Konfigurera kundhanterade nycklar för Azure Files kryptering

✔️ Gäller för: Klassiska SMB- och NFS-filresurser som skapats med Microsoft.Storage-resursleverantören

Det gäller inte för: Fildelningar som skapats med Microsoft.FileShares-resursleverantör (förhandsversion)

Azure krypterar alla data i ett vilande lagringskonto, inklusive Azure Files data, med hjälp av AES-256-kryptering. Som standard hanterar Microsoft krypteringsnycklarna för ett lagringskonto. Om du vill ha mer kontroll över krypteringsnycklar kan du använda anpassade hanterade nycklar (CMK) i stället för Microsoft hanterade nycklar för att skydda och kontrollera åtkomsten till krypteringsnyckeln som krypterar dina data. Den här artikeln beskriver hur du konfigurerar kundhanterade nycklar för Azure Files arbetsbelastningar.

När du konfigurerar kundhanterade nycklar för ett lagringskonto krypteras Azure Files data i lagringskontot automatiskt med hjälp av kundnyckeln. Ingen anmälning per aktie krävs.

De här anvisningarna används för att lagra kundhanterade nycklar i Azure Key Vault. Vissa steg och kommandon för Azure Key Vault Managed HSM (Maskinvarusäkerhetsmodul) kan vara något annorlunda.

Följ de här stegen för att konfigurera kundhanterade nycklar för ett lagringskonto.

Steg 1: Skapa eller konfigurera ett nyckelvalv

För att aktivera kundhanterade nycklar behöver du ett Azure lagringskonto tillsammans med en Azure Key Vault med rensningsskydd aktiverat. Du kan använda ett befintligt nyckelvalv eller skapa ett nytt. Lagringskontot och nyckelvalvet kan finnas i olika regioner eller prenumerationer inom samma Microsoft Entra klientorganisation. För scenarier mellan klientorganisationer, se Konfigurera kundhanterade nycklar mellan klientorganisationer för ett befintligt lagringskonto.

Följ dessa steg för att skapa ett nytt nyckelvalv med hjälp av Azure-portalen:

I Azure-portalen söker du efter Key-valv och väljer Skapa.
Fyll i de obligatoriska fälten (prenumeration, resursgrupp, namn, region).
Under Återställningsalternativ väljer du Aktivera rensningsskydd.
Välj Granska + skapaoch välj sedan Skapa.

Följ dessa steg om du vill använda ett befintligt nyckelvalv:

Gå till ditt nyckelvalv i Azure-portalen.
På tjänstmenyn går du till Inställningar och väljer Egenskaper.
I avsnittet Rensa skydd väljer du Aktivera rensningsskydd och sedan Spara.
Se till att mjuk borttagning är aktiverad i ditt nyckelvalv. Det är aktiverat som standard för nya nyckelvalv.

Kör följande cmdlet för att skapa ett nytt nyckelvalv med rensningsskydd aktiverat. Ersätt <key-vault-name>, <resource-group> och <region> med dina egna värden.

New-AzKeyVault `
    -Name <key-vault-name> `
    -ResourceGroupName <resource-group> `
    -Location <region> `
    -EnablePurgeProtection

Om du vill aktivera rensningsskydd i ett befintligt nyckelvalv kör du följande cmdlet. Ersätt <key-vault-name> och <resource-group> med dina egna värden.

Update-AzKeyVault `
    -VaultName <key-vault-name> `
    -ResourceGroupName <resource-group> `
    -EnablePurgeProtection

Kör följande kommando för att skapa ett nytt nyckelvalv med rensningsskydd aktiverat. Ersätt <key-vault-name>, <resource-group> och <region> med dina egna värden.

az keyvault create \
    --name <key-vault-name> \
    --resource-group <resource-group> \
    --location <region> \
    --enable-purge-protection true

Om du vill aktivera rensningsskydd i ett befintligt nyckelvalv kör du följande kommando. Ersätt <key-vault-name> och <resource-group> med dina egna värden.

az keyvault update \
    --name <key-vault-name> \
    --resource-group <resource-group> \
    --enable-purge-protection true

Tilldela rollen Key Vault Crypto Officer

Om du vill skapa och hantera nycklar i key vault behöver du rollen Key Vault Crypto Officer på key vault. Du kan tilldela den här rollen till dig själv med hjälp av Azure-portalen, PowerShell eller Azure CLI. Om du redan har den här rollen på Key Vault kan du hoppa över det här avsnittet och gå vidare till steg 2.

