创建和管理加密范围

通过加密范围,可在单个 blob 或容器级别管理加密。 可以使用加密范围在驻留在同一存储帐户中但属于不同客户的数据之间创建安全边界。 有关加密范围的详细信息,请参阅 Blob 存储的加密范围

本文介绍如何创建加密范围。 它还演示如何在创建 Blob 或容器时指定加密范围。

创建加密范围

可以创建使用Microsoft管理的密钥或存储在 Azure Key Vault 中的客户管理的密钥保护的加密范围。 若要使用客户管理的密钥创建加密范围,必须先创建密钥保管库,并添加要用于该范围的密钥。 密钥保管库必须已启用清除保护。

存储帐户和密钥保管库可以位于同一租户中,也可以位于不同的租户中。 无论哪种情况,存储帐户和密钥保管库都可以位于不同的区域中。

加密范围在创建时会自动被启用。 创建加密范围后,可以在创建 Blob 时指定它。 还可以在创建容器时指定默认加密范围,该范围会自动应用于容器中的所有 Blob。

配置加密范围时,需至少计费一个月(30 天)。 第一个月之后,加密范围的费用按小时按比例计算。 有关更多信息,请参阅 加密范围计费

若要在 Azure 门户中创建加密范围,请执行以下步骤:

  1. 在 Azure 门户中导航到你的存储帐户。

  2. “安全性 + 网络 ”下,选择“ 加密”。

  3. 选择“ 加密范围 ”选项卡。

  4. 单击“ 添加 ”按钮添加新的加密范围。

  5. 在“ 创建加密范围 ”窗格中,输入新作用域的名称。

  6. 选择所需的加密密钥支持类型, Microsoft管理的密钥客户管理的密钥

    • 如果选择 了Microsoft管理的密钥,请单击“ 创建 ”以创建加密范围。
    • 如果选择了 客户自管密钥,请选择一个订阅并指定一个密钥保管库和用于此加密范围的密钥。 如果所需的密钥保管库位于其他区域中,请选择 Enter 密钥 URI 并指定密钥 URI。
  7. 如果为存储帐户启用了基础结构加密,则会自动为新的加密范围启用该加密。 否则,可以选择是否为加密范围启用基础结构加密。

    显示如何在 Azure 门户中创建加密范围的屏幕截图

列出存储帐户的加密范围

若要查看 Azure 门户中存储帐户的加密范围,请导航到存储帐户的 加密范围 设置。 在此窗格中,可以启用或禁用加密范围,或更改加密范围的密钥。

显示 Azure 门户中加密范围列表的屏幕截图

若要查看客户管理的密钥的详细信息,包括密钥 URI 和版本以及密钥版本是否自动更新,请按照 密钥 列中的链接进行作。

显示用于加密范围的密钥的详细信息的屏幕截图

创建具有默认加密范围的容器

创建容器时,可以指定默认加密范围。 该容器中的 Blob 默认使用该范围。

可以创建单独的 Blob,并使用其自己的加密范围,除非容器配置要求所有 Blob 使用默认范围。 有关详细信息,请参阅 容器和 Blob 的加密范围

若要在 Azure 门户中创建具有默认加密范围的容器,请先创建加密范围,如 “创建加密范围”中所述。 接下来,按照以下步骤创建容器:

  1. 导航到存储帐户中的容器列表,然后选择 “添加 ”按钮以创建容器。

  2. 展开高级设置在“新建容器”窗格中。

  3. “加密范围 ”下拉列表中,选择容器的默认加密范围。

  4. 若要要求容器中的所有 Blob 都使用默认加密范围,请选中复选框以 将此加密范围用于容器中的所有 Blob。 如果选中此复选框,则容器中的单个 Blob 无法替代默认加密范围。

    显示具有默认加密范围的容器的屏幕截图

如果客户端在将 Blob 上传到具有默认加密范围的容器时尝试指定范围,并且该容器配置为阻止 Blob 重写默认作用域,则该作将失败,并显示一条消息,指示容器加密策略禁止请求。

上传具有加密范围的 Blob

上传 Blob 时,可以为该 Blob 指定加密范围,或者为容器使用默认加密范围(如果已指定)。

备注

上传使用加密范围的新 Blob 时,无法更改该 Blob 的默认访问层。 也不能更改使用加密范围的现有 Blob 的访问层。 有关访问层的详细信息,请参阅 Blob 数据的热访问层、冷访问层和存档访问层

若要通过 Azure 门户上传具有加密范围的 Blob,请先创建 加密范围,如“创建加密范围”中所述。 接下来,按照以下步骤创建 Blob:

  1. 导航到要上传 Blob 的容器。

  2. 选择“ 上传 ”按钮,找到要上传的 Blob。

  3. 展开“上传 Blob”窗格中的高级设置。

  4. 找到 “加密范围 ”下拉列表部分。 默认情况下,如果已为容器指定默认加密范围,则会使用该范围创建 Blob。 如果容器要求 Blob 使用默认加密范围,则会禁用此部分。

  5. 若要为要上传的 Blob 指定其他范围,请选择 “选择现有范围”,然后从下拉列表中选择所需的范围。

    显示如何上传具有加密范围的 Blob 的屏幕截图

更改作用域的加密密钥

若要将保护加密范围的密钥从Microsoft管理的密钥更改为客户管理的密钥,请先确保已为存储帐户启用了 Azure Key Vault 的客户管理的密钥。 有关详细信息,请参阅 使用 Azure Key Vault 中存储的客户管理的密钥配置加密 ,或使用 存储在 Azure Key Vault 中的客户管理的密钥配置加密

若要更改保护 Azure 门户中范围的密钥,请执行以下步骤:

  1. 导航到“ 加密范围 ”选项卡,查看存储帐户的加密范围列表。
  2. 选择要修改的范围旁边的 “更多 ”按钮。
  3. “编辑加密范围 ”窗格中,可以将加密类型从Microsoft管理的密钥更改为客户管理的密钥,反之亦然。
  4. 若要选择新的客户管理的密钥,请选择“ 使用新密钥 ”并指定密钥保管库、密钥和密钥版本。

禁用加密范围

禁用不需要的任何加密范围以避免不必要的费用。 有关更多信息,请参阅 加密范围计费

若要在 Azure 门户中禁用加密范围,请导航到存储帐户的 “加密范围 ”设置,选择所需的加密范围,然后选择“ 禁用”。

后续步骤