Как использовать управляемую идентичность и контроль доступа на основе ролей для обеспечения безопасности и хранения данных нового корпоративного приложения.

Чтобы выполнить задачи по навыкам, начните с создания учетной записи хранения и управляемой идентичности. В портал Azure поищите Storage accounts, выберите Create, и предоставьте уникальное имя для учетной записи хранения. Убедитесь, что включено шифрование инфраструктуры, и выберите Review + Create для развертывания ресурса. Затем создайте управляемую идентичность, поискав Managed identities, выберите Create, и назначьте соответствующие разрешения, конкретно роль Storage Blob Data Reader. Чтобы обеспечить безопасный доступ к учетной записи хранения, создайте хранилище ключей и ключ, поискав Key vaults, выберите Create, и предоставьте уникальное имя для хранилища ключей. Убедитесь, что выбрано управление доступом на основе ролей Azure, и просмотрите развертывание. После развертывания создайте пользовательский управляемый ключ в хранилище ключей, выберите лезвие Keys, сгенерируйте или импортируйте ключ и назовите ключ. Настройте учетную запись хранения для использования пользовательского управляемого ключа, назначив роль Key Vault Crypto Service Encryption User управляемой идентичности. Затем вернитесь к учетной записи хранения, выберите лезвие Encryption, и выберите Customer-managed keys. Выберите хранилище ключей и ключ, подтвердите выбор, и выберите управляемую идентичность. Наконец, настройте политику удержания по времени и область шифрования. Создайте контейнер под названием hold, загрузите файл, и добавьте политику удержания по времени с периодом удержания 5 дней. Проверьте, что файл нельзя удалить из-за политики. Затем создайте область шифрования, которая позволяет шифрование инфраструктуры, дайте ей имя и установите Infrastructure encryption на Enable. Примените область шифрования к новому контейнеру, чтобы включить шифрование инфраструктуры для всех blob в контейнере.