Udostępnij za pośrednictwem


Tworzenie zakresów szyfrowania i zarządzanie nimi

Zakresy szyfrowania umożliwiają zarządzanie szyfrowaniem na poziomie pojedynczego obiektu blob lub kontenera. Zakresy szyfrowania umożliwiają tworzenie bezpiecznych granic między danymi, które znajdują się na tym samym koncie magazynu, ale należą do różnych klientów. Aby uzyskać więcej informacji na temat zakresów szyfrowania, zobacz Zakresy szyfrowania dla usługi Blob Storage.

W tym artykule pokazano, jak utworzyć zakres szyfrowania. Przedstawiono również sposób określania zakresu szyfrowania podczas tworzenia obiektu blob lub kontenera.

Tworzenie zakresu szyfrowania

Można utworzyć zakres szyfrowania chroniony za pomocą klucza zarządzanego przez firmę Microsoft lub klucz zarządzany przez klienta, który jest przechowywany w usłudze Azure Key Vault lub w zarządzanym modelu zabezpieczeń sprzętu usługi Azure Key Vault (HSM). Aby utworzyć zakres szyfrowania przy użyciu klucza zarządzanego przez klienta, musisz najpierw utworzyć magazyn kluczy lub zarządzany moduł HSM i dodać klucz, którego zamierzasz użyć dla zakresu. Magazyn kluczy lub zarządzany moduł HSM musi mieć włączoną ochronę przeczyszczania.

Konto magazynu i magazyn kluczy mogą znajdować się w tej samej dzierżawie lub w różnych dzierżawach. W obu przypadkach konto magazynu i magazyn kluczy mogą znajdować się w różnych regionach.

Zakres szyfrowania jest automatycznie włączany podczas jego tworzenia. Po utworzeniu zakresu szyfrowania można określić go podczas tworzenia obiektu blob. Można również określić domyślny zakres szyfrowania podczas tworzenia kontenera, który jest automatycznie stosowany do wszystkich obiektów blob w kontenerze.

Podczas konfigurowania zakresu szyfrowania są naliczane opłaty za co najmniej jeden miesiąc (30 dni). Po pierwszym miesiącu opłaty za zakres szyfrowania są proporcjonalnie naliczane co godzinę. Aby uzyskać więcej informacji, zobacz Rozliczenia dla zakresów szyfrowania.

Aby utworzyć zakres szyfrowania w witrynie Azure Portal, wykonaj następujące kroki:

  1. W witrynie Azure Portal przejdź do swojego konta magazynu.

  2. W obszarze Zabezpieczenia i sieć wybierz pozycję Szyfrowanie.

  3. Wybierz kartę Zakresy szyfrowania.

  4. Kliknij przycisk Dodaj, aby dodać nowy zakres szyfrowania.

  5. W okienku Tworzenie zakresu szyfrowania wprowadź nazwę nowego zakresu.

  6. Wybierz żądany typ obsługi klucza szyfrowania — klucze zarządzane przez firmę Microsoft lub klucze zarządzane przez klienta.

    • Jeśli wybrano klucze zarządzane przez firmę Microsoft, kliknij przycisk Utwórz , aby utworzyć zakres szyfrowania.
    • W przypadku wybrania kluczy zarządzanych przez klienta wybierz subskrypcję i określ magazyn kluczy oraz klucz do użycia dla tego zakresu szyfrowania. Jeśli żądany magazyn kluczy znajduje się w innym regionie, wybierz pozycję Wprowadź identyfikator URI klucza i określ identyfikator URI klucza.
  7. Jeśli szyfrowanie infrastruktury jest włączone dla konta magazynu, zostanie ono automatycznie włączone dla nowego zakresu szyfrowania. W przeciwnym razie możesz wybrać, czy włączyć szyfrowanie infrastruktury dla zakresu szyfrowania.

    Screenshot showing how to create encryption scope in Azure portal

Wyświetlanie listy zakresów szyfrowania dla konta magazynu

Aby wyświetlić zakresy szyfrowania dla konta magazynu w witrynie Azure Portal, przejdź do ustawienia Zakresy szyfrowania dla konta magazynu. W tym okienku można włączyć lub wyłączyć zakres szyfrowania lub zmienić klucz dla zakresu szyfrowania.

Screenshot showing list of encryption scopes in Azure portal

Aby wyświetlić szczegóły klucza zarządzanego przez klienta, w tym identyfikator URI i wersję klucza oraz czy wersja klucza jest automatycznie aktualizowana, postępuj zgodnie z linkiem w kolumnie Klucz .

Screenshot showing details for a key used with an encryption scope

Tworzenie kontenera z domyślnym zakresem szyfrowania

Podczas tworzenia kontenera można określić domyślny zakres szyfrowania. Obiekty blob w tym kontenerze będą domyślnie używać tego zakresu.

Pojedynczy obiekt blob można utworzyć z własnym zakresem szyfrowania, chyba że kontener jest skonfigurowany tak, aby wymagał, aby wszystkie obiekty blob używały zakresu domyślnego. Aby uzyskać więcej informacji, zobacz Zakresy szyfrowania dla kontenerów i obiektów blob.

