Inaktív adatok az Azure Storage-titkosításAzure Storage encryption for data at rest

Az Azure Storage automatikusan titkosítja az adatokat, amikor átlátni, a felhőbe.Azure Storage automatically encrypts your data when persisting it to the cloud. Titkosítás védi az adatokat, és annak érdekében, hogy a biztonsági és megfelelőségi követelmények kielégítésével.Encryption protects your data and to help you to meet your organizational security and compliance commitments. Az Azure Storage szolgáltatásban tárolt adatok titkosítva van, és visszafejti a transzparens módon segítségével 256 bites AES-titkosításlegerősebb az egyik rendelkezésre álló titkosítások és megfelel a FIPS 140-2 szabványnak.Data in Azure Storage is encrypted and decrypted transparently using 256-bit AES encryption, one of the strongest block ciphers available, and is FIPS 140-2 compliant. Az Azure Storage encryption hasonlít a Windows BitLocker-titkosítást.Azure Storage encryption is similar to BitLocker encryption on Windows.

Az Azure Storage-titkosítás engedélyezve van az összes meglévő és új storage-fiók, és nem tiltható le.Azure Storage encryption is enabled for all new and existing storage accounts and cannot be disabled. Alapértelmezés szerint az adatok biztonságos, mert nem kell módosítani a kód vagy az alkalmazások az Azure Storage-titkosítás kihasználásához.Because your data is secured by default, you don't need to modify your code or applications to take advantage of Azure Storage encryption.

Storage-fiókok vannak titkosítva, függetlenül azok teljesítményszint (standard vagy prémium szintű) vagy az (Azure Resource Manager vagy klasszikus) üzemi modell.Storage accounts are encrypted regardless of their performance tier (standard or premium) or deployment model (Azure Resource Manager or classic). Az összes Azure Storage redundanciabeállításai támogatja a titkosítást, és a egy storage-fiók összes másolatát vannak titkosítva.All Azure Storage redundancy options support encryption, and all copies of a storage account are encrypted. Az összes Azure Storage-erőforrások titkosítva vannak, beleértve a blobok, lemezek, fájlokat, üzenetsorokat és táblákat.All Azure Storage resources are encrypted, including blobs, disks, files, queues, and tables. Az összes objektum-metaadatait is titkosítást kapnak.All object metadata is also encrypted.

Titkosítási nem befolyásolja az Azure Storage teljesítményét.Encryption does not affect Azure Storage performance. Nincs az Azure Storage-titkosítás további költség nélkül.There is no additional cost for Azure Storage encryption.

Az alapul szolgáló Azure Storage encryption titkosítási modulokkal kapcsolatos további információkért lásd: titkosítási API: Új generációs.For more information about the cryptographic modules underlying Azure Storage encryption, see Cryptography API: Next Generation.

KulcskezelésKey management

Támaszkodhat a Microsoft által felügyelt kulcsokat a tárfiók a titkosításhoz, vagy a saját kulcsok Azure Key Vault együtt kezelheti a titkosítás.You can rely on Microsoft-managed keys for the encryption of your storage account, or you can manage encryption with your own keys, together with Azure Key Vault.

A Microsoft által kezelt kulcsokMicrosoft-managed keys

Alapértelmezés szerint a storage-fiókot használja a Microsoft által felügyelt titkosítási kulcsokat.By default, your storage account uses Microsoft-managed encryption keys. Megtekintheti a titkosítási beállítások a tárfiók a a titkosítási szakaszában a az Azure portal, ahogy az alábbi képen látható.You can see the encryption settings for your storage account in the Encryption section of the Azure portal, as shown in the following image.

