静态数据的 Azure 存储加密

小提示：您能找到这篇{静态数据的 Azure 存储加密}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的静态数据的 Azure 存储加密内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

< ">在数据保存到云时，Azure存储会自动加密数据。Azure存储加密可以保护数据，并帮助组织履行在安全性与合规性方面做出的承诺。

< ">关于Azure存储加密

< ">Azure存储中的数据将使用256位AES加密法（可用的最强大块加密法之一）以透明方式进行加密和解密，并符合FIPS 140-2规范。Azure存储加密法类似于Windows上的BitLocker加密法。

< ">已为所有存储帐户（包括资源管理器和经典存储帐户）启用Azure存储加密。无法禁用Azure存储加密。由于数据默认受到保护，因此无需修改代码或应用程序，即可利用Azure存储加密。

< ">不管存储帐户的性能层级（标准或高级）、访问层级（热访问层或冷访问层）或部署模型（Azure资源管理器或经典）如何，都会将存储帐户中的数据加密。存档层级中的所有blob也都是加密的。所有Azure存储冗余选项都支持加密，当启用了异地复制时，会对主要区域和次要区域中的所有数据进行加密。所有Azure存储资源（包括Blob、磁盘、文件、队列和表）都会加密。所有对象元数据也会加密。Azure存储加密不会产生额外的费用。

< ">2017年10月20日后写入Azure存储的每个块Blob、追加Blob或页Blob均已加密。在此日期之前创建的Blob继续由后台进程加密。若要强制对2017年10月20日之前创建的Blob进行加密，可以重写Blob。若要了解如何检查Blob的加密状态，请参阅检查Blob的加密状态。

< ">有关Azure存储加密的底层加密模块的详细信息，请参见加密API：下一代。

< ">有关Azure托管磁盘的加密和密钥管理的信息，请参阅适用于Windows VM的Azure托管磁盘的服务器端加密或适用于Linux VM的Azure托管磁盘的服务器端加密。

< ">关于加密密钥管理

< ">默认情况下，新存储帐户中的数据使用Microsoft管理的密钥进行加密。你可以继续依赖于使用Microsoft管理的密钥来加密数据，也可以使用你自己的密钥来管理加密。如果你选择使用自己的密钥来管理加密，则有两种选择。可以使用任何一种类型的密钥管理，或者使用这两种类型：

< ">可以指定客户管理的密钥，用于对Blob存储和Azure文件存储中的数据进行加密和解密。1,2客户管理的密钥必须存储在Azure Key Vault中。若要详细了解客户管理的密钥，请参阅使用客户管理的密钥进行Azure存储加密。

< ">可以在Blob存储操作中指定客户提供的密钥。对Blob存储发出读取或写入请求的客户端可以在请求中包含加密密钥，以便精细控制Blob数据的加密和解密方式。有关客户提供的密钥的详细信息，请参阅在对Blob存储的请求中提供加密密钥。

< ">下表比较了Azure存储加密的密钥管理选项。

< ">备注

< ">Microsoft管理的密钥会根据合规性要求进行适当的轮换。如果有特定密钥轮换要求，Microsoft建议你改为使用客户管理的密钥，以便自行管理和审核轮换。

< ">Blo公关的危机b存储的加密范围（预览）

< ">默认情况下，使用范围为存储帐户的密钥对存储帐户进行新意互动cig加密。你可以选择使用Microsoft管理的密钥或存储在Azure Key Vault中的客户管理的密钥来保护和控制对用于加密数据的密钥的访问。

< ">通过加密范围，可以选择在容器或单个Blob级别管理加密。可以使用加密范围在驻留在同一存储帐户中但属于不同客户的数据之间创建安全边界。

< ">可以使用Azure存储资源提供程序为存储帐户创建一个或多个加密范围。创建加密范围时，可以指定是使用Microsoft管理的密钥还是使用存储在Azure Key Vault中的客户管理的密钥来保护该范围。同一存储帐户上的不同加密范围可以使用Microsoft管理的密钥或客户管理的密钥。

< ">创建加密范围后，可以对创建容器或Blob的请求指定加密范围。有关如何创建加密范围的详细信息，请参阅创建和管理加密范围（预览）。

< ">备注

< ">读取访问异地冗余存储(RA-GRS)帐户不支持加密范围预览版。

< ">重要

< ">此加密范围预览版仅用于非生产用途。生产服务级别协议(SLA)当前不可用。

< ">为避免意外费用，请确保禁用当前不需要的任何加密范围。

< ">创建具有加密范围的容器或Blob

< ">在加密范围下创建的Blob使用为该范围指定的密钥进行加密。在创建单个Blob时，可以为该Blob指定加密范围，也可以在创建容器时指定默认的加密范围。若在容器级别指定了默认加密范围，该容器中的所有Blob都将使用与该默认范围相关联的密钥进行加密。

< ">在具有默认加密范围的容器中创建Blob时，如果该容器配置为允许替代默认加密范围，则可以指定用于替代默认加密范围的加密范围。若要防止替代默认加密范围，请将容器配置为拒绝单个Blob的替代。

< ">只要未禁用加密范围，对属于该加密范围的Blob执行读取操作以透明方式执行。

< ">禁用加密范围

< ">禁用加密范围时，使用该加密范围进行的任何后续读取或写入操作都将失败，并显示HTTP错误代码403（已禁止）。如果重新启用加密范围，读取和写入操作将再次正常进行。

< ">禁用加密范围后，将不再为此付费。禁用不需要的任何加密范围以避免不必要的费用。

< ">如果你的加密范围受Azure Key Vault的客户管理的密钥保护，则还可以删除密钥保管库中的关联密钥来禁用加密范围。请记住，Azure Key Vault中的客户管理的密钥受到软删除和清除保护的保护，删除的密钥受这些属性定义的行为的约束。有关详细信息，请参阅Azure Key Vault文档中的以下主题之一：

< ">如何在PowerShell中使用软删除

< ">如何在CLI中使用软删除

< ">备注

< ">不能删除加密范围。