在同一租户中为现有存储帐户配置客户管理的密钥

若要了解如何使用 Azure 门户创建密钥保管库，请参阅快速入门：使用 Azure 门户创建密钥保管库。 创建密钥保管库时，选择“启用清除保护”，如下图所示。

若要在现有密钥保管库上启用清除保护，请执行以下步骤：

1. 在 Azure 门户中导航到密钥保管库。
2. 在“设置”下面，选择“属性”。
3. 在“清除保护”部分，选择“启用清除保护” 。

若要使用 PowerShell 创建新密钥保管库，请安装 Az.KeyVault PowerShell 模块的版本 2.0.0 或更高版本。 然后调用 New-AzKeyVault 来创建新密钥保管库。 在 Az.KeyVault 模块的版本 2.0.0 和更高版本中，当创建新密钥保管库时，默认会启用软删除。

以下示例创建一个启用了软删除和清除保护的新密钥保管库。 密钥保管库的权限模型设置为使用 Azure RBAC。 请记得将括号中的占位符值替换为你自己的值。

$rgName = "<resource_group>"
$location = "<location>"
$kvName = "<key-vault>"

$keyVault = New-AzKeyVault -Name $kvName `
    -ResourceGroupName $rgName `
    -Location $location `
    -EnablePurgeProtection `
    -EnableRbacAuthorization

若要了解如何使用 PowerShell 对现有密钥保管库启用清除保护，请参阅 Azure Key Vault 恢复概述。

创建密钥保管库后，你需要将“密钥保管库加密管理人员”角色分配给自己。 使用此角色可以在密钥保管库中创建密钥。 以下示例将此角色分配给用户，范围限定为密钥保管库：

New-AzRoleAssignment -SignInName "<user-email>" `
    -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $keyVault.ResourceId

若要详细了解如何使用 PowerShell 来分配 RBAC 角色，请参阅使用 Azure PowerShell 分配 Azure 角色。

若要使用 Azure CLI 创建新的 Key Vault，请调用 az keyvault create。 以下示例创建一个启用了软删除和清除保护的新密钥保管库。 密钥保管库的权限模型设置为使用 Azure RBAC。 请记得将括号中的占位符值替换为你自己的值。

rgName="<resource_group>"
location="<location>"
kvName="<key-vault>"

az keyvault create \
    --name $kvName \
    --resource-group $rgName \
    --location $location \
    --enable-purge-protection \
    --enable-rbac-authorization

若要了解如何使用 Azure CLI 对现有密钥保管库启用清除保护，请参阅 Azure Key Vault 恢复概述。

创建密钥保管库后，你需要将“密钥保管库加密管理人员”角色分配给自己。 使用此角色可以在密钥保管库中创建密钥。 以下示例将此角色分配给用户，范围限定为密钥保管库：

kvResourceId=$(az keyvault show --resource-group $rgName \
    --name $kvName \
    --query id \
    --output tsv)

az role assignment create --assignee "<user-email>" \
    --role "Key Vault Crypto Officer" \
    --scope $kvResourceId

若要详细了解如何使用 Azure CLI 分配 RBAC 角色，请参阅使用 Azure CLI 分配 Azure 角色。

若要了解如何使用 Azure 门户添加密钥，请参阅快速入门：使用 Azure 门户在 Azure Key Vault 中设置和检索密钥中的说明创建密钥保管库。

若要使用 PowerShell 添加密钥，请调用 Add-AzKeyVaultKey。 请记得将括号中的占位符值替换为自己的值，并使用前面示例中定义的变量。

$keyName = "<key-name>"

$key = Add-AzKeyVaultKey -VaultName $keyVault.VaultName `
    -Name $keyName `
    -Destination 'Software'

若要使用 Azure CLI 添加密钥，请调用 az keyvault key create。 请记得将括号中的占位符值替换为你自己的值。

keyName="<key-name>"

az keyvault key create \
    --name $keyName \
    --vault-name $kvName

必须先将“密钥保管库加密服务加密用户”角色分配给用户分配的托管标识（范围是密钥保管库），然后才能使用用户分配的托管标识配置客户管理的密钥。 此角色授予用户分配的托管标识访问密钥保管库中的密钥的权限。 若要详细了解如何使用 Azure 门户分配 Azure RBAC 角色，请参阅使用 Azure 门户分配 Azure 角色。

