为新存储帐户配置跨租户客户管理的密钥

登录到 Azure 门户并执行以下步骤。

服务提供商配置标识

以下步骤由服务提供商的租户 Tenant1 中的服务提供商执行。

服务提供商创建新的多租户应用注册

可以创建新的多租户 Microsoft Entra 应用程序注册，也可以从现有多租户应用程序注册开始。 如果从现有应用程序注册开始，请记下应用程序的应用程序 ID（客户端 ID）。

创建新的注册：

1. 在搜索框中搜索“Microsoft Entra ID”。 找到并选择“Microsoft Entra ID”扩展。

2. 从左窗格中选择“管理”>“应用注册”。

3. 选择“+ 新建注册”。

4. 提供应用程序注册的名称，并选择“任何组织目录中的帐户(任何 Microsoft Entra 目录 - 多租户)”。

5. 选择注册。

6. 记下应用程序的 ApplicationId/ClientId。

   

服务提供商创建用户分配的托管标识

创建用户分配的托管标识，以用作联合标识凭据。

1. 在搜索框中搜索“托管标识”。 找到并选择“托管标识”扩展。

2. 选择“+ 新建”。

3. 提供托管标识的资源组、区域和名称。

4. 选择“查看 + 创建”。

5. 成功部署时，请记下“属性”下的用户分配的托管标识的 Azure ResourceId。 例如：

   /subscriptions/tttttttt-0000-tttt-0000-tttt0000tttt/resourcegroups/XTCMKDemo/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ConsotoCMKDemoUA

   

服务提供商将用户分配的托管标识配置为应用程序上的联合凭据

将用户分配的托管标识配置为应用程序上的联合标识凭据，以便它可以模拟应用程序的标识。

1. 导航到“Microsoft Entra ID>”“应用注册>”“应用程序”。

2. 选择“证书和机密”。

3. 选择“联合凭据”。

   

4. 选择“+ 添加凭据”。

5. 在“联合凭据方案”下，选择“客户托管密钥”。

6. 单击“选择托管标识”。 在窗格中，选择订阅。 在“托管标识”下，选择“用户分配的托管标识”。 在“选择”框中，搜索之前创建的托管标识，然后单击窗格底部的“选择”。

   

7. 在“凭据详细信息”下，提供凭据的名称和可选说明，然后选择“添加”。

   

若要使用 Azure PowerShell 配置 ISV 的租户，请安装最新的 Az 模块。 有关如何安装 PowerShell 的详细信息，请参阅使用 PowerShellGet 在 Windows 上安装 Azure PowerShell。

• 如果选择在本地使用 Azure PowerShell：
  • 安装最新版本的 Az PowerShell 模块。
  • 使用 Connect-AzAccount -Environment AzureChinaCloud cmdlet 连接到 Azure 帐户。

服务提供商配置标识

以下步骤由服务提供商的租户 Tenant1 中的服务提供商 (ISV) 执行。

服务提供商登录到 Azure

在 Azure PowerShell 中，登录到 ISV 的租户，并将活动订阅设置为 ISV 的订阅。

$isvTenantId="<isv-tenant-id>"
$isvSubscriptionId="<isv-subscription-id>"

# Sign in to Azure in the ISV's tenant.
Connect-AzAccount -Environment AzureChinaCloud -Tenant $isvTenantId
# Set the context to the ISV's subscription.
Set-AzContext -Subscription $isvSubscriptionId

服务提供商创建新的多租户应用注册

在 Tenant1 中选择多租户已注册应用程序的名称，并在 Azure 门户中创建多租户应用程序。

客户使用为多租户应用程序提供的名称来标识 Tenant2 中的应用程序。 请注意应用的对象 ID 和应用程序 ID。 后续步骤中需要使用这些值。

$multiTenantAppName="<multi-tenant-app>"
$multiTenantApp = New-AzADApplication -DisplayName $multiTenantAppName `
    -SignInAudience AzureADMultipleOrgs

# Object ID for the new multi-tenant app
$objectId = $multiTenantApp.Id
# Application (client) ID for the multi-tenant app
$multiTenantAppObjectId = $multiTenantApp.AppId

