BLOB ストレージの暗号化スコープ
暗号化スコープを使用すると、コンテナーまたは個々の BLOB にスコープ設定されたキーで暗号化を管理できます。 暗号化スコープを使用すると、異なる顧客が所有する、同じストレージ アカウントに存在するデータの間にセキュリティで保護された境界を作成できます。
暗号化スコープの操作の詳細については、「暗号化スコープの作成と管理」を参照してください。
暗号化スコープのしくみ
既定では、ストレージ アカウントは、そのストレージ アカウント全体をスコープとするキーで暗号化されます。 暗号化スコープを定義するときは、コンテナーまたは個々の BLOB にスコープ設定できるキーを指定します。 暗号化スコープが BLOB に適用されると、BLOB はそのキーで暗号化されます。 暗号化スコープがコンテナーに適用されると、そのコンテナー内の BLOB の既定のスコープとして機能します。これにより、そのコンテナーにアップロードされるすべての BLOB を同じキーで暗号化できます。 コンテナーは、コンテナー内のすべての BLOB に対して既定の暗号化スコープを適用するように構成することも、既定以外の暗号化スコープを使用してコンテナーにアップロードすることを個々の BLOB に許可するように構成することもできます。
暗号化スコープを使用して作成された BLOB に対する読み取り操作は、暗号化スコープが無効になっていない限り、透過的に行われます。
キー管理
暗号化スコープを定義するときに、Microsoft のマネージド キーまたは Azure Key Vault に格納されているカスタマー マネージド キーのどちらでスコープを保護するか指定できます。 同じストレージ アカウントに対する異なる暗号化スコープで、Microsoft のマネージドまたはカスタマー マネージド キーのいずれかを使用できます。 また、暗号化スコープの保護に使用されるキーの種類を、カスタマー マネージド キーから Microsoft のマネージド キーに (または逆方向に) いつでも切り換えることができます。 カスタマー マネージド キーの詳細については、「Azure Storage の暗号化のためのカスタマー マネージド キー」を参照してください。 Microsoft マネージド キーの詳細については、「暗号化キーの管理について」を参照してください。
カスタマー マネージド キーを使用して暗号化スコープを定義する場合、キーのバージョンを自動的に更新するか手動で更新するかを選択できます。 キーのバージョンを自動的に更新することを選択した場合、Azure Storage によって、キー コンテナーまたはマネージド HSM でカスタマー マネージド キーの新しいバージョンが毎日チェックされ、キーが最新バージョンに自動的に更新されます。 カスタマー マネージド キーのキーのバージョンを更新する方法の詳細については、「キーのバージョンを更新する」を参照してください。
Azure Policy には、暗号化スコープで顧客が管理するキーを使用することを要求する組み込みのポリシーが用意されています。 詳細については、「Azure Policy の組み込みポリシー定義」の「ストレージ」セクションを参照してください。
ストレージ アカウントには、キーのバージョンが自動的に更新されるカスタマー マネージド キーで保護される暗号化スコープを最大 10,000 含めることができます。 お使いのストレージ アカウントに、自動的に更新されているカスタマー マネージド キーで保護され暗号化スコープが既に 10,000 含まれている場合は、カスタマー マネージド キーで保護される追加の暗号化スコープについて、キーのバージョンを手動で更新する必要があります。
インフラストラクチャ暗号化
Azure Storage のインフラストラクチャ暗号化により、データの二重暗号化が有効になります。 インフラストラクチャ暗号化により、データは、2 つの異なる暗号化アルゴリズムと 2 つの異なるキーを使用して、2 回 — サービス レベルで 1 回、インフラストラクチャ レベルで 1 回 — 暗号化されます。
インフラストラクチャ暗号化は、ストレージ アカウントのレベルに加えて、暗号化スコープに対してサポートされています。 アカウントに対してインフラストラクチャ暗号化が有効になっている場合、そのアカウントで作成された暗号化スコープでは、インフラストラクチャ暗号化が自動的に使用されます。 アカウント レベルでインフラストラクチャ暗号化が有効になっていない場合、暗号化スコープ作成時にそのスコープに対してこれを有効にするオプションがあります。 暗号化スコープに対するインフラストラクチャ暗号化の設定は、スコープ作成後には変更できません。
