Escopos de criptografia para armazenamento de Blob

Os escopos de criptografia permitem que você gerencie a criptografia com uma chave que tem como escopo um contêiner ou um blob individual. Você pode usar escopos de criptografia para criar limites seguros entre dados que residem na mesma conta de armazenamento, mas pertencem a clientes diferentes.

Para obter mais informações sobre como trabalhar com escopos de criptografia, consulte Criar e gerenciar escopos de criptografia.

Como funcionam os escopos de criptografia

Por padrão, uma conta de armazenamento é criptografada com uma chave que tem como escopo toda a conta de armazenamento. Ao definir um escopo de criptografia, você especifica uma chave que pode ter como escopo um contêiner ou um blob individual. Quando o escopo de criptografia é aplicado a um blob, o blob é criptografado com essa chave. Quando o escopo de criptografia é aplicado a um contêiner, ele serve como o escopo padrão para blobs nesse contêiner, para que todos os blobs carregados nesse contêiner possam ser criptografados com a mesma chave. O contêiner pode ser configurado para impor o escopo de criptografia padrão para todos os blobs no contêiner ou para permitir que um blob individual seja carregado no contêiner com um escopo de criptografia diferente do padrão.

As operações de leitura em um blob que foi criado com um escopo de criptografia acontecem de forma transparente, desde que o escopo de criptografia não esteja desabilitado.

Gestão de chaves

Ao definir um escopo de criptografia, você pode especificar se o escopo está protegido com uma chave gerenciada pela Microsoft ou com uma chave gerenciada pelo cliente armazenada no Cofre de Chaves do Azure. Escopos de criptografia diferentes na mesma conta de armazenamento podem usar chaves gerenciadas pela Microsoft ou pelo cliente. Você também pode alternar o tipo de chave usada para proteger um escopo de criptografia de uma chave gerenciada pelo cliente para uma chave gerenciada pela Microsoft, ou vice-versa, a qualquer momento. Para obter mais informações sobre chaves gerenciadas pelo cliente, consulte Chaves gerenciadas pelo cliente para criptografia do Armazenamento do Azure. Para obter mais informações sobre chaves gerenciadas pela Microsoft, consulte Sobre o gerenciamento de chaves de criptografia.

Se você definir um escopo de criptografia com uma chave gerenciada pelo cliente, poderá optar por atualizar a versão da chave automaticamente ou manualmente. Se você optar por atualizar automaticamente a versão da chave, o Armazenamento do Azure verificará o cofre de chaves ou o HSM gerenciado diariamente em busca de uma nova versão da chave gerenciada pelo cliente e atualizará automaticamente a chave para a versão mais recente. Para obter mais informações sobre como atualizar a versão da chave para uma chave gerenciada pelo cliente, consulte Atualizar a versão da chave.

A Política do Azure fornece uma política interna para exigir que os escopos de criptografia usem chaves gerenciadas pelo cliente. Para obter mais informações, consulte a seção Armazenamento em Definições de política interna da Política do Azure.

Uma conta de armazenamento pode ter até 10.000 escopos de criptografia protegidos com chaves gerenciadas pelo cliente para as quais a versão da chave é atualizada automaticamente. Se sua conta de armazenamento já tiver 10.000 escopos de criptografia protegidos com chaves gerenciadas pelo cliente que estão sendo atualizadas automaticamente, a versão da chave deverá ser atualizada manualmente para quaisquer escopos de criptografia adicionais protegidos com chaves gerenciadas pelo cliente.

Criptografia de infraestrutura

A criptografia de infraestrutura no Armazenamento do Azure permite a criptografia dupla de dados. Com a criptografia de infraestrutura, os dados são criptografados duas vezes — uma no nível de serviço e outra no nível de infraestrutura — com dois algoritmos de criptografia diferentes e duas chaves diferentes.

A criptografia de infraestrutura é suportada para um escopo de criptografia, bem como no nível da conta de armazenamento. Se a criptografia de infraestrutura estiver habilitada para uma conta, qualquer escopo de criptografia criado nessa conta usará automaticamente a criptografia de infraestrutura. Se a criptografia de infraestrutura não estiver habilitada no nível da conta, você terá a opção de habilitá-la para um escopo de criptografia no momento em que criar o escopo. A configuração de criptografia de infraestrutura para um escopo de criptografia não pode ser alterada após a criação do escopo.