使用 Azure 门户配置客户管理的密钥时，可以通过门户用户界面选择现有的用户分配的标识。

以下示例显示了如何检索用户分配的托管标识并向其分配所需的 RBAC 角色（范围是密钥保管库）。 请记得将括号中的占位符值替换为自己的值，并使用前面示例中定义的变量：

$userIdentity = Get-AzUserAssignedIdentity -Name <user-assigned-identity> `
    -ResourceGroupName $rgName

$principalId = $userIdentity.PrincipalId

New-AzRoleAssignment -ObjectId $principalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

以下示例显示了如何检索用户分配的托管标识并向其分配所需的 RBAC 角色（范围是密钥保管库）。 请记得将括号中的占位符值替换为自己的值，并使用前面示例中定义的变量：

identityResourceId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query id \
    --output tsv)

principalId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query principalId \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId \
    --assignee-principal-type ServicePrincipal

必须先将“密钥保管库加密服务加密用户”角色分配给系统分配的托管标识（范围是密钥保管库），然后才能使用系统分配的托管标识配置客户管理的密钥。 此角色授予系统分配的托管标识访问密钥保管库中的密钥的权限。 若要详细了解如何使用 Azure 门户分配 Azure RBAC 角色，请参阅使用 Azure 门户分配 Azure 角色。

使用系统分配的托管标识在 Azure 门户中配置客户管理的密钥时，系统会在后台将系统分配的托管标识分配给存储帐户。

若要将系统分配的托管标识分配给存储帐户，请先调用 Set-AzStorageAccount：

$accountName = "<storage-account>"

$storageAccount = Set-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -AssignIdentity

接下来，为系统分配的托管标识分配所需的 RBAC 角色（范围是密钥保管库）。 请记得将括号中的占位符值替换为自己的值，并使用前面示例中定义的变量：

$principalId = $storageAccount.Identity.PrincipalId

New-AzRoleAssignment -ObjectId $storageAccount.Identity.PrincipalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

若要使用系统分配的托管标识来验证对密钥保管库的访问，请先通过调用 az storage account update 将系统分配的托管标识分配给存储帐户：

accountName="<storage-account>"

az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --assign-identity

接下来，为系统分配的托管标识分配所需的 RBAC 角色（范围是密钥保管库）。 请记得将括号中的占位符值替换为自己的值，并使用前面示例中定义的变量：

principalId=$(az storage account show --name $accountName \
    --resource-group $rgName \
    --query identity.principalId \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId

若要在 Azure 门户中通过自动更新密钥版本为现有帐户配置客户管理的密钥，请执行以下步骤：

1. 导航到存储帐户。

2. 在“安全 + 网络”下，选择“加密”。 默认情况下，密钥管理设置为“Microsoft 管理的密钥”，如下图所示：

   

3. 选择“客户管理的密钥”选项。 如果帐户之前已针对“客户管理的密钥”配置了手动更新密钥版本的功能，请选择页面底部附近的“更改密钥”。

4. 选择“从 Key Vault 中选择”选项。

5. 选择“选择密钥保管库和密钥”。

6. 选择包含要使用的密钥的密钥保管库。 你还可以创建新的密钥保管库。

7. 从密钥保管库中选择密钥。 还可以创建新密钥。

   

8. 选择用于验证对密钥保管库的访问的标识的类型。 选项包括系统分配（默认）或用户分配 。 若要详细了解每种类型的托管标识，请参阅托管标识类型。

   1. 如果选择“系统分配”，则将在后台创建存储帐户的系统分配的托管标识（如果尚不存在）。
   2. 如果选择“用户分配”，则必须选择有权访问密钥保管库的现有用户分配标识。 若要了解如何创建用户分配的标识，请参阅管理用户分配的托管标识。

   

9. 保存所做更改。

指定密钥后，Azure 门户会指示启用密钥版本的自动更新，并显示当前用于加密的密钥版本。 门户还显示用于授权访问密钥保管库的托管标识的类型和托管标识的主体 ID。

