Erstellen und Verwalten von Verschlüsselungsbereichen

Führen Sie die folgenden Schritte aus, um einen Verschlüsselungsbereich im Azure-Portal zu erstellen:

1. Navigieren Sie zum Speicherkonto im Azure-Portal.

2. Wählen Sie unter "Sicherheit + Netzwerk" die Option "Verschlüsselung" aus.

3. Wählen Sie die Registerkarte "Verschlüsselungsbereiche" aus .

4. Klicken Sie auf die Schaltfläche "Hinzufügen ", um einen neuen Verschlüsselungsbereich hinzuzufügen.

5. Geben Sie im Bereich " Verschlüsselungsbereich erstellen " einen Namen für den neuen Bereich ein.

6. Wählen Sie die gewünschte Art von Verschlüsselungsschlüsselunterstützung aus, entweder von Microsoft verwaltete Schlüssel oder vom Kunden verwaltete Schlüssel.

   • Wenn Sie von Microsoft verwaltete Schlüssel ausgewählt haben, klicken Sie auf "Erstellen ", um den Verschlüsselungsbereich zu erstellen.
   • Wenn Sie vom Kunden verwaltete Schlüssel ausgewählt haben, wählen Sie ein Abonnement aus, und geben Sie einen Schlüsseltresor und einen Schlüssel an, der für diesen Verschlüsselungsbereich verwendet werden soll. Wenn sich der gewünschte Schlüsseltresor in einer anderen Region befindet, wählen Sie "Schlüssel-URI eingeben " aus, und geben Sie den Schlüssel-URI an.

7. Wenn die Infrastrukturverschlüsselung für das Speicherkonto aktiviert ist, wird sie automatisch für den neuen Verschlüsselungsbereich aktiviert. Andernfalls können Sie auswählen, ob die Infrastrukturverschlüsselung für den Verschlüsselungsbereich aktiviert werden soll.

   

Um einen Verschlüsselungsbereich mit PowerShell zu erstellen, installieren Sie das Az.Storage PowerShell-Modul, Version 3.4.0 oder höher.

Erstellen eines Verschlüsselungsbereichs, der durch von Microsoft verwaltete Schlüssel geschützt ist

Rufen Sie zum Erstellen eines Verschlüsselungsbereichs, der durch von Microsoft verwaltete Schlüssel geschützt ist, den Befehl "New-AzStorageEncryptionScope " mit dem -StorageEncryption Parameter auf.

Wenn die Infrastrukturverschlüsselung für das Speicherkonto aktiviert ist, wird sie automatisch für den neuen Verschlüsselungsbereich aktiviert. Andernfalls können Sie auswählen, ob die Infrastrukturverschlüsselung für den Verschlüsselungsbereich aktiviert werden soll. Um den neuen Bereich mit aktivierter Infrastrukturverschlüsselung zu erstellen, schließen Sie den -RequireInfrastructureEncryption Parameter ein.

Denken Sie daran, die Platzhalterwerte im Beispiel durch eigene Werte zu ersetzen:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$scopeName = "<encryption-scope>"

New-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName1 `
    -StorageEncryption

Erstellen eines Verschlüsselungsbereichs, der durch vom Kunden verwaltete Schlüssel im selben Mandanten geschützt ist

Um einen Verschlüsselungsbereich zu erstellen, der durch vom Kunden verwaltete Schlüssel geschützt ist, die in einem Schlüsseltresor oder verwaltetem HSM gespeichert sind, das sich im selben Mandanten wie das Speicherkonto befindet, konfigurieren Sie zuerst vom Kunden verwaltete Schlüssel für das Speicherkonto. Sie müssen dem Speicherkonto, das über Berechtigungen für den Zugriff auf den Schlüsseltresor verfügt, eine verwaltete Identität zuweisen. Die verwaltete Identität kann entweder eine vom Benutzer zugewiesene verwaltete Identität oder eine vom System zugewiesene verwaltete Identität sein. Weitere Informationen zum Konfigurieren von vom Kunden verwalteten Schlüsseln finden Sie unter Konfigurieren von vom Kunden verwalteten Schlüsseln im selben Mandanten für ein vorhandenes Speicherkonto.

Um der verwalteten Identität Berechtigungen für den Zugriff auf den Schlüsseltresor zu erteilen, weisen Sie der verwalteten Identität die Rolle Key Vault Crypto Service Encryption User zu.

Zum Konfigurieren von kundenseitig verwalteten Schlüsseln für die Verwendung mit einem Verschlüsselungsbereich muss der Löschschutz für den Schlüsseltresor oder das verwaltete HSM aktiviert werden.

