演示 - 创建和配置加密与安全应用访问。

在此演示中，我们将探索加密和应用安全。

备注： 在此演示中，你将创建托管标识、密钥保管库和密钥。 为了节省时间，可能需要预先创建这些资源。

创建密钥保管库、密钥和托管标识。

1. 创建新的 Azure 存储帐户。 这将用于显示安全存储功能。

2. [支持幻灯片] 在开始之前，请查看应以何种方式使新的开发人员应用可以安全地访问它所需的存储。 该应用由托管标识访问。 托管标识使用存储在 Azure 密钥保管库中的加密密钥。 Azure 密钥保管库是用于管理密钥、机密和证书的云服务。 此过程使得无需在应用代码中存储安全信息。 并非所有学生都熟悉这些概念。

3. 创建托管标识**。 详细了解托管标识。

4. 创建密钥保管库。 采用默认值（“访问配置”选项卡上除外），确保已选择“Azure 基于角色的访问控制(推荐)”。**** 详细了解 Azure 密钥保管库。

5. 等待密钥保管库部署完成，然后再转到资源**。

6. 在“对象”** 边栏选项卡中，指出“密钥、机密和证书”**。

7. 选择“密钥”**，然后选择“生成/导入”**。

8. 为密钥指定名称**，然后创建** 密钥。 采用默认值。

为托管标识和密钥保管库配置存储帐户，分配权限。

1. 返回到存储帐户。

2. 在“安全 + 网络”** 边栏选项卡中，选择“加密”**。

   • 选择“客户管理的密钥”**。 讨论 Microsoft 管理的密钥与客户管理的密钥之间的差异。 例如，Microsoft 管理的密钥用于自动存储加密和解密。 应用可以使用客户管理的密钥。 详细了解客户管理的密钥。

   • 对于“密钥存储类型”**，请选择“密钥保管库”**。 密钥可以存储在软件（密钥保管库）或硬件（硬件安全模块）中。 我们使用的是密钥保管库。

   • 选择“密钥保管库”** 和“密钥”**。

   • 对于“标识类型”**，选择“系统分配的托管标识”**。 这是用于配置托管标识的默认设置，这样它可以访问密钥保管库。

3. [支持幻灯片] 此时，你已向托管标识授予对密钥保管库的访问权限，并将标识与存储帐户关联。 现在，我们需要向托管标识授予对存储帐户的访问权限。 详细了解 Azure 角色分配。

4. 返回到存储帐户，选择“访问控制(IAM)”**。 详细了解 Azure 内置角色。

   • 依次选择“添加”和“添加角色分配”**。 在“分配类型”** 选项卡上，指出我们正在分配工作职位角色。

   • 移动到“角色”** 选项卡并搜索“Blob”。 选择“存储 Blob 数据读取者”** 角色。

   • 移动到“成员”** 选项卡，并为“托管标识”** 分配访问权限。

   • 选择“选择成员”**，然后选择“用户分配的托管标识”**。

配置不可变存储。

1. [支持幻灯片] 开发人员需要一种方法来存储业务关键型数据，这些数据在用户指定的时间内无法修改或删除。 不可变存储使你能够保护数据不被覆盖或删除。 讨论基于时间的保留策略和法定保留策略。 详细了解不可变存储。

2. 在“存储帐户”** 中，选择“容器”** 边栏选项卡。

3. 创建** 名为 hold ** 的容器，并上传** 文件。

4. 访问 hold ** 容器并选择“访问策略”** 边栏选项卡。

5. 在“不可变 Blob 存储”** 部分中，选择“+ 添加策略”**。

6. 对于“策略类型”**，请选择“基于时间的保留”**。

7. 将保持期设置为 5 天****。

8. 务必保存你的更改。

9. 尝试从容器中删除文件。

10. 验证是否由于策略而无法删除文件。

配置基础结构加密的加密范围。

1. [支持幻灯片] 开发人员还需要将基础结构加密的范围限定在容器级别。 讨论加密范围和基础结构加密。 详细了解加密范围。

2. 在存储帐户** 中继续操作。

3. 在“安全 + 网络”** 部分中，选择“加密”**。

4. 移动到“加密范围”** 选项卡，然后选择“+ 添加”**。

5. 为加密范围** 指定一个名称**。

6. 确保“基础结构加密”** 的状态为“已启用”**。 指出注释“创建范围后，无法更改加密范围的基础结构加密设置。”

备注：学生现在应该能够完成实验室 04。