Zakresy szyfrowania dla usługi Blob Storage
Zakresy szyfrowania umożliwiają zarządzanie szyfrowaniem przy użyciu klucza o zakresie kontenera lub pojedynczego obiektu blob. Zakresy szyfrowania umożliwiają tworzenie bezpiecznych granic między danymi, które znajdują się na tym samym koncie magazynu, ale należą do różnych klientów.
Aby uzyskać więcej informacji na temat pracy z zakresami szyfrowania, zobacz Tworzenie zakresów szyfrowania i zarządzanie nimi.
Jak działają zakresy szyfrowania
Domyślnie konto magazynu jest szyfrowane przy użyciu klucza, który ma zakres dla całego konta magazynu. Podczas definiowania zakresu szyfrowania należy określić klucz, który może być zakresem kontenera lub pojedynczego obiektu blob. Po zastosowaniu zakresu szyfrowania do obiektu blob obiekt blob jest szyfrowany przy użyciu tego klucza. Gdy zakres szyfrowania jest stosowany do kontenera, pełni rolę domyślnego zakresu obiektów blob w tym kontenerze, dzięki czemu wszystkie obiekty blob przekazane do tego kontenera mogą być szyfrowane przy użyciu tego samego klucza. Kontener można skonfigurować tak, aby wymuszał domyślny zakres szyfrowania dla wszystkich obiektów blob w kontenerze lub zezwalać na przekazywanie poszczególnych obiektów blob do kontenera z zakresem szyfrowania innym niż domyślny.
Operacje odczytu w obiekcie blob utworzonym z zakresem szyfrowania są wykonywane w sposób niewidoczny, tak długo, jak zakres szyfrowania nie jest wyłączony.
Zarządzanie kluczami
Podczas definiowania zakresu szyfrowania można określić, czy zakres jest chroniony za pomocą klucza zarządzanego przez firmę Microsoft, czy klucza zarządzanego przez klienta przechowywanego w usłudze Azure Key Vault. Różne zakresy szyfrowania na tym samym koncie magazynu mogą używać kluczy zarządzanych przez firmę Microsoft lub zarządzanych przez klienta. Można również przełączyć typ klucza używanego do ochrony zakresu szyfrowania przed kluczem zarządzanym przez klienta do klucza zarządzanego przez firmę Microsoft lub odwrotnie w dowolnym momencie. Aby uzyskać więcej informacji na temat kluczy zarządzanych przez klienta, zobacz Klucze zarządzane przez klienta na potrzeby szyfrowania usługi Azure Storage. Aby uzyskać więcej informacji na temat kluczy zarządzanych przez firmę Microsoft, zobacz About encryption key management (Informacje o zarządzaniu kluczami szyfrowania).
Jeśli zdefiniujesz zakres szyfrowania przy użyciu klucza zarządzanego przez klienta, możesz wybrać opcję automatycznego lub ręcznego zaktualizowania wersji klucza. Jeśli zdecydujesz się automatycznie zaktualizować wersję klucza, usługa Azure Storage sprawdza magazyn kluczy lub zarządzany moduł HSM codziennie dla nowej wersji klucza zarządzanego przez klienta i automatycznie aktualizuje klucz do najnowszej wersji. Aby uzyskać więcej informacji na temat aktualizowania wersji klucza dla klucza zarządzanego przez klienta, zobacz Aktualizowanie wersji klucza.
Usługa Azure Policy udostępnia wbudowane zasady, które wymagają, aby zakresy szyfrowania używały kluczy zarządzanych przez klienta. Aby uzyskać więcej informacji, zobacz sekcję Storage w wbudowanych definicjach zasad usługi Azure Policy.
Konto magazynu może mieć maksymalnie 10 000 zakresów szyfrowania chronionych za pomocą kluczy zarządzanych przez klienta, dla których wersja klucza jest automatycznie aktualizowana. Jeśli twoje konto magazynu ma już 10 000 zakresów szyfrowania chronionych przy użyciu kluczy zarządzanych przez klienta, należy zaktualizować wersję klucza ręcznie w celu uzyskania dodatkowych zakresów szyfrowania chronionych za pomocą kluczy zarządzanych przez klienta.
Szyfrowanie infrastruktury
Szyfrowanie infrastruktury w usłudze Azure Storage umożliwia podwójne szyfrowanie danych. W przypadku szyfrowania infrastruktury dane są szyfrowane dwa razy — raz na poziomie usługi i raz na poziomie infrastruktury — z dwoma różnymi algorytmami szyfrowania i dwoma różnymi kluczami.
Szyfrowanie infrastruktury jest obsługiwane w zakresie szyfrowania, a także na poziomie konta magazynu. Jeśli szyfrowanie infrastruktury jest włączone dla konta, dowolny zakres szyfrowania utworzony na tym koncie automatycznie używa szyfrowania infrastruktury. Jeśli szyfrowanie infrastruktury nie jest włączone na poziomie konta, możesz włączyć go dla zakresu szyfrowania w czasie tworzenia zakresu. Nie można zmienić ustawienia szyfrowania infrastruktury dla zakresu szyfrowania po utworzeniu zakresu.
Aby uzyskać więcej informacji na temat szyfrowania infrastruktury, zobacz Włączanie szyfrowania infrastruktury na potrzeby podwójnego szyfrowania danych.
