Области шифрования для хранилища BLOB-объектов
Области шифрования позволяют управлять шифрованием с помощью ключа, относящегося к контейнеру или отдельному BLOB-объекту. Области шифрования можно использовать для создания безопасных границ между данными, которые находятся в одной учетной записи хранения, но принадлежат разным клиентам.
Дополнительные сведения о работе с областями шифрования см. в разделе Создание областей шифрования и управление ими.
Как работают области шифрования
По умолчанию учетная запись хранения шифруется с помощью ключа, относящегося ко всей учетной записи хранения. При определении области шифрования вы указываете ключ, который может быть ограничен контейнером или отдельным BLOB-объектом. Когда область шифрования применяется к BLOB-объекту, BLOB-объект шифруется с помощью этого ключа. Когда область шифрования применяется к контейнеру, она выступает в качестве области по умолчанию для BLOB-объектов в этом контейнере, и все BLOB-объекты, передаваемые в этот контейнер, будут шифроваться с помощью одного ключа. Контейнер можно настроить для принудительного применения области шифрования по умолчанию ко всем BLOB-объектам в контейнере или для разрешения передачи отдельного BLOB-объекта в контейнер с областью шифрования, отличной от используемой по умолчанию.
Операции чтения большого двоичного объекта, созданного с помощью область шифрования, выполняются прозрачно, пока область шифрования не отключены.
Управление ключами
При определении области шифрования можно указать, защищена ли область с помощью ключа, управляемого Майкрософт, или с помощью ключа, управляемого клиентом, который хранится в Azure Key Vault. Разные области шифрования в одной и той же учетной записи хранения могут использовать ключи, управляемые Майкрософт, или ключи, управляемые клиентом. Вы также можете в любое время переключить тип ключа, используемый для защиты области шифрования, с ключа, управляемого клиентом, на ключ, управляемый Майкрософт, или наоборот. Дополнительные сведения о ключах, управляемых клиентом, см. в разделе Ключи, управляемые клиентом, для шифрования службы хранилища Azure. Дополнительные сведения о ключах, управляемых Майкрософт, см. в разделе Сведения об управлении ключами шифрования.
Если вы определяете область шифрования с помощью ключа, управляемого клиентом, то можете выбрать обновление версию ключа автоматически или вручную. Если вы выбрали автоматическое обновление версии ключа, то служба хранилища Azure будет ежедневно проверять хранилище ключей или управляемый модуль HSM на наличие новой версии ключа, управляемого клиентом, и автоматически обновлять ключ до последней версии. Дополнительные сведения об обновлении версии ключа, управляемого клиентом, см. в разделе Обновление версии ключа.
Политика Azure предоставляет встроенную политику, которая требует, чтобы области шифрования использовали управляемые клиентом ключи. Дополнительные сведения см. в разделе Хранилище статьи Встроенные определения политик в Политике Azure.
Учетная запись хранения может иметь до 10 000 областей шифрования, защищенных ключами, управляемыми клиентом, для которых версия ключа обновляется автоматически. Если в вашей учетной записи хранения уже есть 10 000 областей шифрования, которые защищены автоматически обновляемыми ключами, управляемыми клиентом, то для всех дополнительных областей шифрования, защищенных с помощью ключей, управляемых клиентом, необходимо будет обновлять версию ключа вручную.
Шифрование инфраструктуры
Шифрование инфраструктуры в службе хранилища Azure обеспечивает двойное шифрование данных. При использовании шифрования инфраструктуры данные в учетной записи хранения шифруются дважды: один раз на уровне службы и один раз на уровне инфраструктуры с использованием двух разных алгоритмов шифрования и двух разных ключей.
Шифрование инфраструктуры поддерживается для области шифрования, а также на уровне учетной записи хранения. Если шифрование инфраструктуры включено для учетной записи, то каждая область шифрования, созданная в этой учетной записи, автоматически использует шифрование инфраструктуры. Если шифрование инфраструктуры не включено на уровне учетной записи, вы можете включить его для шифрования область во время создания область. Параметр шифрования инфраструктуры для области шифрования нельзя изменить после создания области.
