Szyfrowanie usługi Azure Storage dla danych magazynowanychAzure Storage encryption for data at rest

Usługa Azure Storage automatycznie szyfruje dane, gdy zostaną utrwalone w chmurze.Azure Storage automatically encrypts your data when it is persisted it to the cloud. Szyfrowanie usługi Azure Storage chroni dane i pomaga sprostać wymaganiom bezpieczeństwa i zgodności w organizacji.Azure Storage encryption protects your data and to help you to meet your organizational security and compliance commitments.

Informacje o szyfrowaniu usługi Azure StorageAbout Azure Storage encryption

Dane w usłudze Azure Storage są szyfrowane i odszyfrowywane w sposób niewidoczny dla użytkownika przy użyciu 256-bitowego szyfrowania AES, jednego z najsilniejszych szyfrów blokowych i jest zgodny ze standardem FIPS 140-2.Data in Azure Storage is encrypted and decrypted transparently using 256-bit AES encryption, one of the strongest block ciphers available, and is FIPS 140-2 compliant. Szyfrowanie usługi Azure Storage jest podobne do szyfrowania funkcją BitLocker w systemie Windows.Azure Storage encryption is similar to BitLocker encryption on Windows.

Szyfrowanie usługi Azure Storage jest włączone dla wszystkich nowych kont magazynu, w tym kont magazynu Menedżer zasobów i klasycznych.Azure Storage encryption is enabled for all new storage accounts, including both Resource Manager and classic storage accounts. Nie można wyłączyć szyfrowania usługi Azure Storage.Azure Storage encryption cannot be disabled. Ponieważ dane są zabezpieczone domyślnie, nie trzeba modyfikować kodu ani aplikacji, aby korzystać z szyfrowania usługi Azure Storage.Because your data is secured by default, you don't need to modify your code or applications to take advantage of Azure Storage encryption.

Konta magazynu są szyfrowane niezależnie od ich warstwy wydajności (standardowa lub Premium) lub modelu wdrażania (Azure Resource Manager lub klasyczne).Storage accounts are encrypted regardless of their performance tier (standard or premium) or deployment model (Azure Resource Manager or classic). Wszystkie opcje nadmiarowości usługi Azure Storage obsługują szyfrowanie, a wszystkie kopie konta magazynu są szyfrowane.All Azure Storage redundancy options support encryption, and all copies of a storage account are encrypted. Wszystkie zasoby usługi Azure Storage są szyfrowane, w tym obiektów blob, dysków, plików, kolejek i tabel.All Azure Storage resources are encrypted, including blobs, disks, files, queues, and tables. Wszystkie metadane obiektu są również szyfrowane.All object metadata is also encrypted.

Szyfrowanie nie ma wpływu na wydajność usługi Azure Storage.Encryption does not affect Azure Storage performance. Nie ma dodatkowych opłat za szyfrowanie usługi Azure Storage.There is no additional cost for Azure Storage encryption.

Każdy blokowy obiekt BLOB, dołączany obiekt BLOB lub stronicowy obiekt BLOB, który został zapisany w usłudze Azure Storage po 20 października 2017, jest szyfrowany.Every block blob, append blob, or page blob that was written to Azure Storage after October 20, 2017 is encrypted. Obiekty blob utworzone przed tą datą nadal są szyfrowane przez proces w tle.Blobs created prior to this date continue to be encrypted by a background process. Aby wymusić szyfrowanie obiektu BLOB, który został utworzony przed 20 października 2017, można ponownie napisać obiekt BLOB.To force the encryption of a blob that was created before October 20, 2017, you can rewrite the blob. Aby dowiedzieć się, jak sprawdzić stan szyfrowania obiektu BLOB, zobacz Sprawdzanie stanu szyfrowania obiektu BLOB.To learn how to check the encryption status of a blob, see Check the encryption status of a blob.

