Szyfrowanie w usłudze Azure Storage dla danych magazynowanychAzure Storage encryption for data at rest

Usługa Azure Storage automatycznie szyfruje dane, gdy zostaną utrwalone w chmurze.Azure Storage automatically encrypts your data when it is persisted it to the cloud. Szyfrowanie usługi Azure Storage chroni dane i pomaga sprostać wymaganiom bezpieczeństwa i zgodności w organizacji.Azure Storage encryption protects your data and to help you to meet your organizational security and compliance commitments.

Informacje o szyfrowaniu usługi Azure StorageAbout Azure Storage encryption

Dane w usłudze Azure Storage są szyfrowane i odszyfrowywane w sposób niewidoczny dla użytkownika przy użyciu 256-bitowego szyfrowania AES, jednego z najsilniejszych szyfrów blokowych i jest zgodny ze standardem FIPS 140-2.Data in Azure Storage is encrypted and decrypted transparently using 256-bit AES encryption, one of the strongest block ciphers available, and is FIPS 140-2 compliant. Szyfrowanie usługi Azure Storage jest podobne do szyfrowania funkcją BitLocker w systemie Windows.Azure Storage encryption is similar to BitLocker encryption on Windows.

Szyfrowanie usługi Azure Storage jest włączone dla wszystkich kont magazynu, w tym kont magazynu Menedżer zasobów i klasycznych.Azure Storage encryption is enabled for all storage accounts, including both Resource Manager and classic storage accounts. Nie można wyłączyć szyfrowania usługi Azure Storage.Azure Storage encryption cannot be disabled. Ponieważ dane są zabezpieczone domyślnie, nie trzeba modyfikować kodu ani aplikacji, aby korzystać z szyfrowania usługi Azure Storage.Because your data is secured by default, you don't need to modify your code or applications to take advantage of Azure Storage encryption.

Dane na koncie magazynu są szyfrowane niezależnie od warstwy wydajności (standardowa lub Premium), warstwy dostępu (gorąca lub chłodna) lub modelu wdrażania (Azure Resource Manager lub klasycznego).Data in a storage account is encrypted regardless of performance tier (standard or premium), access tier (hot or cool), or deployment model (Azure Resource Manager or classic). Wszystkie obiekty blob w warstwie archiwum również są szyfrowane.All blobs in the archive tier are also encrypted. Wszystkie opcje nadmiarowości usługi Azure Storage obsługują szyfrowanie, a wszystkie dane w regionach podstawowym i pomocniczym są szyfrowane po włączeniu replikacji geograficznej.All Azure Storage redundancy options support encryption, and all data in both the primary and secondary regions is encrypted when geo-replication is enabled. Wszystkie zasoby usługi Azure Storage są szyfrowane, w tym obiektów blob, dysków, plików, kolejek i tabel.All Azure Storage resources are encrypted, including blobs, disks, files, queues, and tables. Wszystkie metadane obiektu są również szyfrowane.All object metadata is also encrypted. Nie ma dodatkowych opłat za szyfrowanie usługi Azure Storage.There is no additional cost for Azure Storage encryption.

Każdy blokowy obiekt BLOB, dołączany obiekt BLOB lub stronicowy obiekt BLOB, który został zapisany w usłudze Azure Storage po 20 października 2017, jest szyfrowany.Every block blob, append blob, or page blob that was written to Azure Storage after October 20, 2017 is encrypted. Obiekty blob utworzone przed tą datą nadal są szyfrowane przez proces w tle.Blobs created prior to this date continue to be encrypted by a background process. Aby wymusić szyfrowanie obiektu BLOB, który został utworzony przed 20 października 2017, można ponownie napisać obiekt BLOB.To force the encryption of a blob that was created before October 20, 2017, you can rewrite the blob. Aby dowiedzieć się, jak sprawdzić stan szyfrowania obiektu BLOB, zobacz Sprawdzanie stanu szyfrowania obiektu BLOB.To learn how to check the encryption status of a blob, see Check the encryption status of a blob.

Aby uzyskać więcej informacji na temat modułów kryptograficznych związanych z szyfrowaniem usługi Azure Storage, zobacz interfejs API kryptografii: Kolejna generacja.For more information about the cryptographic modules underlying Azure Storage encryption, see Cryptography API: Next Generation.

Informacje o zarządzaniu kluczami szyfrowaniaAbout encryption key management

Dane na nowym koncie magazynu są szyfrowane za pomocą kluczy zarządzanych przez firmę Microsoft.Data in a new storage account is encrypted with Microsoft-managed keys. Możesz polegać na kluczach zarządzanych przez firmę Microsoft na potrzeby szyfrowania danych. Możesz też zarządzać szyfrowaniem przy użyciu własnych kluczy.You can rely on Microsoft-managed keys for the encryption of your data, or you can manage encryption with your own keys. W przypadku wybrania opcji zarządzania szyfrowaniem przy użyciu własnych kluczy dostępne są dwie opcje:If you choose to manage encryption with your own keys, you have two options:

Poniższa tabela zawiera porównanie opcji zarządzania kluczami dla szyfrowania usługi Azure Storage.The following table compares key management options for Azure Storage encryption.

Klucze zarządzane przez firmę MicrosoftMicrosoft-managed keys Klucze zarządzane przez klientaCustomer-managed keys Klucze dostarczone przez klientaCustomer-provided keys
Operacje szyfrowania/odszyfrowywaniaEncryption/decryption operations AzureAzure AzureAzure AzureAzure
Obsługiwane usługi Azure StorageAzure Storage services supported WszystkoAll BLOB Storage, Azure Files1, 2Blob storage, Azure Files1,2 Blob StorageBlob storage
Magazyn kluczyKey storage Magazyn kluczy firmy MicrosoftMicrosoft key store W usłudze Azure Key VaultAzure Key Vault Własny magazyn kluczy klientaCustomer's own key store
Odpowiedzialność za kluczowe rotacjeKey rotation responsibility MicrosoftMicrosoft KlientCustomer KlientCustomer
Klucz — formantKey control MicrosoftMicrosoft KlientCustomer KlientCustomer

1 Aby uzyskać informacje na temat tworzenia konta obsługującego Używanie kluczy zarządzanych przez klienta z usługą queue storage, zobacz Tworzenie konta, które obsługuje klucze zarządzane przez klienta dla kolejek.1 For information about creating an account that supports using customer-managed keys with Queue storage, see Create an account that supports customer-managed keys for queues.
2 Aby uzyskać informacje na temat tworzenia konta, które obsługuje używanie kluczy zarządzanych przez klienta w usłudze Table Storage, zobacz Tworzenie konta, które obsługuje klucze zarządzane przez klienta dla tabel.2 For information about creating an account that supports using customer-managed keys with Table storage, see Create an account that supports customer-managed keys for tables.

Aby uzyskać informacje na temat szyfrowania i zarządzania kluczami dla usługi Azure Managed disks, zobacz szyfrowanie po stronie serwera usługi Azure Managed disks dla maszyn wirtualnych z systemem Windows lub szyfrowanie po stronie serwera na potrzeby maszyn wirtualnych z systemem Linux.For information about encryption and key management for Azure managed disks, see Server-side encryption of Azure managed disks for Windows VMs or Server-side encryption of Azure managed disks for Linux VMs.

Następne krokiNext steps