Obory šifrování pro úložiště objektů blob
Obory šifrování umožňují spravovat šifrování pomocí klíče, který je vymezený na kontejner nebo jednotlivé objekty blob. Obory šifrování můžete použít k vytvoření zabezpečených hranic mezi daty, která se nacházejí ve stejném účtu úložiště, ale patří různým zákazníkům.
Další informace o práci s obory šifrování najdete v tématu Vytváření a správa oborů šifrování.
Jak fungují obory šifrování
Ve výchozím nastavení se účet úložiště šifruje klíčem, který je vymezený na celý účet úložiště. Při definování oboru šifrování zadáte klíč, který může být vymezen na kontejner nebo jednotlivý objekt blob. Pokud se obor šifrování použije u objektu blob, objekt blob se zašifruje tímto klíčem. Když se obor šifrování použije u kontejneru, slouží jako výchozí obor objektů blob v daném kontejneru, aby všechny objekty blob nahrané do tohoto kontejneru mohly být šifrované pomocí stejného klíče. Kontejner je možné nakonfigurovat tak, aby vynucoval výchozí obor šifrování pro všechny objekty blob v kontejneru nebo aby se do kontejneru mohl nahrát jednotlivý objekt blob s jiným oborem šifrování, než je výchozí.
Operace čtení u objektu blob vytvořeného s oborem šifrování probíhají transparentně, pokud obor šifrování není zakázaný.
Správa klíčů
Když definujete obor šifrování, můžete určit, jestli je obor chráněný klíčem spravovaným Microsoftem nebo klíčem spravovaným zákazníkem, který je uložený ve službě Azure Key Vault. Různé obory šifrování ve stejném účtu úložiště můžou používat klíče spravované Microsoftem nebo spravované zákazníkem. Můžete také kdykoli přepnout typ klíče použitého k ochraně oboru šifrování z klíče spravovaného zákazníkem na klíč spravovaný Microsoftem nebo naopak. Další informace o klíčích spravovaných zákazníkem najdete v tématu Klíče spravované zákazníkem pro šifrování služby Azure Storage. Další informace o klíčích spravovaných Microsoftem najdete v tématu Správa šifrovacích klíčů.
Pokud definujete obor šifrování pomocí klíče spravovaného zákazníkem, můžete se rozhodnout aktualizovat verzi klíče buď automaticky, nebo ručně. Pokud se rozhodnete automaticky aktualizovat verzi klíče, Azure Storage denně zkontroluje trezor klíčů nebo spravovaný HSM novou verzi klíče spravovaného zákazníkem a automaticky aktualizuje klíč na nejnovější verzi. Další informace o aktualizaci verze klíče pro klíč spravovaný zákazníkem najdete v tématu Aktualizace verze klíče.
Azure Policy poskytuje předdefinované zásady, které vyžadují, aby obory šifrování používaly klíče spravované zákazníkem. Další informace najdete v části Úložiště v předdefinovaných definicích zásad azure Policy.
Účet úložiště může mít až 10 000 oborů šifrování, které jsou chráněné pomocí klíčů spravovaných zákazníkem, pro které se verze klíče automaticky aktualizuje. Pokud váš účet úložiště už má 10 000 oborů šifrování, které jsou chráněné pomocí klíčů spravovaných zákazníkem, které se automaticky aktualizují, je potřeba aktualizovat verzi klíče ručně pro všechny další obory šifrování, které jsou chráněné pomocí klíčů spravovaných zákazníkem.
Šifrování infrastruktury
Šifrování infrastruktury ve službě Azure Storage umožňuje dvojité šifrování dat. Díky šifrování infrastruktury se data šifrují dvakrát – jednou na úrovni služby a jednou na úrovni infrastruktury – se dvěma různými šifrovacími algoritmy a dvěma různými klíči.
Šifrování infrastruktury se podporuje pro obor šifrování i na úrovni účtu úložiště. Pokud je pro účet povolené šifrování infrastruktury, pak jakýkoli obor šifrování vytvořený na daném účtu automaticky používá šifrování infrastruktury. Pokud šifrování infrastruktury není povolené na úrovni účtu, máte možnost povolit ho pro obor šifrování v době, kdy vytváříte obor. Nastavení šifrování infrastruktury pro obor šifrování nelze po vytvoření oboru změnit.
Další informace o šifrování infrastruktury naleznete v tématu Povolení šifrování infrastruktury pro dvojité šifrování dat.
