Freigeben über


CustomerProvidedEncryptionKey Klasse

Alle Daten in Azure Storage werden im Ruhezustand mit einem Verschlüsselungsschlüssel auf Kontoebene verschlüsselt. In Den Versionen 2018-06-17 und höher können Sie den Schlüssel verwalten, der zum Verschlüsseln von Blobinhalten und Anwendungsmetadaten pro Blob verwendet wird, indem Sie einen AES-256-Verschlüsselungsschlüssel in Anforderungen an den Speicherdienst bereitstellen.

Wenn Sie einen vom Kunden bereitgestellten Schlüssel verwenden, verwaltet oder speichert Azure Storage Ihren Schlüssel nicht. Beim Schreiben von Daten in ein Blob wird der bereitgestellte Schlüssel verwendet, um Ihre Daten zu verschlüsseln, bevor sie auf den Datenträger geschrieben werden. Ein SHA-256-Hash des Verschlüsselungsschlüssels wird zusammen mit dem Blobinhalt geschrieben und verwendet, um zu überprüfen, ob alle nachfolgenden Vorgänge für das Blob denselben Verschlüsselungsschlüssel verwenden. Dieser Hash kann nicht verwendet werden, um den Verschlüsselungsschlüssel abzurufen oder den Inhalt des Blobs zu entschlüsseln. Beim Lesen eines Blobs wird der bereitgestellte Schlüssel verwendet, um Ihre Daten nach dem Lesen vom Datenträger zu entschlüsseln. In beiden Fällen wird der bereitgestellte Verschlüsselungsschlüssel sicher verworfen, sobald der Verschlüsselungs- oder Entschlüsselungsprozess abgeschlossen ist.

Vererbung
builtins.object
CustomerProvidedEncryptionKey

Konstruktor

CustomerProvidedEncryptionKey(key_value, key_hash)

Parameter

key_value
Erforderlich
key_hash
Erforderlich

Variablen

key_value
str

Base64-codierter AES-256-Verschlüsselungsschlüsselwert.

key_hash
str

Base64-codierter SHA256 des Verschlüsselungsschlüssels.

algorithm
str

Gibt den Algorithmus an, der beim Verschlüsseln von Daten mit dem angegebenen Schlüssel verwendet werden soll. Muss AES256 sein.