Erstellen einer verwalteten Azure-Anwendung, die das mit dem vom Kunden verwaltete Schlüssel verschlüsselte Speicherkonto bereitstellt

In diesem Artikel wird beschrieben, wie Sie eine azure Managed Application erstellen, die ein speicherbasiertes Konto bereitstellt, das mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist. Speicherkonto, Cosmos DB und Azure-Datenbank für Postgres unterstützen ruhende Datenverschlüsselung mithilfe von vom Kunden verwalteten Schlüsseln oder von Microsoft verwalteten Schlüsseln. Sie können Ihren eigenen Verschlüsselungsschlüssel verwenden, um die Daten in Ihrem Speicherkonto zu schützen. Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, wird dieser Schlüssel verwendet, um den Zugriff auf den Schlüssel zu schützen und zu steuern, der Ihre Daten verschlüsselt. Vom Kunden verwaltete Schlüssel bieten eine größere Flexibilität beim Verwalten von Zugriffssteuerungen.

Voraussetzungen

• Ein Azure-Konto mit einem aktiven Abonnement und Berechtigungen für Microsoft Entra-Ressourcen wie Benutzer, Gruppen oder Dienstprinzipale. Wenn Sie nicht über ein Konto verfügen, erstellen Sie ein kostenloses Konto , bevor Sie beginnen.
• Visual Studio Code mit der neuesten Azure Resource Manager Tools-Erweiterung. Installieren Sie für Bicep-Dateien die Bicep-Erweiterung für Visual Studio Code.
• Installieren Sie die neueste Version von Azure PowerShell oder Azure CLI.
• Machen Sie sich mit dem Erstellen und Bereitstellen einer Dienstkatalogdefinition vertraut.

Verwaltete Identitäten

Das Konfigurieren eines vom Kunden verwalteten Schlüssels für ein Speicherkonto, das von der verwalteten Anwendung als Ressource innerhalb der verwalteten Ressourcengruppe bereitgestellt wird, erfordert eine vom Benutzer zugewiesene verwaltete Identität. Diese vom Benutzer zugewiesene verwaltete Identität kann verwendet werden, um der verwalteten Anwendung Zugriff auf andere vorhandene Ressourcen zu gewähren. Informationen zum Konfigurieren Ihrer verwalteten Anwendung mit einer vom Benutzer zugewiesenen verwalteten Identität finden Sie unter Azure Managed Application mit verwalteter Identität.

Ihrer Anwendung können zwei Arten von Identitäten zugewiesen werden:

• Ihrer Anwendung wird eine vom System zugewiesene verwaltete Identität zugewiesen und gelöscht, wenn Ihre App gelöscht wird. Eine App kann nur über eine vom System zugewiesene verwaltete Identität verfügen.
• Eine vom Benutzer zugewiesene verwaltete Identität ist eine eigenständige Azure-Ressource , die Ihrer App zugewiesen werden kann. Eine App kann über mehrere vom Benutzer zugewiesene verwaltete Identitäten verfügen.

Um ein Speicherkonto in der verwalteten Ressourcengruppe Ihrer verwalteten Anwendung bereitzustellen, die mit Kundenschlüsseln aus dem vorhandenen Schlüsseltresor verschlüsselt ist, ist eine weitere Konfiguration erforderlich. Die mit Ihrer verwalteten Anwendung konfigurierte verwaltete Identität benötigt die integrierte rollenbasierte Zugriffssteuerungsrolle Operator für verwaltete Identität in Azure für die verwaltete Identität, die Zugriff auf den Schlüsseltresor hat. Weitere Detailinformationen finden Sie unter Rolle „Operator für verwaltete Identität“.

