Titkosítási kulcs megadása a Blob Storage-nak küldött kéréshez
Az Azure Blob Storage-ra irányuló kéréseket küldő ügyfelek AES-256 titkosítási kulcsot biztosíthatnak a blob írási művelethez való titkosításához. A blob olvasására vagy írására vonatkozó későbbi kéréseknek ugyanazt a kulcsot kell tartalmazniuk. A kérelem titkosítási kulcsának belefogva részletes vezérlést biztosít a Blob Storage-műveletek titkosítási beállításai felett. Az ügyfél által megadott kulcsok tárolhatók az Azure Key Vaultban vagy egy másik kulcstárolóban.
Olvasási és írási műveletek titkosítása
Amikor egy ügyfélalkalmazás titkosítási kulcsot ad a kéréshez, az Azure Storage transzparensen végzi a titkosítást és a visszafejtést a blobadatok olvasása és írása során. Az Azure Storage sha-256 kivonatot ír a titkosítási kulcsról a blob tartalma mellett. A kivonat annak ellenőrzésére szolgál, hogy a blobon végzett minden további művelet ugyanazt a titkosítási kulcsot használja-e.
Az Azure Storage nem tárolja vagy kezeli azt a titkosítási kulcsot, amelyet az ügyfél a kéréssel együtt küld. A kulcs biztonságosan el lesz távolítva, amint a titkosítási vagy a visszafejtési folyamat befejeződött.
Amikor egy ügyfél létrehoz vagy frissít egy blobot egy ügyfél által megadott kulccsal a kérelemben, akkor a blob későbbi olvasási és írási kéréseinek is meg kell adniuk a kulcsot. Ha a kulcs nincs megadva az ügyfél által megadott kulccsal már titkosított blobra vonatkozó kérelemben, akkor a kérés a 409-s hibakóddal (Ütközés) meghiúsul.
Ha az ügyfélalkalmazás egy titkosítási kulcsot küld a kéréshez, és a tárfiókot egy Microsoft által felügyelt kulccsal vagy ügyfél által felügyelt kulccsal is titkosítja, akkor az Azure Storage a kérelemben megadott kulcsot használja titkosításhoz és visszafejtéshez.
A titkosítási kulcs kérés részeként történő elküldéséhez az ügyfélnek biztonságos kapcsolatot kell létesítenie az Azure Storage-hoz HTTPS használatával.
Minden blob-pillanatkép vagy blobverzió rendelkezhet saját titkosítási kulccsal.
Az objektumreplikálás nem támogatott az ügyfél által megadott kulccsal titkosított forrásfiókban lévő blobok esetében.
Fejlécek kérése az ügyfél által megadott kulcsok megadásához
REST-hívások esetén az ügyfelek az alábbi fejlécekkel biztonságosan átadhatják a titkosítási kulcs adatait egy kérésről a Blob Storage-nak:
| Kérelem fejléce | Leírás |
|---|---|
x-ms-encryption-key |
Írási és olvasási kérésekhez is szükséges. A Base64 kódolású AES-256 titkosítási kulcs értéke. |
x-ms-encryption-key-sha256 |
Írási és olvasási kérésekhez is szükséges. A titkosítási kulcs Base64 kódolású SHA256-kódja. |
x-ms-encryption-algorithm |
Írási kérelmekhez szükséges, olvasási kérésekhez nem kötelező. A megadott kulcs használatával történő adattitkosításhoz használandó algoritmust adja meg. Ennek az élőfejnek az értéke kell legyen AES256. |
A titkosítási kulcsok megadása a kérelemben nem kötelező. Ha azonban megadja a fent felsorolt fejlécek egyikét egy írási művelethez, akkor az összeset meg kell adnia.
Az ügyfél által megadott kulcsokat támogató Blob Storage-műveletek
Az alábbi Blob Storage-műveletek támogatják az ügyfél által megadott titkosítási kulcsok kérésre küldését:
- Blob elhelyezése
- Put Block List
- Blokk elhelyezése
- Blokk elhelyezése URL-címről
- Lap elhelyezése
- Oldal elhelyezése URL-címről
- Hozzáfűzési blokk
- Blobtulajdonságok beállítása
- Blob metaadatainak beállítása
- Blob lekérése
- Get Blob Properties
- Blob-metaadatok lekérése
- Pillanatkép-blob
Ügyfél által megadott kulcsok elforgatása
A blob titkosításához használt titkosítási kulcs elforgatásához töltse le a blobot, majd töltse újra az új titkosítási kulccsal.
Fontos
Az Azure Portal nem használható olyan tárolóból vagy blobba való olvasáshoz vagy íráshoz, amely a kérelemben megadott kulccsal van titkosítva.
Ügyeljen arra, hogy megvédje a Blob Storage-ra irányuló kérés során megadott titkosítási kulcsot egy biztonságos kulcstárolóban, például az Azure Key Vaultban. Ha a titkosítási kulcs nélkül próbál meg írási műveletet végrehajtani egy tárolón vagy blobon, a művelet sikertelen lesz, és elveszíti az objektumhoz való hozzáférést.
Szolgáltatások támogatása
Ennek a funkciónak a támogatását befolyásolhatja a Data Lake Storage Gen2, a Network File System (NFS) 3.0 protokoll vagy az SSH File Transfer Protocol (SFTP) engedélyezése. Ha engedélyezte bármelyik funkciót, tekintse meg a Blob Storage szolgáltatástámogatását az Azure Storage-fiókokban a funkció támogatásának felméréséhez.