客戶(hù)管理的密鑰（用于 Azure 存儲(chǔ)加密）

可以使用自己的加密密鑰來(lái)保護(hù)存儲(chǔ)帳戶(hù)中的數(shù)據(jù)。指定客戶(hù)托管密鑰時(shí)，該密鑰用于保護(hù)和控制對(duì)數(shù)據(jù)加密密鑰的訪(fǎng)問(wèn)。使用客戶(hù)托管密鑰可以更靈活地管理訪(fǎng)問(wèn)控制。

必須使用Azure Key Vault來(lái)存儲(chǔ)客戶(hù)管理的密鑰?？梢詣?chuàng)建自己的密鑰并將其存儲(chǔ)在密鑰保管庫(kù)中，也可以使用Azure密鑰保管庫(kù)API來(lái)生成密鑰。存儲(chǔ)帳戶(hù)和Key Vault必須在同一個(gè)區(qū)域和同一個(gè)Azure Active Directory(Azure AD)租戶(hù)中，但可以在不同的訂閱中。

有關(guān)Azure Key Vault的詳細(xì)信息，請(qǐng)參閱什么是Azure Key Vault？。

關(guān)于客戶(hù)托管密鑰

下圖顯示了Azure存儲(chǔ)如何通過(guò)Azure Active Directory和密鑰保管庫(kù)使用客戶(hù)管理的密鑰發(fā)出請(qǐng)求：

Azure存儲(chǔ)中客戶(hù)管理的密鑰的工作原理示意圖

以下列表解釋了示意圖中帶編號(hào)的步驟：

1.Azure Key Vault管理員向與存儲(chǔ)帳戶(hù)關(guān)聯(lián)的托管標(biāo)識(shí)授予對(duì)加密密鑰的權(quán)限。

2.Azure存儲(chǔ)管理員使用存儲(chǔ)帳戶(hù)的客戶(hù)管理密鑰配置加密。

3.Azure存儲(chǔ)使用與存儲(chǔ)帳戶(hù)關(guān)聯(lián)的托管標(biāo)識(shí)，對(duì)通過(guò)Azure Active Directory訪(fǎng)問(wèn)Azure Key Vault的活動(dòng)進(jìn)行身份驗(yàn)證。

4.Azure存儲(chǔ)使用Azure Key Vault中的客戶(hù)密鑰包裝帳戶(hù)加密密鑰。

5.對(duì)于讀/寫(xiě)操作，Azure存儲(chǔ)將向Azure Key Vault發(fā)送解包帳戶(hù)加密密鑰的請(qǐng)求，以執(zhí)行加密和解密操作。

為存儲(chǔ)帳戶(hù)啟用客戶(hù)管理的密鑰

在配置客戶(hù)托管密鑰時(shí)，Azure存儲(chǔ)會(huì)在關(guān)聯(lián)的密鑰保管庫(kù)中使用客戶(hù)托管密鑰來(lái)包裝帳戶(hù)的根數(shù)據(jù)加密密鑰。啟用客戶(hù)托管密鑰不影響性能，并且會(huì)立即生效。

在啟用或禁用客戶(hù)托管密鑰時(shí)，或者在修改密鑰或密鑰版本時(shí)，對(duì)根加密密鑰的保護(hù)會(huì)變化，但你不需要重新加密Azure存儲(chǔ)帳戶(hù)中的數(shù)據(jù)。

客戶(hù)托管密鑰只能在現(xiàn)有存儲(chǔ)帳戶(hù)上啟用。密鑰保管庫(kù)必須配置為將權(quán)限授予與存儲(chǔ)帳戶(hù)關(guān)聯(lián)的托管標(biāo)識(shí)。托管標(biāo)識(shí)僅在存儲(chǔ)帳戶(hù)創(chuàng)建后可用。

可隨時(shí)在客戶(hù)管理的密鑰與Microsoft管理的密鑰之間進(jìn)行切換。有關(guān)Microsoft管理的密鑰的詳細(xì)信息，請(qǐng)參閱關(guān)于加密密鑰管理。

若要了解如何使用密鑰保管庫(kù)中的客戶(hù)管理的密鑰來(lái)配置Azure存儲(chǔ)加密，請(qǐng)參閱使用Azure Key Vault中存儲(chǔ)的客戶(hù)管理的密鑰配置加密。

重要

客戶(hù)托管密鑰依賴(lài)于Azure資源的托管標(biāo)識(shí)，后者是Azure AD的一項(xiàng)功能。托管標(biāo)識(shí)當(dāng)前不支持跨目錄方案。在Azure門(mén)戶(hù)中配置客戶(hù)管理的密鑰時(shí)，系統(tǒng)會(huì)在幕后自動(dòng)將一個(gè)托管標(biāo)識(shí)分配到你的存儲(chǔ)帳戶(hù)。如果隨后將訂閱、資源組或存儲(chǔ)帳戶(hù)從一個(gè)Azure AD目錄移到另一個(gè)目錄，與存儲(chǔ)帳戶(hù)關(guān)聯(lián)的托管標(biāo)識(shí)不會(huì)傳輸?shù)叫伦鈶?hù)，因此客戶(hù)管理的密鑰可能不再起作用。有關(guān)詳細(xì)信息，請(qǐng)參閱Azure資源的常見(jiàn)問(wèn)題解答和已知問(wèn)題中的“在Azure AD目錄之間轉(zhuǎn)移訂閱”。