服务提供商创建用户分配的托管标识

登录 ISV 的租户，然后创建用户分配的托管标识以充当联合标识凭据。 若要创建新的用户分配的托管标识，必须分配一个包含 Microsoft.ManagedIdentity/userAssignedIdentities/write 操作的角色。

$isvRgName="<isv-resource-group>"
$isvLocation="<location>"
$userIdentityName="<user-assigned-managed-identity>"

# Create a new resource group in the ISV's subscription.
New-AzResourceGroup -Location $isvLocation -ResourceGroupName $isvRgName

# Create the new user-assigned managed identity.
$userIdentity = New-AzUserAssignedIdentity -Name $userIdentityName `
    -ResourceGroupName $isvRgName `
    -Location $isvLocation `
    -SubscriptionId $isvSubscriptionId

服务提供商将用户分配的托管标识配置为应用程序上的联合凭据

将用户分配的托管标识配置为应用程序上的联合标识凭据，以便它可以模拟应用程序的标识。

若要从 PowerShell 配置联合标识凭据，请先安装 Az.Resources 模块的 6.3.0 版本或更高版本。

New-AzADAppFederatedCredential -ApplicationObjectId $multiTenantApp.Id `
    -Name "MyFederatedIdentityCredential" `
    -Audience "api://AzureADTokenExchange" `
    -Issuer "https://login.partner.microsoftonline.cn/<tenant-id>/v2.0" `
    -Subject $userIdentity.PrincipalId `
    -Description "Federated Identity Credential for CMK"

• 如需在本地运行 CLI 参考命令，请安装 Azure CLI。 如果在 Windows 或 macOS 上运行，请考虑在 Docker 容器中运行 Azure CLI。 有关详细信息，请参阅如何在 Docker 容器中运行 Azure CLI。

  • 如果使用的是本地安装，请使用 az login 命令登录到 Azure CLI。 若要完成身份验证过程，请遵循终端中显示的步骤。 有关其他登录选项，请参阅使用 Azure CLI 登录。

  • 出现提示时，请在首次使用时安装 Azure CLI 扩展。 有关扩展详细信息，请参阅使用 Azure CLI 的扩展。

  • 运行 az version 以查找安装的版本和依赖库。 若要升级到最新版本，请运行 az upgrade。

服务提供商配置标识

以下步骤由服务提供商的租户 Tenant1 中的服务提供商执行。

服务提供商登录到 Azure

登录到 Azure 以使用 Azure CLI。

az login

服务提供商创建新的多租户应用注册

在 Tenant1 中选择多租户应用程序的名称，并在 Azure 门户中创建多租户应用程序。

客户使用为多租户应用程序提供的名称来标识 Tenant2 中的应用程序。 请复制应用的应用程序 ID（或客户端 ID）、应用的对象 ID，以及应用的租户 ID。 你将在以下步骤中需要使用这些值。

multiTenantAppName="<multi-tenant-app>"
multiTenantAppObjectId=$(az ad app create --display-name $multiTenantAppName \
    --sign-in-audience AzureADMultipleOrgs \
    --query id \
    --output tsv)

multiTenantAppId=$(az ad app show --id $multiTenantAppObjectId --query appId --output tsv)

服务提供商创建用户分配的托管标识

登录 ISV 的租户，然后创建用户分配的托管标识以充当联合标识凭据。 若要创建新的用户分配的托管标识，必须分配一个包含 Microsoft.ManagedIdentity/userAssignedIdentities/write 操作的角色。

isvSubscriptionId="<isv-subscription-id>"
isvRgName="<isv-resource-group>"
isvLocation="<location>"
userIdentityName="<user-assigned-managed-identity>"

az group create --location $isvLocation \
    --resource-group $isvRgName \
    --subscription $isvSubscriptionId

principalId=$(az identity create --name $userIdentityName \
    --resource-group $isvRgName \
    --location $isvLocation \
    --subscription $isvSubscriptionId \
    --query principalId \
    --out tsv)

