存储帐户中的数据自动由 Azure 存储加密。 Azure 存储加密提供两个选项,用于在存储帐户级别管理加密密钥:
- Microsoft 管理的密钥。 默认情况下,Azure 会管理用于加密存储帐户的密钥。
- 客户管理的密钥。 可以选择管理存储帐户的加密密钥。 客户管理的密钥必须存储在 Azure Key Vault 中。
此外,还可以在单个请求级别为某些 Blob 存储操作提供加密密钥。 在请求上指定加密密钥时,该密钥会替代存储帐户上处于活动状态的加密密钥。 有关详细信息,请参阅在对 Blob 存储的请求中指定客户提供的密钥。
有关加密密钥的详细信息,请参阅静态数据的 Azure 存储加密。
若要确定存储帐户是使用 Microsoft 托管密钥还是客户托管密钥进行加密,请使用下列方法之一。
若要使用 Azure 门户检查存储帐户的加密模型,请执行以下步骤:
- 在 Azure 门户中导航到存储帐户。
- 选择“加密” 设置,并记下设置。
下图显示了使用 Microsoft 托管密钥加密的存储帐户:
下图显示了使用客户托管密钥加密的存储帐户:
若要使用 PowerShell 检查存储帐户的加密模型,请调用 Get-AzStorageAccount 命令,然后检查该帐户的 KeySource 属性。
$account = Get-AzStorageAccount -ResourceGroupName <resource-group> `
-Name <storage-account>
$account.Encryption.KeySource
如果 KeySource 属性的值为 Microsoft.Storage,则该帐户将通过 Microsoft 托管密钥进行加密。 如果 KeySource 属性的值为 Microsoft.Keyvault,则该帐户将通过客户托管密钥进行加密。
若要使用 Azure CLI 检查存储帐户的加密模型,请调用 az storage account show 命令,然后检查该帐户的 keySource 属性。
key_source=$(az storage account show \
--name <storage-account> \
--resource-group <resource-group> \
--query encryption.keySource \
--output tsv)
如果 keySource 属性的值为 Microsoft.Storage,则该帐户将通过 Microsoft 托管密钥进行加密。 如果 keySource 属性的值为 Microsoft.Keyvault,则该帐户将通过客户托管密钥进行加密。