Zakresy szyfrowania dla usługi Blob Storage

Zakresy szyfrowania umożliwiają zarządzanie szyfrowaniem za pomocą klucza o zakresie kontenera lub pojedynczego obiektu blob. Zakresy szyfrowania umożliwiają tworzenie bezpiecznych granic między danymi, które znajdują się na tym samym koncie magazynu, ale należą do różnych klientów.

Aby uzyskać więcej informacji na temat pracy z zakresami szyfrowania, zobacz Tworzenie zakresów szyfrowania i zarządzanie nimi.

Jak działają zakresy szyfrowania

Domyślnie konto magazynu jest szyfrowane przy użyciu klucza ograniczonego do całego konta magazynu. Podczas definiowania zakresu szyfrowania należy określić klucz, który może być zakresem kontenera lub pojedynczego obiektu blob. Po zastosowaniu zakresu szyfrowania do obiektu blob obiekt blob jest szyfrowany za pomocą tego klucza. Gdy zakres szyfrowania jest stosowany do kontenera, pełni rolę domyślnego zakresu obiektów blob w tym kontenerze, dzięki czemu wszystkie obiekty blob przekazane do tego kontenera mogą być szyfrowane przy użyciu tego samego klucza. Kontener można skonfigurować tak, aby wymusić domyślny zakres szyfrowania dla wszystkich obiektów blob w kontenerze lub zezwolić na przekazywanie poszczególnych obiektów blob do kontenera z zakresem szyfrowania innym niż domyślny.

Operacje odczytu dla obiektu blob utworzonego z zakresem szyfrowania są wykonywane w sposób niewidoczny, o ile zakres szyfrowania nie jest wyłączony.

Zarządzanie kluczami

Podczas definiowania zakresu szyfrowania można określić, czy zakres jest chroniony przy użyciu klucza zarządzanego przez firmę Microsoft, czy klucza zarządzanego przez klienta przechowywanego w usłudze Azure Key Vault. Różne zakresy szyfrowania na tym samym koncie magazynu mogą używać kluczy zarządzanych przez firmę Microsoft lub zarządzanych przez klienta. Możesz również przełączyć typ klucza używanego do ochrony zakresu szyfrowania przed kluczem zarządzanym przez klienta do klucza zarządzanego przez firmę Microsoft lub odwrotnie w dowolnym momencie. Aby uzyskać więcej informacji na temat kluczy zarządzanych przez klienta, zobacz Klucze zarządzane przez klienta na potrzeby szyfrowania usługi Azure Storage. Aby uzyskać więcej informacji na temat kluczy zarządzanych przez firmę Microsoft, zobacz About encryption key management (Informacje o zarządzaniu kluczami szyfrowania).

Jeśli zdefiniujesz zakres szyfrowania przy użyciu klucza zarządzanego przez klienta, możesz wybrać opcję automatycznego lub ręcznego zaktualizowania wersji klucza. Jeśli zdecydujesz się automatycznie zaktualizować wersję klucza, usługa Azure Storage codziennie sprawdza magazyn kluczy lub zarządzany moduł HSM pod kątem nowej wersji klucza zarządzanego przez klienta i automatycznie aktualizuje klucz do najnowszej wersji. Aby uzyskać więcej informacji na temat aktualizowania wersji klucza dla klucza zarządzanego przez klienta, zobacz Aktualizowanie wersji klucza.

Azure Policy udostępnia wbudowane zasady, które wymagają, aby zakresy szyfrowania używały kluczy zarządzanych przez klienta. Aby uzyskać więcej informacji, zobacz sekcję Storage w Azure Policy wbudowanych definicji zasad.

Konto magazynu może mieć do 10 000 zakresów szyfrowania chronionych kluczami zarządzanymi przez klienta, dla których wersja klucza jest aktualizowana automatycznie. Jeśli konto magazynu ma już 10 000 zakresów szyfrowania chronionych kluczami zarządzanymi przez klienta, które są automatycznie aktualizowane, należy zaktualizować wersję klucza ręcznie, aby uzyskać dodatkowe zakresy szyfrowania chronione za pomocą kluczy zarządzanych przez klienta.

Szyfrowanie infrastruktury

Szyfrowanie infrastruktury w usłudze Azure Storage umożliwia podwójne szyfrowanie danych. Dzięki szyfrowaniu infrastruktury dane są szyfrowane dwa razy — raz na poziomie usługi i raz na poziomie infrastruktury — z dwoma różnymi algorytmami szyfrowania i dwoma różnymi kluczami.