Aby utworzyć kontener z domyślnym zakresem szyfrowania w witrynie Azure Portal, najpierw utwórz zakres szyfrowania zgodnie z opisem w temacie Tworzenie zakresu szyfrowania. Następnie wykonaj następujące kroki, aby utworzyć kontener:

  1. Przejdź do listy kontenerów na koncie magazynu i wybierz przycisk Dodaj , aby utworzyć kontener.

  2. Rozwiń pozycję Ustawienia zaawansowane w okienku Nowy kontener.

  3. Z listy rozwijanej Zakres szyfrowania wybierz domyślny zakres szyfrowania dla kontenera.

  4. Aby wymagać, aby wszystkie obiekty blob w kontenerze używały domyślnego zakresu szyfrowania, zaznacz pole wyboru Użyj tego zakresu szyfrowania dla wszystkich obiektów blob w kontenerze. Jeśli to pole wyboru jest zaznaczone, pojedynczy obiekt blob w kontenerze nie może zastąpić domyślnego zakresu szyfrowania.

    Screenshot showing container with default encryption scope

Jeśli klient próbuje określić zakres podczas przekazywania obiektu blob do kontenera, który ma domyślny zakres szyfrowania, a kontener jest skonfigurowany tak, aby zapobiec zastępowaniu domyślnego zakresu obiektów blob, operacja kończy się niepowodzeniem z komunikatem wskazującym, że żądanie jest zabronione przez zasady szyfrowania kontenera.

Przekazywanie obiektu blob z zakresem szyfrowania

Podczas przekazywania obiektu blob można określić zakres szyfrowania dla tego obiektu blob lub użyć domyślnego zakresu szyfrowania dla kontenera, jeśli został określony.

Uwaga

Podczas przekazywania nowego obiektu blob z zakresem szyfrowania nie można zmienić domyślnej warstwy dostępu dla tego obiektu blob. Nie można również zmienić warstwy dostępu dla istniejącego obiektu blob korzystającego z zakresu szyfrowania. Aby uzyskać więcej informacji na temat warstw dostępu, zobacz Warstwy dostępu Gorąca, Chłodna i Archiwum dla danych obiektów blob.

Aby przekazać obiekt blob z zakresem szyfrowania za pośrednictwem witryny Azure Portal, najpierw utwórz zakres szyfrowania zgodnie z opisem w temacie Tworzenie zakresu szyfrowania. Następnie wykonaj następujące kroki, aby utworzyć obiekt blob:

  1. Przejdź do kontenera, do którego chcesz przekazać obiekt blob.

  2. Wybierz przycisk Przekaż i znajdź obiekt blob do przekazania.

  3. Rozwiń pozycję Ustawienia zaawansowane w okienku Przekazywanie obiektu blob.

  4. Znajdź sekcję listy rozwijanej Zakres szyfrowania. Domyślnie obiekt blob jest tworzony z domyślnym zakresem szyfrowania dla kontenera, jeśli został określony. Jeśli kontener wymaga, aby obiekty blob używały domyślnego zakresu szyfrowania, ta sekcja jest wyłączona.

  5. Aby określić inny zakres przekazywanego obiektu blob, wybierz pozycję Wybierz istniejący zakres, a następnie wybierz żądany zakres z listy rozwijanej.

    Screenshot showing how to upload a blob with an encryption scope

Zmienianie klucza szyfrowania dla zakresu

Aby zmienić klucz, który chroni zakres szyfrowania przed kluczem zarządzanym przez firmę Microsoft do klucza zarządzanego przez klienta, najpierw upewnij się, że włączono klucze zarządzane przez klienta za pomocą usługi Azure Key Vault lub modułu HSM usługi Key Vault dla konta magazynu. Aby uzyskać więcej informacji, zobacz Konfigurowanie szyfrowania przy użyciu kluczy zarządzanych przez klienta przechowywanych w usłudze Azure Key Vault lub Konfigurowanie szyfrowania przy użyciu kluczy zarządzanych przez klienta przechowywanych w usłudze Azure Key Vault.

Aby zmienić klucz, który chroni zakres w witrynie Azure Portal, wykonaj następujące kroki:

  1. Przejdź do karty Zakresy szyfrowania, aby wyświetlić listę zakresów szyfrowania dla konta magazynu.
  2. Wybierz przycisk Więcej obok zakresu, który chcesz zmodyfikować.
  3. W okienku Edytowanie zakresu szyfrowania można zmienić typ szyfrowania z klucza zarządzanego przez firmę Microsoft na klucz zarządzany przez klienta lub odwrotnie.
  4. Aby wybrać nowy klucz zarządzany przez klienta, wybierz pozycję Użyj nowego klucza i określ magazyn kluczy , klucz i wersję klucza.

Wyłączanie zakresu szyfrowania

Wyłącz wszelkie zakresy szyfrowania, które nie są potrzebne, aby uniknąć niepotrzebnych opłat. Aby uzyskać więcej informacji, zobacz Rozliczenia dla zakresów szyfrowania.

Aby wyłączyć zakres szyfrowania w witrynie Azure Portal, przejdź do ustawienia Zakresy szyfrowania dla konta magazynu, wybierz żądany zakres szyfrowania i wybierz pozycję Wyłącz.

Następne kroki