Das folgende Beispiel zeigt, wie Sie einen Verschlüsselungsbereich mit einer vom System zugewiesenen verwalteten Identität konfigurieren. Denken Sie daran, die Platzhalterwerte im Beispiel durch eigene Werte zu ersetzen:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$keyVaultName = "<key-vault>"
$scopeName = "<encryption-scope>"

# Assign a system-assigned managed identity to the storage account.
$storageAccount = Set-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -AssignIdentity

# Assign the necessary permissions to the managed identity 
# so that it can access the key vault.
$principalId = $storageAccount.Identity.PrincipalId
$keyVault = Get-AzKeyVault $keyVaultName

New-AzRoleAssignment -ObjectId $storageAccount.Identity.PrincipalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

Rufen Sie als Nächstes den Befehl New-AzStorageEncryptionScope mit dem -KeyvaultEncryption Parameter auf, und geben Sie den Schlüssel-URI an. Das Einfügen der Schlüsselversion in der Schlüssel-URI ist optional. Wenn Sie die Schlüsselversion weglassen, verwendet der Verschlüsselungsbereich automatisch die neueste Schlüsselversion. Wenn Sie die Schlüsselversion einschließen, müssen Sie die Schlüsselversion manuell aktualisieren, um eine andere Version zu verwenden.

Das Format der Schlüssel-URI ähnelt den folgenden Beispielen und kann aus der Eigenschaft VaultUri des Schlüsseltresors und dem Schlüsselnamen konstruiert werden.

# Without the key version
https://<key-vault>.vault.azure.net/keys/<key>

# With the key version
https://<key-vault>.vault.azure.net/keys/<key>/<version>

Wenn die Infrastrukturverschlüsselung für das Speicherkonto aktiviert ist, wird sie automatisch für den neuen Verschlüsselungsbereich aktiviert. Andernfalls können Sie auswählen, ob die Infrastrukturverschlüsselung für den Verschlüsselungsbereich aktiviert werden soll. Um den neuen Bereich mit aktivierter Infrastrukturverschlüsselung zu erstellen, schließen Sie den -RequireInfrastructureEncryption Parameter ein.

Denken Sie daran, die Platzhalterwerte im Beispiel durch eigene Werte zu ersetzen:

$keyUri = $keyVault.VaultUri + "keys/" + $keyName

New-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName `
    -KeyUri $keyUri `
    -KeyvaultEncryption

Erstellen eines Verschlüsselungsbereichs, der durch vom Kunden verwaltete Schlüssel in einem anderen Mandanten geschützt ist

Um einen Verschlüsselungsbereich zu erstellen, der durch vom Kunden verwaltete Schlüssel geschützt ist, die in einem Schlüsseltresor oder verwaltetem HSM gespeichert sind, das sich in einem anderen Mandanten als dem Speicherkonto befindet, konfigurieren Sie zuerst vom Kunden verwaltete Schlüssel für das Speicherkonto. Sie müssen eine vom Benutzer zugewiesene verwaltete Identität für das Speicherkonto konfigurieren, das über Berechtigungen für den Zugriff auf den Schlüsseltresor im anderen Mandanten verfügt. Weitere Informationen zum Konfigurieren mandantenübergreifender vom Kunden verwalteter Schlüssel finden Sie unter Konfigurieren mandantenübergreifender vom Kunden verwalteter Schlüssel für ein vorhandenes Speicherkonto.

Zum Konfigurieren von kundenseitig verwalteten Schlüsseln für die Verwendung mit einem Verschlüsselungsbereich muss der Löschschutz für den Schlüsseltresor oder das verwaltete HSM aktiviert werden.

Nachdem Sie mandantenübergreifende vom Kunden verwaltete Schlüssel für das Speicherkonto konfiguriert haben, können Sie einen Verschlüsselungsbereich für das Speicherkonto in einem Mandanten erstellen, der auf einen Schlüssel in einem Schlüsseltresor im anderen Mandanten ausgelegt ist. Sie benötigen den Schlüssel-URI, um den mandantenübergreifenden Verschlüsselungsbereich zu erstellen.

Denken Sie daran, die Platzhalterwerte im Beispiel durch eigene Werte zu ersetzen:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$scopeName = "<encryption-scope>"

# Construct the key URI from the key vault URI and key name.
$keyUri = $kvUri + "keys/" + $keyName

New-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName `
    -KeyUri $keyUri `
    -KeyvaultEncryption

Um einen Verschlüsselungsbereich mit Azure CLI zu erstellen, installieren Sie zuerst Azure CLI, Version 2.20.0 oder höher.

