Šifrování služby Azure Storage pro neaktivní uložená dataAzure Storage encryption for data at rest

Azure Storage automaticky šifruje vaše data při zachování do cloudu.Azure Storage automatically encrypts your data when persisting it to the cloud. Šifrování chrání vaše data a také jí pomohou zvládnout organizační závazky zabezpečení a dodržování předpisů.Encryption protects your data and to help you to meet your organizational security and compliance commitments. Data ve službě Azure Storage je šifrovaný a dešifrovat transparentně pomocí 256bitového šifrování AES, jedna z nejsilnějších bloku šifer k dispozici a je kompatibilní s FIPS 140-2.Data in Azure Storage is encrypted and decrypted transparently using 256-bit AES encryption, one of the strongest block ciphers available, and is FIPS 140-2 compliant. Šifrování Azure Storage je podobný šifrování nástroje BitLocker v Windows.Azure Storage encryption is similar to BitLocker encryption on Windows.

Šifrování Azure Storage je povolená pro všechny účty nová a existující úložiště a nejde zakázat.Azure Storage encryption is enabled for all new and existing storage accounts and cannot be disabled. Vzhledem k tomu, že ve výchozím nastavení jsou vaše data zabezpečená, není nutné upravovat kód vaší aplikace a chcete využít výhod šifrování služby Azure Storage.Because your data is secured by default, you don't need to modify your code or applications to take advantage of Azure Storage encryption.

Účty úložiště se zašifrují bez ohledu na jejich úroveň výkonu (standard nebo premium) nebo model nasazení (Azure Resource Manager nebo classic).Storage accounts are encrypted regardless of their performance tier (standard or premium) or deployment model (Azure Resource Manager or classic). Všechny možnosti redundance Azure Storage podporují šifrování, a zašifrují veškeré kopie tohoto účtu úložiště.All Azure Storage redundancy options support encryption, and all copies of a storage account are encrypted. Všechny prostředky služby Azure Storage jsou zašifrovaná, včetně objektů BLOB, disky, soubory, fronty a tabulky.All Azure Storage resources are encrypted, including blobs, disks, files, queues, and tables. Všechna metadata objektu se šifrují taky.All object metadata is also encrypted.

Šifrování nemá vliv na výkon služby Azure Storage.Encryption does not affect Azure Storage performance. Se neúčtují žádné další poplatky pro šifrování Azure Storage.There is no additional cost for Azure Storage encryption.

Další informace o kryptografických modulů základní šifrovací služby Azure Storage najdete v tématu rozhraní API kryptografických služeb: Další generace.For more information about the cryptographic modules underlying Azure Storage encryption, see Cryptography API: Next Generation.

Správa klíčůKey management

Můžete se spolehnout na spravovaných microsoftem klíče pro šifrování vašeho účtu úložiště, nebo je můžete spravovat šifrování vlastní klíče, společně s Azure Key Vault.You can rely on Microsoft-managed keys for the encryption of your storage account, or you can manage encryption with your own keys, together with Azure Key Vault.

Klíče spravované zákazníkem společnosti MicrosoftMicrosoft-managed keys

Ve výchozím nastavení používá řízených šifrovací klíče účtu úložiště.By default, your storage account uses Microsoft-managed encryption keys. Zobrazí se nastavení šifrování pro účet úložiště v šifrování část webu Azure portal, jak je znázorněno na následujícím obrázku.You can see the encryption settings for your storage account in the Encryption section of the Azure portal, as shown in the following image.

Zobrazit účet zašifrovaný pomocí klíčů spravovaných microsoftem

Klíče spravované zákazníkemCustomer-managed keys

Správa šifrování služby Azure Storage pomocí klíčů spravovaných zákazníkem.You can manage Azure Storage encryption with customer-managed keys. Klíče spravované zákazníkem získáte větší flexibilitu při vytvoření, otáčení, zakázat a odvolat přístup k ovládacím prvkům.Customer-managed keys give you more flexibility to create, rotate, disable, and revoke access controls. Šifrovací klíče použité k ochraně vašich dat můžete také auditovat.You can also audit the encryption keys used to protect your data.

Spravovat klíče a auditovat využití klíčů pomocí Azure Key Vault.Use Azure Key Vault to manage your keys and audit your key usage. Můžete vytvořit vlastní klíče a uložit je do trezoru klíčů, nebo rozhraní API služby Azure Key Vault můžete použít ke generování klíčů.You can either create your own keys and store them in a key vault, or you can use the Azure Key Vault APIs to generate keys. Účet úložiště a trezoru klíčů musí být ve stejné oblasti, ale mohou být v různých předplatných.The storage account and the key vault must be in the same region, but they can be in different subscriptions. Další informace o službě Azure Key Vault najdete v tématu co je Azure Key Vault?.For more information about Azure Key Vault, see What is Azure Key Vault?.

Odvolání přístupu k klíčů spravovaných zákazníkem najdete v článku Azure Key Vault prostředí PowerShell a příkazového řádku Azure Key Vault.To revoke access to customer-managed keys, see Azure Key Vault PowerShell and Azure Key Vault CLI. Odvolání přístupu efektivně blokuje přístup ke všem datům v účtu úložiště, jako šifrovací klíč je pravděpodobně nepřístupný pomocí služby Azure Storage.Revoking access effectively blocks access to all data in the storage account, as the encryption key is inaccessible by Azure Storage.

Zjistěte, jak používat klíče spravované zákazníkem služby Azure Storage, najdete v některém z těchto článků:To learn how to use customer-managed keys with Azure Storage, see one of these articles:

Důležité

Klíče spravované zákazníkem závisí na spravovaných identit pro prostředky Azure, která je součástí Azure Active Directory (Azure AD).Customer-managed keys rely on managed identities for Azure resources, a feature of Azure Active Directory (Azure AD). Při přenosu předplatného z jednoho adresáře služby Azure AD na jiný, spravované identity nejsou aktualizovány a klíče spravované zákazníkem už nemusí fungovat.When you transfer a subscription from one Azure AD directory to another, managed identities are not updated and customer-managed keys may no longer work. Další informace najdete v tématu převodu předplatného mezi adresáři Azure AD v nejčastější dotazy a známé problémy s spravovaných identit pro prostředky Azure.For more information, see Transferring a subscription between Azure AD directories in FAQs and known issues with managed identities for Azure resources.

Poznámka

Klíče spravované zákazníkem nejsou podporovány pro Azure managed disks.Customer-managed keys are not supported for Azure managed disks.

Šifrování služby Azure Storage a šifrování diskuAzure Storage encryption versus disk encryption

Pomocí šifrování služby Azure Storage, všechny účty úložiště Azure a prostředky, které obsahují se šifrují, včetně objektů BLOB stránky, které zálohují disky virtuálních počítačů Azure.With Azure Storage encryption, all Azure Storage accounts and the resources they contain are encrypted, including the page blobs that back Azure virtual machine disks. Kromě toho může šifrovat disky virtuálních počítačů Azure s Azure Disk Encryption.Additionally, Azure virtual machine disks may be encrypted with Azure Disk Encryption. Azure Disk Encryption používá standardní BitLocker na Windows a DM-Crypt na platformě Linux k zajištění řešení šifrování podle operačního systému, které jsou integrované s Azure Key Vault.Azure Disk Encryption uses industry-standard BitLocker on Windows and DM-Crypt on Linux to provide operating system-based encryption solutions that are integrated with Azure Key Vault.

Další postupNext steps