Azure KeyVaultのキーのローテーションによるストレージアカウントへの接続について

こんにちは、

加藤さん。質問ありがとうございます！

• 前のバージョンのキーで暗号化されたデータは再暗号化されますか？

Azure Storageは、キーの回転時に以前のバージョンのキーで暗号化されたデータを自動的に再暗号化しません。これは、Azure Storageがエンベロープ暗号化と呼ばれる技術を使用しているためです。あなたのデータは、ストレージアカウントごとにユニークなデータ暗号化キー（DEK）で暗号化されます。このDEKはあなたの顧客管理キー（CMK）で暗号化され、そのCMKはキーコンテナに保存されます。キーコンテナでCMKを回転させると、そのキーの新しいバージョンが作成されます。あなたのデータを保護するDEKは変わりません。このDEKの暗号化のみが更新されます。

• 最新のキーのバージョンが更新された後も、以前のバージョンのキーで暗号化されたデータにアクセスできますか？

はい、キーの最新バージョンが更新された後でも、以前のバージョンのキーで暗号化されたデータにはアクセスできます。これは、以前のバージョンのキーがあなたのキーコンテナに存在している限りです。Azure Key Vaultは、あなたのキーのすべてのバージョンを保持します。Azure Storageが古いバージョンのCMKによって保護されたデータを復号化する必要がある場合（DEKがその古いバージョンで暗号化されているため）、それはKey Vaultのその特定のキーのバージョンを参照します。

キー・ボールトのキーを自動的に回転させても、既存のストレージアカウントデータが自動的に再暗号化されることはありません。以前のキーのバージョンで暗号化されたデータは、それらのバージョンがキー・ボールト内に存在する限りアクセス可能です。

参考文献- https://learn.microsoft.com/en-us/azure/storage/common/customer-managed-keys-overview

上記の回答が役に立つことを願っています！さらなる質問があればお知らせください。提供された情報が役に立った場合は「アップボート」を忘れないでください。これは他のコミュニティメンバーにとっても有益です。こんにちは、

加藤さん。質問ありがとうございます！

• 前のバージョンのキーで暗号化されたデータは再暗号化されますか？

Azure Storageは、キーの回転時に以前のバージョンのキーで暗号化されたデータを自動的に再暗号化しません。これは、Azure Storageがエンベロープ暗号化と呼ばれる技術を使用しているためです。あなたのデータは、ストレージアカウントごとにユニークなデータ暗号化キー（DEK）で暗号化されます。このDEKはあなたの顧客管理キー（CMK）で暗号化され、そのCMKはキーコンテナに保存されます。キーコンテナでCMKを回転させると、そのキーの新しいバージョンが作成されます。あなたのデータを保護するDEKは変わりません。このDEKの暗号化のみが更新されます。

• 最新のキーのバージョンが更新された後も、以前のバージョンのキーで暗号化されたデータにアクセスできますか？

はい、キーの最新バージョンが更新された後でも、以前のバージョンのキーで暗号化されたデータにはアクセスできます。これは、以前のバージョンのキーがあなたのキーコンテナに存在している限りです。Azure Key Vaultは、あなたのキーのすべてのバージョンを保持します。Azure Storageが古いバージョンのCMKによって保護されたデータを復号化する必要がある場合（DEKがその古いバージョンで暗号化されているため）、それはKey Vaultのその特定のキーのバージョンを参照します。

キー・ボールトのキーを自動的に回転させても、既存のストレージアカウントデータが自動的に再暗号化されることはありません。以前のキーのバージョンで暗号化されたデータは、それらのバージョンがキー・ボールト内に存在する限りアクセス可能です。

参考文献- https://learn.microsoft.com/en-us/azure/storage/common/customer-managed-keys-overview

上記の回答が役に立つことを願っています！他に質問があればお知らせください。情報が役立った場合は「回答を承認する」および「投票する」を忘れないでください。これは他のコミュニティメンバーにとっても有益です。