Azure Blob 存儲的加密范圍（預覽）,azureblob官方文檔

Azure Blob存儲的加密范圍(預覽)

可以通過加密范圍在容器或單個Blob級別管理加密。您可以使用加密范圍在位于同一存儲帳戶但屬于不同客戶的數據之間創建安全邊界。

默認情況下，存儲帳戶使用范圍為整個存儲帳戶的密鑰進行加密。當使用加密范圍時，您可以指定使用范圍僅為這些容器的密鑰對一個或多個容器進行加密。

您可以選擇使用存儲在Azure Key Vault中的Microsoft托管密鑰或客戶托管密鑰來保護和控制對用于加密數據的密鑰的訪問。同一存儲帳戶上的不同加密范圍可以使用Microsoft管理的密鑰或客戶管理的密鑰。

創建加密范圍后，可以為創建容器或Blob的請求指定加密范圍。有關如何創建加密范圍的詳細信息，請參見創建和管理加密范圍(預覽)。

評論

讀取遠程冗余存儲(RAGRS)帳戶不支持加密范圍的預覽版本。

評論

具有分層命名空間(Azure Data Lake Storage Gen2)的帳戶尚不支持此功能。要了解更多信息，請參閱Azure Data Lake Storage Gen2中提供的Blob存儲功能。

重要的

此加密范圍預覽僅供非生產使用。生產服務級別協議(SLA)當前不可用。

為避免意外開支，請確保禁用當前不需要的任何加密范圍。

創建具有加密范圍的容器或blob

在加密范圍下創建的Blob使用為該范圍指定的密鑰進行加密。創建單個Blob時，可以指定Blob的加密范圍，也可以在創建容器時指定默認的加密范圍。如果在容器級別指定了默認加密范圍，則容器中的所有Blob都將使用與默認范圍關聯的密鑰進行加密。

在具有默認加密范圍的容器中創建Blob時，如果容器配置為允許替換默認加密范圍，則可以指定用于替換默認加密范圍的加密范圍。為了防止默認加密范圍被替換，請將容器配置為拒絕替換單個Blob。

只要加密范圍未被禁用，讀取屬于加密范圍的Blob就透明地執行。

禁用加密范圍

禁用加密范圍時，使用該加密范圍的任何后續讀取或寫入操作都將失敗，并顯示HTTP錯誤代碼403(禁用)。如果重新啟用加密范圍，讀寫操作將再次正常。

禁用加密范圍后，您將不再為此付費。禁用任何不必要的加密范圍，以避免不必要的開支。

如果您的加密范圍受客戶管理的密鑰保護，您也可以刪除密鑰庫中的相關密鑰來禁用加密范圍。請記住，由客戶管理的密鑰受密鑰庫中的軟刪除和清除保護功能的保護，被刪除的密鑰受為這些屬性定義的行為的約束。有關詳細信息，請參閱Azure Key Vault文檔中的以下主題之一:

如何在PowerShell中使用軟刪除

如何在CLI中使用軟刪除

評論

無法刪除加密范圍。

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。