Aby uzyskać więcej informacji na temat modułów kryptograficznych związanych z szyfrowaniem usługi Azure Storage, zobacz interfejs API kryptografii: Kolejna generacja.For more information about the cryptographic modules underlying Azure Storage encryption, see Cryptography API: Next Generation.

Informacje o zarządzaniu kluczami szyfrowaniaAbout encryption key management

Możesz polegać na kluczach zarządzanych przez firmę Microsoft na potrzeby szyfrowania konta magazynu lub można zarządzać szyfrowaniem przy użyciu własnych kluczy.You can rely on Microsoft-managed keys for the encryption of your storage account, or you can manage encryption with your own keys. W przypadku wybrania opcji zarządzania szyfrowaniem przy użyciu własnych kluczy dostępne są dwie opcje:If you choose to manage encryption with your own keys, you have two options:

  • Klucz zarządzany przez klienta można określić przy użyciu Azure Key Vault do szyfrowania i odszyfrowywania danych w usłudze BLOB Storage i w Azure Files.You can specify a customer-managed key with Azure Key Vault to use for encrypting and decrypting data in Blob storage and in Azure Files.
  • Klucz dostarczony przez klienta można określić w operacjach magazynu obiektów BLOB.You can specify a customer-provided key on Blob storage operations. Klient wykonujący żądanie odczytu lub zapisu w usłudze BLOB Storage może dołączyć klucz szyfrowania żądania, aby uzyskać szczegółową kontrolę nad sposobem szyfrowania i odszyfrowywania danych obiektów BLOB.A client making a read or write request against Blob storage can include an encryption key on the request for granular control over how blob data is encrypted and decrypted.

Poniższa tabela zawiera porównanie opcji zarządzania kluczami dla szyfrowania usługi Azure Storage.The following table compares key management options for Azure Storage encryption.

Klucze zarządzane przez firmę MicrosoftMicrosoft-managed keys Klucze zarządzane przez klientaCustomer-managed keys Klucze dostarczone przez klientaCustomer-provided keys
Operacje szyfrowania/odszyfrowywaniaEncryption/decryption operations AzureAzure AzureAzure AzureAzure
Obsługiwane usługi Azure StorageAzure Storage services supported WszystkoAll BLOB Storage, Azure FilesBlob storage, Azure Files Magazyn obiektów BlobBlob storage
Magazyn kluczyKey storage Magazyn kluczy firmy MicrosoftMicrosoft key store Azure Key VaultAzure Key Vault Azure Key Vault lub dowolnego innego magazynu kluczyAzure Key Vault or any other key store
Odpowiedzialność za kluczowe rotacjeKey rotation responsibility MicrosoftMicrosoft KlientCustomer KlientCustomer
Użycie kluczaKey usage MicrosoftMicrosoft Azure Portal, interfejs API REST dostawcy zasobów magazynu, biblioteki zarządzania usługi Azure Storage, PowerShell, interfejs wiersza poleceniaAzure portal, Storage Resource Provider REST API, Azure Storage management libraries, PowerShell, CLI Interfejs API REST usługi Azure Storage (BLOB Storage), biblioteki klienta usługi Azure StorageAzure Storage REST API (Blob storage), Azure Storage client libraries
Dostęp do kluczaKey access Tylko firma MicrosoftMicrosoft only Firma Microsoft, klientMicrosoft, Customer Tylko klientCustomer only

W poniższych sekcjach opisano każdą z opcji zarządzania kluczami w bardziej szczegółowy sposób.The following sections describe each of the options for key management in greater detail.

Klucze zarządzane przez firmę MicrosoftMicrosoft-managed keys

Domyślnie konto magazynu używa zarządzanych przez firmę Microsoft kluczy szyfrowania.By default, your storage account uses Microsoft-managed encryption keys. Ustawienia szyfrowania dla konta magazynu można wyświetlić w sekcji szyfrowanie Azure Portal, jak pokazano na poniższej ilustracji.You can see the encryption settings for your storage account in the Encryption section of the Azure portal, as shown in the following image.