Para obter mais informações sobre criptografia de infraestrutura, consulte Habilitar criptografia de infraestrutura para criptografia dupla de dados.

Escopos de criptografia para contêineres e blobs

Ao criar um contêiner, você pode especificar um escopo de criptografia padrão para os blobs que são subsequentemente carregados nesse contêiner. Ao especificar um escopo de criptografia padrão para um contêiner, você pode decidir como o escopo de criptografia padrão é imposto:

  • Você pode exigir que todos os blobs carregados no contêiner usem o escopo de criptografia padrão. Nesse caso, cada blob no contêiner é criptografado com a mesma chave.
  • Você pode permitir que um cliente substitua o escopo de criptografia padrão para o contêiner, para que um blob possa ser carregado com um escopo de criptografia diferente do escopo padrão. Nesse caso, os blobs no contêiner podem ser criptografados com chaves diferentes.

A tabela a seguir resume o comportamento de uma operação de carregamento de blob, dependendo de como o escopo de criptografia padrão é configurado para o contêiner:

O escopo de criptografia definido no contêiner é... Carregando um blob com o escopo de criptografia padrão... Carregando um blob com um escopo de criptografia diferente do escopo padrão...
Um escopo de criptografia padrão com substituições permitidas Sucesso Sucesso
Um escopo de criptografia padrão com substituições proibidas Sucesso Falha

Um escopo de criptografia padrão deve ser especificado para um contêiner no momento em que o contêiner é criado.

Se nenhum escopo de criptografia padrão for especificado para o contêiner, você poderá carregar um blob usando qualquer escopo de criptografia definido para a conta de armazenamento. O escopo de criptografia deve ser especificado no momento em que o blob é carregado.

Nota

Quando você carrega um novo blob com um escopo de criptografia, não é possível alterar a camada de acesso padrão para esse blob. Também não é possível alterar a camada de acesso para um blob existente que usa um escopo de criptografia. Para obter mais informações sobre as camadas de acesso, consulte Camadas de acesso Hot, Cool e Archive para dados de blob.

Desativando um escopo de criptografia

Quando você desabilita um escopo de criptografia, quaisquer operações subsequentes de leitura ou gravação feitas com o escopo de criptografia falharão com o código de erro HTTP 403 (Proibido). Se você reativar o escopo de criptografia, as operações de leitura e gravação continuarão normalmente novamente.

Se o escopo de criptografia estiver protegido com uma chave gerenciada pelo cliente e você revogar a chave no cofre de chaves, os dados ficarão inacessíveis. Certifique-se de desativar o escopo de criptografia antes de revogar a chave no cofre de chaves para evitar ser cobrado pelo escopo de criptografia.

Lembre-se de que as chaves gerenciadas pelo cliente são protegidas por proteção de exclusão e limpeza suave no cofre de chaves, e uma chave excluída está sujeita ao comportamento definido por essas propriedades. Para obter mais informações, consulte um dos seguintes tópicos na documentação do Azure Key Vault:

Importante

Não é possível excluir um escopo de criptografia.

Cobrança de escopos de criptografia

Quando você habilita um escopo de criptografia, você é cobrado por um mínimo de 30 dias. Após 30 dias, as cobranças por um escopo de criptografia são rateadas por hora.

Depois de ativar o escopo de criptografia, se você desativá-lo dentro de 30 dias, ainda será cobrado por 30 dias. Se você desabilitar o escopo de criptografia após 30 dias, será cobrado por esses 30 dias mais o número de horas em que o escopo de criptografia esteve em vigor após 30 dias.

Desative todos os escopos de criptografia que não são necessários para evitar cobranças desnecessárias.

Para saber mais sobre os preços dos escopos de criptografia, consulte Preços do Armazenamento de Blobs.

Suporte de funcionalidades

O suporte para esse recurso pode ser afetado pela habilitação do Data Lake Storage Gen2, do protocolo NFS (Network File System) 3.0 ou do SSH File Transfer Protocol (SFTP). Se você habilitou qualquer um desses recursos, consulte Suporte ao recurso de Armazenamento de Blob nas contas de Armazenamento do Azure para avaliar o suporte para esse recurso.

Próximos passos