Erstellen eines Verschlüsselungsbereichs, der durch von Microsoft verwaltete Schlüssel geschützt ist

Rufen Sie zum Erstellen eines Verschlüsselungsbereichs, der durch von Microsoft verwaltete Schlüssel geschützt ist, den Befehl " az storage account encryption-scope create " auf, und geben Sie den --key-source Parameter als Microsoft.Storagean.

Wenn die Infrastrukturverschlüsselung für das Speicherkonto aktiviert ist, wird sie automatisch für den neuen Verschlüsselungsbereich aktiviert. Andernfalls können Sie auswählen, ob die Infrastrukturverschlüsselung für den Verschlüsselungsbereich aktiviert werden soll. Um den neuen Bereich mit aktivierter Infrastrukturverschlüsselung zu erstellen, schließen Sie den --require-infrastructure-encryption Parameter ein, und legen Sie dessen Wert auf true.

Denken Sie daran, die Platzhalterwerte durch Ihre eigenen Werte zu ersetzen:

az storage account encryption-scope create \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.Storage

Erstellen eines Verschlüsselungsbereichs, der durch vom Kunden verwaltete Schlüssel im selben Mandanten geschützt ist

Um einen Verschlüsselungsbereich zu erstellen, der durch vom Kunden verwaltete Schlüssel geschützt ist, die in einem Schlüsseltresor oder verwaltetem HSM gespeichert sind, das sich im selben Mandanten wie das Speicherkonto befindet, konfigurieren Sie zuerst vom Kunden verwaltete Schlüssel für das Speicherkonto. Sie müssen dem Speicherkonto, das über Berechtigungen für den Zugriff auf den Schlüsseltresor verfügt, eine verwaltete Identität zuweisen. Die verwaltete Identität kann entweder eine vom Benutzer zugewiesene verwaltete Identität oder eine vom System zugewiesene verwaltete Identität sein. Weitere Informationen zum Konfigurieren von vom Kunden verwalteten Schlüsseln finden Sie unter Konfigurieren von vom Kunden verwalteten Schlüsseln im selben Mandanten für ein vorhandenes Speicherkonto.

Um der verwalteten Identität Berechtigungen für den Zugriff auf den Schlüsseltresor zu erteilen, weisen Sie der verwalteten Identität die Rolle Key Vault Crypto Service Encryption User zu.

Zum Konfigurieren von kundenseitig verwalteten Schlüsseln für die Verwendung mit einem Verschlüsselungsbereich muss der Löschschutz für den Schlüsseltresor oder das verwaltete HSM aktiviert werden.

Das folgende Beispiel zeigt, wie Sie einen Verschlüsselungsbereich mit einer vom System zugewiesenen verwalteten Identität konfigurieren. Denken Sie daran, die Platzhalterwerte im Beispiel durch eigene Werte zu ersetzen:

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --assign-identity

principalId=$(az storage account show --name <storage-account> \
    --resource-group <resource_group> \
    --query identity.principalId \
    --output tsv)

$kvResourceId=$(az keyvault show \
    --resource-group <resource-group> \
    --name <key-vault> \
    --query id \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId

Rufen Sie als Nächstes den Befehl " az storage account encryption-scope " mit dem --key-uri Parameter auf, und geben Sie den Schlüssel-URI an. Das Einfügen der Schlüsselversion in der Schlüssel-URI ist optional. Wenn Sie die Schlüsselversion weglassen, verwendet der Verschlüsselungsbereich automatisch die neueste Schlüsselversion. Wenn Sie die Schlüsselversion einschließen, müssen Sie die Schlüsselversion manuell aktualisieren, um eine andere Version zu verwenden.

Das Format der URI des Schlüssels ähnelt den folgenden Beispielen und kann aus der vaultUri-Eigenschaft des Schlüsselspeichers und dem Schlüsselnamen erstellt werden.

# Without the key version
https://<key-vault>.vault.azure.net/keys/<key>

# With the key version
https://<key-vault>.vault.azure.net/keys/<key>/<version>

Wenn die Infrastrukturverschlüsselung für das Speicherkonto aktiviert ist, wird sie automatisch für den neuen Verschlüsselungsbereich aktiviert. Andernfalls können Sie auswählen, ob die Infrastrukturverschlüsselung für den Verschlüsselungsbereich aktiviert werden soll. Um den neuen Bereich mit aktivierter Infrastrukturverschlüsselung zu erstellen, schließen Sie den --require-infrastructure-encryption Parameter ein, und legen Sie dessen Wert auf true.

