Bekleyen veri için Azure depolama şifrelemesiAzure Storage encryption for data at rest

Azure depolama, verilerinizi buluta kalıcı olduğunda otomatik olarak şifreler.Azure Storage automatically encrypts your data when persisting it to the cloud. Şifreleme verilerinizi korur ve organizasyonel güvenlik ve uyumluluk yükümlülüklerinizin yerine yardımcı olacak.Encryption protects your data and to help you to meet your organizational security and compliance commitments. Azure Depolama'daki verilere şifrelenir ve 256 bit şeffaf bir şekilde kullanarak şifresi AES şifreleme, bir en güçlü blok şifreleme kullanılabilir ve FIPS 140-2 uyumludur.Data in Azure Storage is encrypted and decrypted transparently using 256-bit AES encryption, one of the strongest block ciphers available, and is FIPS 140-2 compliant. Azure depolama şifrelemesi, Windows BitLocker şifrelemesini benzerdir.Azure Storage encryption is similar to BitLocker encryption on Windows.

Azure depolama şifrelemesi için tüm yeni ve var olan depolama hesapları etkinleştirilir ve devre dışı bırakılamaz.Azure Storage encryption is enabled for all new and existing storage accounts and cannot be disabled. Verilerinizi varsayılan olarak korumalı olduğundan, kod veya Azure depolama şifrelemeden yararlanmak için uygulamaları değişiklik gerekmez.Because your data is secured by default, you don't need to modify your code or applications to take advantage of Azure Storage encryption.

Depolama hesapları, kendi performans katmanını (standart veya premium) veya (Azure Resource Manager veya Klasik) dağıtım modeli bağımsız olarak şifrelenir.Storage accounts are encrypted regardless of their performance tier (standard or premium) or deployment model (Azure Resource Manager or classic). Tüm Azure depolama yedekliliği seçenekleri, şifreleme, destek ve tüm kopyalarını bir depolama hesabı şifrelenmiş.All Azure Storage redundancy options support encryption, and all copies of a storage account are encrypted. Blobları, diskleri, dosyaları, kuyruklar ve tablolar dahil olmak üzere tüm Azure depolama kaynaklarını şifrelenir.All Azure Storage resources are encrypted, including blobs, disks, files, queues, and tables. Tüm nesne meta verilerini de şifrelenir.All object metadata is also encrypted.

Şifreleme, Azure depolama performansını etkilemez.Encryption does not affect Azure Storage performance. Azure depolama şifrelemesi için ek ücret yoktur.There is no additional cost for Azure Storage encryption.

Şifreleme modüllerini temel alınan Azure depolama şifrelemesi hakkında daha fazla bilgi için bkz. şifreleme API'si: Yeni nesil.For more information about the cryptographic modules underlying Azure Storage encryption, see Cryptography API: Next Generation.

Anahtar yönetimiKey management

Microsoft tarafından yönetilen anahtarlar için depolama hesabınızın şifrelenmesini güvenebilirsiniz veya Azure anahtar kasası ile birlikte kendi anahtarlarla şifreleme yönetebilirsiniz.You can rely on Microsoft-managed keys for the encryption of your storage account, or you can manage encryption with your own keys, together with Azure Key Vault.

Microsoft tarafından yönetilen anahtarlarMicrosoft-managed keys

Varsayılan olarak, şifreleme Microsoft tarafından yönetilen anahtarları, depolama hesabını kullanır.By default, your storage account uses Microsoft-managed encryption keys. Şifreleme ayarları için depolama hesabınızda gördüğünüz şifreleme bölümünü Azure portalında, aşağıdaki görüntüde gösterildiği gibi.You can see the encryption settings for your storage account in the Encryption section of the Azure portal, as shown in the following image.

Microsoft tarafından yönetilen anahtarlarla şifrelenir hesabı görüntüle

Müşteri tarafından yönetilen anahtarlarCustomer-managed keys

Azure depolama şifrelemesi müşteri tarafından yönetilen anahtarlarla yönetebilirsiniz.You can manage Azure Storage encryption with customer-managed keys. Müşteri tarafından yönetilen anahtarlar, oluşturma, döndürme, devre dışı bırakın ve erişim denetimleri iptal daha fazla esneklik sağlar.Customer-managed keys give you more flexibility to create, rotate, disable, and revoke access controls. Verilerinizi korumak için kullanılan şifreleme anahtarlarını da denetleyebilirsiniz.You can also audit the encryption keys used to protect your data.