Azure存儲(chǔ)加密支持2048、3072和4096大小的RSA密鑰。有關(guān)密鑰的詳細(xì)信息，請(qǐng)參閱關(guān)于密鑰。

使用密鑰保管庫(kù)會(huì)有相關(guān)的成本。有關(guān)詳細(xì)信息，請(qǐng)參閱Key Vault定價(jià)。

更新密鑰版本

使用客戶(hù)管理的密鑰配置加密時(shí)，有兩個(gè)選項(xiàng)可用于更新密鑰版本：

·手動(dòng)更新密鑰版本：若要在有新版本可用時(shí)自動(dòng)更新客戶(hù)管理的密鑰的密鑰版本，請(qǐng)?jiān)跒榇鎯?chǔ)帳戶(hù)啟用“使用客戶(hù)管理的密鑰進(jìn)行加密”時(shí)省略密鑰版本。如果省略了密鑰版本，Azure存儲(chǔ)每天都會(huì)在密鑰保管庫(kù)中檢查是否有客戶(hù)管理的密鑰的新版本。Azure存儲(chǔ)將自動(dòng)使用最新版本的密鑰。

·手動(dòng)更新密鑰版本：若要對(duì)Azure存儲(chǔ)加密使用特定版本的密鑰，請(qǐng)?jiān)跒榇鎯?chǔ)帳戶(hù)啟用“使用客戶(hù)管理的密鑰進(jìn)行加密”時(shí)指定該密鑰版本。如果指定密鑰版本，則Azure存儲(chǔ)將使用該版本進(jìn)行加密，直到手動(dòng)更新密鑰版本。

顯式指定密鑰版本后，必須手動(dòng)更新存儲(chǔ)帳戶(hù)，以便在創(chuàng)建新版本時(shí)使用新密鑰版本URI。若要了解如何將存儲(chǔ)帳戶(hù)更新為使用新的密鑰版本，請(qǐng)參閱使用Azure Key Vault中存儲(chǔ)的客戶(hù)管理的密鑰配置加密。

更新密鑰版本時(shí)，根加密密鑰的保護(hù)會(huì)更改，但是Azure存儲(chǔ)帳戶(hù)中的數(shù)據(jù)不會(huì)重新加密。用戶(hù)無(wú)需執(zhí)行任何其他操作。

備注

若要輪換密鑰，請(qǐng)根據(jù)你的符合性策略，在密鑰保管庫(kù)中創(chuàng)建新版本的密鑰。可以手動(dòng)輪換密鑰，或創(chuàng)建一個(gè)函數(shù)以便按計(jì)劃輪換密鑰。

撤消對(duì)客戶(hù)管理的密鑰的訪(fǎng)問(wèn)權(quán)限

可以隨時(shí)撤銷(xiāo)存儲(chǔ)帳戶(hù)對(duì)客戶(hù)托管密鑰的訪(fǎng)問(wèn)權(quán)限。在撤銷(xiāo)對(duì)客戶(hù)托管密鑰的訪(fǎng)問(wèn)權(quán)限之后，或者在禁用或刪除密鑰之后，客戶(hù)端無(wú)法調(diào)用在Blob或其元數(shù)據(jù)中讀取或?qū)懭霐?shù)據(jù)的操作。對(duì)于所有用戶(hù)來(lái)說(shuō)，嘗試調(diào)用以下任何操作都會(huì)失敗，錯(cuò)誤代碼為“403(禁止訪(fǎng)問(wèn))”：

·在請(qǐng)求URI上通過(guò)include=metadata參數(shù)調(diào)用列出Blob

·獲取Blob

·獲取Blob屬性

·獲取Blob元數(shù)據(jù)

·設(shè)置Blob元數(shù)據(jù)

·通過(guò)x-ms-meta-name請(qǐng)求標(biāo)頭調(diào)用快照Blob

·復(fù)制Blob

·從URL復(fù)制Blob

·設(shè)置Blob層

·放置塊

·從URL放置塊

·追加塊

·從URL追加塊

·放置Blob

·放置頁(yè)

·從URL放置頁(yè)

·增量復(fù)制Blob

若要再次調(diào)用這些操作，請(qǐng)還原對(duì)客戶(hù)托管密鑰的訪(fǎng)問(wèn)權(quán)限。

此部分中未列出的所有數(shù)據(jù)操作可以在撤銷(xiāo)客戶(hù)托管密鑰或者禁用或刪除某個(gè)密鑰后繼續(xù)。

若要撤銷(xiāo)對(duì)客戶(hù)托管密鑰的訪(fǎng)問(wèn)權(quán)限，請(qǐng)使用PowerShell或Azure CLI。

Azure托管磁盤(pán)的客戶(hù)托管密鑰

客戶(hù)托管密鑰也可用于管理Azure托管磁盤(pán)的加密?？蛻?hù)管理的密鑰對(duì)托管磁盤(pán)的行為不同于對(duì)Azure存儲(chǔ)資源的行為。有關(guān)詳細(xì)信息，請(qǐng)參閱適用于Windows的Azure托管磁盤(pán)的服務(wù)器端加密或適用于Linux的Azure托管磁盤(pán)的服務(wù)器端加密。