Erstellen eines Schlüsseltresors mit Löschschutz

1. Melden Sie sich beim Azure-Portal an.
2. Wählen Sie im Azure-Portalmenü oder auf der Startseite die Option Ressource erstellen aus.
3. Geben Sie im Suchfeld Key Vault ein.
4. Wählen Sie in der Ergebnisliste Key Vault aus.
5. Wählen Sie im Abschnitt "Key Vault " die Option "Erstellen" aus.
6. Geben Sie im Abschnitt "Schlüsseltresor erstellen" die folgenden Informationen an:
   • Abonnement: Wählen Sie Ihr Abonnement aus.
   • Ressourcengruppe: Wählen Sie "Neu erstellen" aus, und geben Sie einen Namen wie demo-cmek-rg ein.
   • Name: Ein eindeutiger Name ist erforderlich, z. B. demo-keyvault-cmek.
   • Region: Wählen Sie einen Standort wie "Ost-USA" aus.
   • Preisstufe: Wählen Sie " Standard " aus der Dropdownliste aus.
   • Bereinigungsschutz: Wählen Sie " Löschschutz aktivieren" aus.
7. Wählen Sie "Weiter" aus, und wechseln Sie zur Registerkarte " Zugriffsrichtlinie ".
   • Zugriffskonfiguration: Wählen Sie die rollenbasierte Azure-Zugriffssteuerung aus.
   • Übernehmen Sie die Standardwerte für alle anderen Optionen.
8. Klicken Sie auf Überprüfen + erstellen.
9. Bestätigen Sie, dass die Einstellungen korrekt sind, und wählen Sie "Erstellen" aus.

Wählen Sie nach der erfolgreichen Bereitstellung "Zur Ressource wechseln" aus. Notieren Sie sich auf der Registerkarte "Übersicht " die folgenden Eigenschaften:

• Tresorname: Im Beispiel ist der Tresorname demo-keyvault-cmek. Sie verwenden diesen Namen für andere Schritte.
• Tresor-URI: Im Beispiel ist der Tresor-URI https://demo-keyvault-cmek.vault.azure.net/.

Erstellen einer benutzerseitig zugewiesenen verwalteten Identität

Ihrem Konto muss die Rolle „Mitwirkender für verwaltete Identität“ zugewiesen sein, damit eine benutzerseitig zugewiesene verwaltete Identität erstellt werden kann.

1. Geben Sie im Suchfeld verwaltete Identitäten ein.
2. Wählen Sie unter "Dienste " die Option "Verwaltete Identitäten" aus.
3. Wählen Sie "Erstellen" aus, und geben Sie auf der Registerkarte " Grundlagen " die folgenden Werte ein:
   • Abonnement: Wählen Sie Ihr Abonnement aus.
   • Ressourcengruppe: Wählen Sie die Ressourcengruppe demo-cmek-rg aus, die Sie in den vorherigen Schritten erstellt haben.
   • Region: Wählen Sie eine Region wie "Ost-USA" aus.
   • Name: Geben Sie den Namen für Ihre vom Benutzer zugewiesene verwaltete Identität ein, z. B. demokeyvaultmi.
4. Klicken Sie auf Überprüfen + erstellen.
5. Wählen Sie nach der Anzeige der Validierung bestanden die Option Erstellen aus.

Wählen Sie nach einer erfolgreichen Bereitstellung die Option "Zur Ressource wechseln" aus.

Erstellen von Rollenzuweisungen

Sie müssen zwei Rollenzuweisungen für Ihren Schlüsseltresor erstellen. Ausführliche Informationen finden Sie unter Zuweisen von Azure-Rollen mithilfe des Azure-Portals.

Erteilen der Schlüsselberechtigung für den Schlüsseltresor an die verwaltete Identität

Erstellen Sie eine Rollenzuweisung für die verwaltete Identität demokeyvaultmi des Schlüsseltresors, um Schlüssel zu umschließen und zu entpacken.

1. Wechseln Sie zu Ihrem Key Vault demo-cmek-keyvault.
2. Wählen Sie Zugriffssteuerung (IAM) aus.
3. Wählen Sie Hinzufügen>Rollenzuweisung hinzufügen.
4. Weisen Sie die folgende Rolle zu:
   • Rolle: Benutzer des Key Vault Kryptodienstes zur Verschlüsselung
   • Zugriff zuweisen zu: Verwaltete Identität
   • Mitglied: demokeyvaultmi
5. Wählen Sie "Überprüfen" und "Zuweisen " aus, um Ihre Einstellungen anzuzeigen.
6. Wählen Sie "Überprüfen" und "Zuweisen " aus, um die Rollenzuweisung zu erstellen.

Erstellen einer Rollenzuweisung für Ihr Konto

Erstellen Sie eine weitere Rollenzuweisung, damit Ihr Konto einen neuen Schlüssel in Ihrem Schlüsselbund erstellen kann.