Denken Sie daran, die Platzhalterwerte im Beispiel durch eigene Werte zu ersetzen:

az storage account encryption-scope create \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.KeyVault \
    --key-uri <key-uri>

Erstellen eines Verschlüsselungsbereichs, der durch vom Kunden verwaltete Schlüssel in einem anderen Mandanten geschützt ist

Um einen Verschlüsselungsbereich zu erstellen, der durch vom Kunden verwaltete Schlüssel geschützt ist, die in einem Schlüsseltresor oder verwaltetem HSM gespeichert sind, das sich in einem anderen Mandanten als dem Speicherkonto befindet, konfigurieren Sie zuerst vom Kunden verwaltete Schlüssel für das Speicherkonto. Sie müssen eine vom Benutzer zugewiesene verwaltete Identität für das Speicherkonto konfigurieren, das über Berechtigungen für den Zugriff auf den Schlüsseltresor im anderen Mandanten verfügt. Weitere Informationen zum Konfigurieren mandantenübergreifender vom Kunden verwalteter Schlüssel finden Sie unter Konfigurieren mandantenübergreifender vom Kunden verwalteter Schlüssel für ein vorhandenes Speicherkonto.

Zum Konfigurieren von kundenseitig verwalteten Schlüsseln für die Verwendung mit einem Verschlüsselungsbereich muss der Löschschutz für den Schlüsseltresor oder das verwaltete HSM aktiviert werden.

Nachdem Sie mandantenübergreifende vom Kunden verwaltete Schlüssel für das Speicherkonto konfiguriert haben, können Sie einen Verschlüsselungsbereich für das Speicherkonto in einem Mandanten erstellen, der auf einen Schlüssel in einem Schlüsseltresor im anderen Mandanten ausgelegt ist. Sie benötigen den Schlüssel-URI, um den mandantenübergreifenden Verschlüsselungsbereich zu erstellen.

Denken Sie daran, die Platzhalterwerte im Beispiel durch eigene Werte zu ersetzen:

az storage account encryption-scope create \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.KeyVault \
    --key-uri <key-uri>

Um die Verschlüsselungsbereiche für ein Speicherkonto im Azure-Portal anzuzeigen, navigieren Sie zur Einstellung "Verschlüsselungsbereiche" für das Speicherkonto. In diesem Bereich können Sie einen Verschlüsselungsbereich aktivieren oder deaktivieren oder den Schlüssel für einen Verschlüsselungsbereich ändern.

Um Details für einen vom Kunden verwalteten Schlüssel anzuzeigen, einschließlich des Schlüssel-URI und der Version und der automatischen Aktualisierung der Schlüsselversion, folgen Sie dem Link in der Spalte " Schlüssel ".

Rufen Sie den Befehl "Get-AzStorageEncryptionScope " auf, um die für ein Speicherkonto verfügbaren Verschlüsselungsbereiche mit PowerShell auflisten zu können. Denken Sie daran, die Platzhalterwerte im Beispiel durch eigene Werte zu ersetzen:

Get-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName

Verwenden Sie die Pipelinesyntax, um alle Verschlüsselungsbereiche in einer Ressourcengruppe nach Speicherkonto auflisten zu können:

Get-AzStorageAccount -ResourceGroupName $rgName | Get-AzStorageEncryptionScope

Um die für ein Speicherkonto mit Azure CLI verfügbaren Verschlüsselungsbereiche auflisten zu können, rufen Sie den Befehl " az storage account encryption-scope list " auf. Denken Sie daran, die Platzhalterwerte im Beispiel durch eigene Werte zu ersetzen:

az storage account encryption-scope list \
    --account-name <storage-account> \
    --resource-group <resource-group>

Um einen Container mit einem Standardverschlüsselungsbereich im Azure-Portal zu erstellen, erstellen Sie zuerst den Verschlüsselungsbereich, wie in "Erstellen eines Verschlüsselungsbereichs" beschrieben. Führen Sie als Nächstes die folgenden Schritte aus, um den Container zu erstellen:

1. Navigieren Sie zu der Liste der Container in Ihrem Speicherkonto, und wählen Sie die Schaltfläche "Hinzufügen " aus, um einen Container zu erstellen.