Wyświetlanie konta zaszyfrowanego przy użyciu kluczy zarządzanych przez firmę Microsoft

Klucze zarządzane przez klienta z Azure Key VaultCustomer-managed keys with Azure Key Vault

Możesz zarządzać szyfrowaniem usługi Azure Storage na poziomie konta magazynu przy użyciu własnych kluczy.You can manage Azure Storage encryption at the level of the storage account with your own keys. W przypadku określenia klucza zarządzanego przez klienta na poziomie konta magazynu ten klucz jest używany do szyfrowania i odszyfrowywania wszystkich danych obiektów blob i plików na koncie magazynu.When you specify a customer-managed key at the level of the storage account, that key is used to encrypt and decrypt all blob and file data in the storage account. Klucze zarządzane przez klienta zapewniają większą elastyczność tworzenia, obracania, wyłączania i odwoływania kontroli dostępu.Customer-managed keys offer greater flexibility to create, rotate, disable, and revoke access controls. Możesz również przeprowadzać inspekcję kluczy szyfrowania używanych do ochrony danych.You can also audit the encryption keys used to protect your data.

Aby przechowywać klucze zarządzane przez klienta, należy użyć Azure Key Vault.You must use Azure Key Vault to store your customer-managed keys. Możesz utworzyć własne klucze i zapisać je w magazynie kluczy lub użyć Azure Key Vault interfejsów API do wygenerowania kluczy.You can either create your own keys and store them in a key vault, or you can use the Azure Key Vault APIs to generate keys. Konto magazynu i Magazyn kluczy muszą znajdować się w tym samym regionie, ale mogą znajdować się w różnych subskrypcjach.The storage account and the key vault must be in the same region, but they can be in different subscriptions. Aby uzyskać więcej informacji na temat Azure Key Vault, zobacz co to jest Azure Key Vault?.For more information about Azure Key Vault, see What is Azure Key Vault?.

Ten diagram przedstawia sposób, w jaki usługa Azure Storage używa Azure Active Directory i Azure Key Vault do wykonywania żądań przy użyciu klucza zarządzanego przez klienta:This diagram shows how Azure Storage uses Azure Active Directory and Azure Key Vault to make requests using the customer-managed key:

Diagram przedstawiający sposób działania kluczy zarządzanych przez klienta w usłudze Azure Storage

Poniższa lista zawiera opis kroków w diagramie:The following list explains the numbered steps in the diagram:

  1. Administrator Azure Key Vault przyznaje uprawnienia do kluczy szyfrowania do zarządzanej tożsamości skojarzonej z kontem magazynu.An Azure Key Vault admin grants permissions to encryption keys to the managed identity that's associated with the storage account.
  2. Administrator usługi Azure Storage konfiguruje szyfrowanie za pomocą klucza zarządzanego przez klienta dla konta magazynu.An Azure Storage admin configures encryption with a customer-managed key for the storage account.
  3. Usługa Azure Storage korzysta z zarządzanej tożsamości skojarzonej z kontem magazynu w celu uwierzytelniania dostępu do Azure Key Vault za pośrednictwem Azure Active Directory.Azure Storage uses the managed identity that's associated with the storage account to authenticate access to Azure Key Vault via Azure Active Directory.
  4. Usługa Azure Storage zawija klucz szyfrowania konta przy użyciu klucza klienta w Azure Key Vault.Azure Storage wraps the account encryption key with the customer key in Azure Key Vault.
  5. W przypadku operacji odczytu/zapisu usługa Azure Storage wysyła żądania do Azure Key Vault, aby zawijać i odpakowywanie klucz szyfrowania konta w celu wykonywania operacji szyfrowania i odszyfrowywania.For read/write operations, Azure Storage sends requests to Azure Key Vault to wrap and unwrap the account encryption key to perform encryption and decryption operations.

