A Blob Storage titkosítási hatókörei

Cikk
08/29/2023

A titkosítási hatókörök lehetővé teszik a titkosítás kezelését egy tárolóra vagy egy adott blobra hatókörrel rendelkező kulccsal. Titkosítási hatókörökkel biztonságos határokat hozhat létre az ugyanazon tárfiókban található, de különböző ügyfelekhez tartozó adatok között.

További információ a titkosítási hatókörök kezeléséről: Titkosítási hatókörök létrehozása és kezelése.

A titkosítási hatókörök működése

A tárfiókok alapértelmezés szerint egy olyan kulccsal lesznek titkosítva, amely a teljes tárfiókra kiterjed. A titkosítási hatókör meghatározásakor meg kell adnia egy olyan kulcsot, amely egy tárolóra vagy egy adott blobra terjedhet ki. Amikor a titkosítási hatókört egy blobra alkalmazza, a blob ezzel a kulccsal lesz titkosítva. Amikor a titkosítási hatókört egy tárolóra alkalmazza, az a tárolóban lévő blobok alapértelmezett hatóköreként szolgál, így az adott tárolóba feltöltött összes blob ugyanazzal a kulccsal titkosítható. A tároló konfigurálható úgy, hogy kikényszerítse a tárolóban lévő összes blob alapértelmezett titkosítási hatókörét, vagy lehetővé teszi, hogy egy adott blob az alapértelmezetten kívüli titkosítási hatókörrel legyen feltöltve a tárolóba.

A titkosítási hatókörrel létrehozott blob olvasási műveletei transzparens módon történnek, amíg a titkosítási hatókör nincs letiltva.

Kulcskezelés

Titkosítási hatókör definiálásakor megadhatja, hogy a hatókör microsoft által felügyelt kulccsal vagy az Azure Key Vaultban tárolt ügyfél által felügyelt kulccsal legyen-e védve. Az ugyanazon tárfiók különböző titkosítási hatókörei a Microsoft által felügyelt vagy az ügyfél által felügyelt kulcsokat is használhatják. A titkosítási hatókör ügyfél által felügyelt kulcsról Microsoft által felügyelt kulcsra való védelméhez használt kulcstípust bármikor átválthatja a Microsoft által felügyelt kulcsra, vagy fordítva. Az ügyfél által felügyelt kulcsokról további információt az Azure Storage-titkosítás ügyfél által felügyelt kulcsairól talál. A Microsoft által felügyelt kulcsokkal kapcsolatos további információkért lásd: A titkosítási kulcsok kezelése.

Ha ügyfél által felügyelt kulccsal definiál egy titkosítási hatókört, akkor dönthet úgy, hogy automatikusan vagy manuálisan frissíti a kulcsverziót. Ha úgy dönt, hogy automatikusan frissíti a kulcsverziót, az Azure Storage naponta ellenőrzi a kulcstartót vagy a felügyelt HSM-et az ügyfél által felügyelt kulcs új verziójára, és automatikusan frissíti a kulcsot a legújabb verzióra. Az ügyfél által felügyelt kulcs kulcsverziójának frissítéséről további információt a kulcsverzió frissítése című témakörben talál.

Az Azure Policy egy beépített szabályzatot biztosít, amely megköveteli, hogy a titkosítási hatókörök ügyfél által felügyelt kulcsokat használjanak. További információkért tekintse meg az Azure Policy beépített szabályzatdefinícióinak Storage szakaszát.

Egy tárfiók legfeljebb 10 000 titkosítási hatókörrel rendelkezhet, amelyek ügyfél által felügyelt kulcsokkal vannak védve, amelyekhez a kulcsverzió automatikusan frissül. Ha a tárfiók már 10 000 olyan titkosítási hatókörrel rendelkezik, amelyek automatikusan frissülnek az ügyfél által felügyelt kulcsokkal, akkor a kulcsverziót manuálisan kell frissíteni az ügyfél által felügyelt kulcsokkal védett további titkosítási hatókörök esetében.

Infrastruktúra titkosítása

Az Azure Storage infrastruktúra-titkosítása lehetővé teszi az adatok kettős titkosítását. Az infrastruktúra-titkosítással az adatok két különböző titkosítási algoritmussal és két különböző kulccsal titkosítva lesznek – egyszer a szolgáltatás szintjén, egyszer pedig az infrastruktúra szintjén.

Az infrastruktúra-titkosítást a titkosítási hatókör, valamint a tárfiók szintjén is támogatjuk. Ha az infrastruktúra-titkosítás engedélyezve van egy fiókhoz, akkor a fiókon létrehozott titkosítási hatókörök automatikusan infrastruktúra-titkosítást használnak. Ha az infrastruktúra-titkosítás nincs engedélyezve a fiók szintjén, akkor a hatókör létrehozásakor engedélyezheti azt egy titkosítási hatókörhöz. A titkosítási hatókör infrastruktúra-titkosítási beállítása nem módosítható a hatókör létrehozása után.

