Compartir vía


Creación y administración de ámbitos de cifrado

Los ámbitos de cifrado permiten administrar el cifrado en un blob o contenedor individual. Se pueden usar ámbitos de cifrado para crear límites seguros entre los datos que residen en la misma cuenta de almacenamiento, pero que pertenecen a clientes distintos. Para obtener más información sobre los ámbitos de cifrado, vea Ámbitos de cifrado para Blob Storage.

En este artículo se muestra cómo crear un ámbito de cifrado. También se muestra cómo especificar un ámbito de cifrado al crear un blob o un contenedor.

Creación de un ámbito de cifrado

Puede crear un ámbito de cifrado que esté protegido con una clave administrada por Microsoft o con una clave administrada por el cliente que se almacena en Azure Key Vault o en el modelo de seguridad de hardware (HSM) administrado de Azure Key Vault. Para crear un ámbito de cifrado con una clave administrada por el cliente, en primer lugar, debe crear un almacén de claves o un HSM administrado y agregar la clave que quiere usar para el ámbito. El almacén de claves o el HSM administrado deben tener habilitada la protección de purga.

La cuenta de almacenamiento y el almacén de claves pueden estar en el mismo inquilino o en inquilinos diferentes. En cualquier caso, la cuenta de almacenamiento y el almacén de claves pueden estar en regiones diferentes.

Un ámbito de cifrado se habilita automáticamente al crearlo. Después de crearlo, puede especificarlo al crear un blob. También se puede especificar un ámbito de cifrado predeterminado al crear un contenedor, que se aplica automáticamente a todos los blobs del contenedor.

Al configurar un ámbito de cifrado, se le factura por un mínimo de un mes (30 días). Después del primer mes, los cargos por un ámbito de cifrado se prorratean por hora. Para más información, consulte Facturación para ámbitos de cifrado.

Para crear un ámbito de cifrado en Azure Portal, siga estos pasos:

  1. Vaya a la cuenta de almacenamiento en Azure Portal.

  2. En Seguridad y redes, seleccione Cifrado.

  3. Seleccione la pestaña Ámbitos de cifrado.

  4. Haga clic en el botón Agregar para agregar un ámbito de cifrado nuevo.

  5. En el panel Crear un ámbito de cifrado, escriba un nombre para el ámbito nuevo.

  6. Seleccione el tipo de compatibilidad de clave de cifrado deseado, ya sea Claves administradas por Microsoft o Claves administradas por el cliente.

    • Si ha seleccionado Microsoft-managed keys (Claves administradas por Microsoft), haga clic en Crear para crear el ámbito de cifrado.
    • Si ha seleccionado Claves administradas por el cliente, seleccione una suscripción y especifique un almacén de claves y una clave para usar en este ámbito de cifrado. Si el almacén de claves deseado está en otra región, seleccione Entrar URI de clave y especifique el URI de clave.
  7. Si el cifrado de infraestructura está habilitado para la cuenta de almacenamiento, se habilitará automáticamente para el ámbito de cifrado nuevo. De lo contrario, puede elegir si desea habilitar el cifrado de infraestructura para el ámbito de cifrado.

    Screenshot showing how to create encryption scope in Azure portal

Enumeración de los ámbitos de cifrado para la cuenta de almacenamiento

Para ver los ámbitos de cifrado de una cuenta de almacenamiento en Azure Portal, vaya a la opción Ámbitos de cifrado de la cuenta de almacenamiento. En este panel, se puede habilitar un ámbito de cifrado, deshabilitarlo o cambiarle la clave.

Screenshot showing list of encryption scopes in Azure portal

Para ver los detalles de una clave administrada por el cliente, incluidos el URI y la versión de la clave y si la versión de la clave se actualiza automáticamente, siga el vínculo de la columna de Clave.

Screenshot showing details for a key used with an encryption scope

Creación de un contenedor con un ámbito de cifrado predeterminado

Al crear un contenedor, se puede especificar un ámbito de cifrado predeterminado. De forma predeterminada, los blobs de ese contenedor usarán ese ámbito.

Se puede crear un blob individual con su propio ámbito de cifrado, a menos que el contenedor esté configurado de tal forma que requiera que todos los blobs usen el ámbito predeterminado. Para obtener más información, consulte Ámbitos de cifrado para contenedores y blobs.