Włączanie kluczy zarządzanych przez klienta dla konta magazynuEnable customer-managed keys for a storage account

Po włączeniu szyfrowania z kluczami zarządzanymi przez klienta dla konta magazynu usługa Azure Storage zawija klucz szyfrowania konta przy użyciu klucza klienta w skojarzonym magazynie kluczy.When you enable encryption with customer-managed keys for a storage account, Azure Storage wraps the account encryption key with the customer key in the associated key vault. Włączenie kluczy zarządzanych przez klienta nie ma wpływu na wydajność, a konto jest szyfrowane z nowym kluczem natychmiast, bez opóźnień.Enabling customer-managed keys does not impact performance, and the account is encrypted with the new key immediately, without any time delay.

Nowe konto magazynu zawsze jest szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft.A new storage account is always encrypted using Microsoft-managed keys. W momencie tworzenia konta nie można włączyć kluczy zarządzanych przez klienta.It's not possible to enable customer-managed keys at the time that the account is created. Klucze zarządzane przez klienta są przechowywane w Azure Key Vault, a Magazyn kluczy musi być zainicjowany przy użyciu zasad dostępu, które przyznają kluczowe uprawnienia do zarządzanej tożsamości skojarzonej z kontem magazynu.Customer-managed keys are stored in Azure Key Vault, and the key vault must be provisioned with access policies that grant key permissions to the managed identity that is associated with the storage account. Tożsamość zarządzana jest dostępna tylko po utworzeniu konta magazynu.The managed identity is available only after the storage account is created.

Aby dowiedzieć się, jak używać kluczy zarządzanych przez klienta z Azure Key Vaultm do szyfrowania usługi Azure Storage, zobacz jeden z następujących artykułów:To learn how to use customer-managed keys with Azure Key Vault for Azure Storage encryption, see one of these articles:

Ważne

Klucze zarządzane przez klienta korzystają z zarządzanych tożsamości dla zasobów platformy Azure, funkcji Azure Active Directory (Azure AD).Customer-managed keys rely on managed identities for Azure resources, a feature of Azure Active Directory (Azure AD). Po skonfigurowaniu kluczy zarządzanych przez klienta w Azure Portal, zarządzana tożsamość zostanie automatycznie przypisana do konta magazynu w obszarze okładek.When you configure customer-managed keys in the Azure portal, a managed identity is automatically assigned to your storage account under the covers. Jeśli później przeniesiesz subskrypcję, grupę zasobów lub konto magazynu z jednego katalogu usługi Azure AD do innego, zarządzana tożsamość skojarzona z kontem magazynu nie zostanie przetransferowana do nowej dzierżawy, więc klucze zarządzane przez klienta mogą przestać działać.If you subsequently move the subscription, resource group, or storage account from one Azure AD directory to another, the managed identity associated with the storage account is not transferred to the new tenant, so customer-managed keys may no longer work. Aby uzyskać więcej informacji, zobacz transfer subskrypcji między katalogami usługi Azure AD w często zadawanych pytaniach i znanych problemach z tożsamościami zarządzanymi dla zasobów platformy Azure.For more information, see Transferring a subscription between Azure AD directories in FAQs and known issues with managed identities for Azure resources.

Przechowuj klucze zarządzane przez klienta w Azure Key VaultStore customer-managed keys in Azure Key Vault

Aby włączyć klucze zarządzane przez klienta na koncie magazynu, należy użyć Azure Key Vault do przechowywania kluczy.To enable customer-managed keys on a storage account, you must use an Azure Key Vault to store your keys. Należy włączyć zarówno właściwości nietrwałego usuwania , jak i nie przeczyszczania w magazynie kluczy.You must enable both the Soft Delete and Do Not Purge properties on the key vault.