Du behöver rollen Owner eller User Access Administrator RBAC i nyckelvalvets omfång för att tilldela rollen Key Vault Crypto Officer. Kontakta administratören om det behövs.

Så här tilldelar du rollen Key Vault Crypto Officer med hjälp av Azure portalen:

Gå till ditt nyckelvalv.
Välj Åtkomstkontroll (IAM) på tjänstmenyn.
Under rubriken Bevilja åtkomst till den här resursen väljer du Lägg till rolltilldelning.
Sök efter och välj Key Vault Crypto Officer och välj sedan Nästa.
Under Tilldela åtkomst till väljer du Användare, grupp eller tjänstens huvudnamn.
Under Medlemmar väljer du +Välj medlemmar.
Sök efter och välj ditt eget konto och välj sedan Välj.
Välj Granska + tilldela och sedan Granska + tilldela igen.

Kör följande cmdlet för att tilldela rollen Key Vault Crypto Officer till dig själv med hjälp av Azure PowerShell. Ersätt <key-vault-name> med ditt eget värde.

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>
$currentUser = (Get-AzADUser -SignedIn).Id

New-AzRoleAssignment `
    -ObjectId $currentUser `
    -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $keyVault.ResourceId

Kör följande kommandon för att tilldela rollen Key Vault Crypto Officer till dig själv med hjälp av Azure CLI. Ersätt <key-vault-name> med ditt eget värde.

KV_RESOURCE_ID=$(az keyvault show --name <key-vault-name> --query id -o tsv)
CURRENT_USER=$(az ad signed-in-user show --query id -o tsv)

az role assignment create \
    --assignee-object-id $CURRENT_USER \
    --assignee-principal-type User \
    --role "Key Vault Crypto Officer" \
    --scope $KV_RESOURCE_ID

Steg 2: Skapa eller importera en krypteringsnyckel

Du behöver en RSA- eller RSA-HSM nyckel med storlek 2048, 3072 eller 4096. Generera eller importera en RSA-nyckel i ditt nyckelvalv. Innan du genererar en nyckel kontrollerar du att du har rollen Key Vault Crypto Officer på key vault.

Följ dessa steg om du vill generera en ny RSA-krypteringsnyckel med hjälp av Azure portalen.

Gå till ditt nyckelvalv i Azure-portalen.
På tjänstmenyn går du till Objekt och väljer Nycklar.
Välj Generera/Importera. Under Alternativ väljer du Generera.
Ange ett namn för nyckeln. Nyckelnamn kan bara innehålla alfanumeriska tecken och bindestreck.
Ange Nyckeltyp till RSA - och RSA-nyckelstorlek till 2048 (eller 3072/4096).
Välj Skapa.

Följ dessa steg om du vill importera en befintlig RSA-krypteringsnyckel med hjälp av Azure-portalen.

Gå till ditt nyckelvalv i Azure-portalen.
På tjänstmenyn går du till Objekt och väljer Nycklar.
Välj Generera/Importera. Under Alternativ väljer du Importera.
Välj din nyckel som ska laddas upp.
Ange ett namn för nyckeln. Nyckelnamn kan bara innehålla alfanumeriska tecken och bindestreck.
Ange Nyckeltyp till RSA.
Välj Skapa.

Om du vill skapa en RSA-nyckel med hjälp av Azure PowerShell kör du följande cmdlet. Ersätt <key-vault-name> och <key-name> med dina egna värden. För -Sizekan du ange 2048, 3072 eller 4096.

Add-AzKeyVaultKey `
    -VaultName <key-vault-name> `
    -Name <key-name> `
    -Destination Software `
    -KeyType RSA `
    -Size 2048

Om du vill importera en befintlig RSA-krypteringsnyckel med hjälp av Azure PowerShell kör du följande cmdlet. Ersätt <key-vault-name>, <key-name> och <key-path> med dina egna värden. Om nyckelfilen inte har något lösenord utelämnar du parametern -KeyFilePassword .