Para crear un contenedor con un ámbito de cifrado predeterminado en Azure Portal, primero se debe crear el ámbito de cifrado tal y como se describe en Creación de un ámbito de cifrado. Después, siga estos pasos para crear el contenedor:

  1. Vaya a la lista de contenedores de la cuenta de almacenamiento y seleccione el botón Agregar para crear un contenedor.

  2. Expanda la configuración Avanzado en el panel Nuevo contenedor.

  3. En la lista desplegable Ámbito de cifrado, seleccione el ámbito de cifrado predeterminado para el contenedor.

  4. Para requerir que todos los blobs del contenedor usen el ámbito de cifrado predeterminado, seleccione la casilla para Usar este ámbito de cifrado para todos los blobs del contenedor. Si esta casilla está seleccionada, un blob individual del contenedor no podrá invalidar el ámbito de cifrado predeterminado.

    Screenshot showing container with default encryption scope

Si un cliente intenta especificar un ámbito al cargar un blob en un contenedor que tiene un ámbito de cifrado predeterminado y el contenedor está configurado para evitar que los blobs invaliden el ámbito predeterminado, se produce un error en la operación con un mensaje que indica que la directiva de cifrado del contenedor prohíbe la solicitud.

Carga de un blob con un ámbito de cifrado

Al cargar un blob, puede especificar un ámbito de cifrado para ese blob o usar el ámbito de cifrado predeterminado para el contenedor, si se ha especificado uno.

Nota:

Al cargar un nuevo blob con un ámbito de cifrado, no se puede cambiar el nivel de acceso predeterminado para ese blob. Tampoco puede cambiar el nivel de acceso de un blob existente que use un ámbito de cifrado. Para más información sobre los niveles de acceso, consulte Niveles de acceso frecuente, esporádico y de archivo de los datos de blobs.

Para cargar un blob con un ámbito de cifrado a través de Azure Portal, primero se debe crear el ámbito de cifrado tal y como se describe en Creación de un ámbito de cifrado. Después, siga estos pasos para crear el blob:

  1. Vaya hasta el contenedor en el que quiere cargar el blob.

  2. Seleccione el botón Cargar y busque el blob que se va a cargar.

  3. Expanda la configuración Avanzado en el panel Cargar blob.

  4. Busque la sección desplegable Ámbito de cifrado. De forma predeterminada, el blob se crea con el ámbito de cifrado predeterminado para el contenedor, si se ha especificado uno. Si el contenedor requiere que los blobs usen el ámbito de cifrado predeterminado, esta sección está deshabilitada.

  5. A fin de especificar un ámbito diferente para el blob que se está cargando, seleccione Elegir un ámbito existente y, luego, el ámbito que quiera en la lista desplegable.

    Screenshot showing how to upload a blob with an encryption scope

Cambio de la clave de cifrado de un ámbito

Para cambiar la clave que protege un ámbito de cifrado de una clave administrada por Microsoft a una clave administrada por el cliente, primero debe asegurarse de que ha habilitado las claves administradas por el cliente con Azure Key Vault o HSM de Key Vault para la cuenta de almacenamiento. Para más información, consulte Configuración del cifrado con claves administradas por el cliente almacenadas en Azure Key Vault.

Para cambiar la clave que protege un ámbito en Azure Portal, siga estos pasos:

  1. Vaya a la pestaña Ámbitos de cifrado para ver la lista de ámbitos de cifrado de la cuenta de almacenamiento.
  2. Seleccione el botón Más situado junto al ámbito que quiera modificar.
  3. En el panel Edit encryption scope (Editar ámbito de cifrado), se puede cambiar el tipo de cifrado de clave administrada por Microsoft a clave administrada por el cliente, o viceversa.
  4. Para seleccionar una nueva clave administrada por el cliente, seleccione Usar una nueva clave y especifique el almacén de claves, la clave y la versión de la clave.

Deshabilitación de un ámbito de cifrado

Deshabilite los ámbitos de cifrado que no sean necesarios para evitar cargos innecesarios. Para más información, consulte Facturación para ámbitos de cifrado.

Para deshabilitar un ámbito de cifrado en Azure Portal, vaya a la configuración Ámbitos de cifrado de la cuenta de almacenamiento, seleccione el ámbito de cifrado deseado y luego Deshabilitar.

Pasos siguientes