Dela via


Skapa och hantera krypteringsomfång

Med krypteringsomfång kan du hantera kryptering på enskild blob-nivå eller behållarnivå. Du kan använda krypteringsomfattningar för att skapa säkra gränser mellan data som finns i samma lagringskonto men som tillhör olika kunder. Mer information om krypteringsomfång finns i Krypteringsomfång för Blob Storage.

Den här artikeln visar hur du skapar ett krypteringsomfång. Den visar också hur du anger ett krypteringsomfång när du skapar en blob eller container.

Skapa ett krypteringsomfång

Du kan skapa ett krypteringsomfång som skyddas med en Microsoft-hanterad nyckel eller med en kundhanterad nyckel som lagras i ett Azure Key Vault eller i en Azure Key Vault Managed Hardware Security Model (HSM). Om du vill skapa ett krypteringsomfång med en kundhanterad nyckel måste du först skapa ett nyckelvalv eller hanterad HSM och lägga till den nyckel som du tänker använda för omfånget. Nyckelvalvet eller hanterad HSM måste ha rensningsskydd aktiverat.

Lagringskontot och nyckelvalvet kan finnas i samma klientorganisation eller i olika klientorganisationer. I båda fallen kan lagringskontot och nyckelvalvet finnas i olika regioner.

Ett krypteringsomfång aktiveras automatiskt när du skapar det. När du har skapat krypteringsomfånget kan du ange det när du skapar en blob. Du kan också ange ett standardkrypteringsomfång när du skapar en container, som automatiskt gäller för alla blobar i containern.

När du konfigurerar ett krypteringsomfång debiteras du för minst en månad (30 dagar). Efter den första månaden beräknas avgifterna för ett krypteringsomfång per timme. Mer information finns i Fakturering för krypteringsomfång.

Följ dessa steg för att skapa ett krypteringsomfång i Azure-portalen:

  1. Navigera till ditt lagringskonto i Azure-portalen.

  2. Under Säkerhet + nätverk väljer du Kryptering.

  3. Välj fliken Krypteringsomfång .

  4. Klicka på knappen Lägg till för att lägga till ett nytt krypteringsomfång.

  5. I fönstret Skapa krypteringsomfång anger du ett namn för det nya omfånget.

  6. Välj önskad typ av stöd för krypteringsnycklar, antingen Microsoft-hanterade nycklar eller Kundhanterade nycklar.

    • Om du har valt Microsoft-hanterade nycklar klickar du på Skapa för att skapa krypteringsomfånget.
    • Om du har valt Kundhanterade nycklar väljer du en prenumeration och anger ett nyckelvalv och en nyckel som ska användas för det här krypteringsomfånget. Om önskat nyckelvalv finns i en annan region väljer du Ange nyckel-URI och anger nyckel-URI.
  7. Om infrastrukturkryptering är aktiverat för lagringskontot aktiveras det automatiskt för det nya krypteringsomfånget. Annars kan du välja om du vill aktivera infrastrukturkryptering för krypteringsomfånget.

    Screenshot showing how to create encryption scope in Azure portal

Lista krypteringsomfång för lagringskonto

Om du vill visa krypteringsomfången för ett lagringskonto i Azure-portalen går du till inställningen Krypteringsomfång för lagringskontot . I det här fönstret kan du aktivera eller inaktivera ett krypteringsomfång eller ändra nyckeln för ett krypteringsomfång.

Screenshot showing list of encryption scopes in Azure portal

Om du vill visa information om en kundhanterad nyckel, inklusive nyckel-URI och version och om nyckelversionen uppdateras automatiskt, följer du länken i kolumnen Nyckel .

Screenshot showing details for a key used with an encryption scope

Skapa en container med ett standardkrypteringsomfång

När du skapar en container kan du ange ett standardkrypteringsomfång. Blobbar i containern använder det omfånget som standard.

En enskild blob kan skapas med sitt eget krypteringsomfång, såvida inte containern är konfigurerad för att kräva att alla blobar använder standardomfånget. Mer information finns i Krypteringsomfång för containrar och blobar.

