryption-key-source Microsoft.Keyvault \
    --key-vault-user-identity-id $IDENTITY_RESOURCE_ID \
    --identity-type UserAssigned \
    --user-identity-id $IDENTITY_RESOURCE_ID

Para usar la actualización manual de la versión de la clave en lugar de la actualización automática, agregue --encryption-key-version <key-version> al az storage account update comando .

Configuración de claves administradas por el cliente para una nueva cuenta de almacenamiento

Puede configurar claves administradas por el cliente al crear una cuenta de almacenamiento mediante el portal de Azure, Azure PowerShell o CLI de Azure.

No se puede usar una identidad asignada por el sistema durante la creación de la cuenta de almacenamiento porque la identidad no existe hasta que se crea la cuenta de almacenamiento. Debe usar una identidad administrada asignada por el usuario.

Para configurar claves administradas por el cliente para una nueva cuenta de almacenamiento mediante el portal de Azure, siga estos pasos. El portal usa la actualización automática de la versión de clave de forma predeterminada. No se puede especificar una versión de clave.

En la pestaña Cifrado durante la creación de la cuenta de almacenamiento, seleccione Claves administradas por el cliente (CMK) para Tipo de cifrado.
En Clave de cifrado, elija Seleccionar un almacén de claves y una clave y, a continuación, seleccione el almacén de claves y la clave.
En Identidad asignada por el usuario, elija Seleccionar una identidad. Se abrirán las ventanas Seleccionar identidad administrada asignada por el usuario .
Busque y seleccione la identidad administrada asignada por el usuario creada previamente. Las nuevas cuentas de almacenamiento no pueden usar una identidad administrada asignada por el sistema.
Selecciona Agregar.
Complete las pestañas restantes y seleccione Revisar y crear.

Para crear una nueva cuenta de almacenamiento con claves administradas por el cliente mediante Azure PowerShell, ejecute el siguiente cmdlet. Reemplace <resource-group>, <identity-name>, <storage-account-name>, <key-vault-name>, <key-name>y <region> por sus propios valores. Puede especificar valores diferentes para -Kind y -SkuName si lo desea.

$identity = Get-AzUserAssignedIdentity `
    -ResourceGroupName <resource-group> `
    -Name <identity-name>

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>
$key = Get-AzKeyVaultKey -VaultName <key-vault-name> -Name <key-name>

New-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -Location <region> `
    -SkuName Standard_LRS `
    -Kind StorageV2 `
    -IdentityType UserAssigned `
    -UserAssignedIdentityId $identity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVaultUserAssignedIdentityId $identity.Id

Para usar la actualización manual de la versión de clave en lugar de automática, agregue el -KeyVersion $key.Version parámetro al New-AzStorageAccount cmdlet .

Para crear una cuenta de almacenamiento con claves administradas por el cliente mediante CLI de Azure, ejecute los comandos siguientes. Reemplace <resource-group>, <identity-name>, <storage-account-name>, <key-vault-name>, <key-name>y <region> por sus propios valores. Puede especificar valores diferentes para --kind y --sku si lo desea.

IDENTITY_RESOURCE_ID=$(az identity show \
    --name <identity-name> \
    --resource-group <resource-group> \
    --query id -o tsv)

# Get the key vault URI
KEY_VAULT_URI=$(az keyvault show \
    --name <key-vault-name> \
    --query properties.vaultUri -o tsv)

az storage account create \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --location <region> \
    --sku Standard_LRS \
    --kind StorageV2 \
    --identity-type UserAssigned \
    --user-identity-id $IDENTITY_RESOURCE_ID \
    --encryption-key-vault $KEY_VAULT_URI \
    --encryption-key-name <key-name> \
    --encryption-key-source Microsoft.Keyvault \
    --key-vault-user-identity-id $IDENTITY_RESOURCE_ID

Para usar la actualización manual de la versión de la clave en lugar de automática, agregue --encryption-key-version <key-version> al az storage account create comando .

Paso 5: Comprobar la configuración

Después de habilitar las claves administradas por el cliente, confirme que el cifrado está configurado correctamente en la cuenta de almacenamiento. Puede hacerlo mediante el portal de Azure, Azure PowerShell o CLI de Azure.

