靜態(tài)數(shù)據(jù)的 Azure 存儲(chǔ)加密

在數(shù)據(jù)保存到云時(shí)，Azure存儲(chǔ)會(huì)自動(dòng)加密數(shù)據(jù)。Azure存儲(chǔ)加密可以保護(hù)數(shù)據(jù)，并幫助組織履行在安全性與合規(guī)性方面做出的承諾。

關(guān)于Azure存儲(chǔ)加密

Azure存儲(chǔ)中的數(shù)據(jù)將使用256位AES加密法（可用的最強(qiáng)大塊加密法之一）以透明方式進(jìn)行加密和解密，并符合FIPS 140-2規(guī)范。Azure存儲(chǔ)加密法類似于Windows上的BitLocker加密法。

已為所有存儲(chǔ)帳戶（包括資源管理器和經(jīng)典存儲(chǔ)帳戶）啟用Azure存儲(chǔ)加密。無法禁用Azure存儲(chǔ)加密。由于數(shù)據(jù)默認(rèn)受到保護(hù)，因此無需修改代碼或應(yīng)用程序，即可利用Azure存儲(chǔ)加密。

不管存儲(chǔ)帳戶的性能層級(jí)（標(biāo)準(zhǔn)或高級(jí)）、訪問層級(jí)（熱訪問層或冷訪問層）或部署模型（Azure資源管理器或經(jīng)典）如何，都會(huì)將存儲(chǔ)帳戶中的數(shù)據(jù)加密。存檔層級(jí)中的所有blob也都是加密的。所有Azure存儲(chǔ)冗余選項(xiàng)都支持加密，當(dāng)啟用了異地復(fù)制時(shí)，會(huì)對(duì)主要區(qū)域和次要區(qū)域中的所有數(shù)據(jù)進(jìn)行加密。所有Azure存儲(chǔ)資源（包括Blob、磁盤、文件、隊(duì)列和表）都會(huì)加密。所有對(duì)象元數(shù)據(jù)也會(huì)加密。Azure存儲(chǔ)加密不會(huì)產(chǎn)生額外的費(fèi)用。

2017年10月20日后寫入Azure存儲(chǔ)的每個(gè)塊Blob、追加Blob或頁Blob均已加密。在此日期之前創(chuàng)建的Blob繼續(xù)由后臺(tái)進(jìn)程加密。若要強(qiáng)制對(duì)2017年10月20日之前創(chuàng)建的Blob進(jìn)行加密，可以重寫B(tài)lob。若要了解如何檢查Blob的加密狀態(tài)，請(qǐng)參閱檢查Blob的加密狀態(tài)。

有關(guān)Azure存儲(chǔ)加密的底層加密模塊的詳細(xì)信息，請(qǐng)參見加密API：下一代。

有關(guān)Azure托管磁盤的加密和密鑰管理的信息，請(qǐng)參閱適用于Windows VM的Azure托管磁盤的服務(wù)器端加密或適用于Linux VM的Azure托管磁盤的服務(wù)器端加密。

關(guān)于加密密鑰管理

默認(rèn)情況下，新存儲(chǔ)帳戶中的數(shù)據(jù)使用Microsoft管理的密鑰進(jìn)行加密。你可以繼續(xù)依賴于使用Microsoft管理的密鑰來加密數(shù)據(jù)，也可以使用你自己的密鑰來管理加密。如果你選擇使用自己的密鑰來管理加密，則有兩種選擇?？梢允褂萌魏我环N類型的密鑰管理，或者使用這兩種類型：

·可以指定客戶管理的密鑰，用于對(duì)Blob存儲(chǔ)和Azure文件存儲(chǔ)中的數(shù)據(jù)進(jìn)行加密和解密。1,2客戶管理的密鑰必須存儲(chǔ)在Azure Key Vault中。若要詳細(xì)了解客戶管理的密鑰，請(qǐng)參閱使用客戶管理的密·鑰進(jìn)行Azure存儲(chǔ)加密。

·可以在Blob存儲(chǔ)操作中指定客戶提供的密鑰。對(duì)Blob存儲(chǔ)發(fā)出讀取或?qū)懭胝?qǐng)求的客戶端可以在請(qǐng)求中包含加密密鑰，以便精細(xì)控制Blob數(shù)據(jù)的加密和解密方式。有關(guān)客戶提供的密鑰的詳細(xì)信息，請(qǐng)參閱在對(duì)Blob存儲(chǔ)的請(qǐng)求中提供加密密鑰。