2. Erweitern Sie die Erweiterten Einstellungen im Bereich Neuer Container.

3. Wählen Sie im Dropdownmenü " Verschlüsselungsbereich " den Standardverschlüsselungsbereich für den Container aus.

4. Um festzulegen, dass alle Blobs im Container den Standardverschlüsselungsbereich verwenden, aktivieren Sie das Kontrollkästchen, um diesen Verschlüsselungsbereich für alle Blobs im Container zu verwenden. Wenn dieses Kontrollkästchen aktiviert ist, kann ein einzelner BLOB im Container den Standardverschlüsselungsbereich nicht außer Kraft setzen.

   

Um einen Container mit einem Standardverschlüsselungsbereich mit PowerShell zu erstellen, rufen Sie den Befehl "New-AzStorageContainer " auf, und geben Sie den Bereich für den -DefaultEncryptionScope Parameter an. Wenn Sie erzwingen möchten, dass alle Blobs in einem Container den Standardbereich des Containers verwenden, legen Sie den -PreventEncryptionScopeOverride Parameter auf true.

$containerName1 = "container1"
$ctx = New-AzStorageContext -StorageAccountName $accountName -UseConnectedAccount

# Create a container with a default encryption scope that cannot be overridden.
New-AzStorageContainer -Name $containerName1 `
    -Context $ctx `
    -DefaultEncryptionScope $scopeName1 `
    -PreventEncryptionScopeOverride $true

Um einen Container mit einem Standardverschlüsselungsbereich mit Azure CLI zu erstellen, rufen Sie den Befehl "az storage container create " auf, und geben Sie den Bereich für den --default-encryption-scope Parameter an. Wenn Sie erzwingen möchten, dass alle Blobs in einem Container den Standardbereich des Containers verwenden, legen Sie den --prevent-encryption-scope-override Parameter auf true.

Im folgenden Beispiel wird Ihr Microsoft Entra-Konto genutzt, um den Vorgang zur Erstellung des Containers zu autorisieren. Sie können auch den Kontozugriffsschlüssel verwenden. Weitere Informationen finden Sie unter Autorisieren des Zugriffs auf Blob- oder Warteschlangendaten mit Azure CLI.

az storage container create \
    --account-name <storage-account> \
    --resource-group <resource-group> \
    --name <container> \
    --default-encryption-scope <encryption-scope> \
    --prevent-encryption-scope-override true \
    --auth-mode login

Um ein BLOB mit einem Verschlüsselungsbereich über das Azure-Portal hochzuladen, erstellen Sie zuerst den Verschlüsselungsbereich, wie unter "Erstellen eines Verschlüsselungsbereichs" beschrieben. Führen Sie als Nächstes die folgenden Schritte aus, um das Blob zu erstellen:

1. Navigieren Sie zu dem Container, in den Sie das Blob hochladen möchten.

2. Wählen Sie die Schaltfläche "Hochladen " aus, und suchen Sie das blob, das hochgeladen werden soll.

3. Erweitern Sie die Erweitert Einstellungen im "Blob hochladen" Paneel.

4. Suchen Sie den Dropdownbereich "Verschlüsselungsumfang". Standardmäßig wird das Blob mit dem Standardverschlüsselungsbereich für den Container erstellt, sofern eins angegeben wurde. Wenn der Container erfordert, dass Blobs den Standardverschlüsselungsbereich verwenden, ist dieser Abschnitt deaktiviert.

5. Wenn Sie einen anderen Bereich für das Blob angeben möchten, das Sie hochladen möchten, wählen Sie einen vorhandenen Bereich aus, und wählen Sie dann den gewünschten Bereich aus der Dropdownliste aus.

   

Um ein Blob mit einem Verschlüsselungsbereich über PowerShell hochzuladen, rufen Sie den Befehl "Set-AzStorageBlobContent" auf, und stellen Sie den Verschlüsselungsbereich für das Blob bereit.

$containerName2 = "container2"
$localSrcFile = "C:\temp\helloworld.txt"
$ctx = New-AzStorageContext -StorageAccountName $accountName -UseConnectedAccount

# Create a container with no default scope defined.
New-AzStorageContainer -Name $containerName2 -Context $ctx

# Upload a block upload with an encryption scope specified.
Set-AzStorageBlobContent -Context $ctx `
    -Container $containerName2 `
    -File $localSrcFile `
    -Blob "helloworld.txt" `
    -BlobType Block `
    -EncryptionScope $scopeName2

Um ein Blob mit einem Verschlüsselungsbereich über azure CLI hochzuladen, rufen Sie den Befehl "az storage blob upload " auf, und stellen Sie den Verschlüsselungsbereich für das Blob bereit.