1. Weisen Sie die folgende Rolle zu:
   • Rolle: Key Vault Crypto Officer
   • Zugriff zuweisen an: Benutzer-, Gruppe oder Dienstprinzipal
   • Mitglied: Ihr Microsoft Entra-Konto
2. Wählen Sie "Überprüfen" und "Zuweisen " aus, um Ihre Einstellungen anzuzeigen.
3. Wählen Sie "Überprüfen" und "Zuweisen " aus, um die Rollenzuweisung zu erstellen.

Sie können die Rollenzuweisungen des Schlüsseltresors unter Zugriffssteuerung (IAM)>Rollenzuweisungen überprüfen.

Erstellen eines Schlüssels

Sie müssen einen Schlüssel erstellen, den Ihr Schlüsseltresor zum Verschlüsseln eines Speicherkontos verwendet.

1. Wechseln Sie zu Ihrem Key Vault, demo-cmek-keyvault.
2. Wählen Sie Die Tasten aus.
3. Wählen Sie die Option Generieren/Importieren aus.
4. Wählen Sie auf der Seite " Schlüssel erstellen " die folgenden Werte aus:
   • Optionen: Generieren
   • Name: demo-cmek-key
5. Übernehmen Sie die Standardwerte für die anderen Optionen.
6. Wählen Sie "Erstellen" aus.

Notieren Sie sich den Schlüsselnamen. Sie verwenden sie, wenn Sie die verwaltete Anwendung bereitstellen.

Erstellen einer vom Benutzer zugewiesenen verwalteten Identität für die verwaltete Anwendung

Erstellen Sie eine vom Benutzer zugewiesene verwaltete Identität, die als verwaltete Identität für die verwaltete Anwendung verwendet werden soll.

1. Geben Sie im Suchfeld Verwaltete Identitäten ein.
2. Wählen Sie unter "Dienste " die Option "Verwaltete Identitäten" aus.
3. Wählen Sie "Erstellen" aus.
   • Abonnement: Wählen Sie Ihr Abonnement aus.
   • Ressourcengruppe: Wählen Sie die Ressourcengruppe demo-cmek-rg aus.
   • Region: Wählen Sie eine Region wie "Ost-USA" aus.
   • Name: Geben Sie den Namen für Ihre vom Benutzer zugewiesene verwaltete Identität ein, z. B. demomanagedappmi.
4. Klicken Sie auf Überprüfen + erstellen.
5. Wählen Sie nach der Anzeige der Validierung bestanden die Option Erstellen aus.

Wählen Sie nach einer erfolgreichen Bereitstellung die Option "Zur Ressource wechseln" aus.

Zuweisen der Rollenberechtigung zur verwalteten Identität

Weisen Sie der verwalteten Identität die Rolle Operator für verwaltete Identität im Bereich der vom Benutzer zugewiesenen verwalteten Identität namens demokeyvaultmi zu.

1. Wechseln Sie zur vom Benutzer zugewiesenen verwalteten Identität namens demokeyvaultmi.
2. Wählen Sie Access Control (IAM) aus.
3. Wählen Sie Hinzufügen>Rollenzuweisung hinzufügen aus, um den Bereich „Rollenzuweisung hinzufügen“ zu öffnen.
4. Weisen Sie die folgende Rolle zu.
   • Rolle: Verwalteter Identitätsoperator
   • Zugriff zuweisen zu: Verwaltete Identität
   • Mitglied: demomanagedappmi
5. Wählen Sie "Überprüfen" und "Zuweisen " aus, um Ihre Einstellungen anzuzeigen.
6. Wählen Sie "Überprüfen" und "Zuweisen " aus, um die Rollenzuweisung zu erstellen.

Sie können die Rollenzuweisung für demokeyvaultmi in Access Control (IAM)>Rollenzuweisungen überprüfen.

Beispielvorlage für verwaltete Anwendungen

Erstellen Sie eine verwaltete Anwendung, die ein Speicherkonto in einer verwalteten Ressourcengruppe bereitstellt, und verwenden Sie den Schlüssel eines vorhandenen Schlüsseltresors, um die Daten im Speicherkonto zu verschlüsseln.