服务提供商将用户分配的托管标识配置为应用程序上的联合凭据

运行 az ad app federated-credential create 方法，在应用上配置联合标识凭据，并与外部标识提供者建立信任关系。

使用 api://AzureADTokenExchange 作为联合标识凭据中的 audience 值。 有关更多详细信息，请参阅 API 参考。

# Create a file named "credential.json" with the following content.
# Replace placeholders in angle brackets with your own values.
{
    "name": "MyFederatedIdentityCredential",
    "issuer": "https://login.partner.microsoftonline.cn/<tenantID>/v2.0",
    "subject": "<user-assigned-identity-principal-id>",
    "description": "Federated Identity Credential for CMK",
    "audiences": [
        "api://AzureADTokenExchange"
    ]
}

az ad app federated-credential create --id $multiTenantAppObjectId --parameters credential.json

登录到 Azure 门户并执行以下步骤。

客户在客户租户中安装服务提供商应用程序

若要在客户的租户中安装服务提供商的已注册应用程序，请从已注册的应用创建具有应用程序 ID 的服务主体。 可以通过以下任一方式创建服务主体：

• 使用 Microsoft Graph、Microsoft Graph PowerShell、Azure PowerShell或 Azure CLI 手动创建服务主体。
• 构造管理员同意 URL，并授予租户范围的同意，以创建服务主体。 需要向他们提供 AppId。

客户创建密钥保管库

若要创建密钥保管库，必须为用户帐户分配“密钥保管库参与者”角色或其他允许创建密钥保管库的角色。

1. 在 Azure 门户菜单或主页中，选择“+ 创建资源”。 在“搜索”框中输入“密钥保管库”。 从结果列表中选择“密钥保管库”。 在“密钥保管库”页上，选择“创建”。

2. 在“基本信息”选项卡中选择一个订阅。 在“资源组”下选择“新建”，然后输入资源组名称。

3. 为“密钥保管库”输入唯一的名称。

4. 选择区域和定价层。

5. 为新的密钥保管库启用清除保护。

6. 在“访问策略”选项卡上，为“权限模型”选择“Azure 基于角色的访问控制”。

7. 选择“查看 + 创建”，然后选择“创建” 。

   

记下密钥保管库名称和 URI。访问密钥保管库的应用程序必须使用此 URI。

有关详细信息，请参阅快速入门 - 使用 Azure 门户创建 Azure 密钥保管库。

客户将“密钥保管库加密管理人员”角色分配给用户帐户

此步骤确保你可以创建加密密钥。

1. 导航到密钥保管库，然后从左窗格中选择“访问控制(IAM)”。
2. 在“授予对此资源的访问权限”下选择“添加角色分配”。
3. 搜索并选择“密钥保管库加密管理人员”。
4. 在“成员”下，选择“用户、组或服务主体”。
5. 选择“成员”并搜索用户帐户。
6. 选择“查看 + 分配”。

客户创建加密密钥

若要创建加密密钥，必须为用户帐户分配“密钥保管库加密管理人员”角色或其他允许创建密钥的角色。

1. 在密钥保管库属性页中，选择“密钥”。
2. 选择“生成/导入”。
3. 在“创建密钥”屏幕上，指定密钥的名称。 让其他值保留默认设置。
4. 选择“创建”。
5. 复制密钥 URI。

客户向服务提供商应用程序授予对密钥保管库的访问权限

将 Azure RBAC 角色“密钥保管库加密服务加密用户”分配给服务提供商的已注册应用程序，以便它可以访问密钥保管库。

1. 导航到密钥保管库，然后从左窗格中选择“访问控制(IAM)”。
2. 在“授予对此资源的访问权限”下选择“添加角色分配”。
3. 搜索并选择“密钥保管库加密服务加密用户”。
4. 在“成员”下，选择“用户、组或服务主体”。
5. 选择“成员”，然后从服务提供商处搜索已安装的应用程序的应用程序名称。
6. 选择“查看 + 分配”。

现在可以使用密钥保管库 URI 和密钥配置客户管理的密钥。

若要使用 Azure PowerShell 配置客户端的租户，请安装最新的 Az 模块。 有关如何安装 PowerShell 的详细信息，请参阅使用 PowerShellGet 在 Windows 上安装 Azure PowerShell。

• 如果选择在本地使用 Azure PowerShell：
  • 安装最新版本的 Az PowerShell 模块。
  • 使用 Connect-AzAccount -Environment AzureChinaCloud cmdlet 连接到 Azure 帐户。