Add-AzKeyVaultKey `
    -VaultName <key-vault-name> `
    -Name <key-name> `
    -KeyFilePath <key-path> `
    -KeyFilePassword $password

Kör följande kommando för att skapa en RSA-nyckel med hjälp av Azure CLI. Ersätt <key-vault-name> och <key-name> med dina egna värden. För --sizekan du ange 2048, 3072 eller 4096.

az keyvault key create \
    --vault-name <key-vault-name> \
    --name <key-name> \
    --kty RSA \
    --size 2048

Om du vill importera en befintlig RSA-krypteringsnyckel med hjälp av Azure CLI kör du följande kommando. Ersätt <key-vault-name>, <key-name> och <key-path> med dina egna värden. Om nyckelfilen inte har något lösenord utelämnar du parametern --password .

az keyvault key import \
    --vault-name <key-vault-name> \
    --name <key-name> \
    --pem-file <key-path> \
    --password <key-password>

Steg 3: Skapa en hanterad identitet och tilldela behörigheter

Lagringskontot behöver en hanterad identitet för att autentisera till nyckelvalvet. Genom att använda en hanterad identitet kan lagringskontot på ett säkert sätt komma åt krypteringsnyckeln i nyckelvalvet utan att lagra autentiseringsuppgifter.

Skapa en användartilldelad hanterad identitet och ge den identiteten rollen Key Vault Crypto Service Encryption User på Key Vault.

Skapa en användartilldelad hanterad identitet

Skapa en användartilldelad hanterad identitet med hjälp av Azure-portalen, Azure PowerShell eller Azure CLI.

Följ dessa steg för att skapa en användartilldelad hanterad identitet med hjälp av Azure portalen.

Sök efter hanterade identiteter och välj Skapa.
Välj en prenumeration, resursgrupp, region och namn.
Välj Granska + skapaoch välj sedan Skapa.

Om du vill skapa en användartilldelad hanterad identitet med hjälp av Azure PowerShell kör du följande cmdlet. Ersätt <resource-group>, <identity-name> och <region> med dina egna värden.

New-AzUserAssignedIdentity `
    -ResourceGroupName <resource-group> `
    -Name <identity-name> `
    -Location <region>

Kör följande kommando för att skapa en användartilldelad hanterad identitet med hjälp av Azure CLI. Ersätt <resource-group>, <identity-name> och <region> med dina egna värden.

az identity create \
    --name <identity-name> \
    --resource-group <resource-group> \
    --location <region>

Tilldela rollen som Key Vault-kryptotjänstkrypteringsanvändare till den hanterade identiteten

Tilldela rollen Key Vault Krypteringsanvändare för kryptotjänst till den hanterade identitet som du skapade med hjälp av Azure-portalen, PowerShell eller Azure CLI.

Följ dessa steg för att tilldela rollen Key Vault Krypteringsanvändare för kryptotjänst till den hanterade identiteten med hjälp av Azure-portalen:

Gå till ditt nyckelvalv i Azure-portalen.
Välj Åtkomstkontroll (IAM) på tjänstmenyn.
Under rubriken Bevilja åtkomst till den här resursen väljer du Lägg till rolltilldelning.
Sök efter och välj Key Vault Kryptotjänstkrypteringsanvändare och välj sedan Nästa.
Under Tilldela åtkomst till väljer du Hanterad identitet.
Under Medlemmar väljer du +Välj medlemmar.
Fönstret Välj hanterade identiteter öppnas. Under Hanterad identitet väljer du Användartilldelad hanterad identitet.
Välj den hanterade identitet som du skapade och välj sedan Välj.
Välj Granska + tilldela och sedan Granska + tilldela igen.

Om du vill tilldela rollen Key Vault krypteringsanvändare till den användartilldelade hanterade identiteten med hjälp av Azure PowerShell kör du följande cmdlet. Ersätt <resource-group>, <identity-name> och <key-vault-name> med dina egna värden.

$identity = Get-AzUserAssignedIdentity `
    -ResourceGroupName <resource-group> `
    -Name <identity-name>

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>

New-AzRoleAssignment `
    -ObjectId $identity.PrincipalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

Om du vill tilldela rollen Key Vault krypteringsanvändare till den användartilldelade hanterade identiteten med hjälp av Azure CLI kör du följande kommandon. Ersätt <resource-group>, <identity-name> och <key-vault-name> med dina egna värden.

