Krypteringsomfång för Blob Storage
Med krypteringsomfång kan du hantera kryptering med en nyckel som är begränsad till en container eller en enskild blob. Du kan använda krypteringsomfattningar för att skapa säkra gränser mellan data som finns i samma lagringskonto men som tillhör olika kunder.
Mer information om hur du arbetar med krypteringsomfång finns i Skapa och hantera krypteringsomfång.
Så här fungerar krypteringsomfång
Som standard krypteras ett lagringskonto med en nyckel som är begränsad till hela lagringskontot. När du definierar ett krypteringsomfång anger du en nyckel som kan vara begränsad till en container eller en enskild blob. När krypteringsomfånget tillämpas på en blob krypteras bloben med den nyckeln. När krypteringsomfånget tillämpas på en container fungerar det som standardomfång för blobar i containern, så att alla blobar som laddas upp till containern kan krypteras med samma nyckel. Containern kan konfigureras för att framtvinga standardkrypteringsomfånget för alla blobar i containern eller för att tillåta att en enskild blob laddas upp till containern med ett annat krypteringsomfång än standardvärdet.
Läsåtgärder på en blob som skapades med ett krypteringsomfång sker transparent, så länge krypteringsomfånget inte är inaktiverat.
Nyckelhantering
När du definierar ett krypteringsomfång kan du ange om omfånget är skyddat med en Microsoft-hanterad nyckel eller med en kundhanterad nyckel som lagras i Azure Key Vault. Olika krypteringsomfång på samma lagringskonto kan använda antingen Microsoft-hanterade eller kundhanterade nycklar. Du kan också växla den typ av nyckel som används för att skydda ett krypteringsomfång från en kundhanterad nyckel till en Microsoft-hanterad nyckel, eller vice versa, när som helst. Mer information om kundhanterade nycklar finns i Kundhanterade nycklar för Azure Storage-kryptering. Mer information om Microsoft-hanterade nycklar finns i Om hantering av krypteringsnycklar.
Om du definierar ett krypteringsomfång med en kundhanterad nyckel kan du välja att uppdatera nyckelversionen antingen automatiskt eller manuellt. Om du väljer att automatiskt uppdatera nyckelversionen kontrollerar Azure Storage nyckelvalvet eller hanterad HSM dagligen efter en ny version av den kundhanterade nyckeln och uppdaterar automatiskt nyckeln till den senaste versionen. Mer information om hur du uppdaterar nyckelversionen för en kundhanterad nyckel finns i Uppdatera nyckelversionen.
Azure Policy tillhandahåller en inbyggd princip som kräver att krypteringsomfång använder kundhanterade nycklar. Mer information finns i avsnittet Lagring i inbyggda principdefinitioner i Azure Policy.
Ett lagringskonto kan ha upp till 10 000 krypteringsomfång som skyddas med kundhanterade nycklar som nyckelversionen uppdateras automatiskt för. Om ditt lagringskonto redan har 10 000 krypteringsomfång som skyddas med kundhanterade nycklar som uppdateras automatiskt måste nyckelversionen uppdateras manuellt för eventuella ytterligare krypteringsomfång som skyddas med kundhanterade nycklar.
Infrastrukturkryptering
Infrastrukturkryptering i Azure Storage möjliggör dubbel kryptering av data. Med infrastrukturkryptering krypteras data två gånger – en gång på tjänstnivå och en gång på infrastrukturnivå – med två olika krypteringsalgoritmer och två olika nycklar.
Infrastrukturkryptering stöds för ett krypteringsomfång samt på lagringskontots nivå. Om infrastrukturkryptering är aktiverat för ett konto använder alla krypteringsomfång som skapas på det kontot automatiskt infrastrukturkryptering. Om infrastrukturkryptering inte är aktiverat på kontonivå har du möjlighet att aktivera den för ett krypteringsomfång när du skapar omfånget. Det går inte att ändra inställningen för infrastrukturkryptering för ett krypteringsomfång när omfånget har skapats.
Mer information om infrastrukturkryptering finns i Aktivera infrastrukturkryptering för dubbel kryptering av data.