Magazyn kluczy musi znajdować się w tej samej subskrypcji co konto magazynu.The key vault must be located in the same subscription as the storage account. Usługa Azure Storage używa zarządzanych tożsamości dla zasobów platformy Azure do uwierzytelniania w magazynie kluczy na potrzeby operacji szyfrowania i odszyfrowywania.Azure Storage uses managed identities for Azure resources to authenticate to the key vault for encryption and decryption operations. Tożsamości zarządzane nie obsługują obecnie scenariuszy między katalogami.Managed identities do not currently support cross-directory scenarios.

Obróć klucze zarządzane przez klientaRotate customer-managed keys

Klucz zarządzany przez klienta można obrócić w Azure Key Vault zgodnie z zasadami zgodności.You can rotate a customer-managed key in Azure Key Vault according to your compliance policies. Gdy klucz jest obrócony, należy zaktualizować konto magazynu, aby używało nowego identyfikatora URI klucza.When the key is rotated, you must update the storage account to use the new key URI. Aby dowiedzieć się, jak zaktualizować konto magazynu tak, aby używało nowej wersji klucza w Azure Portal, zapoznaj się z sekcją Aktualizacja wersji klucza w artykule Konfigurowanie kluczy zarządzanych przez klienta usługi Azure storage przy użyciu Azure Portal.To learn how to update the storage account to use a new version of the key in the Azure portal, see the section titled Update the key version in Configure customer-managed keys for Azure Storage by using the Azure portal.

Obracanie klucza nie wyzwala ponownego szyfrowania danych na koncie magazynu.Rotating the key does not trigger re-encryption of data in the storage account. Od użytkownika nie są wymagane żadne dalsze działania.There is no further action required from the user.

Odwołaj dostęp do kluczy zarządzanych przez klientaRevoke access to customer-managed keys

Aby odwołać dostęp do kluczy zarządzanych przez klienta, należy użyć programu PowerShell lub interfejsu wiersza polecenia platformy Azure.To revoke access to customer-managed keys, use PowerShell or Azure CLI. Aby uzyskać więcej informacji, zobacz Azure Key Vault PowerShell lub interfejs wiersza polecenia Azure Key Vault.For more information, see Azure Key Vault PowerShell or Azure Key Vault CLI. Odwoływanie dostępu skutecznie blokuje dostęp do wszystkich danych na koncie magazynu, ponieważ klucz szyfrowania jest niedostępny przez usługę Azure Storage.Revoking access effectively blocks access to all data in the storage account, as the encryption key is inaccessible by Azure Storage.

Klucze zarządzane przez klienta dla usługi Azure Managed disks (wersja zapoznawcza)Customer-managed keys for Azure managed disks (preview)

Klucze zarządzane przez klienta są również dostępne do zarządzania szyfrowaniem usługi Azure Managed disks (wersja zapoznawcza).Customer-managed keys are also available for managing encryption of Azure managed disks (preview). Klucze zarządzane przez klienta działają inaczej niż w przypadku zasobów usługi Azure Storage.Customer-managed keys behave differently for managed disks than for Azure Storage resources. Aby uzyskać więcej informacji, zobacz szyfrowanie po stronie serwera dla usługi Azure Managed disks dla systemu Windows lub szyfrowanie po stronie serwera Azure Managed disks for Linux.For more information, see Server side encryption of Azure managed disks for Windows or Server side encryption of Azure managed disks for Linux.

Klucze dostarczone przez klienta (wersja zapoznawcza)Customer-provided keys (preview)

Klienci, którzy wysyłają żądania do usługi Azure Blob Storage, mają możliwość zapewnienia klucza szyfrowania dla pojedynczego żądania.Clients making requests against Azure Blob storage have the option to provide an encryption key on an individual request. Dołączenie klucza szyfrowania żądania zapewnia szczegółową kontrolę nad ustawieniami szyfrowania operacji usługi BLOB Storage.Including the encryption key on the request provides granular control over encryption settings for Blob storage operations. Klucze dostarczone przez klienta (wersja zapoznawcza) mogą być przechowywane w Azure Key Vault lub w innym magazynie kluczy.Customer-provided keys (preview) can be stored in Azure Key Vault or in another key store.