Para comprobar la configuración de la cuenta de almacenamiento mediante el portal de Azure, siga estos pasos:

Vaya a su cuenta de almacenamiento en el portal de Azure.
En el menú servicio, en Seguridad y redes, seleccione Cifrado.
Confirme que el tipo de cifrado muestra Claves gestionadas por el cliente.
Compruebe que la información de la selección de clave es correcta.

Para comprobar la configuración de la cuenta de almacenamiento mediante Azure PowerShell, ejecute el siguiente cmdlet. Reemplace <resource-group> y <storage-account-name> con sus propios valores.

$account = Get-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name>

$account.Encryption.KeySource
$account.Encryption.KeyVaultProperties

Confirme que KeySource es Microsoft.Keyvault y que KeyVaultProperties muestra el URI de tu almacén de claves y el nombre de la clave.

Para comprobar la configuración mediante CLI de Azure, ejecute el siguiente comando. Reemplace <resource-group> y <storage-account-name> con sus propios valores.

az storage account show \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --query encryption

Confirme que keySource es Microsoft.Keyvault y que la sección keyVaultProperties muestra su URI del Key Vault y el nombre de clave.

Rotación de claves

La rotación periódica de la clave de cifrado limita la exposición si alguna vez se pone en peligro una clave. Hay dos maneras de rotar el cifrado de una cuenta de almacenamiento que usa claves administradas por el cliente:

Rotación de la versión de la clave : cree una nueva versión de la misma clave en el almacén de claves. El nombre de clave sigue siendo el mismo, pero la versión cambia.
Cambiar la clave: cambie la cuenta de almacenamiento para usar una clave completamente diferente (con un nombre diferente) en el mismo almacén de claves o en otro almacén de claves.

Importante

Azure comprueba la bóveda de claves para una nueva versión de clave solo una vez al día. Después de girar una clave, espere 24 horas antes de deshabilitar la versión anterior de la clave.

Rotar la versión de la clave

Para las mejores prácticas de seguridad, rote la versión de la clave al menos una vez cada dos años.

Rotación automática de versiones de clave (recomendado)

Si configuró claves administradas por el cliente sin especificar una versión de clave (el valor predeterminado al usar el portal de Azure), Azure comprueba automáticamente las nuevas versiones de clave diariamente. Si crea una nueva versión de la clave en el almacén de claves, Azure la recoge en un plazo de 24 horas. También puede configurar rotación automática de claves en Azure Key Vault para generar nuevas versiones de clave según una programación.

Rotación manual de la versión de la clave

Si especificó una versión de clave al configurar claves administradas por el cliente mediante PowerShell o CLI de Azure, Azure usa esa versión específica y no comprueba automáticamente las nuevas versiones. Debe actualizar manualmente la configuración de la cuenta de almacenamiento para que apunte a la nueva versión de la clave.

No se admite la rotación manual de versiones de clave en el portal de Azure. Para rotar manualmente la versión de la clave, use Azure PowerShell o CLI de Azure.

Para rotar manualmente la versión de la clave mediante Azure PowerShell, ejecute el siguiente cmdlet. Reemplace <resource-group>, <storage-account-name>, <key-vault-name> y <key-name> con sus propios valores.

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>
$key = Get-AzKeyVaultKey -VaultName <key-vault-name> -Name <key-name>

Set-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version `
    -KeyVaultEncryption

Para rotar manualmente la versión de la clave mediante CLI de Azure, ejecute los siguientes comandos. Reemplace <storage-account-name>, <resource-group>, <key-vault-name> y <key-name> con sus propios valores.

# Get the key vault URI
KEY_VAULT_URI=$(az keyvault show \
    --name <key-vault-name> \
    --query properties.vaultUri -o tsv)

# Get the latest key version
KEY_VERSION=$(az keyvault key show \
    --vault-name <key-vault-name> \
    --name <key-name> \
    --query key.kid -o tsv | sed -e 's|.*/||')

az storage account update \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --encryption-key-vault $KEY_VAULT_URI \
    --encryption-key-name <key-name> \
    --encryption-key-version $KEY_VERSION \
    --encryption-key-source Microsoft.Keyvault

Cambio de la clave

Para cambiar la cuenta de almacenamiento para que use una clave completamente diferente, cree o importe una nueva clave en el almacén de claves (consulte Creación o importación de una clave de cifrado) y, a continuación, actualice la configuración de cifrado de la cuenta de almacenamiento para usar la nueva clave.