若要使用 PowerShell 通过自动更新密钥版本为现有帐户配置客户管理的密钥，请安装 Az.Storage 模块 2.0.0 或更高版本。

接下来，调用 Set-AzStorageAccount 以更新存储帐户的加密设置。 包括 KeyvaultEncryption 参数，以便为存储帐户启用客户管理的密钥，并将 KeyVersion 设置为空字符串以启用自动更新密钥版本的功能。 如果之前已为具有特定密钥版本的客户管理的密钥配置存储帐户，则将密钥版本设置为空字符串后，会启用在将来自动更新密钥版本的功能。

$accountName = "<storage-account>"

# Use this form of the command with a user-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyvaultEncryption `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion "" `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

# Use this form of the command with a system-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -KeyvaultEncryption `
    -KeyName $key.Name `
    -KeyVersion "" `
    -KeyVaultUri $keyVault.VaultUri

若要使用 Azure CLI 通过自动更新密钥版本为现有帐户配置客户管理的密钥，请安装 Azure CLI 2.4.0 或更高版本。 有关详细信息，请参阅安装 Azure CLI。

接下来，调用 az storage account update 以更新存储帐户的加密设置。 包括 --encryption-key-source 参数并将它设置为 Microsoft.Keyvault 以便为帐户启用客户管理的密钥，同时将 encryption-key-version 设置为空字符串以启用自动更新密钥版本的功能。 如果之前已为具有特定密钥版本的客户管理的密钥配置存储帐户，则将密钥版本设置为空字符串后，会启用在将来自动更新密钥版本的功能。

accountName="<storage-account>"

keyVaultUri=$(az keyvault show \
    --name $kvName \
    --resource-group $rgName \
    --query properties.vaultUri \
    --output tsv)

# Use this form of the command with a user-assigned managed identity.
az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-name $keyName \
    --encryption-key-version "" \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $keyVaultUri \
    --key-vault-user-identity-id $identityResourceId

# Use this form of the command with a system-assigned managed identity.
az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --encryption-key-name $keyName \
    --encryption-key-version "" \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $keyVaultUri

若要在 Azure 门户中配置客户管理的密钥并手动更新密钥版本，请指定密钥 URI，包括版本。 若要将某个密钥指定为 URI，请执行下列步骤：

1. 若要在 Azure 门户中查找密钥 URI，请导航到 Key Vault，然后选择“密钥”设置。 选择所需的密钥，然后选择该密钥以查看其版本。 选择一个密钥版本，查看该版本的设置。

2. 复制“密钥标识符”字段的值（提供 URI）。

   

3. 在存储帐户的“加密密钥”设置中，选择“输入密钥 URI”选项。

4. 将复制的 URI 粘贴到“密钥 URI”字段中。 从 URI 中省略密钥版本，以启用自动更新密钥版本。

   

5. 指定包含密钥保管库的订阅。

6. 指定系统分配或用户分配的托管标识。

7. 保存所做更改。

若要配置客户管理的密钥并手动更新密钥版本，请在为存储帐户配置加密时显式提供密钥版本。 调用 AzStorageAccount 以更新存储帐户的加密设置（如以下示例所示），并包含 -KeyvaultEncryption 选项，以便为存储帐户启用客户管理的密钥。

请记得将括号中的占位符值替换为自己的值，并使用前面示例中定义的变量。

$accountName = "<storage-account>"

# Use this form of the command with a user-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyvaultEncryption `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

# Use this form of the command with a system-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -KeyvaultEncryption `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version

手动更新密钥版本时，需要更新存储帐户的加密设置以使用新版本。 首先调用 Get-AzKeyVaultKey 以获取最新密钥版本。 然后调用 Set-AzStorageAccount 来更新存储帐户的加密设置，以使用该密钥的新版本，如前面示例所示。

若要配置客户管理的密钥并手动更新密钥版本，请在为存储帐户配置加密时显式提供密钥版本。 请调用 az storage account update，以便更新存储帐户的加密设置，如以下示例所示。 包括 --encryption-key-source 参数并将其设置为 Microsoft.Keyvault 即可为帐户启用客户管理的密钥。

