Ambiti di crittografia per l'archiviazione BLOB
Gli ambiti di crittografia consentono di gestire la crittografia con una chiave con ambito in un contenitore o in un singolo BLOB. È possibile usare gli ambiti di crittografia per creare limiti sicuri tra i dati che risiedono nello stesso account di archiviazione, ma appartengono a clienti diversi.
Per altre informazioni sull'uso degli ambiti di crittografia, vedere Creare e gestire gli ambiti di crittografia.
Funzionamento degli ambiti di crittografia
Per impostazione predefinita, un account di archiviazione viene crittografato con una chiave con ambito per l'intero account di archiviazione. Quando si definisce un ambito di crittografia, si specifica una chiave che può essere con ambito in un contenitore o in un singolo BLOB. Quando l'ambito di crittografia viene applicato a un BLOB, il BLOB viene crittografato con tale chiave. Quando l'ambito di crittografia viene applicato a un contenitore, funge da ambito predefinito per i BLOB in tale contenitore, in modo che tutti i BLOB caricati in tale contenitore possano essere crittografati con la stessa chiave. Il contenitore può essere configurato per applicare l'ambito di crittografia predefinito per tutti i BLOB nel contenitore oppure consentire il caricamento di un singolo BLOB nel contenitore con un ambito di crittografia diverso dall'impostazione predefinita.
Le operazioni di lettura in un BLOB creato con un ambito di crittografia vengono eseguite in modo trasparente, purché l'ambito di crittografia non sia disabilitato.
Gestione delle chiavi
Quando si definisce un ambito di crittografia, è possibile specificare se l'ambito è protetto con una chiave gestita da Microsoft o con una chiave gestita dal cliente archiviata in Azure Key Vault. Gli ambiti di crittografia diversi nello stesso account di archiviazione possono usare chiavi gestite da Microsoft o gestite dal cliente. È anche possibile cambiare il tipo di chiave usata per proteggere un ambito di crittografia da una chiave gestita dal cliente a una chiave gestita da Microsoft o viceversa, in qualsiasi momento. Per altre informazioni sulle chiavi gestite dal cliente, vedere Chiavi gestite dal cliente per la crittografia dell'archiviazione di Azure. Per altre informazioni sulle chiavi gestite da Microsoft, vedere Informazioni sulla gestione delle chiavi di crittografia.
Se si definisce un ambito di crittografia con una chiave gestita dal cliente, è possibile scegliere di aggiornare la versione della chiave automaticamente o manualmente. Se si sceglie di aggiornare automaticamente la versione della chiave, Archiviazione di Azure controlla ogni giorno l'insieme di credenziali delle chiavi o il modulo di protezione hardware gestito dal cliente per una nuova versione gestita dal cliente e aggiorna automaticamente la chiave alla versione più recente. Per altre informazioni sull'aggiornamento della versione della chiave per una chiave gestita dal cliente, vedere Aggiornare la versione della chiave.
Criteri di Azure fornisce criteri predefiniti per richiedere che gli ambiti di crittografia usino chiavi gestite dal cliente. Per altre informazioni, vedere la sezione Archiviazione in Criteri di Azure definizioni di criteri predefinite.
Un account di archiviazione può avere fino a 10.000 ambiti di crittografia protetti con chiavi gestite dal cliente per cui la versione della chiave viene aggiornata automaticamente. Se l'account di archiviazione ha già 10.000 ambiti di crittografia protetti con chiavi gestite dal cliente che vengono aggiornate automaticamente, la versione della chiave deve essere aggiornata manualmente per eventuali ambiti di crittografia aggiuntivi protetti con chiavi gestite dal cliente.
Crittografia dell'infrastruttura
La crittografia dell'infrastruttura in Archiviazione di Azure consente la doppia crittografia dei dati. Con la crittografia dell'infrastruttura, i dati vengono crittografati due volte, una volta a livello di servizio e una volta a livello di infrastruttura, con due algoritmi di crittografia diversi e due chiavi diverse.
La crittografia dell'infrastruttura è supportata per un ambito di crittografia, nonché a livello di account di archiviazione. Se la crittografia dell'infrastruttura è abilitata per un account, qualsiasi ambito di crittografia creato in tale account usa automaticamente la crittografia dell'infrastruttura. Se la crittografia dell'infrastruttura non è abilitata a livello di account, è possibile abilitarla per un ambito di crittografia al momento della creazione dell'ambito. L'impostazione di crittografia dell'infrastruttura per un ambito di crittografia non può essere modificata dopo la creazione dell'ambito.
Per altre informazioni sulla crittografia dell'infrastruttura, vedere Abilitare la crittografia dell'infrastruttura per la doppia crittografia dei dati.