Zakresy szyfrowania dla kontenerów i obiektów blob
Podczas tworzenia kontenera można określić domyślny zakres szyfrowania dla obiektów blob, które zostaną następnie przekazane do tego kontenera. Po określeniu domyślnego zakresu szyfrowania dla kontenera możesz zdecydować, jak jest wymuszany domyślny zakres szyfrowania:
- Można wymagać, aby wszystkie obiekty blob przekazane do kontenera używały domyślnego zakresu szyfrowania. W takim przypadku każdy obiekt blob w kontenerze jest szyfrowany przy użyciu tego samego klucza.
- Możesz zezwolić klientowi na zastąpienie domyślnego zakresu szyfrowania dla kontenera, dzięki czemu obiekt blob może zostać przekazany z zakresem szyfrowania innym niż zakres domyślny. W takim przypadku obiekty blob w kontenerze mogą być szyfrowane przy użyciu różnych kluczy.
Poniższa tabela zawiera podsumowanie zachowania operacji przekazywania obiektów blob w zależności od tego, jak domyślny zakres szyfrowania jest skonfigurowany dla kontenera:
| Zakres szyfrowania zdefiniowany w kontenerze to... | Trwa przekazywanie obiektu blob z domyślnym zakresem szyfrowania... | Trwa przekazywanie obiektu blob z zakresem szyfrowania innym niż domyślny zakres... |
|---|---|---|
| Domyślny zakres szyfrowania z dozwolonymi przesłonięciami | Zakończy się pomyślnie | Zakończy się pomyślnie |
| Domyślny zakres szyfrowania z niedozwolonymi przesłonięciami | Zakończy się pomyślnie | Nie powiedzie się |
Domyślny zakres szyfrowania musi być określony dla kontenera w momencie utworzenia kontenera.
Jeśli nie określono domyślnego zakresu szyfrowania dla kontenera, możesz przekazać obiekt blob przy użyciu dowolnego zakresu szyfrowania zdefiniowanego dla konta magazynu. Zakres szyfrowania musi być określony w momencie przekazania obiektu blob.
Uwaga
Podczas przekazywania nowego obiektu blob z zakresem szyfrowania nie można zmienić domyślnej warstwy dostępu dla tego obiektu blob. Nie można również zmienić warstwy dostępu dla istniejącego obiektu blob korzystającego z zakresu szyfrowania. Aby uzyskać więcej informacji na temat warstw dostępu, zobacz Warstwy dostępu Gorąca, Chłodna i Archiwum dla danych obiektów blob.
Wyłączanie zakresu szyfrowania
Po wyłączeniu zakresu szyfrowania wszelkie kolejne operacje odczytu lub zapisu wykonane z zakresem szyfrowania zakończą się niepowodzeniem z kodem błędu HTTP 403 (Zabronione). Jeśli ponownie włączysz zakres szyfrowania, operacje odczytu i zapisu będą kontynuowane normalnie.
Jeśli zakres szyfrowania jest chroniony za pomocą klucza zarządzanego przez klienta i odwołasz klucz w magazynie kluczy, dane staną się niedostępne. Pamiętaj, aby wyłączyć zakres szyfrowania przed odwołaniem klucza w magazynie kluczy, aby uniknąć naliczania opłat za zakres szyfrowania.
Należy pamiętać, że klucze zarządzane przez klienta są chronione przez usuwanie nietrwałe i ochronę przed przeczyszczeniem w magazynie kluczy, a usunięty klucz podlega zachowaniu zdefiniowanemu przez te właściwości. Aby uzyskać więcej informacji, zobacz jeden z następujących tematów w dokumentacji usługi Azure Key Vault:
- Jak używać usuwania nietrwałego za pomocą programu PowerShell
- Jak używać usuwania nietrwałego za pomocą interfejsu wiersza polecenia
Ważne
Nie można usunąć zakresu szyfrowania.
Rozliczenia dla zakresów szyfrowania
Po włączeniu zakresu szyfrowania są naliczane opłaty za co najmniej 30 dni. Po upływie 30 dni opłaty za zakres szyfrowania są naliczane proporcjonalnie co godzinę.
Po włączeniu zakresu szyfrowania, jeśli wyłączysz go w ciągu 30 dni, nadal są naliczane opłaty za 30 dni. Jeśli wyłączysz zakres szyfrowania po upływie 30 dni, opłata zostanie naliczona za te 30 dni oraz liczbę godzin, przez które zakres szyfrowania obowiązywał po 30 dniach.
Wyłącz wszelkie zakresy szyfrowania, które nie są potrzebne, aby uniknąć niepotrzebnych opłat.
Aby dowiedzieć się więcej o cenach zakresów szyfrowania, zobacz Cennik usługi Blob Storage.
Obsługa funkcji
Może to mieć wpływ na obsługę tej funkcji przez włączenie protokołu Data Lake Storage Gen2, sieciowego systemu plików (NFS) 3.0 lub protokołu SSH File Transfer Protocol (SFTP). Jeśli włączono dowolną z tych funkcji, zobacz Obsługa funkcji usługi Blob Storage na kontach usługi Azure Storage, aby ocenić obsługę tej funkcji.