你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

创建和管理加密范围

通过加密范围,可在单个 blob 或容器级别管理加密。 可以使用加密范围在驻留在同一存储帐户中但属于不同客户的数据之间创建安全边界。 有关加密范围的详细信息,请参阅 Blob 存储的加密范围

本文介绍如何创建加密范围。 本文还介绍如何在创建 blob 或容器时指定加密范围。

创建加密范围

可以创建受 Microsoft 管理的密钥或客户管理的密钥保护的加密范围,这些密钥存储在 Azure 密钥保管库或 Azure 密钥保管库托管硬件安全模型 (HSM) 中。 若要使用客户管理的密钥创建加密范围,必须先创建密钥保管库或托管 HSM,并添加要用于此范围的密钥。 密钥保管库或托管 HSM 必须启用清除保护。

存储帐户和密钥保管库可以位于同一租户中,也可以位于不同的租户中。 在这两种情况下,存储帐户和密钥保管库可以位于不同的区域中。

创建加密范围时会自动启用它。 创建加密范围后,可以在创建 blob 时指定它。 还可以在创建容器时指定默认的加密范围,它将自动应用于容器中的所有 blob。

配置加密范围时,需要支付至少一个月(30 天)的费用。 第一个月之后,加密范围每小时按比例计费。 有关详细信息,请参阅加密范围的计费

若要在 Azure 门户中创建加密范围,请执行以下步骤:

  1. 导航到 Azure 门户中的存储帐户。

  2. 在“安全 + 网络”下,选择“加密”。

  3. 选择“加密范围”选项卡。

  4. 单击“添加”按钮以添加新加密范围。

  5. 在“创建加密范围”窗格中输入新范围的名称。

  6. 选择所需的加密密钥支持类型,“Microsoft 管理的密钥”或“客户管理的密钥” 。

    • 如果选择了“Microsoft 管理的密钥”,请单击“创建”以创建加密范围 。
    • 如果选择了“客户管理的密钥”,请选择一个订阅并指定要用于此加密范围的密钥保管库和密钥。 如果所需的密钥保管库位于其他区域中,请选择“输入密钥 URI”并指定密钥 URI。
  7. 如果为存储帐户启用了基础结构加密,则会自动为新的加密范围启用基础结构加密。 除此之外,你可以选择是否为加密范围启用基础结构加密。

    Screenshot showing how to create encryption scope in Azure portal

列出存储帐户的加密范围

若要在 Azure 门户中查看存储帐户的加密范围,请导航到该存储帐户的“加密范围”设置。 在此窗格中,你可以启用或禁用加密范围,或者更改加密范围的密钥。

Screenshot showing list of encryption scopes in Azure portal

若要查看客户管理的密钥的详细信息,包括密钥 URI、版本以及密钥版本是否自动更新,请访问 Key 列中的链接。

Screenshot showing details for a key used with an encryption scope

创建具有默认加密范围的容器

创建容器时,可以指定默认的加密范围。 默认情况下,该容器中的 blob 将使用该范围。

除非容器配置为要求所有 blob 使用其默认范围,否则可以使用其自己的加密范围创建单个 blob。 有关详细信息,请参阅容器和 blob 的加密范围

若要在 Azure 门户中创建具有默认加密范围的容器,请先创建加密范围,如创建加密范围中所述。 接下来,请按照以下步骤创建容器:

  1. 导航到存储帐户中的容器列表,然后选择“添加”按钮创建一个容器

  2. 在“新容器”窗格中展开“高级”设置 。

  3. 在“加密范围”下拉列表中,为容器选择默认的加密范围。

  4. 若要要求容器中的所有 blob 使用默认加密范围,请选中“对容器中的所有 blob 使用此加密范围”的复选框。 如果选中此复选框,则容器中的单个 blob 无法重写默认的加密范围。

    Screenshot showing container with default encryption scope

如果客户端在将 blob 上传到具有默认加密范围的容器时尝试指定范围,并且容器配置为阻止 blob 重写默认范围,则操作将失败,并显示一条消息,指示容器加密策略禁止该请求。

上传具有加密范围的 blob

上传 blob 时,可以指定该 blob 的加密范围,或者使用容器的默认加密范围(如果已指定)。

注意

上传使用加密范围的新 Blob 时,无法更改该 Blob 的默认访问层。 也不能更改使用加密范围的现有 Blob 的访问层。 有关访问层的详细信息,请参阅 Blob 数据的热访问层、冷访问层和存档访问层

若要通过 Azure 门户上传具有加密范围的 blob,请首先按照创建加密范围中所述创建加密范围。 接下来,请按照以下步骤创建 blob:

  1. 导航到要将 blob 上传到的容器。

  2. 选择“上传”按钮,然后找到要上传的 blob。

  3. 在“上传 blob”窗格中展开“高级”设置 。

  4. 找到“加密范围”下拉部分。 默认情况下,将使用容器的默认加密范围(如果已指定)创建 blob。 如果容器要求 blob 使用默认加密范围,则禁用此部分。

  5. 若要为要上传的 blob 指定其他范围,请选择“选择现有范围”,然后从下拉列表中选择所需的范围。

    Screenshot showing how to upload a blob with an encryption scope

更改范围的加密密钥

若要将保护加密范围的密钥从 Microsoft 管理的密钥更改为客户管理的密钥,请首先确保已使用 Azure Key Vault 或 Key Vault HSM 为存储帐户启用了客户管理的密钥。 有关详细信息,请参阅使用 Azure Key Vault 中存储的客户管理的密钥配置加密使用 Azure Key Vault 中存储的客户管理的密钥配置加密

若要更改保护 Azure 门户范围的密钥,请执行以下步骤:

  1. 导航到“加密范围”选项卡,查看存储帐户的加密范围列表。
  2. 选择要修改的范围旁边的“更多”按钮。
  3. 在“编辑加密范围”窗格中,可以将加密类型从 Microsoft 托管密钥更改为客户管理的密钥,反之亦然。
  4. 要选择新的客户管理的密钥,请选择“使用新密钥”并指定密钥保管库、密钥和密钥版本。

禁用加密范围

禁用不需要的任何加密范围以避免不必要的费用。 有关详细信息,请参阅加密范围的计费

若要在 Azure 门户中禁用加密范围,请导航到该存储帐户的“加密范围”设置,选择所需的加密范围,然后选择“禁用” 。

后续步骤