További információ az infrastruktúra-titkosításról: Az infrastruktúra-titkosítás engedélyezése az adatok kettős titkosításához.

Tárolók és blobok titkosítási hatókörei

Tároló létrehozásakor megadhatja a tárolóba később feltöltött blobok alapértelmezett titkosítási hatókörét. Ha alapértelmezett titkosítási hatókört ad meg egy tárolóhoz, eldöntheti, hogyan kényszeríti ki az alapértelmezett titkosítási hatókört:

Megkövetelheti, hogy a tárolóba feltöltött összes blob használja az alapértelmezett titkosítási hatókört. Ebben az esetben a tárolóban lévő összes blob ugyanazzal a kulccsal van titkosítva.
Engedélyezheti az ügyfélnek, hogy felülbírálja a tároló alapértelmezett titkosítási hatókörét, hogy a blobok az alapértelmezett hatókörön kívül más titkosítási hatókörrel legyenek feltöltve. Ebben az esetben a tárolóban lévő blobok különböző kulcsokkal titkosíthatók.

Az alábbi táblázat a blobfeltöltési művelet viselkedését foglalja össze attól függően, hogy az alapértelmezett titkosítási hatókör hogyan van konfigurálva a tárolóhoz:

A tárolón definiált titkosítási hatókör...	Blob feltöltése az alapértelmezett titkosítási hatókörrel...	Az alapértelmezett hatókörön kívüli titkosítási hatókörrel rendelkező blob feltöltése...
Alapértelmezett titkosítási hatókör engedélyezett felülbírálásokkal	Sikerül	Sikerül
Alapértelmezett titkosítási hatókör tiltott felülbírálásokkal	Sikerül	Megbukik

Egy tárolóhoz alapértelmezett titkosítási hatókört kell megadni a tároló létrehozásakor.

Ha nincs megadva alapértelmezett titkosítási hatókör a tárolóhoz, feltölthet egy blobot a tárfiókhoz definiált titkosítási hatókör használatával. A titkosítási hatókört a blob feltöltésének időpontjában kell megadni.

Megjegyzés:

Amikor egy titkosítási hatókörrel rendelkező új blobot tölt fel, nem módosíthatja az adott blob alapértelmezett hozzáférési szintjét. A titkosítási hatókört használó meglévő blobok hozzáférési szintjét sem módosíthatja. A hozzáférési szintekről további információt a blobadatok gyakori elérésű, ritka elérésű és archív hozzáférési szintjeiben talál.

Titkosítási hatókör letiltása

Ha letilt egy titkosítási hatókört, a titkosítási hatókörrel végzett további olvasási vagy írási műveletek a 403-ás (Tiltott) HTTP-hibakóddal meghiúsulnak. Ha újra engedélyezi a titkosítási hatókört, az olvasási és írási műveletek a szokásos módon folytatódnak.

Ha a titkosítási hatókör egy ügyfél által felügyelt kulccsal van védve, és visszavonja a kulcsot a kulcstartóban, az adatok elérhetetlenné válnak. A kulcs kulcsának visszavonása előtt mindenképpen tiltsa le a titkosítási hatókört, hogy ne kelljen fizetnie a titkosítási hatókörért.

Ne feledje, hogy az ügyfél által felügyelt kulcsokat helyreállítható törlési és törlési védelem védi a kulcstartóban, és a törölt kulcsokra az adott tulajdonságok által meghatározott viselkedés vonatkozik. További információkért tekintse meg az Azure Key Vault dokumentációjának alábbi témakörét:

Fontos

Titkosítási hatókör nem törölhető.

Titkosítási hatókörök számlázása

Ha engedélyezi a titkosítási hatókört, a számlázás legalább 30 napig történik. 30 nap elteltével a titkosítási hatókör díjait óránként számítjuk fel.

A titkosítási hatókör engedélyezése után, ha 30 napon belül letiltja azt, akkor is 30 napig kell fizetnie. Ha 30 nap után letiltja a titkosítási hatókört, akkor a 30 napért plusz a titkosítási hatókör 30 nap után érvényben lévő óráiért kell fizetnie.

Tiltsa le azokat a titkosítási hatóköröket, amelyekre nincs szükség a szükségtelen díjak elkerülése érdekében.

A titkosítási hatókörök díjszabásáról további információt a Blob Storage díjszabásában talál.

Szolgáltatások támogatása

Ennek a funkciónak a támogatását befolyásolhatja a Data Lake Storage Gen2, a Network File System (NFS) 3.0 protokoll vagy az SSH File Transfer Protocol (SFTP) engedélyezése. Ha engedélyezte bármelyik funkciót, tekintse meg a Blob Storage szolgáltatástámogatását az Azure Storage-fiókokban a funkció támogatásának felméréséhez.