Ambiti di crittografia per contenitori e BLOB
Quando si crea un contenitore, è possibile specificare un ambito di crittografia predefinito per i BLOB caricati successivamente in tale contenitore. Quando si specifica un ambito di crittografia predefinito per un contenitore, è possibile decidere come viene applicato l'ambito di crittografia predefinito:
- È possibile richiedere che tutti i BLOB caricati nel contenitore usino l'ambito di crittografia predefinito. In questo caso, ogni BLOB nel contenitore viene crittografato con la stessa chiave.
- È possibile consentire a un client di eseguire l'override dell'ambito di crittografia predefinito per il contenitore, in modo che un BLOB possa essere caricato con un ambito di crittografia diverso dall'ambito predefinito. In questo caso, i BLOB nel contenitore possono essere crittografati con chiavi diverse.
La tabella seguente riepiloga il comportamento di un'operazione di caricamento BLOB, a seconda del modo in cui l'ambito di crittografia predefinito è configurato per il contenitore:
| L'ambito di crittografia definito nel contenitore è... | Caricamento di un BLOB con l'ambito di crittografia predefinito... | Caricamento di un BLOB con ambito di crittografia diverso dall'ambito predefinito... |
|---|---|---|
| Ambito di crittografia predefinito con override consentito | Riesce | Riesce |
| Ambito di crittografia predefinito con override vietato | Riesce | non riuscita |
È necessario specificare un ambito di crittografia predefinito per un contenitore al momento della creazione del contenitore.
Se non viene specificato alcun ambito di crittografia predefinito per il contenitore, è possibile caricare un BLOB usando qualsiasi ambito di crittografia definito per l'account di archiviazione. L'ambito di crittografia deve essere specificato al momento del caricamento del BLOB.
Nota
Quando si carica un nuovo BLOB con un ambito di crittografia, non è possibile modificare il livello di accesso predefinito per tale BLOB. Non è anche possibile modificare il livello di accesso per un BLOB esistente che usa un ambito di crittografia. Per altre informazioni sui livelli di accesso, vedere Livelli di accesso ad accesso frequente, sporadico e archivio per i dati BLOB.
Disabilitazione di un ambito di crittografia
Quando si disabilita un ambito di crittografia, le operazioni di lettura o scrittura successive eseguite con l'ambito di crittografia avranno esito negativo con il codice di errore HTTP 403 (non consentito). Se si riabilita l'ambito di crittografia, le operazioni di lettura e scrittura continueranno normalmente.
Se l'ambito di crittografia è protetto con una chiave gestita dal cliente e si revoca la chiave nell'insieme di credenziali delle chiavi, i dati diventano inaccessibili. Assicurarsi di disabilitare l'ambito di crittografia prima di revocare la chiave nell'insieme di credenziali delle chiavi per evitare l'addebito per l'ambito di crittografia.
Tenere presente che le chiavi gestite dal cliente sono protette dall'eliminazione temporanea e dalla protezione dell'eliminazione nell'insieme di credenziali delle chiavi e una chiave eliminata è soggetta al comportamento definito per tali proprietà. Per altre informazioni, vedere uno degli argomenti seguenti nella documentazione di Azure Key Vault:
- Come usare la funzionalità di eliminazione temporanea con PowerShell
- Come usare l'eliminazione temporanea con l'interfaccia della riga di comando
Importante
Non è possibile eliminare un ambito di crittografia.
Fatturazione per gli ambiti di crittografia
Quando si configura un ambito di crittografia, viene addebitato un minimo di un mese (30 giorni). Dopo il primo mese, gli addebiti per un ambito di crittografia vengono valutati in base oraria.
Se si disabilita l'ambito di crittografia entro il primo mese, viene addebitato il mese intero, ma non per i mesi successivi. Se si disabilita l'ambito di crittografia dopo il primo mese, viene addebitato il primo mese, oltre al numero di ore in cui l'ambito di crittografia è stato applicato dopo il primo mese.
Disabilitare tutti gli ambiti di crittografia che non sono necessari per evitare addebiti non necessari.
Per informazioni sui prezzi per gli ambiti di crittografia, vedere Prezzi dell'archiviazione BLOB.
Supporto funzionalità
Il supporto per questa funzionalità potrebbe essere influenzato abilitando Data Lake Storage Gen2, il protocollo NFS (Network File System) 3.0 o SSH File Transfer Protocol (SFTP).
Se è stata abilitata una di queste funzionalità, vedere Supporto delle funzionalità di archiviazione BLOB negli account di archiviazione di Azure per valutare il supporto per questa funzionalità.