Szyfrowanie infrastruktury jest obsługiwane w zakresie szyfrowania, a także na poziomie konta magazynu. Jeśli szyfrowanie infrastruktury jest włączone dla konta, dowolny zakres szyfrowania utworzony na tym koncie automatycznie używa szyfrowania infrastruktury. Jeśli szyfrowanie infrastruktury nie jest włączone na poziomie konta, możesz włączyć go dla zakresu szyfrowania w czasie tworzenia zakresu. Nie można zmienić ustawienia szyfrowania infrastruktury dla zakresu szyfrowania po utworzeniu zakresu.

Aby uzyskać więcej informacji na temat szyfrowania infrastruktury, zobacz Włączanie szyfrowania infrastruktury na potrzeby podwójnego szyfrowania danych.

Zakresy szyfrowania dla kontenerów i obiektów blob

Podczas tworzenia kontenera można określić domyślny zakres szyfrowania dla obiektów blob, które zostaną następnie przekazane do tego kontenera. Po określeniu domyślnego zakresu szyfrowania dla kontenera możesz zdecydować, jak jest wymuszany domyślny zakres szyfrowania:

  • Można wymagać, aby wszystkie obiekty blob przekazane do kontenera używały domyślnego zakresu szyfrowania. W takim przypadku każdy obiekt blob w kontenerze jest szyfrowany przy użyciu tego samego klucza.
  • Możesz zezwolić klientowi na zastąpienie domyślnego zakresu szyfrowania kontenera, dzięki czemu obiekt blob może zostać przekazany z zakresem szyfrowania innym niż zakres domyślny. W takim przypadku obiekty blob w kontenerze mogą być szyfrowane przy użyciu różnych kluczy.

Poniższa tabela zawiera podsumowanie zachowania operacji przekazywania obiektów blob, w zależności od tego, jak domyślny zakres szyfrowania jest skonfigurowany dla kontenera:

Zakres szyfrowania zdefiniowany w kontenerze to... Trwa przekazywanie obiektu blob z domyślnym zakresem szyfrowania... Trwa przekazywanie obiektu blob z zakresem szyfrowania innym niż zakres domyślny...
Domyślny zakres szyfrowania z dozwolonymi przesłonięciami Zakończy się pomyślnie Zakończy się pomyślnie
Domyślny zakres szyfrowania z zabronionymi przesłonięciami Zakończy się pomyślnie Nie powiedzie się

Domyślny zakres szyfrowania musi być określony dla kontenera w momencie utworzenia kontenera.

Jeśli dla kontenera nie określono domyślnego zakresu szyfrowania, możesz przekazać obiekt blob przy użyciu dowolnego zakresu szyfrowania zdefiniowanego dla konta magazynu. Zakres szyfrowania musi być określony w momencie przekazania obiektu blob.

Podczas przekazywania nowego obiektu blob z zakresem szyfrowania nie można zmienić domyślnej warstwy dostępu dla tego obiektu blob. Nie można również zmienić warstwy dostępu dla istniejącego obiektu blob korzystającego z zakresu szyfrowania. Aby uzyskać więcej informacji na temat warstw dostępu, zobacz Warstwy dostępu Gorąca, Chłodna i Archiwum dla danych obiektów blob.

Wyłączanie zakresu szyfrowania

Po wyłączeniu zakresu szyfrowania wszystkie kolejne operacje odczytu lub zapisu wykonane z zakresem szyfrowania zakończą się niepowodzeniem z kodem błędu HTTP 403 (Zabronione). Jeśli ponownie włączysz zakres szyfrowania, operacje odczytu i zapisu będą kontynuowane normalnie.

Po wyłączeniu zakresu szyfrowania nie są już naliczane opłaty. Wyłącz wszelkie zakresy szyfrowania, które nie są potrzebne, aby uniknąć niepotrzebnych opłat.

Jeśli zakres szyfrowania jest chroniony za pomocą klucza zarządzanego przez klienta i odwołasz klucz w magazynie kluczy, dane staną się niedostępne. Pamiętaj, aby wyłączyć zakres szyfrowania przed odwołaniem klucza w magazynie kluczy, aby uniknąć naliczania opłat za zakres szyfrowania.

Należy pamiętać, że klucze zarządzane przez klienta są chronione przez usuwanie nietrwałe i ochronę przed przeczyszczeniem w magazynie kluczy, a usunięty klucz podlega zachowaniu zdefiniowanemu przez te właściwości. Aby uzyskać więcej informacji, zobacz jeden z następujących tematów w dokumentacji usługi Azure Key Vault:

Ważne

Nie można usunąć zakresu szyfrowania.

Obsługa funkcji

Może to mieć wpływ na obsługę tej funkcji, włączając protokół Data Lake Storage Gen2, sieciowy system plików (NFS) 3.0 lub protokół SSH File Transfer Protocol (SFTP).

Jeśli włączono dowolną z tych funkcji, zobacz Obsługa funkcji usługi Blob Storage na kontach usługi Azure Storage, aby ocenić obsługę tej funkcji.

Następne kroki