Om du vill skapa en container med ett standardkrypteringsomfång i Azure-portalen skapar du först krypteringsomfånget enligt beskrivningen i Skapa ett krypteringsomfång. Följ sedan de här stegen för att skapa containern:

  1. Gå till listan över containrar i ditt lagringskonto och välj knappen Lägg till för att skapa en container.

  2. Expandera avancerade inställningar i fönstret Ny container.

  3. I listrutan Krypteringsomfång väljer du standardkrypteringsomfånget för containern.

  4. Om du vill kräva att alla blobar i containern använder standardkrypteringsomfånget markerar du kryssrutan för att använda det här krypteringsomfånget för alla blobar i containern. Om den här kryssrutan är markerad kan inte en enskild blob i containern åsidosätta standardkrypteringsomfånget.

    Screenshot showing container with default encryption scope

Om en klient försöker ange ett omfång när en blob laddas upp till en container som har ett standardkrypteringsomfång och containern är konfigurerad för att förhindra att blobbar åsidosätter standardomfånget, misslyckas åtgärden med ett meddelande som anger att begäran är förbjuden av containerkrypteringsprincipen.

Ladda upp en blob med ett krypteringsomfång

När du laddar upp en blob kan du ange ett krypteringsomfång för den bloben eller använda standardkrypteringsomfånget för containern, om en har angetts.

Kommentar

När du laddar upp en ny blob med ett krypteringsomfång kan du inte ändra standardåtkomstnivån för den bloben. Du kan inte heller ändra åtkomstnivån för en befintlig blob som använder ett krypteringsomfång. Mer information om åtkomstnivåer finns i Åtkomstnivåer för Frekvent, Lågfrekvent och Arkiv för blobdata.

Om du vill ladda upp en blob med ett krypteringsomfång via Azure-portalen skapar du först krypteringsomfånget enligt beskrivningen i Skapa ett krypteringsomfång. Följ sedan de här stegen för att skapa bloben:

  1. Navigera till containern som du vill ladda upp bloben till.

  2. Välj knappen Ladda upp och leta upp bloben som ska laddas upp.

  3. Expandera avancerade inställningar i fönstret Ladda upp blob.

  4. Leta upp listrutan Krypteringsomfång. Som standard skapas bloben med standardkrypteringsomfånget för containern, om en har angetts. Om containern kräver att blobar använder standardkrypteringsomfånget inaktiveras det här avsnittet.

  5. Om du vill ange ett annat omfång för den blob som du laddar upp väljer du Välj ett befintligt omfång och väljer sedan önskat omfång i listrutan.

    Screenshot showing how to upload a blob with an encryption scope

Ändra krypteringsnyckeln för ett omfång

Om du vill ändra nyckeln som skyddar ett krypteringsomfång från en Microsoft-hanterad nyckel till en kundhanterad nyckel kontrollerar du först att du har aktiverat kundhanterade nycklar med Azure Key Vault eller Key Vault HSM för lagringskontot. Mer information finns i Konfigurera kryptering med kundhanterade nycklar som lagras i Azure Key Vault eller Konfigurera kryptering med kundhanterade nycklar som lagras i Azure Key Vault.

Följ dessa steg om du vill ändra nyckeln som skyddar ett omfång i Azure-portalen:

  1. Gå till fliken Krypteringsomfång för att visa listan över krypteringsomfång för lagringskontot.
  2. Välj knappen Mer bredvid det omfång som du vill ändra.
  3. I fönstret Redigera krypteringsomfång kan du ändra krypteringstypen från Microsoft-hanterad nyckel till kundhanterad nyckel eller vice versa.
  4. Om du vill välja en ny kundhanterad nyckel väljer du Använd en ny nyckel och anger nyckelvalvet, nyckeln och nyckelversionen.

Inaktivera ett krypteringsomfång

Inaktivera eventuella krypteringsomfång som inte behövs för att undvika onödiga avgifter. Mer information finns i Fakturering för krypteringsomfång.

Om du vill inaktivera ett krypteringsomfång i Azure-portalen går du till inställningen Krypteringsomfång för lagringskontot , väljer önskat krypteringsomfång och väljer Inaktivera.

Nästa steg