# Get the principal ID of the user-assigned managed identity
IDENTITY_PRINCIPAL_ID=$(az identity show \
    --name <identity-name> \
    --resource-group <resource-group> \
    --query principalId -o tsv)

# Get the key vault resource ID
KV_RESOURCE_ID=$(az keyvault show \
    --name <key-vault-name> \
    --query id -o tsv)

# Assign the Key Vault Crypto Service Encryption User role to the user-assigned managed identity
az role assignment create \
    --assignee-object-id $IDENTITY_PRINCIPAL_ID \
    --assignee-principal-type ServicePrincipal \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $KV_RESOURCE_ID

Steg 4: Konfigurera kundhanterade nycklar på lagringskontot

Med nyckelvalvet, nyckeln och den hanterade identiteten på plats kan du aktivera kundhanterade nycklar på lagringskontot.

Följ de här stegen för att konfigurera lagringskontot så att det använder din nyckel för kryptering. I Azure portalen används alltid automatisk uppdatering av nyckelversioner. Om du vill använda manuell hantering av nyckelversioner i stället använder du Azure PowerShell eller Azure CLI och anger en nyckelversion.

Important

För lagringskonton som är associerade med en nätverkssäkerhetsperimeter bör nyckelvalvet helst finnas i samma nätverkssäkerhetsperimeter. Om det inte är det måste du konfigurera nätverkssäkerhetsperimeterprofilen för nyckelvalvet så att lagringskontot kan kommunicera med det.

Konfigurera kundhanterade nycklar för ett befintligt lagringskonto

Du kan konfigurera kundhanterade nycklar på ett befintligt lagringskonto med hjälp av Azure-portalen, Azure PowerShell eller Azure CLI.

Följ dessa steg för att konfigurera kundhanterade nycklar på ett befintligt lagringskonto med hjälp av Azure portalen. Portalen använder automatisk uppdatering av nyckelversion som standard. Du kan inte ange en nyckelversion.

Gå till ditt lagringskonto.
På tjänstmenyn går du till Säkerhet + nätverk och väljer Kryptering.
För Krypteringstyp väljer du kundhanterade nycklar. Om lagringskontot redan har konfigurerats för CMK väljer du Ändra nyckel.
För Krypteringsnyckel väljer du Välj från nyckelvalv.
Välj Välj ett nyckelvalv och nyckel och välj sedan ditt nyckelvalv och nyckel.
Som Identitetstyp väljer du Användartilldelad för att använda din tidigare skapade användartilldelade hanterade identitet.
Sök efter och välj den användartilldelade hanterade identiteten och välj sedan Lägg till.
Välj Spara.

Skärmbild som visar krypteringsval och nyckelval för att konfigurera kundhanterade nycklar.

Om du vill konfigurera kundhanterade nycklar på ett befintligt lagringskonto med hjälp av Azure PowerShell med automatisk uppdatering av nyckelversion (rekommenderas) kör du följande cmdlet. Ersätt <resource-group>, <identity-name>, <storage-account-name>, <key-vault-name>och <key-name> med dina egna värden.

Följande cmdlet använder din tidigare skapade användartilldelade hanterade identitet. Om du vill använda lagringskontots systemidentitet i stället anger du IdentityType till SystemAssigned och utelämnar variabeln $identity , UserAssignedIdentityIdoch KeyVaultUserAssignedIdentityId.

$identity = Get-AzUserAssignedIdentity `
    -ResourceGroupName <resource-group> `
    -Name <identity-name>

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>
$key = Get-AzKeyVaultKey -VaultName <key-vault-name> -Name <key-name>

Set-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -IdentityType UserAssigned `
    -UserAssignedIdentityId $identity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVaultEncryption `
    -KeyVaultUserAssignedIdentityId $identity.Id

Om du vill använda manuell uppdatering av nyckelversioner i stället för automatisk uppdatering lägger du till parametern -KeyVersion $key.Version i cmdleten Set-AzStorageAccount .

Om du vill konfigurera kundhanterade nycklar på ett befintligt lagringskonto med hjälp av Azure CLI med automatisk uppdatering av nyckelversion (rekommenderas) kör du följande kommandon. Ersätt <resource-group>, <identity-name>, <storage-account-name>, <key-vault-name>och <key-name> med dina egna värden.

Följande kommando använder din tidigare skapade användartilldelade hanterade identitet. Om du vill använda lagringskontots systemidentitet i stället anger du --identity-type till SystemAssigned och utelämnar variabeln IDENTITY_RESOURCE_ID , --user-identity-idoch --key-vault-user-identity-id.