Para cambiar la clave mediante el portal de Azure, siga estos pasos:

Vaya a la cuenta de almacenamiento.
En el menú servicio, en Seguridad y redes, seleccione Cifrado.
Seleccione Cambiar clave.
Seleccione Seleccionar un almacén de claves y una clave y, a continuación, elija el almacén de claves y la nueva clave.
Haga clic en Guardar.

Para cambiar la clave mediante Azure PowerShell, ejecute el siguiente cmdlet. Reemplace <resource-group>, <storage-account-name>, <key-vault-name> y <new-key-name> con sus propios valores. Para usar la actualización automática de la versión de clave (recomendada), omita el -KeyVersion parámetro .

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>
$key = Get-AzKeyVaultKey -VaultName <key-vault-name> -Name <new-key-name>

Set-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVaultEncryption

Para cambiar la clave mediante CLI de Azure, ejecute los siguientes comandos. Reemplace <storage-account-name>, <resource-group>, <key-vault-name> y <new-key-name> con sus propios valores. Para usar la actualización automática de la versión de clave (recomendada), omita el --encryption-key-version parámetro .

# Get the key vault URI
KEY_VAULT_URI=$(az keyvault show \
    --name <key-vault-name> \
    --query properties.vaultUri -o tsv)

az storage account update \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --encryption-key-vault $KEY_VAULT_URI \
    --encryption-key-name <new-key-name> \
    --encryption-key-source Microsoft.Keyvault

Puede bloquear inmediatamente el acceso a los datos cifrados del recurso compartido de archivos deshabilitando o eliminando la clave administrada por el cliente. Mientras la clave está deshabilitada, todas las operaciones del plano de datos de Azure Files producen un error con HTTP 403 (Prohibido), lo que incluye:

Enumerar directorios y archivos
Crear, obtener o establecer directorio o archivo
Obtener o establecer metadatos de archivo
Colocar intervalo, copiar archivo, cambiar nombre de archivo

Para revocar el acceso a los datos del recurso compartido de archivos, deshabilite la clave en el almacén de claves mediante el portal de Azure, Azure PowerShell o CLI de Azure. Vuelva a habilitar la clave para restaurar el acceso.

Para deshabilitar la clave mediante el portal de Azure, siga estos pasos:

Vaya al almacén de claves en el Azure Portal.
En el menú de servicio, en Objetos, seleccione Claves.
Haga clic con el botón derecho en la clave y seleccione Deshabilitar.

Para deshabilitar la clave mediante Azure PowerShell, ejecute el siguiente cmdlet. Reemplace <key-vault-name> y <key-name> con sus propios valores.

Update-AzKeyVaultKey `
    -VaultName <key-vault-name> `
    -Name <key-name> `
    -Enable $false

Para deshabilitar la clave mediante CLI de Azure, ejecute el comando siguiente. Reemplace <key-vault-name> y <key-name> con sus propios valores.

az keyvault key set-attributes \
    --vault-name <key-vault-name> \
    --name <key-name> \
    --enabled false

Volver a las claves administradas por Microsoft

Si ya no necesita claves administradas por el cliente, puede volver a usar claves administradas por Microsoft para el cifrado mediante el portal de Azure, Azure PowerShell o CLI de Azure.

Para volver a las claves administradas por Microsoft mediante el portal de Azure, siga estos pasos:

Vaya a su cuenta de almacenamiento en el portal de Azure.
En el menú servicio, en Seguridad y redes, seleccione Cifrado.
Cambie Tipo de cifrado a Claves gestionadas por Microsoft.
Haga clic en Guardar.

Para volver a las claves gestionadas por Microsoft mediante Azure PowerShell, ejecute el siguiente cmdlet. Reemplace <resource-group> y <storage-account-name> con sus propios valores.

Set-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -StorageEncryption

Para volver a claves administradas por Microsoft usando CLI de Azure, ejecute el siguiente comando. Reemplace <resource-group> y <storage-account-name> con sus propios valores.

az storage account update \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --encryption-key-source Microsoft.Storage

Para obtener más información sobre el cifrado y la administración de claves, consulte los siguientes artículos.

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2026-05-08