Przykład pokazujący, jak określić klucz dostarczony przez klienta w żądaniu do magazynu obiektów blob, zobacz temat Określanie klucza dostarczonego przez klienta w żądaniu usługi BLOB Storage za pomocą platformy .NET.For an example that shows how to specify a customer-provided key on a request to Blob storage, see Specify a customer-provided key on a request to Blob storage with .NET.

Szyfrowanie operacji odczytu i zapisuEncrypting read and write operations

Gdy aplikacja kliencka udostępnia klucz szyfrowania w żądaniu, usługa Azure Storage wykonuje szyfrowanie i odszyfrowywanie w niewidoczny sposób podczas odczytywania i zapisywania danych obiektów BLOB.When a client application provides an encryption key on the request, Azure Storage performs encryption and decryption transparently while reading and writing blob data. Usługa Azure Storage zapisuje skrót SHA-256 klucza szyfrowania obok zawartości obiektu BLOB.Azure Storage writes an SHA-256 hash of the encryption key alongside the blob's contents. Skrót jest używany do sprawdzania, czy wszystkie kolejne operacje dotyczące obiektu BLOB używają tego samego klucza szyfrowania.The hash is used to verify that all subsequent operations against the blob use the same encryption key.

Usługa Azure Storage nie przechowuje klucza szyfrowania, który jest wysyłany przez klienta wraz z żądaniem, ani nie zarządza nim.Azure Storage does not store or manage the encryption key that the client sends with the request. Klucz jest bezpiecznie odrzucony zaraz po zakończeniu procesu szyfrowania lub odszyfrowywania.The key is securely discarded as soon as the encryption or decryption process is complete.

Gdy klient tworzy lub aktualizuje obiekt BLOB przy użyciu klucza dostarczonego przez klienta, wówczas kolejne żądania odczytu i zapisu dla tego obiektu BLOB muszą również dostarczyć klucz.When a client creates or updates a blob using a customer-provided key, then subsequent read and write requests for that blob must also provide the key. Jeśli nie podano klucza dla żądania obiektu BLOB, który został już zaszyfrowany za pomocą klucza dostarczonego przez klienta, żądanie kończy się niepowodzeniem z kodem błędu 409 (konflikt).If the key is not provided on a request for a blob that has already been encrypted with a customer-provided key, then the request fails with error code 409 (Conflict).

Jeśli aplikacja kliencka wysyła klucz szyfrowania na żądanie, a konto magazynu jest również szyfrowane przy użyciu klucza zarządzanego przez firmę Microsoft lub klucza zarządzanego przez klienta, usługa Azure Storage korzysta z klucza podanego w żądaniu szyfrowania i odszyfrowywania.If the client application sends an encryption key on the request, and the storage account is also encrypted using a Microsoft-managed key or a customer-managed key, then Azure Storage uses the key provided on the request for encryption and decryption.

Aby wysłać klucz szyfrowania w ramach żądania, klient musi nawiązać bezpieczne połączenie z usługą Azure Storage przy użyciu protokołu HTTPS.To send the encryption key as part of the request, a client must establish a secure connection to Azure Storage using HTTPS.

Każda migawka obiektu BLOB może mieć własny klucz szyfrowania.Each blob snapshot can have its own encryption key.