# Using user-assigned managed identity. Omit for system assigned.
IDENTITY_RESOURCE_ID=$(az identity show \
    --name <identity-name> \
    --resource-group <resource-group> \
    --query id -o tsv)

# Get the key vault URI
KEY_VAULT_URI=$(az keyvault show \
    --name <key-vault-name> \
    --query properties.vaultUri -o tsv)

az storage account update \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --encryption-key-vault $KEY_VAULT_URI \
    --encryption-key-name <key-name> \
    --encryption-key-source Microsoft.Keyvault \
    --key-vault-user-identity-id $IDENTITY_RESOURCE_ID \
    --identity-type UserAssigned \
    --user-identity-id $IDENTITY_RESOURCE_ID

Lägg till --encryption-key-version <key-version> i az storage account update kommandot om du vill använda manuell uppdatering av nyckelversioner i stället för automatisk uppdatering.

Konfigurera kundhanterade nycklar för ett nytt lagringskonto

Du kan konfigurera kundhanterade nycklar när du skapar ett nytt lagringskonto med hjälp av Azure-portalen, Azure PowerShell eller Azure CLI.

Du kan inte använda en systemtilldelad identitet när lagringskontot skapas eftersom identiteten inte finns förrän lagringskontot har skapats. Du måste använda en användartilldelad hanterad identitet.

Följ dessa steg för att konfigurera kundhanterade nycklar för ett nytt lagringskonto med hjälp av Azure portalen. Portalen använder automatisk uppdatering av nyckelversion som standard. Du kan inte ange en nyckelversion.

På fliken Kryptering när lagringskontot skapas väljer du Kundhanterade nycklar (CMK) som krypteringstyp.
Vid Krypteringsnyckel väljer du Välj ett nyckelvalv och nyckel, sedan väljer du ditt nyckelvalv och nyckel.
Under Användartilldelad identitet väljer du Välj en identitet. Fönstret Välj användartilldelad hanterad identitet öppnas.
Sök efter och välj din i förväg skapade användartilldelade hanterade identitet. Nya lagringskonton kan inte använda en systemtilldelad hanterad identitet.
Välj Lägg till.
Slutför de återstående flikarna och välj Granska + skapa.

Om du vill skapa ett nytt lagringskonto med kundhanterade nycklar med hjälp av Azure PowerShell kör du följande cmdlet. Ersätt <resource-group>, <identity-name>, <storage-account-name>, <key-vault-name>, <key-name>och <region> med dina egna värden. Du kan ange olika värden för -Kind och -SkuName om du vill.

$identity = Get-AzUserAssignedIdentity `
    -ResourceGroupName <resource-group> `
    -Name <identity-name>

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>
$key = Get-AzKeyVaultKey -VaultName <key-vault-name> -Name <key-name>

New-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -Location <region> `
    -SkuName Standard_LRS `
    -Kind StorageV2 `
    -IdentityType UserAssigned `
    -UserAssignedIdentityId $identity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVaultUserAssignedIdentityId $identity.Id

Om du vill använda manuell uppdatering av nyckelversion i stället för automatisk lägger du till parametern -KeyVersion $key.Version i cmdleten New-AzStorageAccount .

Om du vill skapa ett nytt lagringskonto med kundhanterade nycklar med hjälp av Azure CLI kör du följande kommandon. Ersätt <resource-group>, <identity-name>, <storage-account-name>, <key-vault-name>, <key-name>och <region> med dina egna värden. Du kan ange olika värden för --kind och --sku om du vill.

IDENTITY_RESOURCE_ID=$(az identity show \
    --name <identity-name> \
    --resource-group <resource-group> \
    --query id -o tsv)

# Get the key vault URI
KEY_VAULT_URI=$(az keyvault show \
    --name <key-vault-name> \
    --query properties.vaultUri -o tsv)

az storage account create \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --location <region> \
    --sku Standard_LRS \
    --kind StorageV2 \
    --identity-type UserAssigned \
    --user-identity-id $IDENTITY_RESOURCE_ID \
    --encryption-key-vault $KEY_VAULT_URI \
    --encryption-key-name <key-name> \
    --encryption-key-source Microsoft.Keyvault \
    --key-vault-user-identity-id $IDENTITY_RESOURCE_ID

Lägg till --encryption-key-version <key-version> i az storage account create kommandot om du vill använda manuell uppdatering av nyckelversioner i stället för automatiskt.

Steg 5: Verifiera konfigurationen

När du har aktiverat kundhanterade nycklar kontrollerar du att krypteringen är korrekt konfigurerad på ditt lagringskonto. Du kan göra detta med hjälp av Azure-portalen, Azure PowerShell eller Azure CLI.

