Azure Blob 存储的加密范围（预览）,azureblob官方文档-ESG跨境

Azure Blob 存储的加密范围（预览）,azureblob官方文档

Azure Blob存储的加密范围(预览)

可以通过加密范围在容器或单个Blob级别管理加密。您可以使用加密范围在位于同一存储帐户但属于不同客户的数据之间创建安全边界。

默认情况下，存储帐户使用范围为整个存储帐户的密钥进行加密。当使用加密范围时，您可以指定使用范围仅为这些容器的密钥对一个或多个容器进行加密。

您可以选择使用存储在Azure Key Vault中的Microsoft托管密钥或客户托管密钥来保护和控制对用于加密数据的密钥的访问。同一存储帐户上的不同加密范围可以使用Microsoft管理的密钥或客户管理的密钥。

创建加密范围后，可以为创建容器或Blob的请求指定加密范围。有关如何创建加密范围的详细信息，请参见创建和管理加密范围(预览)。

评论

读取远程冗余存储(RAGRS)帐户不支持加密范围的预览版本。

评论

具有分层命名空间(Azure Data Lake Storage Gen2)的帐户尚不支持此功能。要了解更多信息，请参阅Azure Data Lake Storage Gen2中提供的Blob存储功能。

重要的

此加密范围预览仅供非生产使用。生产服务级别协议(SLA)当前不可用。

为避免意外开支，请确保禁用当前不需要的任何加密范围。

创建具有加密范围的容器或blob

在加密范围下创建的Blob使用为该范围指定的密钥进行加密。创建单个Blob时，可以指定Blob的加密范围，也可以在创建容器时指定默认的加密范围。如果在容器级别指定了默认加密范围，则容器中的所有Blob都将使用与默认范围关联的密钥进行加密。

在具有默认加密范围的容器中创建Blob时，如果容器配置为允许替换默认加密范围，则可以指定用于替换默认加密范围的加密范围。为了防止默认加密范围被替换，请将容器配置为拒绝替换单个Blob。

只要加密范围未被禁用，读取属于加密范围的Blob就透明地执行。

禁用加密范围

禁用加密范围时，使用该加密范围的任何后续读取或写入操作都将失败，并显示HTTP错误代码403(禁用)。如果重新启用加密范围，读写操作将再次正常。

禁用加密范围后，您将不再为此付费。禁用任何不必要的加密范围，以避免不必要的开支。

如果您的加密范围受客户管理的密钥保护，您也可以删除密钥库中的相关密钥来禁用加密范围。请记住，由客户管理的密钥受密钥库中的软删除和清除保护功能的保护，被删除的密钥受为这些属性定义的行为的约束。有关详细信息，请参阅Azure Key Vault文档中的以下主题之一:

如何在PowerShell中使用软删除

如何在CLI中使用软删除

评论

无法删除加密范围。

特别声明：以上文章内容仅代表作者本人观点，不代表ESG跨境电商观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与ESG跨境电商联系。