客户管理的密钥（用于 Azure 存储加密）

小提示：您能找到这篇{客户管理的密钥（用于 Azure 存储加密）}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的客户管理的密钥（用于 Azure 存储加密）内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

< ">可以使用自己的加密密钥来保护存储帐户中的数据。指定客户托管密钥时，该密钥用于保护和控制对数据加密密钥的访问。使用客户托管密钥可以更灵活地管理访问控制。

< ">必须使用Azure Key Vault来存储客户管理的密钥。可以创建自己的密钥并将其存储在密钥保管库中，也可以使用Azure密钥保管库API来生成密钥。存储帐户和Key Vault必须在同一个区域和同一个Azure Active Directory(Azure AD)租户中，但可以在不同的订阅中。

< ">有关Azure Key Vault的详细信息，请参阅什么是Azure Key Vault？。

< ">关于客户托管密钥

< ">下图显示了Azure存储如何通过Azure Active Directory和密钥保管库使用客户管理的密钥发出请求：

< ">Azure存储中客户管理的密钥的工作原理示意图

< ">以下列表解释了示意图中带编号的步骤：

< ">1.Azure Key Vault管理员向与存储帐户关联的托管标识授温碧泉危机公关予对加密密钥的权限。

< ">2.Azure存储管理员使用存储帐户的客户管理密钥配置加密。

< ">3.Azure存储使用与存储帐户关联的托管标识，对通过Azure Active Directory访问Azure Key Vault的活动进行身份验证。

< ">4.Azure存储使用Azure Key Vault中的客户密钥包装帐户加密密钥。

< ">5.对于读/写操作，Azure存储将向Azure Key Vault发送解包帐户加密密钥的请求，以执行加密和解密操作。

< ">为存储帐户启用客户管理的密钥

< ">在配置客户托管密钥时，Azure存储会在关联的密钥保管库中使用客户托管密钥来包装帐户的根数据加密密钥。启用客户托管密钥不影响性能，并且会立即生效。

< ">在启用或禁用客户托管密钥时，或者在修改密钥或密钥版本时，对根加密密钥的保护会变化，但你不需要重新加密Azure存储帐户中的数据。

< ">客户托管密钥只能在现有存储帐户上启用。密钥保管库必须配置为将权限授予与存储帐户关联的托管标识。托管标识仅在存储帐户创建后可用。

< ">可随时在客户管理的密钥与Microsoft管理的密钥之间进行切换。有关Microsoft管理的密钥的详细信息，请参阅关于加密密钥管理。

< ">若要了解如何使用密钥保管库中的客户管理的密钥来配置Azure存储加密，请参阅使用Azure Key Vault中存储的客户管理的密钥配置加密。

< ">重要

< ">客户托管密钥依赖于Azure资源的托管标识，后者是Azure AD的一项功能。托管标识当前不支持跨目录方案。在Azure门户中配置客户管理的密钥时，系统会在幕后自动将一个托管标识分配到你的存储帐户。如果随后将订阅、资源组或存储帐户从一个Azure AD目录移到另一个目录，与存储帐户关联的托管标识不会传输到新租户，因此客户管理的密钥可能不再起作用。有关详细信息，请参阅Azure资源的常见问题解信息流广告 上海答和已知问题中的“在Azure AD目录之间转移订阅”。

< ">Azure存储加密支持2048、3072和4096大小的RSA密钥。有关密钥的详细信息，请参阅关于密钥。

< ">使用密钥保管库会有相关的成本。有关详细信息，请参阅Key Vault定价。

< ">更新密钥版本

< ">使用客户管理的密钥配置加密时，有两个选项可用于更新密钥版本：

< ">手动更新密钥版本：若要在有新版本可用时自动更新客户管理的密钥的密钥版本，请在为存储帐户启用“使用客户管理的密钥进行加密”时省略密钥版本。如果省精准营销的典型案例略了密钥版本，Azure存储每天都会在密钥保管库中检查是否有客户管理的密钥的新版本。Azure存储将自动使用最新版本的密钥。

< ">手动更新密钥版本：若要对Azure存储加密使用特定版本的密钥，请在为存储帐户启用“使用客户管理的密钥进行加密”时指定该密钥版本。如果指定密钥版本，则Azure存储将使用该版本进行加密，直到手动更新密钥版本。

< ">显式指定密钥版本后，必须手动更新存储帐户，以便在创建新版本时使用新密钥版本URI。若要了解如何将存储帐户更新为使用新的密钥版本，请参阅使用Azure Key Vault中存储的客户管理的密钥配置加密。

< ">更新密钥版本时，根加密密钥的保护会更改，但是Azure存储帐户中的数据不会重新加密。用户无需执行任何其他操作。

< ">备注

< ">若要轮换密钥，请根据你的符合性策略，在密钥保管库中创建新版本的密钥。可以手动轮换密钥，或创建一个函数以便按计划轮换密钥。

< ">撤消对客户管理的密钥的访问权限

< ">可以随时撤销存储帐户对客户托管密钥的访问权限。在撤销对客户托管密钥的访问权限之后，或者在禁用或删除密钥之后，客户端无法调用在Blob或其元数据中读取或写入数据的操作。对于所有用户来说，尝试调用以下任何操作都会失败，错误代码为“403(禁止访问)”：

< ">在请求URI上通过include=metadata参数调用列出Blob

< ">获取Blob

< ">获取Blob属性

< ">获取Blob元数据

< ">设置Blob元数据

< ">通过x-ms-meta-name请求标头调用快照Blob

< ">复制Blob

< ">从URL复制Blob

< ">设置Blob层

< ">放置块

< ">从URL放置块

< ">追加块

< ">从URL追加块

< ">放置Blob

< ">放置页

< ">从URL放置页

< ">增量复制Blob

< ">若要再次调用这些操作，请还原对客户托管密钥的访问权限。

< ">此部分中未列出的所有数据操作可以在撤销客户托管密钥或者禁用或删除某个密钥后继续。

< ">若要撤销对客户托管密钥的访问权限，请使用PowerShell或Azure CLI。

< ">Azure托管磁盘的客户托管密钥

< ">客户托管密钥也可用于管理Azure托管磁盘的加密。客户管理的密钥对托管磁盘的行为不同于对Azure存储资源的行为。有关详细信息，请参阅适用于Windows的Azure托管磁盘的服务器端加密或适用于Linux的Azure托管磁盘的服务器端加密。