Följ dessa steg för att verifiera konfigurationen av lagringskontot med hjälp av Azure portalen:

Gå till ditt lagringskonto i Azure-portalen.
På tjänstmenyn går du till Säkerhet + nätverk och väljer Kryptering.
Bekräfta att krypteringstypen visar Customer-Managed Keys.
Kontrollera att informationen under Nyckelval är korrekt.

Kör följande cmdlet för att verifiera konfigurationen av lagringskontot med hjälp av Azure PowerShell. Ersätt <resource-group> och <storage-account-name> med dina egna värden.

$account = Get-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name>

$account.Encryption.KeySource
$account.Encryption.KeyVaultProperties

Bekräfta att KeySource är Microsoft.Keyvault och att KeyVaultProperties visar nyckelvalvets URI och nyckelnamn.

Kör följande kommando för att verifiera konfigurationen med hjälp av Azure CLI. Ersätt <resource-group> och <storage-account-name> med dina egna värden.

az storage account show \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --query encryption

Bekräfta att keySource är Microsoft.Keyvault och avsnittet keyVaultProperties visar nyckelvalvets URI och nyckelnamn.

Nyckelrotation

Om krypteringsnyckeln roteras regelbundet begränsas exponeringen om en nyckel någonsin komprometteras. Det finns två sätt att rotera kryptering för ett lagringskonto som använder kundhanterade nycklar:

Rotera nyckelversionen – Skapa en ny version av samma nyckel i nyckelvalvet. Nyckelnamnet förblir detsamma, men versionen ändras.
Ändra nyckeln – Byt lagringskonto till att använda en helt annan nyckel (med ett annat namn) i samma eller ett annat nyckelvalv.

Important

Azure kontrollerar nyckelvalvet efter en ny nyckelversion bara en gång dagligen. När du har roterat en nyckel väntar du 24 timmar innan du inaktiverar den tidigare nyckelversionen.

Rotera nyckelversionen

För metodtips för säkerhet roterar du nyckelversionen minst en gång vartannat år.

Automatisk rotation av nyckelversion (rekommenderas)

Om du har konfigurerat kundhanterade nycklar utan att ange en nyckelversion (standardvärdet när du använder Azure-portalen) söker Azure automatiskt efter nya nyckelversioner dagligen. Om du skapar en ny version av nyckeln i nyckelvalvet Azure hämtar den inom 24 timmar. Du kan också konfigurera automatisk nyckelrotation i Azure Key Vault för att generera nya nyckelversioner enligt ett schema.

Manuell rotation av nyckelversion

Om du angav en nyckelversion när du konfigurerade kundhanterade nycklar med hjälp av PowerShell eller Azure CLI använder Azure den specifika versionen och söker inte automatiskt efter nya versioner. Du måste uppdatera konfigurationen av lagringskontot manuellt så att den pekar på den nya nyckelversionen.

Manuell nyckelversionsrotation stöds inte i Azure portalen. Om du vill rotera nyckelversionen manuellt använder du Azure PowerShell eller Azure CLI.

Om du vill rotera nyckelversionen manuellt med hjälp av Azure PowerShell kör du följande cmdlet. Ersätt <resource-group>, <storage-account-name>, <key-vault-name>och <key-name> med dina egna värden.

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>
$key = Get-AzKeyVaultKey -VaultName <key-vault-name> -Name <key-name>

Set-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version `
    -KeyVaultEncryption

Om du vill rotera nyckelversionen manuellt med hjälp av Azure CLI kör du följande kommandon. Ersätt <storage-account-name>, <resource-group>, <key-vault-name>och <key-name> med dina egna värden.

# Get the key vault URI
KEY_VAULT_URI=$(az keyvault show \
    --name <key-vault-name> \
    --query properties.vaultUri -o tsv)

# Get the latest key version
KEY_VERSION=$(az keyvault key show \
    --vault-name <key-vault-name> \
    --name <key-name> \
    --query key.kid -o tsv | sed -e 's|.*/||')

az storage account update \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --encryption-key-vault $KEY_VAULT_URI \
    --encryption-key-name <key-name> \
    --encryption-key-version $KEY_VERSION \
    --encryption-key-source Microsoft.Keyvault

Ändra nyckeln

Om du vill byta lagringskonto till att använda en helt annan nyckel skapar eller importerar du en ny nyckel i nyckelvalvet (se Skapa eller importera en krypteringsnyckel) och uppdatera sedan krypteringskonfigurationen för lagringskontot så att den nya nyckeln används.

