使用客户管理的密钥进行 Azure 存储帐户加密

Posted

技术标签:

【中文标题】使用客户管理的密钥进行 Azure 存储帐户加密【英文标题】:Azure storage account encryption with customer managed keys 【发布时间】:2020-08-22 22:21:46 【问题描述】:

我已将以下属性添加到 arm 模板 (link) 以创建存储帐户并使用客户管理的密钥对其进行加密。

"keySource": "Microsoft.Keyvault",
"keyvaultproperties": 
    "keyname": "xxxx",
     "keyversion": "xxxxxx",
     "keyvaulturi": "xxxxxxx"

但是当我尝试创建这个资源时,我得到了

“缺少启用 EncryptionAtRest/客户管理的先决条件 此存储帐户的密钥。”

【问题讨论】:

我知道解决方案,但似乎你从不接受别人的回答。:-( 【参考方案1】:

原因是存储帐户服务主体(托管标识)无权访问 Azure 密钥保管库中的加密密钥。在创建存储帐户(服务主体 - 托管身份)之前,您无法提前授予访问权限。

但我看到存储帐户托管标识不是自动创建的。它是在我们启用加密时创建的。

【讨论】:

以上是关于使用客户管理的密钥进行 Azure 存储帐户加密的主要内容,如果未能解决你的问题,请参考以下文章

是否可以使用密钥保管库加密文件并使用“Azure 存储数据移动库”将其存储在存储帐户中

使用 Blob 服务客户端查找 azure 帐户密钥失败(azure python sdk)

不使用 KeyVault 的 Azure 表存储客户端加密

Azure 存储帐户 - 容器级访问和 ACL

Azure 存储客户端加密

无法使用 Azure Fluent 获取存储帐户密钥