Titkosítási kulcs kérése a Blob Storage-hoz

Az Azure Blob Storage felé kéréseket igénylést igénylésenként meg lehet adni egy AES-256 titkosítási kulcsot. A kérés titkosítási kulcsának megadása részletesen szabályozhatja a Blob Storage-műveletek titkosítási beállításait. Az ügyfél által megadott kulcsok tárolhatók egy Azure Key Vault egy másik kulcstárolóban.

Olvasási és írási műveletek titkosítása

Amikor egy ügyfélalkalmazás titkosítási kulcsot biztosít a kéréshez, az Azure Storage transzparens módon végzi a titkosítást és a visszafejtést a blobadatok olvasása és írása során. Az Azure Storage a titkosítási kulcs SHA-256 kivonatát írja a blob tartalma mellett. A kivonat annak ellenőrzésére használható, hogy a blobon minden további művelet ugyanazt a titkosítási kulcsot használja-e.

Az Azure Storage nem tárolja és nem kezeli az ügyfél által a kéréssel küldött titkosítási kulcsot. A kulcs biztonságosan el lesz távolítva, amint a titkosítási vagy a visszafejtési folyamat befejeződött.

Amikor egy ügyfél egy ügyfél által megadott kulccsal hoz létre vagy frissíti a blobot a kéréshez, akkor a blobra vonatkozó későbbi olvasási és írási kérések is meg kell adniuk a kulcsot. Ha a kulcs nincs megtéve egy ügyfél által megadott kulccsal már titkosított blob kérésében, akkor a kérés a 409-es (Ütközés) hibakóddal meghiúsul.

Ha az ügyfélalkalmazás titkosítási kulcsot küld a kéréshez, és a tárfiókot a Microsoft által felügyelt kulccsal vagy ügyfél által kezelt kulccsal is titkosítja, akkor az Azure Storage a kérésben megadott kulcsot használja a titkosításhoz és a visszafejtéséhez.

Ahhoz, hogy a titkosítási kulcsot a kérés részeként elküldjék, az ügyfélnek biztonságos kapcsolatot kell létesítenie az Azure Storage HTTPS használatával.

Minden blob-pillanatkép saját titkosítási kulccsal is lehet.

Kérésfejlécek az ügyfél által megadott kulcsok megadásához

REST-hívások esetén az ügyfelek a következő fejlécekkel biztonságosan átküldhetnek titkosításikulcs-információkat egy kérésen a Blob Storage-nak:

Kérelem fejléce Leírás
x-ms-encryption-key Írási és olvasási kérések esetén is szükséges. Egy Base64 kódolású AES-256 titkosítási kulcs értéke.
x-ms-encryption-key-sha256 Írási és olvasási kérések esetén is szükséges. A titkosítási kulcs Base64-kódolású SHA256-os része.
x-ms-encryption-algorithm Írási kérelmekhez szükséges, nem kötelező az olvasási kérések esetén. Megadja az adatok adott kulccsal való titkosításához használt algoritmust. A fejléc értékének a következőnek kell lennie: AES256 .

A titkosítási kulcsok kéréshez való megadása nem kötelező. Ha azonban a fent felsorolt fejlécek valamelyikét adja meg egy írási művelethez, akkor mindegyiket meg kell adnia.

Az ügyfél által biztosított kulcsokat támogató Blob Storage-műveletek

A következő Blob Storage-műveletek támogatják az ügyfél által biztosított titkosítási kulcsok kérésre való küldését:

Az ügyfél által megadott kulcsok váltogatása

A blobok titkosításához használt titkosítási kulcs váltogatása: töltse le a blobot, majd töltse fel újra az új titkosítási kulccsal.

Fontos

A Azure Portal nem használható olyan tároló vagy blob olvasására vagy írására, amely a kéréshez megadott kulccsal van titkosítva.

Győződjön meg arról, hogy a Blob Storage-hoz kérésre biztosított titkosítási kulcsot egy biztonságos kulcstárolóban, például a Azure Key Vault. Ha titkosítási kulcs nélkül kísérel meg írási műveletet egy tárolón vagy blobon, a művelet sikertelen lesz, és elveszíti az objektumhoz való hozzáférést.

Szolgáltatások támogatása

Ez a táblázat bemutatja, hogyan támogatott ez a funkció a fiókjában, és hogy ez milyen hatással van a támogatásra bizonyos képességek engedélyezésekor.

Tárfiók típusa Blob Storage (alapértelmezett támogatás) Data Lake Storage Gen2 1 NFS 3.0 1 SFTP 1
Standard általános célú v2 Igen Nem Nem Nem
Prémium blokkblobok Igen Nem Nem Nem

1 A Data Lake Storage Gen2, a hálózati fájlrendszer (NFS) 3.0 protokoll és az SSH File Transfer Protocol (SFTP) mindegyikének támogatnia kell egy olyan tárfiókot, amely esetében engedélyezve van egy hierarchikus névtér.

Következő lépések