客户登录到 Azure

在 Azure PowerShell 中，登录到客户的租户，并将活动订阅设置为客户的订阅。

$customerTenantId="<customer-tenant-id>"
$customerSubscriptionId="<customer-subscription-id>"

# Sign in to Azure in the customer's tenant.
Connect-AzAccount -Environment AzureChinaCloud -Tenant $customerTenantId
# Set the context to the customer's subscription.
Set-AzContext -Subscription $customerSubscriptionId

客户在客户租户中安装服务提供商应用程序

收到服务提供商的多租户应用程序的应用程序 ID 后，请通过创建服务主体将该应用程序安装到租户 Tenant2 中。

在计划创建密钥保管库的租户中执行以下命令。

$customerRgName="<customer-resource-group>"
$customerLocation="<location>"
$multiTenantAppId="<multi-tenant-app-id>" # appId value from Tenant1 

# Create a resource group in the customer's subscription.
New-AzResourceGroup -Location $customerLocation -ResourceGroupName $customerRgName

# Create the service principal with the registered app's application ID (client ID).
$servicePrincipal = New-AzADServicePrincipal -ApplicationId $multiTenantAppId

客户创建密钥保管库

若要创建密钥保管库，必须为客户的帐户分配“密钥保管库参与者”角色或其他允许创建密钥保管库的角色。

$kvName="<key-vault>"

$kv = New-AzKeyVault -Location $customerLocation `
    -Name $kvName `
    -ResourceGroupName $customerRgName `
    -SubscriptionId $customerSubscriptionId `
    -EnablePurgeProtection `
    -EnableRbacAuthorization

客户将“密钥保管库加密管理人员”角色分配给用户帐户

将“密钥保管库加密管理人员”角色分配给用户帐户。 此步骤确保用户可以创建密钥保管库和加密密钥。 以下示例将角色分配给当前登录用户。

$currentUserObjectId = (Get-AzADUser -SignedIn).Id

New-AzRoleAssignment -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $kv.ResourceId `
    -ObjectId $currentUserObjectId

客户创建加密密钥

若要创建加密密钥，必须为用户帐户分配“密钥保管库加密管理人员”角色或其他允许创建密钥的角色。

$keyName="<key-name>"

Add-AzKeyVaultKey -Name $keyName `
    -VaultName $kvName `
    -Destination software

客户向服务提供商应用程序授予对密钥保管库的访问权限

通过之前创建的服务主体将 Azure RBAC 角色“密钥保管库加密服务加密用户”分配给服务提供商的已注册应用程序，以便它可以访问密钥保管库。

New-AzRoleAssignment -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $kv.ResourceId `
    -ObjectId $servicePrincipal.Id

现在可以使用密钥保管库 URI 和密钥配置客户管理的密钥。

• 如需在本地运行 CLI 参考命令，请安装 Azure CLI。 如果在 Windows 或 macOS 上运行，请考虑在 Docker 容器中运行 Azure CLI。 有关详细信息，请参阅如何在 Docker 容器中运行 Azure CLI。

  • 如果使用的是本地安装，请使用 az login 命令登录到 Azure CLI。 若要完成身份验证过程，请遵循终端中显示的步骤。 有关其他登录选项，请参阅使用 Azure CLI 登录。

  • 出现提示时，请在首次使用时安装 Azure CLI 扩展。 有关扩展详细信息，请参阅使用 Azure CLI 的扩展。

  • 运行 az version 以查找安装的版本和依赖库。 若要升级到最新版本，请运行 az upgrade。

客户登录到 Azure

登录到 Azure 以使用 Azure CLI。

az login

客户在客户租户中安装服务提供商应用程序

收到服务提供商的多租户应用程序的应用程序 ID 后，请使用以下命令将该应用程序安装到租户 Tenant2 中。 安装应用程序会在租户中创建服务主体。

在计划创建密钥保管库的租户中执行以下命令。

# Create the service principal with the registered app's application ID (client ID)
multiTenantAppId="<multi-tenant-app-id>"
az ad sp create --id $multiTenantAppId --query id --out tsv

