Cakupan enkripsi untuk penyimpanan Blob
Cakupan enkripsi memungkinkan Anda mengelola enkripsi dengan kunci yang tercakup ke kontainer atau blob individual. Anda dapat menggunakan cakupan enkripsi untuk membuat batas aman antara data yang berada di akun penyimpanan yang sama, tetapi milik pelanggan yang berbeda.
Untuk informasi selengkapnya tentang bekerja dengan cakupan enkripsi, lihat Membuat dan mengelola cakupan enkripsi.
Cara kerja cakupan enkripsi
Secara default, akun penyimpanan dienkripsi dengan kunci yang tercakup ke seluruh akun penyimpanan. Saat Anda menentukan cakupan enkripsi, Anda menentukan kunci yang mungkin tercakup ke kontainer atau blob individual. Jika cakupan enkripsi diterapkan ke blob, blob tersebut dienkripsi dengan kunci tersebut. Ketika cakupan enkripsi diterapkan ke sebuah kontainer, itu berfungsi sebagai cakupan default untuk blob di kontainer itu, sehingga semua blob yang diunggah ke kontainer tersebut dapat dienkripsi dengan kunci yang sama. Kontainer dapat dikonfigurasi untuk menerapkan cakupan enkripsi default untuk semua blob di dalam kontainer, atau untuk mengizinkan setiap blob diunggah ke kontainer dengan cakupan enkripsi selain default.
Operasi baca pada blob yang dibuat dengan cakupan enkripsi terjadi secara transparan, selama cakupan enkripsi tidak dinonaktifkan.
Manajemen kunci
Saat Menentukan cakupan enkripsi, Anda dapat menentukan apakah cakupan dilindungi dengan kunci yang dikelola Microsoft atau dengan kunci yang dikelola pelanggan yang tersimpan di Azure Key Vault. Cakupan enkripsi yang berbeda pada akun penyimpanan yang sama dapat menggunakan kunci yang dikelola Microsoft atau dikelola pelanggan. Anda juga dapat mengalihkan jenis kunci yang digunakan untuk melindungi cakupan enkripsi dari kunci yang dikelola pelanggan ke kunci yang dikelola Microsoft, atau sebaliknya, kapan saja. Untuk informasi selengkapnya tentang kunci yang dikelola pelanggan, lihat Menggunakan kunci yang dikelola pelanggan untuk enkripsi Azure Storage. Untuk informasi selengkapnya tentang kunci yang dikelola Microsoft, lihat Tentang manajemen kunci enkripsi.
Jika Anda menentukan cakupan enkripsi dengan kunci yang dikelola pelanggan, maka Anda dapat memilih untuk memperbarui versi kunci baik secara otomatis atau manual. Jika Anda memilih untuk memperbarui versi kunci secara otomatis, maka Azure Storage memeriksa brankas kunci atau HSM terkelola setiap hari untuk versi baru kunci yang dikelola pelanggan dan secara otomatis memperbarui kunci ke versi terbaru. Untuk informasi selengkapnya tentang memperbarui versi kunci untuk kunci yang dikelola pelanggan, lihat Memperbarui versi kunci.
Azure Policy menyediakan kebijakan bawaan untuk mewajibkan cakupan enkripsi menggunakan kunci yang dikelola pelanggan. Untuk informasi selengkapnya, lihat bagian Penyimpanan di definisi kebijakan bawaan Azure Policy.
Akun penyimpanan mungkin memiliki hingga 10.000 cakupan enkripsi yang dilindungi dengan kunci yang dikelola pelanggan yang versi kuncinya diperbarui secara otomatis. Jika akun penyimpanan Anda sudah memiliki 10.000 cakupan enkripsi yang dilindungi dengan kunci yang dikelola pelanggan yang sedang diperbarui secara otomatis, maka versi kunci harus diperbarui secara manual untuk cakupan enkripsi tambahan yang dilindungi dengan kunci yang dikelola pelanggan.
Enkripsi infrastruktur
Enkripsi infrastruktur di Azure Storage memungkinkan enkripsi data ganda. Dengan enkripsi infrastruktur, data dienkripsi dua kali, yang pertama di tingkat layanan dan yang kedua di tingkat infrastruktur, dengan dua algoritme enkripsi dan dua kunci yang berbeda.
Enkripsi infrastruktur didukung untuk cakupan enkripsi, serta pada tingkat akun penyimpanan. Jika enkripsi infrastruktur diaktifkan untuk akun, setiap lingkup enkripsi yang dibuat pada akun tersebut otomatis menggunakan enkripsi infrastruktur. Jika enkripsi infrastruktur tidak diaktifkan di tingkat akun, maka Anda memiliki opsi untuk mengaktifkannya untuk cakupan enkripsi pada saat Anda membuat cakupan. Setelan enkripsi infrastruktur untuk cakupan enkripsi tidak dapat diubah setelah cakupan dibuat.