Krypteringsomfång för containrar och blobar
När du skapar en container kan du ange ett standardkrypteringsomfång för de blobar som sedan laddas upp till containern. När du anger ett standardkrypteringsomfång för en container kan du bestämma hur standardkrypteringsomfånget tillämpas:
- Du kan kräva att alla blobar som laddas upp till containern använder standardkrypteringsomfånget. I det här fallet krypteras varje blob i containern med samma nyckel.
- Du kan tillåta att en klient åsidosätter standardkrypteringsomfånget för containern, så att en blob kan laddas upp med ett annat krypteringsomfång än standardomfånget. I det här fallet kan blobarna i containern krypteras med olika nycklar.
I följande tabell sammanfattas beteendet för en blobuppladdningsåtgärd, beroende på hur standardkrypteringsomfånget konfigureras för containern:
Krypteringsomfånget som definieras i containern är... | Laddar upp en blob med standardkrypteringsomfånget... | Laddar upp en blob med ett annat krypteringsomfång än standardomfånget... |
---|---|---|
Ett standardkrypteringsomfång med tillåtna åsidosättningar | Lyckas | Lyckas |
Ett standardkrypteringsomfång med åsidosättningar förbjudna | Lyckas | Misslyckas |
Ett standardkrypteringsomfång måste anges för en container när containern skapas.
Om inget standardkrypteringsomfång har angetts för containern kan du ladda upp en blob med alla krypteringsomfång som du har definierat för lagringskontot. Krypteringsomfånget måste anges när bloben laddas upp.
Kommentar
När du laddar upp en ny blob med ett krypteringsomfång kan du inte ändra standardåtkomstnivån för den bloben. Du kan inte heller ändra åtkomstnivån för en befintlig blob som använder ett krypteringsomfång. Mer information om åtkomstnivåer finns i Åtkomstnivåer för Frekvent, Lågfrekvent och Arkiv för blobdata.
Inaktivera ett krypteringsomfång
När du inaktiverar ett krypteringsomfång misslyckas alla efterföljande läs- eller skrivåtgärder som görs med krypteringsomfånget med HTTP-felkoden 403 (förbjudet). Om du återaktiverar krypteringsomfånget fortsätter läs- och skrivåtgärderna normalt igen.
Om krypteringsomfånget skyddas med en kundhanterad nyckel och du återkallar nyckeln i nyckelvalvet blir data otillgängliga. Se till att inaktivera krypteringsomfånget innan du återkallar nyckeln i nyckelvalvet för att undvika att debiteras för krypteringsomfånget.
Tänk på att kundhanterade nycklar skyddas av skydd mot mjuk borttagning och rensning i nyckelvalvet, och en borttagen nyckel omfattas av det beteende som definierats för dessa egenskaper. Mer information finns i något av följande avsnitt i Azure Key Vault-dokumentationen:
Viktigt!
Det går inte att ta bort ett krypteringsomfång.
Fakturering för krypteringsomfång
När du aktiverar ett krypteringsomfång debiteras du i minst 30 dagar. Efter 30 dagar beräknas avgifterna för ett krypteringsomfång per timme.
När du har aktiverat krypteringsomfånget debiteras du fortfarande i 30 dagar om du inaktiverar det inom 30 dagar. Om du inaktiverar krypteringsomfånget efter 30 dagar debiteras du för dessa 30 dagar plus hur många timmar krypteringsomfånget trädde i kraft efter 30 dagar.
Inaktivera eventuella krypteringsomfång som inte behövs för att undvika onödiga avgifter.
Mer information om priser för krypteringsomfång finns i Priser för Blob Storage.
Funktionsstöd
Stöd för den här funktionen kan påverkas genom att aktivera Data Lake Storage Gen2, NFS 3.0-protokoll (Network File System) eller SSH File Transfer Protocol (SFTP). Om du har aktiverat någon av dessa funktioner kan du läsa Stöd för Blob Storage-funktioner i Azure Storage-konton för att utvärdera stödet för den här funktionen.