客户创建密钥保管库

若要创建密钥保管库，必须为客户的帐户分配“密钥保管库参与者”角色或其他允许创建密钥保管库的角色。

customerSubscriptionId="<customer-subscription-id>"
customerRgName="<customer-resource-group>"
customerLocation="<location>"
kvName="<key-vault>"

az group create --location $customerLocation \
    --name $customerRgName

az keyvault create --name $kvName \
    --location $customerLocation \
    --resource-group $customerRgName \
    --subscription $customerSubscriptionId \
    --enable-purge-protection true \
    --enable-rbac-authorization true

客户将“密钥保管库加密管理人员”角色分配给用户帐户

此步骤确保你可以创建密钥保管库和加密密钥。

currentUserObjectId=$(az ad signed-in-user show --query id --output tsv)

kvResourceId=$(az keyvault show --resource-group $customerRgName \
    --name $kvName \
    --query id \
    --output tsv)

az role assignment create --role "Key Vault Crypto Officer" \
    --scope $kvResourceId \
    --assignee-object-id $currentUserObjectId

客户创建加密密钥

若要创建加密密钥，必须为用户帐户分配“密钥保管库加密管理人员”角色或其他允许创建密钥的角色。

keyName="<key-name>"
az keyvault key create --name $keyName --vault-name $kvName

客户向服务提供商应用程序授予对密钥保管库的访问权限

通过之前创建的服务主体将 Azure RBAC 角色“密钥保管库加密服务加密用户”分配给服务提供商的已注册应用程序，以便已注册应用程序可以访问密钥保管库。

servicePrincipalId=$(az ad sp show --id $multiTenantAppId --query id --output tsv)

az role assignment create --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId \
    --assignee-object-id $servicePrincipalId

现在可以使用密钥保管库 URI 和密钥配置客户管理的密钥。

若要在 Azure 门户中为新存储帐户配置跨租户客户管理的密钥，请执行以下步骤：

1. 在 Azure 门户中，导航到 ISV 租户的“存储帐户”页，然后选择“创建”按钮以创建新帐户。

2. 按照创建存储帐户中概述的步骤填写“基本信息”、“高级”、“网络”和“数据保护”选项卡上的字段。

3. 在“加密”选项卡上的“启用对客户管理的密钥的支持”字段中，指示要为哪些服务启用对客户管理的密钥的支持。

4. 在“加密类型”字段中，选择“客户管理的密钥(CMK)”。

5. 在“加密密钥”字段中，选择“从密钥保管库输入密钥”，然后指定密钥 URI。 如果希望 Azure 存储自动检查是否存在新的密钥版本并更新，请省略 URI 中的密钥版本。

6. 对于“用户分配的标识”字段，搜索之前在 ISV 租户中创建的用户分配的托管标识。

7. 展开“高级”部分，然后选择之前在 ISV 租户中创建的多租户注册的应用程序。

   

8. 选择“查看”按钮以验证并创建帐户。

若要在 PowerShell 中为新存储帐户配置跨租户客户管理的密钥，请先安装 5.1.0 版本或更高版本的 Az.Storage PowerShell 模块。 此模块随 AZ PowerShell 模块版本 9.1.0 或更高版本一起安装。

接下来，调用 New-AzStorageAccount，为以前在 ISV 的订阅中配置的用户分配的托管标识提供资源 ID，为之前在 ISV 订阅中配置的多租户应用程序提供应用程序（客户端）ID。 提供客户密钥保管库中的密钥保管库 URI 和密钥名称。

请记得将括号中的占位符值替换为自己的值，并使用前面示例中定义的变量。

$accountName = "<account-name>"
$kvUri = "<key-vault-uri>"
$keyName = "<keyName>"
$location = "<location>"
$multiTenantAppId = "<application-id>" # appId value from multi-tenant app

$userIdentity = Get-AzUserAssignedIdentity -Name <user-assigned-identity> -ResourceGroupName $rgName

New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Kind StorageV2 `
    -SkuName Standard_LRS `
    -Location $location `
    -AllowBlobPublicAccess $false `
    -UserAssignedIdentityId $userIdentity.Id `
    -IdentityType SystemAssignedUserAssigned `
    -KeyName $keyName `
    -KeyVaultUri $kvUri `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id `
    -KeyVaultFederatedClientId $multiTenantAppId 

若要使用 Azure CLI 为新存储帐户配置跨租户客户管理的密钥，请先安装 Azure CLI 版本 2.42.0 或更高版本。 有关安装 Azure CLI 的详细信息，请参阅如何安装 Azure CLI。