Untuk informasi selengkapnya tentang enkripsi infrastruktur, lihat Mengaktifkan enkripsi infrastruktur untuk enkripsi data secara ganda.
Cakupan enkripsi untuk kontainer dan blob
Saat Anda membuat kontainernda dapat menentukan cakupan enkripsi default untuk blob yang kemudian diunggah ke kontainer tersebut. Saat Anda menentukan cakupan enkripsi default untuk kontainer, Anda dapat memutuskan bagaimana cakupan enkripsi default diberlakukan:
- Anda dapat mewajibkan semua blob yang diunggah ke kontainer menggunakan cakupan enkripsi default. Dalam kasus ini, setiap blob dalam kontainer dienkripsi dengan kunci yang sama.
- Anda dapat mengizinkan klien untuk mengganti cakupan enkripsi default untuk kontainer, sehingga blob dapat diunggah dengan cakupan enkripsi selain cakupan default. Dalam hal ini, blob dalam kontainer dapat dienkripsi dengan kunci yang berbeda.
Tabel berikut ini meringkas perilaku operasi pengunggahan blob, bergantung pada bagaimana cakupan enkripsi default dikonfigurasi untuk kontainer:
| Cakupan enkripsi yang ditentukan pada kontainer adalah... | Mengunggah blob dengan cakupan enkripsi default... | Mengunggah blob dengan cakupan enkripsi selain cakupan default... |
|---|---|---|
| Cakupan enkripsi default dengan pengesampingan diizinkan | Berhasil | Berhasil |
| Cakupan enkripsi default dengan pengesampingan dilarang | Berhasil | Gagal |
Cakupan enkripsi default harus ditentukan untuk kontainer pada saat kontainer dibuat.
Jika tidak ada cakupan enkripsi default yang ditentukan untuk kontainer, maka Anda dapat mengunggah blob menggunakan cakupan enkripsi apa pun yang telah Anda tentukan untuk akun penyimpanan. Cakupan enkripsi harus ditentukan pada saat blob diunggah.
Catatan
Saat Anda mengunggah blob baru dengan cakupan enkripsi, Anda tidak dapat mengubah tingkat penyimpanan default untuk blob tersebut. Anda juga tidak dapat mengubah tingkat penyimpanan untuk blob yang ada yang menggunakan cakupan enkripsi. Untuk informasi selengkapnya tentang tingkat akses, lihat Tingkat akses Hot, Cool, dan Archive untuk data blob.
Menonaktifkan cakupan enkripsi
Ketika Anda menonaktifkan cakupan enkripsi, operasi baca atau tulis berikutnya yang dibuat dengan cakupan enkripsi akan gagal dengan kode kesalahan HTTP 403 (Terlarang). Jika Anda mengaktifkan kembali cakupan enkripsi, operasi baca dan tulis akan dilanjutkan secara normal lagi.
Jika cakupan enkripsi Anda dilindungi dengan kunci yang dikelola pelanggan, dan Anda mencabut kunci di brankas kunci, data akan menjadi tidak dapat diakses. Pastikan untuk menonaktifkan ruang lingkup enkripsi sebelum mencabut kunci di lemari besi utama untuk menghindari dikenakan biaya untuk lingkup enkripsi.
Perlu diingat bahwa kunci yang dikelola pelanggan dilindungi oleh penghapusan lunak dan perlindungan pembersihan di brankas kunci, dan kunci yang dihapus tunduk pada perilaku yang ditentukan oleh properti tersebut. Untuk informasi selengkapnya, lihat salah satu topik berikut ini di dokumentasi Azure Key Vault:
- Cara menggunakan penghapusan sementara dengan PowerShell
- Cara menggunakan penghapusan lunak dengan CLI
Penting
Tidak mungkin untuk menghapus cakupan enkripsi.
Penagihan untuk cakupan enkripsi
Saat mengaktifkan cakupan enkripsi, Anda ditagih selama minimal 30 hari. Setelah 30 hari, biaya untuk cakupan enkripsi diproratakan setiap jam.
Setelah mengaktifkan cakupan enkripsi, jika Anda menonaktifkannya dalam waktu 30 hari, Anda masih ditagih selama 30 hari. Jika Anda menonaktifkan cakupan enkripsi setelah 30 hari, Anda dikenakan biaya selama 30 hari tersebut ditambah jumlah jam cakupan enkripsi berlaku setelah 30 hari.
Nonaktifkan cakupan enkripsi apa pun yang tidak diperlukan untuk menghindari biaya yang tidak perlu.
Untuk mempelajari tentang harga untuk cakupan enkripsi, lihat Harga Blob Storage.
Dukungan fitur
Dukungan untuk fitur ini mungkin terpengaruh dengan mengaktifkan Data Lake Storage Gen2, protokol Network File System (NFS) 3.0, atau SSH File Transfer Protocol (SFTP). Jika Anda telah mengaktifkan salah satu kemampuan ini, lihat Dukungan fitur Blob Storage di akun Azure Storage untuk menilai dukungan untuk fitur ini.