Azure Key Vault, anahtarlarınızı yönetmek ve anahtar kullanımınızı denetlemek için kullanın.Use Azure Key Vault to manage your keys and audit your key usage. Kendi anahtarlarınızı oluşturabilir ve bunları bir anahtar kasasında depolama veya Azure anahtar kasası API'leri, anahtarlar oluşturmak için kullanabilirsiniz.You can either create your own keys and store them in a key vault, or you can use the Azure Key Vault APIs to generate keys. Depolama hesabı ve anahtar kasasının aynı bölgede olması gerekir, ancak bunlar farklı Aboneliklerde olabilir.The storage account and the key vault must be in the same region, but they can be in different subscriptions. Azure Key Vault hakkında daha fazla bilgi için bkz. Azure anahtar kasası nedir?.For more information about Azure Key Vault, see What is Azure Key Vault?.

Müşteri tarafından yönetilen anahtarlar erişimi iptal etmek için bkz: Azure anahtar kasası PowerShell ve Azure anahtar kasası CLI.To revoke access to customer-managed keys, see Azure Key Vault PowerShell and Azure Key Vault CLI. Erişimi etkili bir şekilde iptal ediliyor, şifreleme anahtarı Azure Depolama tarafından erişilemez olduğundan, depolama hesabındaki tüm verilere erişimi engeller.Revoking access effectively blocks access to all data in the storage account, as the encryption key is inaccessible by Azure Storage.

Müşteri tarafından yönetilen anahtarlar Azure depolama ile kullanma konusunda bilgi almak için şu makalelerden birine bakın:To learn how to use customer-managed keys with Azure Storage, see one of these articles:

Önemli

Müşteri tarafından yönetilen anahtarlar Azure Active Directory (Azure AD) özelliği, Azure kaynakları için yönetilen kimlikleri kullanır.Customer-managed keys rely on managed identities for Azure resources, a feature of Azure Active Directory (Azure AD). Ne zaman bir Azure AD dizininden bir abonelik başka bir, yönetilen kimlikleri aktarımı güncelleştirilmez ve müşteri tarafından yönetilen anahtarlar artık çalışmayabilir.When you transfer a subscription from one Azure AD directory to another, managed identities are not updated and customer-managed keys may no longer work. Daha fazla bilgi için Azure AD'ye dizinler arasında bir aboneliğin aktarılması içinde SSS ve bilinen sorunlar ile yönetilen Azure kaynakları için kimlikleri.For more information, see Transferring a subscription between Azure AD directories in FAQs and known issues with managed identities for Azure resources.

Not

Müşteri tarafından yönetilen anahtarlar için desteklenmez Azure yönetilen diskler.Customer-managed keys are not supported for Azure managed disks.

Disk şifreleme ve Azure depolama şifrelemesiAzure Storage encryption versus disk encryption

Azure depolama şifreleme ile tüm Azure depolama hesapları ve içerdikleri kaynaklara, Azure sanal makine diskleri sayfa blobları dahil olmak üzere şifrelenir.With Azure Storage encryption, all Azure Storage accounts and the resources they contain are encrypted, including the page blobs that back Azure virtual machine disks. Ayrıca, Azure sanal makine diskleri ile şifrelenmelidir Azure Disk şifrelemesi.Additionally, Azure virtual machine disks may be encrypted with Azure Disk Encryption. Azure Disk şifrelemesi, endüstri standardı kullanan BitLocker Windows üzerinde ve DM-Crypt Azure Key Vault ile tümleşik olan işletim sistemi tabanlı şifreleme çözümleri sağlamak için Linux üzerinde.Azure Disk Encryption uses industry-standard BitLocker on Windows and DM-Crypt on Linux to provide operating system-based encryption solutions that are integrated with Azure Key Vault.

Sonraki adımlarNext steps