Wie man verwaltete Identitäten und rollenbasierte Zugriffskontrolle einsetzt, um Sicherheit und Speicher für eine neue Firmen-App bereitzustellen.

Um die Fähigkeitsaufgaben abzuschließen, beginnen Sie mit der Erstellung eines Speicherkontos und einer verwalteten Identität. Im Azure-Portal suchen Sie nach "Speicherkonten", wählen "Erstellen" und geben ein einzigartigen Namen für das Speicherkonto ein. Stellen Sie sicher, dass die Infrastrukturverschlüsselung aktiviert ist, und wählen Sie "Überprüfen + Erstellen", um die Ressource zu bereitstellen. Als nächstes erstellen Sie eine verwaltete Identität, indem Sie nach "Verwaltete Identitäten" suchen, "Erstellen" auswählen und die richtigen Berechtigungen zuweisen, insbesondere die Rolle "Storage Blob Data Reader". Um den Zugriff auf das Speicherkonto zu sichern, erstellen Sie ein Schlüsseltresor und einen Schlüssel, indem Sie nach "Schlüsseltresore" suchen, "Erstellen" auswählen und ein einzigartigen Namen für das Schlüsseltresor ein. Stellen Sie sicher, dass Azure-Rollenbasierte Zugriffssteuerung ausgewählt ist, und überprüfen Sie die Bereitstellung. Nach der Bereitstellung erstellen Sie einen kundenseitig verwalteten Schlüssel im Schlüsseltresor, indem Sie auf die Schaltfläche "Schlüssel" klicken, einen Schlüssel generieren oder importieren und den Schlüssel benennen. Konfigurieren Sie das Speicherkonto, um den kundenseitig verwalteten Schlüssel zu verwenden, indem Sie der verwalteten Identität die Rolle "Key Vault Crypto Service Encryption User" zuweisen. Dann kehren Sie zum Speicherkonto zurück, wählen die Schaltfläche "Verschlüsselung" und wählen "Kundenseitig verwaltete Schlüssel". Wählen Sie das Schlüsseltresor und den Schlüssel aus, bestätigen Sie die Auswahl und wählen Sie die verwaltete Identität. Schließlich konfigurieren Sie eine zeitbasierte Aufbewahrungsrichtlinie und einen Verschlüsselungsbereich. Erstellen Sie ein Container mit dem Namen "hold", laden Sie eine Datei hoch und fügen Sie eine zeitbasierte Aufbewahrungsrichtlinie mit einer Aufbewahrungsfrist von 5 Tagen hinzu. Überprüfen Sie, dass die Datei aufgrund der Richtlinie nicht gelöscht werden kann. Dann erstellen Sie einen Verschlüsselungsbereich, der die Infrastrukturverschlüsselung aktiviert, geben ihm einen Namen und setzen die Infrastrukturverschlüsselung auf "Aktivieren". Wenden Sie den Verschlüsselungsbereich auf einen neuen Container an, um die Infrastrukturverschlüsselung für alle Blobs im Container zu aktivieren.