Führen Sie die folgenden Aufgaben aus, um eine verwaltete Anwendung in Ihrem Dienstkatalog zu veröffentlichen:

1. Erstellen Sie die creatUIDefinition.json Datei aus dem Beispiel in diesem Artikel. Die Vorlage definiert die Benutzeroberflächenelemente des Portals beim Bereitstellen der verwalteten Anwendung.
2. Erstellen Sie eine Azure Resource Manager-Vorlage namens mainTemplate.json , indem Sie die Bicep-Datei in diesen Artikel in JSON konvertieren. Die Vorlage definiert die Ressourcen, die mit der verwalteten Anwendung bereitgestellt werden sollen.
3. Erstellen Sie ein .zip-Paket , das die erforderlichen JSON-Dateien enthält: createUiDefinition.json und mainTemplate.json.
4. Veröffentlichen Sie die definition der verwalteten Anwendung, damit sie in Ihrem Dienstkatalog verfügbar ist. Weitere Informationen finden Sie unter Schnellstart: Erstellen und Veröffentlichen einer Azure Managed Application-Definition.

createUiDefinition.json-Vorlage erstellen

Die folgende Vorlage erstellt eine vom Benutzer zugewiesene verwaltete Identität für die verwaltete Anwendung. In diesem Beispiel deaktivieren wir die systemseitig zugewiesene verwaltete Identität, da die benutzerseitig zugewiesene verwaltete Identität im Voraus mit den Berechtigungen der Rolle Operator für verwaltete Identität für die verwaltete Identität des Schlüsseltresors konfiguriert sein muss.

1. Erstellen Sie eine neue Datei in Visual Studio Code mit dem Namen creatUIDefinition.json.
2. Kopieren Sie den folgenden Code, und fügen Sie ihn in die Datei ein.
3. Speichern Sie die Datei.

{
  "$schema": "https://schema.management.azure.com/schemas/0.1.2-preview/CreateUIDefinition.MultiVm.json#",
  "handler": "Microsoft.Azure.CreateUIDef",
  "version": "0.1.2-preview",
  "parameters": {
    "basics": [],
    "steps": [
      {
        "name": "managedApplicationSetting",
        "label": "Application Settings",
        "subLabel": {
          "preValidation": "Configure your application settings and Managed Identity for the application",
          "postValidation": "Done"
        },
        "bladeTitle": "Application Settings - Config",
        "elements": [
          {
            "name": "appIdentity",
            "type": "Microsoft.ManagedIdentity.IdentitySelector",
            "label": "Managed Identity Configuration for the Application (Needs Managed Identity Operator permissions over KV Managed Identity).",
            "toolTip": {
              "systemAssignedIdentity": "Enable system assigned identity to grant the managed application access to additional existing resources.",
              "userAssignedIdentity": "Add user assigned identities to grant the managed application access to additional existing resources."
            },
            "defaultValue": {
              "systemAssignedIdentity": "Off"
            },
            "options": {
              "hideSystemAssignedIdentity": true,
              "hideUserAssignedIdentity": false,
              "readOnlySystemAssignedIdentity": true
            },
            "visible": true
          }
        ]
      },
      {
        "name": "configuration",
        "type": "Microsoft.Common.Section",
        "label": "Configuration",
        "elements": [
          {
            "name": "cmek",
            "type": "Microsoft.Common.Section",
            "label": "Customer Managed Encryption Key (CMEK)",
            "elements": [
              {
                "name": "cmekEnable",
                "type": "Microsoft.Common.CheckBox",
                "label": "Enable CMEK",
                "toolTip": "Enable to provide a CMEK",
                "constraints": {
                  "required": false
                }
              },
              {
                "name": "cmekKeyVaultUrl",
                "type": "Microsoft.Common.TextBox",
                "label": "Key Vault URL",
                "toolTip": "Specify the CMEK Key Vault URL",
                "defaultValue": "",
                "constraints": {
                  "required": "[steps('configuration').cmek.cmekEnable]",
                  "regex": ".*",
                  "validationMessage": "The value must not be empty."
                },
                "visible": "[steps('configuration').cmek.cmekEnable]"
              },
              {
                "name": "cmekKeyName",
                "type": "Microsoft.Common.TextBox",
                "label": "Key Name",
                "toolTip": "Specify the key name from your key vault.",
                "defaultValue": "",
                "constraints": {
                  "required": "[steps('configuration').cmek.cmekEnable]",
                  "regex": ".*",
                  "validationMessage": "The value must not be empty."
                },
                "visible": "[steps('configuration').cmek.cmekEnable]"
              },
              {
                "name": "cmekKeyIdentity",
                "type": "Microsoft.ManagedIdentity.IdentitySelector",
                "label": "Managed Identity Configuration for Key Vault Access",
                "toolTip": {
                  "systemAssignedIdentity": "Enable system assigned identity to grant the managed application access to additional existing resources.",
                  "userAssignedIdentity": "Add user assigned identities to grant the managed application access to additional existing resources."
                },
                "defaultValue": {
                  "systemAssignedIdentity": "Off"
                },
                "options": {
                  "hideSystemAssignedIdentity": true,
                  "hideUserAssignedIdentity": false,
                  "readOnlySystemAssignedIdentity": true
                },
                "visible": "[steps('configuration').cmek.cmekEnable]"
              }
            ],
            "visible": true
          }
        ]
      }
    ],
    "outputs": {
      "location": "[location()]",
      "managedIdentity": "[steps('managedApplicationSetting').appIdentity]",
      "cmekConfig": {
        "kvUrl": "[if(empty(steps('configuration').cmek.cmekKeyVaultUrl), '', steps('configuration').cmek.cmekKeyVaultUrl)]",
        "keyName": "[if(empty(steps('configuration').cmek.cmekKeyName), '', steps('configuration').cmek.cmekKeyName)]",
        "identityId": "[if(empty(steps('configuration').cmek.cmekKeyIdentity), '', steps('configuration').cmek.cmekKeyIdentity)]"
      }
    }
  }
}