接下来，调用 az 存储帐户创建，为以前在 ISV 的订阅中配置的用户分配的托管标识提供资源 ID，为之前在 ISV 订阅中配置的多租户应用程序提供应用程序（客户端）ID。 提供客户密钥保管库中的密钥保管库 URI 和密钥名称。

请记得将括号中的占位符值替换为自己的值，并使用前面示例中定义的变量。

accountName="<storage-account>"
kvUri="<key-vault-uri>"
keyName="<key-name>"
multiTenantAppId="<multi-tenant-app-id>" # appId value from multi-tenant app

# Get the resource ID for the user-assigned managed identity.
identityResourceId=$(az identity show --name $managedIdentity \
    --resource-group $isvRgName \
    --query id \
    --output tsv)

az storage account create \
    --name $accountName \
    --resource-group $isvRgName \
    --location $isvLocation \
    --sku Standard_LRS \
    --kind StorageV2 \
    --allow-blob-public-access false \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-vault $kvUri \
    --encryption-key-name $keyName \
    --encryption-key-source Microsoft.Keyvault \
    --key-vault-user-identity-id $identityResourceId \
    --key-vault-federated-client-id $multiTenantAppId

若要使用 Azure 门户更改密钥，请执行以下步骤：

1. 导航到你的存储帐户，并显示“加密”设置。
2. 选择密钥保管库并选择一个新密钥。
3. 保存更改。

若要使用 PowerShell 更改密钥，请调用 Set-AzStorageAccount，并提供新的密钥名称和版本。 如果新密钥位于不同的密钥保管库中，则还必须更新密钥保管库 URI。

若要使用 Azure CLI 更改密钥，请调用 az storage account update 并提供新的密钥名称和版本。 如果新密钥位于不同的密钥保管库中，则还必须更新密钥保管库 URI。

若要使用 Azure 门户禁用客户管理的密钥，请执行以下步骤：

1. 导航到包含该密钥的密钥保管库。

2. 选择“对象”下的“密钥”。

3. 右键单击密钥并选择“禁用”。

   

若要使用 PowerShell 撤销客户管理的密钥，请调用 Update-AzKeyVaultKey 命令，如以下示例所示。 请记得将括号中的占位符值替换为自己的值以定义变量，或使用前面示例中定义的变量。

$kvName  = "<key-vault-name>"
$keyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it

# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $keyName -VaultName $kvName

# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $kvName -Name $keyName -Enable $enabled

若要使用 Azure CLI 撤销客户管理的密钥，请调用 az keyvault key set-attributes 命令，如以下示例所示。 请记得将括号中的占位符值替换为自己的值以定义变量，或使用前面示例中定义的变量。

kvName="<key-vault-name>"
keyName="<key-name>"
enabled="false"
# "false" to disable the key / "true" to enable it:

# Check the current state of the key (before and after enabling/disabling it)
az keyvault key show \
    --vault-name $kvName \
    --name $keyName

# Disable (or enable) the key
az keyvault key set-attributes \
    --vault-name $kvName \
    --name $keyName \
    --enabled $enabled

若要在 Azure 门户中从客户管理的密钥切换回 Microsoft 管理的密钥，请执行以下步骤：

1. 导航到存储帐户。

2. 在“安全 + 网络”下，选择“加密”。

3. 将“加密类型”更改为“Microsoft 管理的密钥”。

   

若要使用 PowerShell 从客户管理的密钥切换回 Microsoft 管理的密钥，请使用 -StorageEncryption 选项调用 Set-AzStorageAccount，如以下示例所示。 请记得将括号中的占位符值替换为自己的值，并使用前面示例中定义的变量。

Set-AzStorageAccount -ResourceGroupName $storageAccount.ResourceGroupName `
    -AccountName $storageAccount.StorageAccountName `
    -StorageEncryption  

若要使用 Azure CLI 从客户管理的密钥切换回 Microsoft 管理的密钥，请调用 az storage account update 并将 --encryption-key-source parameter 设置为 Microsoft.Storage，如以下示例所示。 请记得将括号中的占位符值替换为自己的值，并使用前面示例中定义的变量。

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-source Microsoft.Storage