Nagłówki żądań określające klucze dostarczone przez klientaRequest headers for specifying customer-provided keys

W przypadku wywołań REST klienci mogą używać następujących nagłówków do bezpiecznego przekazywania informacji o kluczu szyfrowania na żądanie do magazynu obiektów blob:For REST calls, clients can use the following headers to securely pass encryption key information on a request to Blob storage:

Nagłówek żądaniaRequest Header OpisDescription
x-ms-encryption-key Wymagane dla żądań zapisu i odczytu.Required for both write and read requests. Zakodowana algorytmem Base64 wartość klucza szyfrowania AES-256.A Base64-encoded AES-256 encryption key value.
x-ms-encryption-key-sha256 Wymagane dla żądań zapisu i odczytu.Required for both write and read requests. SHA256 szyfrowany algorytmem Base64 klucza szyfrowania.The Base64-encoded SHA256 of the encryption key.
x-ms-encryption-algorithm Wymagane w przypadku żądań zapisu, które są opcjonalne w przypadku żądań odczytu.Required for write requests, optional for read requests. Określa algorytm używany do szyfrowania danych przy użyciu podanego klucza.Specifies the algorithm to use when encrypting data using the given key. Musi być AES256.Must be AES256.

Określanie kluczy szyfrowania w żądaniu jest opcjonalne.Specifying encryption keys on the request is optional. Jednak w przypadku określenia jednego z nagłówków wymienionych powyżej dla operacji zapisu należy określić wszystkie z nich.However, if you specify one of the headers listed above for a write operation, then you must specify all of them.

Operacje magazynu obiektów BLOB obsługujące klucze dostarczone przez klientaBlob storage operations supporting customer-provided keys

Następujące operacje magazynu obiektów BLOB obsługują wysyłanie kluczy szyfrowania dostarczonych przez klienta na żądanie:The following Blob storage operations support sending customer-provided encryption keys on a request:

Obróć klucze dostarczone przez klientaRotate customer-provided keys

Aby obrócić klucz szyfrowania przekazany na żądanie, Pobierz obiekt BLOB i przekazanie go z nowym kluczem szyfrowania.To rotate an encryption key passed on the request, download the blob and re-upload it with the new encryption key.

Ważne

Nie można użyć Azure Portal do odczytu lub zapisu do kontenera lub obiektu BLOB zaszyfrowanego przy użyciu klucza dostarczonego w żądaniu.The Azure portal cannot be used to read from or write to a container or blob that is encrypted with a key provided on the request.

Pamiętaj, aby chronić klucz szyfrowania udostępniany w żądaniu do magazynu obiektów BLOB w bezpiecznym magazynie kluczy, takim jak Azure Key Vault.Be sure to protect the encryption key that you provide on a request to Blob storage in a secure key store like Azure Key Vault. Jeśli podjęto próbę wykonania operacji zapisu w kontenerze lub obiekcie blob bez klucza szyfrowania, operacja zakończy się niepowodzeniem i utracisz dostęp do obiektu.If you attempt a write operation on a container or blob without the encryption key, the operation will fail, and you will lose access to the object.

Szyfrowanie za pomocą usługi Azure Storage a szyfrowanie dyskówAzure Storage encryption versus disk encryption

Szyfrowanie usługi Azure Storage szyfruje stronicowe obiekty blob, które wykonują kopie zapasowe dysków maszyny wirtualnej platformy Azure.Azure Storage encryption encrypts the page blobs that back Azure virtual machine disks. Ponadto wszystkie dyski maszyn wirtualnych platformy Azure, w tym lokalne dyski tymczasowe, mogą być opcjonalnie zaszyfrowane za pomocą Azure Disk Encryption.Additionally, all Azure virtual machine disks, including local temp disks, may optionally be encrypted with Azure Disk Encryption. Azure Disk Encryption korzysta z standardowego w branży funkcji BitLocker w systemach Windows i dm-crypt w systemie Linux w celu zapewnienia opartych na systemie operacyjnym rozwiązań do szyfrowania zintegrowanych z programem Azure Key Vault.Azure Disk Encryption uses industry-standard BitLocker on Windows and DM-Crypt on Linux to provide operating system-based encryption solutions that are integrated with Azure Key Vault.

Następne krokiNext steps