A Microsoft által felügyelt kulcsokkal titkosítja fiók megtekintése

Felhasználó által kezelt kulcsokCustomer-managed keys

Az Azure Storage-titkosítás ügyfél által felügyelt kulcsokkal is kezelheti.You can manage Azure Storage encryption with customer-managed keys. Felhasználó által kezelt kulcsokkal rugalmasabban hozhat létre, elforgatása, tiltsa le, és visszavonhatja a hozzáférés-vezérlést.Customer-managed keys give you more flexibility to create, rotate, disable, and revoke access controls. Naplózhatja a titkosítási kulcsokat az adatok védelmét is.You can also audit the encryption keys used to protect your data.

Az Azure Key Vault használatával a kulcsok kezelése és naplózása a kulcshasználat.Use Azure Key Vault to manage your keys and audit your key usage. A saját kulcsok létrehozása és a key vaultban tárolja őket, vagy az Azure Key Vault API-k segítségével kulcsok létrehozásához.You can either create your own keys and store them in a key vault, or you can use the Azure Key Vault APIs to generate keys. A storage-fiók és a key vault ugyanabban a régióban kell lennie, de különböző előfizetésekhez is lehetnek.The storage account and the key vault must be in the same region, but they can be in different subscriptions. Azure Key Vaulttal kapcsolatos további információkért lásd: Mi az Azure Key Vault?.For more information about Azure Key Vault, see What is Azure Key Vault?.

Felhasználó által kezelt kulcsokkal való hozzáférés visszavonása, lásd: Azure Key Vault PowerShell és Azure Key Vault parancssori felület.To revoke access to customer-managed keys, see Azure Key Vault PowerShell and Azure Key Vault CLI. Hatékony hozzáférés visszavonása letiltja a hozzáférést a storage-fiókban lévő összes adatot, mivel a titkosítási kulcs nem érhető el az Azure Storage által.Revoking access effectively blocks access to all data in the storage account, as the encryption key is inaccessible by Azure Storage.

Felhasználó által kezelt kulcsok használata az Azure Storage, lásd: egyet az alábbi cikkek:To learn how to use customer-managed keys with Azure Storage, see one of these articles:

Fontos

Felügyelt identitások az Azure-erőforrásokhoz, a szolgáltatás az Azure Active Directory (Azure AD) támaszkodik ügyfél által felügyelt kulcsokat.Customer-managed keys rely on managed identities for Azure resources, a feature of Azure Active Directory (Azure AD). Ha Ön előfizetését átadhatja az Azure AD-címtár egy másik, felügyelt identitások nem frissülnek, és a felhasználó által kezelt kulcsokkal nem fognak működni.When you transfer a subscription from one Azure AD directory to another, managed identities are not updated and customer-managed keys may no longer work. További információkért lásd: egy előfizetés átvitele az Azure AD-címtár közötti a – gyakori kérdések és ismert problémák által felügyelt identitásokat az Azure-erőforrások.For more information, see Transferring a subscription between Azure AD directories in FAQs and known issues with managed identities for Azure resources.

Megjegyzés

Felhasználó által kezelt kulcsok használata nem támogatott a Azure managed disks.Customer-managed keys are not supported for Azure managed disks.

Az Azure Storage-titkosítás és a lemeztitkosításAzure Storage encryption versus disk encryption

Az Azure Storage-titkosítás az összes Azure Storage-fiókok és az erőforrások vannak titkosítva, többek között a lapblobokat, amelyek az Azure virtuális gépek lemezeinek biztonsági.With Azure Storage encryption, all Azure Storage accounts and the resources they contain are encrypted, including the page blobs that back Azure virtual machine disks. Emellett az Azure virtuális gépek lemezei a lehet titkosított az Azure Disk Encryption.Additionally, Azure virtual machine disks may be encrypted with Azure Disk Encryption. Az Azure Disk Encryption iparági szabványt használó BitLocker a Windows és DM-Crypt Linux operációsrendszer-alapú titkosítás megoldások, amelyek integrálhatók az Azure Key Vaultban.Azure Disk Encryption uses industry-standard BitLocker on Windows and DM-Crypt on Linux to provide operating system-based encryption solutions that are integrated with Azure Key Vault.

További lépésekNext steps