Azure Storage šifrování dat v klidovém umístěníAzure Storage encryption for data at rest

Azure Storage automaticky šifruje vaše data při jejich trvalém uložení do cloudu.Azure Storage automatically encrypts your data when it is persisted it to the cloud. Azure Storage šifrování chrání vaše data a umožňuje vám plnit závazky zabezpečení vaší organizace a dodržování předpisů.Azure Storage encryption protects your data and to help you to meet your organizational security and compliance commitments.

O šifrování Azure StorageAbout Azure Storage encryption

Data v Azure Storage jsou šifrována a dešifrována transparentně pomocí 256 šifrování AES, je k dispozici jedna z nejúčinnějších šifrovacích šifr a je kompatibilní se standardem FIPS 140-2.Data in Azure Storage is encrypted and decrypted transparently using 256-bit AES encryption, one of the strongest block ciphers available, and is FIPS 140-2 compliant. Šifrování Azure Storage se v systému Windows podobá šifrování BitLockeru.Azure Storage encryption is similar to BitLocker encryption on Windows.

Azure Storage šifrování je povolené pro všechny účty úložiště, včetně účtů úložiště Správce prostředků a Classic.Azure Storage encryption is enabled for all storage accounts, including both Resource Manager and classic storage accounts. Šifrování Azure Storage nelze zakázat.Azure Storage encryption cannot be disabled. Vzhledem k tomu, že vaše data jsou zabezpečená ve výchozím nastavení, nemusíte upravovat kód ani aplikace, abyste mohli využívat Azure Storage šifrování.Because your data is secured by default, you don't need to modify your code or applications to take advantage of Azure Storage encryption.

Data v účtu úložiště jsou šifrovaná bez ohledu na úroveň výkonu (Standard nebo Premium), úroveň přístupu (horkou nebo studenou) nebo model nasazení (Azure Resource Manager nebo klasický).Data in a storage account is encrypted regardless of performance tier (standard or premium), access tier (hot or cool), or deployment model (Azure Resource Manager or classic). Všechny objekty BLOB v archivní úrovni jsou také šifrované.All blobs in the archive tier are also encrypted. Všechny možnosti redundance Azure Storage podporují šifrování a všechna data v primární i sekundární oblasti jsou zašifrovaná, pokud je geografická replikace povolená.All Azure Storage redundancy options support encryption, and all data in both the primary and secondary regions is encrypted when geo-replication is enabled. Všechny prostředky Azure Storage jsou zašifrované, včetně objektů blob, disků, souborů, front a tabulek.All Azure Storage resources are encrypted, including blobs, disks, files, queues, and tables. Všechna metadata objektů jsou také šifrována.All object metadata is also encrypted. Azure Storage šifrování se neúčtují žádné další náklady.There is no additional cost for Azure Storage encryption.

Všechny objekty blob bloku, doplňovací objekty blob nebo objekty blob stránky, které byly zapsány do Azure Storage po 20. října 2017, jsou zašifrovány.Every block blob, append blob, or page blob that was written to Azure Storage after October 20, 2017 is encrypted. Objekty blob vytvořené před tímto datem budou i nadále zašifrovány procesem na pozadí.Blobs created prior to this date continue to be encrypted by a background process. Pokud chcete vynutit šifrování objektu blob, který se vytvořil před 20. října 2017, můžete objekt BLOB přepsat.To force the encryption of a blob that was created before October 20, 2017, you can rewrite the blob. Informace o tom, jak zjistit stav šifrování objektu blob, najdete v tématu ověření stavu šifrování objektu BLOB.To learn how to check the encryption status of a blob, see Check the encryption status of a blob.

Další informace o kryptografických modulech podkladových Azure Storage šifrování najdete v tématu kryptografické rozhraní API: další generace.For more information about the cryptographic modules underlying Azure Storage encryption, see Cryptography API: Next Generation.

O správě šifrovacích klíčůAbout encryption key management

Data v novém účtu úložiště se šifrují pomocí klíčů spravovaných Microsoftem.Data in a new storage account is encrypted with Microsoft-managed keys. Pro šifrování vašich dat můžete spoléhat na klíče spravované Microsoftem, nebo můžete šifrování spravovat pomocí vlastních klíčů.You can rely on Microsoft-managed keys for the encryption of your data, or you can manage encryption with your own keys. Pokud se rozhodnete spravovat šifrování pomocí vlastních klíčů, máte dvě možnosti:If you choose to manage encryption with your own keys, you have two options:

Následující tabulka porovnává možnosti správy klíčů pro Azure Storage šifrování.The following table compares key management options for Azure Storage encryption.

Klíče spravované společností MicrosoftMicrosoft-managed keys Klíče spravované zákazníkemCustomer-managed keys Klíče poskytované zákazníkyCustomer-provided keys
Operace šifrování a dešifrováníEncryption/decryption operations AzureAzure AzureAzure AzureAzure
Podporované služby Azure Storage ServicesAzure Storage services supported VšechnyAll BLOB Storage, soubory Azure1, 2Blob storage, Azure Files1,2 Blob StorageBlob storage
Úložiště klíčůKey storage Úložiště klíčů MicrosoftuMicrosoft key store Azure Key VaultAzure Key Vault Vlastní úložiště klíčů zákazníkaCustomer's own key store
Zodpovědnost za střídání klíčůKey rotation responsibility MicrosoftMicrosoft ZákazníkCustomer ZákazníkCustomer
Řízení klíčůKey control MicrosoftMicrosoft ZákazníkCustomer ZákazníkCustomer

1 informace o vytvoření účtu, který podporuje použití klíčů spravovaných zákazníkem s úložištěm Queue, najdete v tématu Vytvoření účtu, který podporuje klíče spravované zákazníkem pro fronty.1 For information about creating an account that supports using customer-managed keys with Queue storage, see Create an account that supports customer-managed keys for queues.
2 informace o vytvoření účtu, který podporuje použití klíčů spravovaných zákazníkem s tabulkovým úložištěm, najdete v tématu Vytvoření účtu, který podporuje klíče spravované zákazníkem pro tabulky.2 For information about creating an account that supports using customer-managed keys with Table storage, see Create an account that supports customer-managed keys for tables.

Další krokyNext steps