Дополнительные сведения о шифровании инфраструктуры см. в разделе Включение шифрования инфраструктуры для двойного шифрования данных.
Области шифрования для контейнеров и BLOB-объектов
При создании контейнера вы можете указать область шифрования по умолчанию для BLOB-объектов, которые впоследствии будут отправлены в этот контейнер. При указании области шифрования по умолчанию для контейнера можно выбрать способ применения области шифрования по умолчанию.
- Можно потребовать, чтобы все BLOB-объекты, отправленные в контейнер, использовали область шифрования по умолчанию. В этом случае каждый BLOB-объект в контейнере шифруется с помощью одного и того же ключа.
- Можно разрешить клиенту переопределить область шифрования по умолчанию для контейнера, чтобы можно было отправить BLOB-объект с областью шифрования, отличной от области по умолчанию. В этом случае BLOB-объекты в контейнере могут быть зашифрованы с помощью разных ключей.
В следующей таблице перечислены действия, выполняемые при отправке BLOB-объекта, в зависимости от того, как настроена область шифрования по умолчанию для контейнера.
| Область шифрования, заданная в контейнере… | Отправка BLOB-объекта с областью шифрования по умолчанию… | Отправка BLOB-объекта с областью шифрования, отличной от области по умолчанию… |
|---|---|---|
| Область шифрования по умолчанию с разрешенными переопределениями | Выполняется успешно | Выполняется успешно |
| Область шифрования по умолчанию с запрещенными переопределениями | Выполняется успешно | Сбои |
Во время создания контейнера необходимо указать область шифрования по умолчанию для этого контейнера.
Если для контейнера не указана область шифрования по умолчанию, вы можете отправить BLOB-объект, используя любую область шифрования, определенную для учетной записи хранения. Область шифрования должна быть указана во время отправки BLOB-объекта.
Примечание.
При отправке нового большого двоичного объекта с областью шифрования изменить уровень доступа по умолчанию для этого большого двоичного объекта нельзя. Нельзя также изменить уровень доступа для существующего BLOB-объекта, который использует область шифрования. Дополнительные сведения об уровнях доступа см. в статье Хранилище BLOB-объектов Azure: горячий, холодный и архивный уровни доступа.
Отключение области шифрования
При отключении области шифрования все последующие операции чтения или записи, выполняемые с использованием области шифрования, завершатся ошибкой HTTP с кодом 403 (запрещено). При повторном включении области шифрования операции чтения и записи снова будут выполняться нормально.
Если область шифрования защищена с помощью ключа, управляемого клиентом, и вы отзовете этот ключ в хранилище ключей, данные станут недоступными. Не забудьте отключить область шифрования перед отзывом ключа в хранилище ключей, чтобы избежать затрат на область шифрования.
Помните, что ключи, управляемые клиентом, защищаются с помощью обратимого удаления и защиты от очистки в хранилище ключей, а удаленный ключ подчиняется поведению, определенному этими свойствами. Дополнительные сведения см. в одном из следующих разделов документации по Azure Key Vault.
- Как использовать обратимое удаление в Key Vault с помощью PowerShell
- Как использовать обратимое удаление в Key Vault с помощью интерфейса командной строки
Важно!
Удалить область шифрования невозможно.
Выставление счетов за область шифрования
При включении область шифрования плата взимается не менее чем за 30 дней. Через 30 дней плата за шифрование область оценивается почасовой основе.
После включения область шифрования, если отключить его в течение 30 дней, вы по-прежнему выставляется счет за 30 дней. Если вы отключите шифрование область через 30 дней, плата взимается за эти 30 дней плюс количество часов, область шифрования действует через 30 дней.
Отключите все лишние области шифрования, чтобы избежать ненужных расходов.
Дополнительные сведения о ценах на область шифрования см. в статье о ценах на служба хранилища BLOB-объектов.
Поддерживаемые компоненты
На поддержку данной функции может повлиять включение протокола Data Lake Storage 2-го поколения, протокола сетевой файловой системы (NFS) 3.0 или протокола SFTP. Если вы включили любую из этих возможностей, см. Сведения о поддержке функций хранилища BLOB-объектов в учетных записях хранения Azure, чтобы оценить поддержку данной функции.