インフラストラクチャ暗号化の詳細については、「データの二重暗号化のためのインフラストラクチャ暗号化を有効にする」を参照してください。
コンテナーと BLOB の暗号化スコープ
コンテナーを作成するときに、以降そのコンテナーにアップロードされる BLOB の既定の暗号化スコープを指定できます。 コンテナーの既定の暗号化スコープを指定するとき、既定の暗号化スコープの適用方法を決定できます。
- コンテナーにアップロードされるすべての BLOB が既定の暗号化スコープを使用するように要求することができます。 この場合、コンテナー内のすべての BLOB が同じキーで暗号化されます。
- 既定のスコープ以外の暗号化スコープで BLOB をアップロードできるよう、コンテナーの既定の暗号化スコープをオーバーライドすることをクライアントに許可できます。 この場合、コンテナー内の BLOB を異なるキーで暗号化できます。
次の表は、コンテナーに対する既定の暗号化スコープの構成方法に応じて、BLOB のアップロード操作の動作をまとめたものです。
| コンテナーで定義されている暗号化スコープは... | 既定の暗号化スコープを使用した BLOB のアップロード... | 既定のスコープ以外の暗号化スコープを使用した BLOB のアップロード... |
|---|---|---|
| オーバーライドを許可する既定の暗号化スコープ | 成功 | 成功 |
| オーバーライドを禁止する既定の暗号化スコープ | 成功 | 失敗 |
コンテナーの作成時に、コンテナーに対して既定の暗号化スコープを指定する必要があります。
コンテナーに既定の暗号化スコープが指定されていない場合は、ストレージ アカウントに対して定義済みの暗号化スコープを使用して BLOB をアップロードできます。 暗号化スコープを BLOB のアップロード時に指定する必要があります。
Note
暗号化スコープを使用して新しい BLOB をアップロードするときに、その BLOB の既定のアクセス層を変更することはできません。 また、暗号化スコープが使用されている既存の BLOB のアクセス層を変更することもできません。 アクセス層の詳細については、BLOB データのホット、クール、アーカイブ アクセス層に関するページを参照してください。
暗号化スコープを無効にする
暗号化スコープを無効にすると、暗号化スコープで実行される後続の読み取りまたは書き込み操作は、HTTP エラー コード 403 (禁止) で失敗します。 暗号化スコープを再度有効にすると、読み取りと書き込みの操作は再び正常に続行されます。
暗号化スコープがカスタマー マネージド キーで保護されている場合、キー コンテナー内のキーを取り消すと、データにアクセスできなくなります。 暗号化スコープに対して課金されないようにするには、キー コンテナー内のキーを取り消す前に必ず暗号化スコープを無効にしてください。
カスタマー マネージド キーはキー コンテナー内での論理的な削除と消去保護によって保護されており、削除されたキーはそれらのプロパティによって定義されている動作に従うことにご注意ください。 詳細については、Azure Key Vault のドキュメントで次のトピックのいずれかを参照してください。
重要
暗号化スコープを削除することはできません。
暗号化スコープの課金
暗号化スコープを有効にすると、少なくとも 30 日間の課金が発生します。 30 日後、暗号化スコープの料金は 1 時間ごとに日割り計算されます。
暗号化スコープを有効にした後、30 日以内に無効にした場合でも、30 日間課金されます。 30 日後に暗号化スコープを無効にした場合、この 30 日分に加え、30 日後に暗号化スコープが有効だった時間数に対して課金されます。
不要な料金が発生しないように、不要な暗号化スコープを無効にします。
暗号化スコープの価格については、「Blob Storage の価格」をご覧ください。
機能サポート
Data Lake Storage Gen2、Network File System (NFS) 3.0 プロトコル、または SSH ファイル転送プロトコル (SFTP) を有効にすると、この機能のサポートが影響を受ける場合があります。 これらの機能のいずれかを有効にしている場合は、「Azure Storage アカウントでの Blob Storage 機能のサポート」 を参照して、この機能のサポートを評価してください。