Obory šifrování pro kontejnery a objekty blob
Při vytváření kontejneru můžete zadat výchozí obor šifrování pro objekty blob, které se následně nahrají do tohoto kontejneru. Když pro kontejner zadáte výchozí obor šifrování, můžete se rozhodnout, jak se má výchozí obor šifrování vynucovat:
- Můžete vyžadovat, aby všechny objekty blob nahrané do kontejneru používaly výchozí obor šifrování. V tomto případě se každý objekt blob v kontejneru zašifruje pomocí stejného klíče.
- Klientovi můžete povolit přepsání výchozího rozsahu šifrování kontejneru, aby se objekt blob mohl nahrát s jiným oborem šifrování než výchozím oborem. V tomto případě se objekty blob v kontejneru můžou šifrovat pomocí různých klíčů.
Následující tabulka shrnuje chování operace nahrání objektu blob v závislosti na tom, jak je pro kontejner nakonfigurovaný výchozí obor šifrování:
Obor šifrování definovaný v kontejneru je... | Nahrání objektu blob s výchozím oborem šifrování... | Nahrání objektu blob s jiným oborem šifrování, než je výchozí obor... |
---|---|---|
Výchozí obor šifrování s povolenými přepsáními | Následuje | Následuje |
Výchozí obor šifrování se zakázanými přepsáními | Následuje | Selhává |
Pro kontejner musí být v době vytvoření kontejneru zadán výchozí obor šifrování.
Pokud pro kontejner není zadaný žádný výchozí obor šifrování, můžete nahrát objekt blob pomocí libovolného rozsahu šifrování, který jste definovali pro účet úložiště. Obor šifrování musí být zadán v okamžiku nahrání objektu blob.
Poznámka:
Když nahrajete nový objekt blob s oborem šifrování, nemůžete změnit výchozí úroveň přístupu pro tento objekt blob. Nemůžete také změnit úroveň přístupu pro existující objekt blob, který používá obor šifrování. Další informace o úrovních přístupu najdete v tématech Horká, Studená a Archivní úroveň přístupu pro data objektů blob.
Zakázání oboru šifrování
Když zakážete obor šifrování, všechny následné operace čtení nebo zápisu provedené s oborem šifrování selžou s kódem chyby HTTP 403 (Zakázáno). Pokud znovu povolíte obor šifrování, operace čtení a zápisu budou pokračovat normálně znovu.
Pokud je váš obor šifrování chráněný klíčem spravovaným zákazníkem a odvoláte klíč v trezoru klíčů, budou data nepřístupná. Před odvoláním klíče v trezoru klíčů nezapomeňte zakázat obor šifrování, abyste se vyhnuli účtování poplatků za obor šifrování.
Mějte na paměti, že klíče spravované zákazníkem jsou chráněné pomocí obnovitelného odstranění a ochrany před vymazáním v trezoru klíčů a odstraněný klíč podléhá chování definovanému těmito vlastnostmi. Další informace najdete v některém z následujících témat v dokumentaci ke službě Azure Key Vault:
- Použití obnovitelného odstranění pomocí PowerShellu
- Použití obnovitelného odstranění pomocí rozhraní příkazového řádku
Důležité
Obor šifrování není možné odstranit.
Fakturace rozsahů šifrování
Když povolíte obor šifrování, účtuje se vám minimálně 30 dnů. Po 30 dnech se poplatky za rozsah šifrování poměrují po hodinách.
Pokud ho po povolení oboru šifrování zakážete do 30 dnů, stále se vám účtují 30 dnů. Pokud po 30 dnech zakážete obor šifrování, budou se vám účtovat tyto 30 dny a počet hodin, po kterých byl rozsah šifrování platit po 30 dnech.
Zakažte všechny obory šifrování, které nejsou potřeba, aby se zabránilo zbytečným poplatkům.
Další informace o cenách rozsahů šifrování najdete v tématu Ceny služby Blob Storage.
Podpora funkcí
Podpora této funkce může mít vliv na povolení protokolu Data Lake Storage Gen2, systému souborů NFS (Network File System) 3.0 nebo protokolu SSH File Transfer Protocol (SFTP). Pokud jste některou z těchto funkcí povolili, podívejte se na podporu funkcí služby Blob Storage v účtech Azure Storage a vyhodnoťte podporu této funkce.