Erstellen einer Vorlage mainTemplate.json

Die folgende Bicep-Datei ist der Quellcode für Ihre mainTemplate.json. Die Vorlage verwendet die benutzerzugewiesene verwaltete Identität, die in der Datei createUiDefinition.json definiert ist.

1. Erstellen Sie eine neue Datei in Visual Studio Code namens "mainTemplate.bicep".
2. Kopieren Sie den folgenden Code, und fügen Sie ihn in die Datei ein.
3. Speichern Sie die Datei.

param cmekConfig object = {
  kvUrl: ''
  keyName: ''
  identityId: {}
}
@description('Specify the Azure region to place the application definition.')
param location string = resourceGroup().location
/////////////////////////////////
// Common Resources Configuration
/////////////////////////////////
var commonproperties = {
  name: 'cmekdemo'
  displayName: 'Common Resources'
  storage: {
    sku: 'Standard_LRS'
    kind: 'StorageV2'
    accessTier: 'Hot'
    minimumTlsVersion: 'TLS1_2'

  }
}
var identity = items(cmekConfig.identityId.userAssignedIdentities)[0].key

resource storage 'Microsoft.Storage/storageAccounts@2022-05-01' = {
  name: '${commonproperties.name}${uniqueString(resourceGroup().id)}'
  location: location
  sku: {
    name: commonproperties.storage.sku
  }
  kind: commonproperties.storage.kind
  identity: cmekConfig.identityId
  properties: {
    accessTier: commonproperties.storage.accessTier
    minimumTlsVersion: commonproperties.storage.minimumTlsVersion
    encryption: {
      identity: {
        userAssignedIdentity: identity
      }
      services: {
        blob: {
          enabled: true
        }
        table: {
          enabled: true
        }
        file: {
          enabled: true
        }
      }
      keySource: 'Microsoft.Keyvault'
      keyvaultproperties: {
        keyname: '${cmekConfig.keyName}'
        keyvaulturi: '${cmekConfig.kvUrl}'
      }
    }
  }
}

Verwenden Sie PowerShell oder Azure CLI, um die mainTemplate.json Datei zu erstellen. Wechseln Sie zum Verzeichnis, in dem Sie Ihre Bicep-Datei gespeichert haben, und führen Sie den build Befehl aus.

