分享方式:


建立及管理加密範圍

加密範圍可讓您管理個別 Blob 或容器層級的加密。 您可以使用加密範圍,在位於相同儲存體帳戶但屬於不同客戶的資料之間建立安全界限。 如需加密範圍的詳細資訊,請參閱 Blob 儲存體的加密範圍

本文會說明如何建立加密範圍。 本文也會說明當您建立 Blob 或容器時如何指定加密範圍。

建立加密範圍

您可以建立受到 Microsoft 管理的金鑰或客戶自控金鑰 (儲存在 Azure Key Vault 或 Azure Key Vault 受控硬體安全性模型 (HSM))保護的加密範圍。 若要使用客戶自控金鑰建立加密範圍,您必須先建立金鑰保存庫或受控 HSM,並新增您想要用於此範圍領域的金鑰。 金鑰保存庫或受控 HSM 必須啟用清除保護。

儲存體帳戶和金鑰保存庫可位於相同的租用戶中,也可位於不同的租用戶中。 無論是哪一種情況,儲存體帳戶和金鑰保存庫都可位於不同的區域。

加密範圍會在您建立時自動啟用。 建立加密範圍之後,您可以在建立 Blob 時指定加密範圍。 您也可以在建立容器時指定預設加密範圍,此容器會自動套用至容器中的所有 Blob。

在設定加密範圍時,您至少需支付一個月 (30 天) 的費用。 一個月過後,加密範圍的費用會按小時依比例計算。 如需詳細資訊,請參閱加密範圍的計費

若要在 Azure 入口網站中建立加密範圍,請遵循下列步驟:

  1. 瀏覽至您的儲存體帳戶。

  2. 在 [安全性 + 網路] 下,選取 [加密]

  3. 選取 [加密範圍] 索引標籤。

  4. 按一下 [新增] 按鈕來新增新的加密範圍。

  5. 在 [建立加密範圍] 窗格中,輸入新範圍的名稱。

  6. 選取所需的加密金鑰支援類型,也就是Microsoft 管理的金鑰客戶自控金鑰

    • 如果您選取了 Microsoft 管理的金鑰,請按一下 [建立] 以建立加密範圍。
    • 如果您選取了 [客戶自控金鑰],請選取訂用帳戶,並指定要用於此加密範圍的金鑰保存庫和金鑰。 如果所需的金鑰保存庫位於不同的區域中,請選取 [輸入金鑰 URI],然後指定金鑰 URI。
  7. 如果儲存體帳戶的基礎結構加密已經啟用,那麼新的加密範圍也會自動啟用基礎結構加密。 若未啟用,您可以選擇是否針對該加密範圍啟用基礎結構加密。

    Screenshot showing how to create encryption scope in Azure portal

列出儲存體帳戶的加密範圍

若要在 Azure 入口網站中檢視儲存體帳戶的加密範圍,請巡覽至儲存體帳戶的加密範圍設定。 從此窗格中,您可以啟用或停用加密範圍,或變更加密範圍的金鑰。

Screenshot showing list of encryption scopes in Azure portal

若要檢視客戶自控金鑰的詳細資料 (包括金鑰 URI 和版本,以及是否自動更新金鑰版本) 請依照金鑰資料行中的連結指示進行。

Screenshot showing details for a key used with an encryption scope

建立設有預設加密範圍的容器

當您建立容器時,可以指定預設的加密範圍。 該容器中的 Blob 預設會使用該範圍。

除非容器的設定要求所有 Blob 使用預設範圍,不然您能建立有自己加密範圍的個別 Blob。 如需詳細資訊,請參閱 容器和 Blob 的加密範圍

若要在 Azure 入口網站中建立設有預設加密範圍的容器,請先建立加密範圍,如建立加密範圍中所述。 接著,請遵循下列步驟來建立容器:

  1. 瀏覽至您儲存體帳戶中的容器清單,然後選取 [新增] 按鈕以建立容器。

  2. 展開 [新增容器] 窗格中的 [進階] 設定。

  3. 在 [加密範圍] 下拉式清單中,選取容器的預設加密範圍。

  4. 若要要求容器中的所有 Blob 使用預設加密範圍,請選取核取方塊,對容器中的所有 Blob使用此加密範圍。 如果選取此核取方塊,則容器中的個別 Blob 無法覆寫預設的加密範圍。

    Screenshot showing container with default encryption scope

如果用戶端在將 Blob 上傳至具有預設加密範圍的容器時嘗試指定範圍,且該容器的設定為防止 Blob 覆寫預設範圍,則該作業會失敗,並顯示一則訊息,表示該容器的加密原則禁止此要求。

上傳具有加密範圍的 Blob

當您上傳 Blob 時,您可以指定該 Blob 的加密範圍,或使用容器的預設加密範圍 (如果已指定預設加密範圍)。

注意

上傳具有加密範圍的新 Blob 時,您無法變更該 Blob 的預設存取層。 您也無法為使用加密範圍的現有 Blob 變更存取層。 如需存取層的詳細資訊,請參閱 Blob 資料的經常性存取層、非經常性存取層,以及封存存取層

若要透過 Azure 入口網站上傳具有加密範圍的 Blob,請先建立加密範圍,如建立加密範圍中所述。 接著,請遵循下列步驟來建立 Blob:

  1. 巡覽至您要上傳 Blob 的容器。

  2. 選取 [上傳] 按鈕,然後找出要上傳的 Blob。

  3. 展開 [上傳 Blob] 窗格中的 [進階] 設定。

  4. 找出 [加密範圍] 下拉式區段。 根據預設,建立的 Blob 會使用容器的預設加密範圍 (如果已指定加密範圍)。 如果容器要求 Blob 使用預設加密範圍,則會停用此區段。

  5. 若要為您要上傳的 Blob 指定不同的範圍,請選取 [選擇現有範圍],然後從下拉式清單中選取所需的範圍。

    Screenshot showing how to upload a blob with an encryption scope

變更範圍的加密金鑰

若要將保護加密範圍的金鑰從 Microsoft 管理金鑰變更為客戶自控金鑰,請先確定您的儲存體帳戶已使用 Azure Key Vault 或 Key Vault HSM 啟用客戶自控金鑰。 如需詳細資訊,請參閱使用儲存在 Azure Key Vault 中的客戶自控金鑰來設定加密使用儲存在 Azure Key Vault 中的客戶自控金鑰來設定加密

若要變更保護 Azure 入口網站中範圍的金鑰,請遵循下列步驟:

  1. 巡覽至 [加密範圍] 索引標籤,以檢視儲存體帳戶的加密範圍清單。
  2. 選取您要修改範圍旁邊的 [更多] 按鈕。
  3. 在 [編輯加密範圍] 窗格中,您可以將加密類型從 Microsoft 管理金鑰變更為客戶自控金鑰,反之亦然。
  4. 若要選取新的客戶自控金鑰,請選取 [使用新的金鑰],並指定金鑰保存庫、金鑰和金鑰版本。

停用加密範圍

停用任何不需要的加密範圍來避免不必要的費用。 如需詳細資訊,請參閱加密範圍的計費

若要在 Azure 入口網站中停用加密範圍,請巡覽至儲存體帳戶的加密範圍設定,選取所需的加密範圍,然後選取 [停用]

下一步