Poskytnutí šifrovacího klíče pro požadavek do úložiště objektů blob

Klienti provádějící požadavky na azure Blob Storage můžou poskytnout šifrovací klíč AES-256 pro šifrování daného objektu blob při operaci zápisu. Následné požadavky na čtení nebo zápis do objektu blob musí obsahovat stejný klíč. Zahrnutí šifrovacího klíče do požadavku poskytuje podrobnou kontrolu nad nastavením šifrování pro operace úložiště objektů blob. Klíče poskytnuté zákazníkem je možné ukládat ve službě Azure Key Vault nebo v jiném úložišti klíčů.

Šifrování operací čtení a zápisu

Když klientská aplikace poskytuje šifrovací klíč na požadavku, Azure Storage provádí transparentní šifrování a dešifrování při čtení a zápisu dat objektů blob. Azure Storage zapíše hodnotu hash SHA-256 šifrovacího klíče spolu s obsahem objektu blob. Hodnota hash slouží k ověření, že všechny následné operace s objektem blob používají stejný šifrovací klíč.

Azure Storage neukládá ani nespravuje šifrovací klíč, který klient odešle s požadavkem. Klíč se okamžitě po dokončení procesu šifrování nebo dešifrování bezpečně odstraní.

Když klient vytvoří nebo aktualizuje objekt blob pomocí klíče poskytnutého zákazníkem na požadavku, pak další žádosti o čtení a zápis pro tento objekt blob musí také poskytnout klíč. Pokud klíč není k dispozici v požadavku na objekt blob, který je už zašifrovaný pomocí klíče poskytnutého zákazníkem, požadavek selže s kódem chyby 409 (konflikt).

Pokud klientská aplikace odešle šifrovací klíč na žádost a účet úložiště se také zašifruje pomocí klíče spravovaného Microsoftem nebo klíče spravovaného zákazníkem, azure Storage použije klíč uvedený v požadavku na šifrování a dešifrování.

Pokud chce klient odeslat šifrovací klíč jako součást požadavku, musí vytvořit zabezpečené připojení ke službě Azure Storage pomocí protokolu HTTPS.

Každý snímek objektu blob nebo verze objektu blob může mít svůj vlastní šifrovací klíč.

Replikace objektů není podporovaná pro objekty blob ve zdrojovém účtu, které jsou šifrované pomocí klíče poskytnutého zákazníkem.

Hlavičky požadavku pro zadání klíčů zadaných zákazníkem

U volání REST můžou klienti použít následující hlavičky k bezpečnému předávání informací o šifrovacím klíči v požadavku do úložiště objektů blob:

Záhlaví požadavku Popis
x-ms-encryption-key Vyžaduje se pro požadavky na zápis i čtení. Hodnota šifrovacího klíče AES-256 s kódováním Base64.
x-ms-encryption-key-sha256 Vyžaduje se pro požadavky na zápis i čtení. Sha256 šifrovacího klíče s kódováním Base64.
x-ms-encryption-algorithm Povinné pro žádosti o zápis, volitelné pro žádosti o čtení. Určuje algoritmus, který se má použít při šifrování dat pomocí daného klíče. Hodnota této hlavičky musí být AES256.

Zadání šifrovacích klíčů v požadavku je volitelné. Pokud však pro operaci zápisu zadáte jednu z výše uvedených hlaviček, musíte zadat všechny.

Operace úložiště objektů blob podporující klíče poskytované zákazníkem

Následující operace úložiště objektů blob podporují odesílání šifrovacích klíčů poskytovaných zákazníkem na žádost:

Obměna klíčů poskytnutých zákazníkem

Pokud chcete otočit šifrovací klíč použitý k šifrování objektu blob, stáhněte objekt blob a pak ho znovu načtěte pomocí nového šifrovacího klíče.

Důležité

Azure Portal se nedá použít ke čtení z kontejneru nebo objektu blob nebo k zápisu do kontejneru nebo objektu blob, který je zašifrovaný klíčem zadaným v požadavku.

Nezapomeňte chránit šifrovací klíč, který zadáte na vyžádání do úložiště objektů blob v zabezpečeném úložišti klíčů, jako je Azure Key Vault. Pokud se pokusíte o operaci zápisu v kontejneru nebo objektu blob bez šifrovacího klíče, operace selže a ztratíte přístup k objektu.

Podpora funkcí

Podpora této funkce může mít vliv na povolení protokolu Data Lake Storage Gen2, systému souborů NFS (Network File System) 3.0 nebo protokolu SSH File Transfer Protocol (SFTP). Pokud jste některou z těchto funkcí povolili, podívejte se na podporu funkcí služby Blob Storage v účtech Azure Storage a vyhodnoťte podporu této funkce.

Další kroky