下表比較了Azure存儲(chǔ)加密的密鑰管理選項(xiàng)。

備注

Microsoft管理的密鑰會(huì)根據(jù)合規(guī)性要求進(jìn)行適當(dāng)?shù)妮啌Q。如果有特定密鑰輪換要求，Microsoft建議你改為使用客戶管理的密鑰，以便自行管理和審核輪換。

Blob存儲(chǔ)的加密范圍（預(yù)覽）

默認(rèn)情況下，使用范圍為存儲(chǔ)帳戶的密鑰對(duì)存儲(chǔ)帳戶進(jìn)行加密。你可以選擇使用Microsoft管理的密鑰或存儲(chǔ)在Azure Key Vault中的客戶管理的密鑰來保護(hù)和控制對(duì)用于加密數(shù)據(jù)的密鑰的訪問。

通過加密范圍，可以選擇在容器或單個(gè)Blob級(jí)別管理加密。可以使用加密范圍在駐留在同一存儲(chǔ)帳戶中但屬于不同客戶的數(shù)據(jù)之間創(chuàng)建安全邊界。

可以使用Azure存儲(chǔ)資源提供程序?yàn)榇鎯?chǔ)帳戶創(chuàng)建一個(gè)或多個(gè)加密范圍。創(chuàng)建加密范圍時(shí)，可以指定是使用Microsoft管理的密鑰還是使用存儲(chǔ)在Azure Key Vault中的客戶管理的密鑰來保護(hù)該范圍。同一存儲(chǔ)帳戶上的不同加密范圍可以使用Microsoft管理的密鑰或客戶管理的密鑰。

創(chuàng)建加密范圍后，可以對(duì)創(chuàng)建容器或Blob的請(qǐng)求指定加密范圍。有關(guān)如何創(chuàng)建加密范圍的詳細(xì)信息，請(qǐng)參閱創(chuàng)建和管理加密范圍（預(yù)覽）。

備注

讀取訪問異地冗余存儲(chǔ)(RA-GRS)帳戶不支持加密范圍預(yù)覽版。

重要

此加密范圍預(yù)覽版僅用于非生產(chǎn)用途。生產(chǎn)服務(wù)級(jí)別協(xié)議(SLA)當(dāng)前不可用。

為避免意外費(fèi)用，請(qǐng)確保禁用當(dāng)前不需要的任何加密范圍。

創(chuàng)建具有加密范圍的容器或Blob

在加密范圍下創(chuàng)建的Blob使用為該范圍指定的密鑰進(jìn)行加密。在創(chuàng)建單個(gè)Blob時(shí)，可以為該Blob指定加密范圍，也可以在創(chuàng)建容器時(shí)指定默認(rèn)的加密范圍。若在容器級(jí)別指定了默認(rèn)加密范圍，該容器中的所有Blob都將使用與該默認(rèn)范圍相關(guān)聯(lián)的密鑰進(jìn)行加密。

在具有默認(rèn)加密范圍的容器中創(chuàng)建Blob時(shí)，如果該容器配置為允許替代默認(rèn)加密范圍，則可以指定用于替代默認(rèn)加密范圍的加密范圍。若要防止替代默認(rèn)加密范圍，請(qǐng)將容器配置為拒絕單個(gè)Blob的替代。

只要未禁用加密范圍，對(duì)屬于該加密范圍的Blob執(zhí)行讀取操作以透明方式執(zhí)行。

禁用加密范圍

禁用加密范圍時(shí)，使用該加密范圍進(jìn)行的任何后續(xù)讀取或?qū)懭氩僮鞫紝⑹?，并顯示HTTP錯(cuò)誤代碼403（已禁止）。如果重新啟用加密范圍，讀取和寫入操作將再次正常進(jìn)行。

禁用加密范圍后，將不再為此付費(fèi)。禁用不需要的任何加密范圍以避免不必要的費(fèi)用。

如果你的加密范圍受Azure Key Vault的客戶管理的密鑰保護(hù)，則還可以刪除密鑰保管庫中的關(guān)聯(lián)密鑰來禁用加密范圍。請(qǐng)記住，Azure Key Vault中的客戶管理的密鑰受到軟刪除和清除保護(hù)的保護(hù)，刪除的密鑰受這些屬性定義的行為的約束。有關(guān)詳細(xì)信息，請(qǐng)參閱Azure Key Vault文檔中的以下主題之一：

·如何在PowerShell中使用軟刪除

·如何在CLI中使用軟刪除

備注

不能刪除加密范圍。