Azure Blob 存儲的加密范圍（預(yù)覽）

可以通過加密范圍在容器或單個Blob級別管理加密。可以使用加密范圍在駐留在同一存儲帳戶中但屬于不同客戶的數(shù)據(jù)之間創(chuàng)建安全邊界。

默認(rèn)情況下，使用作用域為整個存儲帳戶的密鑰對存儲帳戶進(jìn)行加密。使用加密范圍時，可以指定使用作用域僅為這些容器的密鑰對一個或多個容器加密。

你可以選擇使用Microsoft管理的密鑰或存儲在Azure Key Vault中的客戶管理的密鑰來保護(hù)和控制對用于加密數(shù)據(jù)的密鑰的訪問。同一存儲帳戶上的不同加密范圍可以使用Microsoft管理的密鑰或客戶管理的密鑰。

創(chuàng)建加密范圍后，可以對創(chuàng)建容器或Blob的請求指定加密范圍。有關(guān)如何創(chuàng)建加密范圍的詳細(xì)信息，請參閱創(chuàng)建和管理加密范圍（預(yù)覽）。

備注

讀取訪問異地冗余存儲(RA-GRS)帳戶不支持加密范圍預(yù)覽版。

備注

具有分層命名空間(Azure Data Lake Storage Gen2)的帳戶尚不支持此功能。若要了解詳細(xì)信息，請參閱Azure Data Lake Storage Gen2中可用的Blob存儲功能。

重要

此加密范圍預(yù)覽版僅用于非生產(chǎn)用途。生產(chǎn)服務(wù)級別協(xié)議(SLA)當(dāng)前不可用。

為避免意外費(fèi)用，請確保禁用當(dāng)前不需要的任何加密范圍。

創(chuàng)建具有加密范圍的容器或Blob

在加密范圍下創(chuàng)建的Blob使用為該范圍指定的密鑰進(jìn)行加密。在創(chuàng)建單個Blob時，可以為該Blob指定加密范圍，也可以在創(chuàng)建容器時指定默認(rèn)的加密范圍。若在容器級別指定了默認(rèn)加密范圍，該容器中的所有Blob都將使用與該默認(rèn)范圍相關(guān)聯(lián)的密鑰進(jìn)行加密。

在具有默認(rèn)加密范圍的容器中創(chuàng)建Blob時，如果該容器配置為允許替代默認(rèn)加密范圍，則可以指定用于替代默認(rèn)加密范圍的加密范圍。若要防止替代默認(rèn)加密范圍，請將容器配置為拒絕單個Blob的替代。

只要未禁用加密范圍，對屬于該加密范圍的Blob執(zhí)行讀取操作以透明方式執(zhí)行。

禁用加密范圍

禁用加密范圍時，使用該加密范圍進(jìn)行的任何后續(xù)讀取或?qū)懭氩僮鞫紝⑹?，并顯示HTTP錯誤代碼403（已禁止）。如果重新啟用加密范圍，讀取和寫入操作將再次正常進(jìn)行。

禁用加密范圍后，將不再為此付費(fèi)。禁用不需要的任何加密范圍以避免不必要的費(fèi)用。

如果你的加密范圍受客戶管理的密鑰保護(hù)，則還可以刪除密鑰保管庫中的關(guān)聯(lián)密鑰來禁用加密范圍。請記住，客戶管理的密鑰受到密鑰保管庫中的軟刪除和清除保護(hù)功能的保護(hù)，刪除的密鑰受到為這些屬性定義的行為的約束。有關(guān)詳細(xì)信息，請參閱Azure Key Vault文檔中的以下主題之一：

·如何在PowerShell中使用軟刪除

·如何在CLI中使用軟刪除

備注

不能刪除加密范圍。