Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Клиенты, обращающиеся к Azure Blob Storage, могут предоставить ключ шифрования AES-256 для шифрования этого блоб-объекта при записи. Последующие запросы на чтение или запись в большой двоичный объект должны содержать тот же ключ. Включение ключа шифрования в запросе обеспечивает детальный контроль над настройками шифрования для операций хранилища объектов Blob. Предоставленные клиентом ключи можно хранить в Azure Key Vault или в другом хранилище ключей.
Шифрование операций чтения и записи
Когда клиентское приложение предоставляет ключ шифрования по запросу, служба хранилища Azure выполняет шифрование и расшифровку прозрачно при чтении и записи данных BLOB-объектов. Служба хранилища Azure записывает хэш SHA-256 ключа шифрования вместе с содержимым большого двоичного объекта. Хэш используется для проверки того, что все последующие операции с облаком используют один и тот же ключ шифрования.
Служба хранилища Azure не хранит или управляет ключом шифрования, который клиент отправляет с помощью запроса. Ключ безопасно удаляется сразу по завершении процесса шифрования или расшифровки.
Когда клиент создает или обновляет большой двоичный объект с помощью предоставленного клиентом ключа в запросе, последующие запросы на чтение и запись этого большого двоичного объекта также должны предоставить ключ. Если ключ не указан в запросе на большой двоичный объект, который уже зашифрован с помощью предоставленного клиентом ключа, запрос завершается ошибкой с кодом ошибки 409 (конфликт).
Если клиентское приложение отправляет ключ шифрования по запросу, а учетная запись хранения также шифруется с помощью управляемого корпорацией Майкрософт ключа или ключа, управляемого клиентом, служба хранилища Azure использует ключ, предоставленный в запросе на шифрование и расшифровку.
Чтобы отправить ключ шифрования в рамках запроса, клиент должен установить безопасное подключение к службе хранилища Azure с помощью HTTPS.
Каждый моментальный снимок BLOB или версия BLOB может иметь собственный ключ шифрования.
Репликация объектов не поддерживается для BLOB-объектов в исходной учетной записи, зашифрованных с помощью ключа, предоставляемого клиентом.
Заголовки запросов для указания предоставленных клиентом ключей
Для вызовов REST клиенты могут использовать следующие заголовки для безопасного передачи сведений ключа шифрования в запрос в хранилище BLOB-объектов:
| Заголовок запроса | Описание |
|---|---|
x-ms-encryption-key |
Требуется как для записи, так и для чтения запросов. Значение ключа шифрования AES-256 в кодировке Base64. |
x-ms-encryption-key-sha256 |
Требуется как для записи, так и для чтения запросов. SHA256 хеш ключа шифрования, закодированный в формате Base64. |
x-ms-encryption-algorithm |
Требуется для запросов на запись, необязательно для запросов на чтение. Задает алгоритм, используемый при шифровании данных с помощью заданного ключа. Значение этого заголовка должно быть AES256. |
Указание ключей шифрования в запросе является необязательным. Однако если указать один из заголовков, перечисленных выше для операции записи, необходимо указать все из них.
Операции хранилища объектов BLOB, поддерживающие ключи, предоставляемые клиентом
Следующие операции хранилища BLOB-объектов поддерживают отправку ключей шифрования, предоставленных клиентом, по запросу:
- Добавить Blob
- Put Block List (Вставка списка блокировки)
- Установить блок
- Поместить блок из URL
- Установить страницу
- Поместить страницу из URL
- Добавить блок
- Настройка метаданных BLOB-объектов
- Получение объекта Blob
- Получение свойств объекта Blob
- Получение метаданных BLOB-объекта
- Моментальный снимок BLOB-объекта
Ротация ключей, предоставленных клиентом
Чтобы повернуть ключ шифрования, который использовался для шифрования большого двоичного объекта, скачайте большой двоичный объект и повторно загрузите его с помощью нового ключа шифрования.
Это важно
Портал Azure нельзя использовать для чтения или записи в контейнер или большой двоичный объект, зашифрованный ключом, предоставленным в запросе.
Не забудьте защитить ключ шифрования, предоставленный по запросу к хранилищу BLOB-объектов, в безопасном хранилище ключей, например Azure Key Vault. При попытке выполнения операции записи в контейнер или объект BLOB без ключа шифрования операция завершится неудачей, и доступ к объекту будет утрачен.
Поддержка функций
На поддержку данной функции может повлиять включение протокола Data Lake Storage 2-го поколения, протокола сетевой файловой системы (NFS) 3.0 или протокола SFTP. Если вы включили любую из этих возможностей, см. Поддержка функций Blob Storage в учетных записях хранения Azure, чтобы оценить поддержку этой функции.