bicep build mainTemplate.bicep

az bicep build --file mainTemplate.bicep

Nachdem die Bicep-Datei in JSON konvertiert wurde, sollte Ihre mainTemplate.json Datei mit dem folgenden Beispiel übereinstimmen. Möglicherweise haben Sie unterschiedliche Werte in den metadata Eigenschaften für version und templateHash.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "metadata": {
    "_generator": {
      "name": "bicep",
      "version": "0.16.2.56959",
      "templateHash": "1234567891234567890"
    }
  },
  "parameters": {
    "cmekConfig": {
      "type": "object",
      "defaultValue": {
        "kvUrl": "",
        "keyName": "",
        "identityId": {}
      }
    },
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "Specify the Azure region to place the application definition."
      }
    }
  },
  "variables": {
    "commonproperties": {
      "name": "cmekdemo",
      "displayName": "Common Resources",
      "storage": {
        "sku": "Standard_LRS",
        "kind": "StorageV2",
        "accessTier": "Hot",
        "minimumTlsVersion": "TLS1_2"
      }
    },
    "identity": "[items(parameters('cmekConfig').identityId.userAssignedIdentities)[0].key]"
  },
  "resources": [
    {
      "type": "Microsoft.Storage/storageAccounts",
      "apiVersion": "2022-05-01",
      "name": "[format('{0}{1}', variables('commonproperties').name, uniqueString(resourceGroup().id))]",
      "location": "[parameters('location')]",
      "sku": {
        "name": "[variables('commonproperties').storage.sku]"
      },
      "kind": "[variables('commonproperties').storage.kind]",
      "identity": "[parameters('cmekConfig').identityId]",
      "properties": {
        "accessTier": "[variables('commonproperties').storage.accessTier]",
        "minimumTlsVersion": "[variables('commonproperties').storage.minimumTlsVersion]",
        "encryption": {
          "identity": {
            "userAssignedIdentity": "[variables('identity')]"
          },
          "services": {
            "blob": {
              "enabled": true
            },
            "table": {
              "enabled": true
            },
            "file": {
              "enabled": true
            }
          },
          "keySource": "Microsoft.Keyvault",
          "keyvaultproperties": {
            "keyname": "[format('{0}', parameters('cmekConfig').keyName)]",
            "keyvaulturi": "[format('{0}', parameters('cmekConfig').kvUrl)]"
          }
        }
      }
    }
  ]
}

Bereitstellen der verwalteten Anwendung

Nachdem die Dienstkatalogdefinition erstellt wurde, können Sie die verwaltete Anwendung bereitstellen. Weitere Informationen finden Sie unter Schnellstart: Bereitstellen einer verwalteten Dienstkataloganwendung.

Während der Bereitstellung verwenden Sie Ihre benutzerseitig zugewiesenen verwalteten Identitäten, den Schlüsseltresornamen, die Schlüsseltresor-URL sowie den Schlüsselnamen des Schlüsseltresors. Die createUiDefinition.json Datei erstellt die Verwendungsschnittstelle.

Beispielsweise fügen Sie in einer Portalbereitstellung auf der Registerkarte "Anwendungseinstellungen " das Demomanagedappmi hinzu.

Auf der Registerkarte "Konfiguration " aktivieren Sie den vom Kunden verwalteten Schlüssel und fügen die vom Benutzer zugewiesene verwaltete Identität für den Key Vault, Demokeyvaultmi, hinzu. Außerdem geben Sie die URL des Schlüsseltresors und den Schlüsselnamen des Schlüsseltresors an, den Sie erstellt haben.

Überprüfen Sie die Bereitstellung

Nach Abschluss der Bereitstellung können Sie die Identitätszuweisung der verwalteten Anwendung überprüfen. Die vom Benutzer zugewiesene verwaltete Identität demomanagedappmi wird der verwalteten Anwendung zugewiesen.

1. Wechseln Sie zu der Ressourcengruppe, in der Sie die verwaltete Anwendung bereitgestellt haben.
2. Wählen Sie unter Einstellungen>Identität die Option Benutzerzuweisung (Vorschau) aus.

Sie können auch das Speicherkonto überprüfen, das die verwaltete Anwendung bereitgestellt hat. Auf der Registerkarte " Verschlüsselung " werden der schlüsseldemo-cmek-Schlüssel und die Ressourcen-ID für die vom Benutzer zugewiesene verwaltete Identität angezeigt.

1. Wechseln Sie zur Verwalteten Ressourcengruppe, in der das Speicherkonto der verwalteten Anwendung bereitgestellt wird.
2. Wählen Sie unter "Sicherheit + Netzwerk" die Option "Verschlüsselung" aus.

Nächste Schritte

• Weitere Informationen zur Speicherverschlüsselung finden Sie unter vom Kunden verwalteten Schlüsseln für die Azure Storage-Verschlüsselung.
• Weitere Informationen zur benutzerzugewiesenen verwalteten Identität mit Berechtigungen für den Zugriff auf den Schlüssel im Schlüsseltresor finden Sie unter "Konfigurieren von kundenseitig verwalteten Schlüsseln" im selben Mandanten für ein vorhandenes Speicherkonto.