请记得将括号中的占位符值替换为你自己的值。

accountName="<storage-account>"

keyVaultUri=$(az keyvault show \
    --name $kvName \
    --resource-group $rgName \
    --query properties.vaultUri \
    --output tsv)

keyVersion=$(az keyvault key list-versions \
    --name $keyName \
    --vault-name $kvName \
    --query [-1].kid \
    --output tsv | cut -d '/' -f 6)

# Use this form of the command with a user-assigned managed identity
az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-name $keyName \
    --encryption-key-version $keyVersion \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $keyVaultUri \
    --key-vault-user-identity-id $identityResourceId

# Use this form of the command with a system-assigned managed identity
az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --encryption-key-name $keyName \
    --encryption-key-version $keyVersion \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $keyVaultUri

手动更新密钥版本时，需要更新存储帐户的加密设置以使用新版本。 首先，通过调用 az keyvault show 查询 Key Vault URI，并通过调用 az keyvault key list-versions 查询密钥版本。 然后调用 az storage account update 来更新存储帐户的加密设置，以使用新的密钥版本，如上一示例所示。

若要使用 Azure 门户更改密钥，请执行以下步骤：

1. 导航到你的存储帐户，并显示“加密”设置。
2. 选择密钥保管库并选择一个新密钥。
3. 保存更改。

若要使用 PowerShell 更改密钥，请调用 Set-AzStorageAccount，并提供新的密钥名称和版本。 如果新密钥位于不同的密钥保管库中，则还必须更新密钥保管库 URI。

若要使用 Azure CLI 更改密钥，请调用 az storage account update 并提供新的密钥名称和版本。 如果新密钥位于不同的密钥保管库中，则还必须更新密钥保管库 URI。

若要使用 Azure 门户禁用客户管理的密钥，请执行以下步骤：

1. 导航到包含该密钥的密钥保管库。

2. 选择“对象”下的“密钥”。

3. 右键单击密钥并选择“禁用”。

   

若要使用 PowerShell 撤销客户管理的密钥，请调用 Update-AzKeyVaultKey 命令，如以下示例所示。 请记得将括号中的占位符值替换为自己的值以定义变量，或使用前面示例中定义的变量。

$kvName  = "<key-vault-name>"
$keyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it

# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $keyName -VaultName $kvName

# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $kvName -Name $keyName -Enable $enabled

若要使用 Azure CLI 撤销客户管理的密钥，请调用 az keyvault key set-attributes 命令，如以下示例所示。 请记得将括号中的占位符值替换为自己的值以定义变量，或使用前面示例中定义的变量。

kvName="<key-vault-name>"
keyName="<key-name>"
enabled="false"
# "false" to disable the key / "true" to enable it:

# Check the current state of the key (before and after enabling/disabling it)
az keyvault key show \
    --vault-name $kvName \
    --name $keyName

# Disable (or enable) the key
az keyvault key set-attributes \
    --vault-name $kvName \
    --name $keyName \
    --enabled $enabled

若要在 Azure 门户中从客户管理的密钥切换回 Microsoft 管理的密钥，请执行以下步骤：

1. 导航到存储帐户。

2. 在“安全 + 网络”下，选择“加密”。

3. 将“加密类型”更改为“Microsoft 管理的密钥”。

   

若要使用 PowerShell 从客户管理的密钥切换回 Microsoft 管理的密钥，请使用 -StorageEncryption 选项调用 Set-AzStorageAccount，如以下示例所示。 请记得将括号中的占位符值替换为自己的值，并使用前面示例中定义的变量。

Set-AzStorageAccount -ResourceGroupName $storageAccount.ResourceGroupName `
    -AccountName $storageAccount.StorageAccountName `
    -StorageEncryption  

若要使用 Azure CLI 从客户管理的密钥切换回 Microsoft 管理的密钥，请调用 az storage account update 并将 --encryption-key-source parameter 设置为 Microsoft.Storage，如以下示例所示。 请记得将括号中的占位符值替换为自己的值，并使用前面示例中定义的变量。

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-source Microsoft.Storage