Wenn Sie Azure Cloud Shell verwenden, führen Sie die unter "Hochladen eines Blobs " beschriebenen Schritte aus, um eine Datei im Stammverzeichnis zu erstellen. Sie können diese Datei dann mithilfe des folgenden Beispiels in ein Blob hochladen.

az storage blob upload \
    --account-name <storage-account> \
    --container-name <container> \
    --file <file> \
    --name <file> \
    --encryption-scope <encryption-scope>

Führen Sie die folgenden Schritte aus, um den Schlüssel zu ändern, der einen Bereich im Azure-Portal schützt:

1. Navigieren Sie zur Registerkarte "Verschlüsselungsbereiche ", um die Liste der Verschlüsselungsbereiche für das Speicherkonto anzuzeigen.
2. Wählen Sie die Schaltfläche "Weitere " neben dem Bereich aus, den Sie ändern möchten.
3. Im Bereich "Verschlüsselungsbereich bearbeiten " können Sie den Verschlüsselungstyp von von Microsoft verwaltetem Schlüssel in vom Kunden verwalteten Schlüssel ändern oder umgekehrt.
4. Um einen neuen vom Kunden verwalteten Schlüssel auszuwählen, wählen Sie "Neuen Schlüssel verwenden " aus, und geben Sie den Schlüsseltresor, den Schlüssel und die Schlüsselversion an.

Wenn Sie mit PowerShell den Schlüssel, der einen Verschlüsselungsbereich schützt, von einem kundenseitig verwalteten Schlüssel in einen von Microsoft verwalteten Schlüssel ändern möchten, rufen Sie den Befehl Update-AzStorageEncryptionScope auf, und übergeben Sie den Parameter -StorageEncryption:

Update-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName2 `
    -StorageEncryption

Rufen Sie als Nächstes den Befehl "Update-AzStorageEncryptionScope " auf, und übergeben Sie die folgenden -KeyUri-KeyvaultEncryption Parameter:

Update-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName1 `
    -KeyUri $keyUri `
    -KeyvaultEncryption

Wenn Sie mit der Azure CLI den Schlüssel, der einen Verschlüsselungsbereich schützt, von einem kundenseitig verwalteten Schlüssel in einen von Microsoft verwalteten Schlüssel ändern möchten, rufen Sie den Befehl az storage account encryption-scope update auf, und übergeben Sie den Parameter --key-source mit dem Wert Microsoft.Storage:

az storage account encryption-scope update \
    --account-name <storage-account> \
    --resource-group <resource-group>
    --name <encryption-scope> \
    --key-source Microsoft.Storage

Rufen Sie als Nächstes den Befehl " az storage account encryption-scope update" auf, übergeben Sie den --key-uri Parameter, und übergeben Sie den --key-source Parameter mit dem Wert Microsoft.KeyVault:

az storage account encryption-scope update \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.KeyVault \
    --key-uri <key-uri>

Um einen Verschlüsselungsbereich im Azure-Portal zu deaktivieren, navigieren Sie zur Einstellung " Verschlüsselungsbereiche" für das Speicherkonto, wählen Sie den gewünschten Verschlüsselungsbereich aus, und wählen Sie "Deaktivieren" aus.

Rufen Sie zum Deaktivieren eines Verschlüsselungsbereichs mit PowerShell den Befehl Update-AzStorageEncryptionScope auf, und fügen Sie den -State Parameter mit dem Wert " disabled, wie im folgenden Beispiel gezeigt, ein. Um einen Verschlüsselungsbereich erneut zu aktivieren, rufen Sie denselben Befehl auf, bei dem der Parameter -State auf enabled gesetzt ist. Denken Sie daran, die Platzhalterwerte im Beispiel durch eigene Werte zu ersetzen:

Update-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName1 `
    -State disabled

Rufen Sie zum Deaktivieren eines Verschlüsselungsbereichs mit der Azure CLI den Befehl az storage account encryption-scope update auf, und fügen Sie den Parameter --state mit dem Wert Disabled ein, wie im folgenden Beispiel gezeigt. Um einen Verschlüsselungsbereich erneut zu aktivieren, rufen Sie denselben Befehl auf, bei dem der Parameter --state auf Enabled gesetzt ist. Denken Sie daran, die Platzhalterwerte im Beispiel durch eigene Werte zu ersetzen:

az storage account encryption-scope update \
    --account-name <storage-account> \
    --resource-group <resource-group> \
    --name <encryption-scope> \
    --state Disabled