Följ dessa steg om du vill ändra nyckeln med hjälp av Azure-portalen:

Gå till ditt lagringskonto.
På tjänstmenyn går du till Säkerhet + nätverk och väljer Kryptering.
Välj Ändra nyckel.
Välj Välj ett nyckelvalv och nyckel och välj sedan ditt nyckelvalv och din nya nyckel.
Välj Spara.

Om du vill ändra nyckeln med hjälp av Azure PowerShell kör du följande cmdlet. Ersätt <resource-group>, <storage-account-name>, <key-vault-name>och <new-key-name> med dina egna värden. Om du vill använda automatisk uppdatering av nyckelversion (rekommenderas) utelämnar du parametern -KeyVersion .

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>
$key = Get-AzKeyVaultKey -VaultName <key-vault-name> -Name <new-key-name>

Set-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVaultEncryption

Om du vill ändra nyckeln med hjälp av Azure CLI kör du följande kommandon. Ersätt <storage-account-name>, <resource-group>, <key-vault-name>och <new-key-name> med dina egna värden. Om du vill använda automatisk uppdatering av nyckelversion (rekommenderas) utelämnar du parametern --encryption-key-version .

# Get the key vault URI
KEY_VAULT_URI=$(az keyvault show \
    --name <key-vault-name> \
    --query properties.vaultUri -o tsv)

az storage account update \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --encryption-key-vault $KEY_VAULT_URI \
    --encryption-key-name <new-key-name> \
    --encryption-key-source Microsoft.Keyvault

Du kan omedelbart blockera åtkomst till krypterade filresursdata genom att inaktivera eller ta bort den kundhanterade nyckeln. När nyckeln är inaktiverad misslyckas alla Azure Files dataplansåtgärder med HTTP 403 (förbjudet), inklusive:

Lista kataloger och filer
Skapa/hämta/ange katalog eller fil
Hämta/ange metadata för fil
Placera område, kopiera fil, byt namn på fil

Om du vill återkalla åtkomsten till filresursdata inaktiverar du nyckeln i nyckelvalvet med hjälp av Azure-portalen, Azure PowerShell eller Azure CLI. Återaktivera nyckeln för att återställa åtkomsten.

Så här inaktiverar du nyckeln med hjälp av Azure-portalen:

Gå till ditt nyckelvalv i Azure-portalen.
På tjänstmenyn går du till Objekt och väljer Nycklar.
Högerklicka på nyckeln och välj Inaktivera.

Om du vill inaktivera nyckeln med hjälp av Azure PowerShell kör du följande cmdlet. Ersätt <key-vault-name> och <key-name> med dina egna värden.

Update-AzKeyVaultKey `
    -VaultName <key-vault-name> `
    -Name <key-name> `
    -Enable $false

Om du vill inaktivera nyckeln med hjälp av Azure CLI kör du följande kommando. Ersätt <key-vault-name> och <key-name> med dina egna värden.

az keyvault key set-attributes \
    --vault-name <key-vault-name> \
    --name <key-name> \
    --enabled false

Växla tillbaka till Microsoft-hanterade nycklar

Om du inte längre behöver kundhanterade nycklar kan du växla tillbaka lagringskontot till att använda Microsoft hanterade nycklar för kryptering med hjälp av Azure-portalen, Azure PowerShell eller Azure CLI.

Följ dessa steg om du vill växla tillbaka till Microsoft-hanterade nycklar med hjälp av Azure portalen:

Gå till ditt lagringskonto i Azure-portalen.
På tjänstmenyn går du till Säkerhet + nätverk och väljer Kryptering.
Ändra Krypteringstyp till Microsoft-Managed Nycklar.
Välj Spara.

Om du vill växla tillbaka till Microsoft hanterade nycklar med hjälp av Azure PowerShell kör du följande cmdlet. Ersätt <resource-group> och <storage-account-name> med dina egna värden.

Set-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -StorageEncryption

Om du vill växla tillbaka till Microsoft hanterade nycklar med hjälp av Azure CLI kör du följande kommando. Ersätt <resource-group> och <storage-account-name> med dina egna värden.

az storage account update \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --encryption-key-source Microsoft.Storage

Mer information om kryptering och nyckelhantering finns i följande artiklar.

Feedback

Var den här sidan till hjälp?

Last updated on 2026-05-08