Ambiti di crittografia per l'archiviazione BLOB
Gli ambiti di crittografia consentono di gestire la crittografia con una chiave il cui ambito è impostato su un contenitore o un singolo BLOB. È possibile usare gli ambiti di crittografia per creare limiti sicuri tra dati che risiedono nello stesso account di archiviazione, ma appartengono a clienti diversi.
Per altre informazioni sull'uso degli ambiti di crittografia, vedere Creare e gestire gli ambiti di crittografia.
Funzionamento degli ambiti di crittografia
Per impostazione predefinita, un account di archiviazione viene crittografato con una chiave il cui ambito è impostato sull'intero account di archiviazione. Quando si definisce un ambito di crittografia, si specifica una chiave che può essere definita come ambito di un contenitore o di un singolo BLOB. Quando l'ambito di crittografia viene applicato a un BLOB, il BLOB viene crittografato con tale chiave. Quando l'ambito di crittografia viene applicato a un contenitore, funge da ambito predefinito per i BLOB in tale contenitore, in modo che tutti i BLOB caricati in tale contenitore possano essere crittografati con la stessa chiave. Il contenitore può essere configurato per applicare l'ambito di crittografia predefinito per tutti i BLOB nel contenitore o per consentire il caricamento di un singolo BLOB nel contenitore con un ambito di crittografia diverso da quello predefinito.
Le operazioni di lettura su un BLOB creato con un ambito di crittografia vengono eseguite in modo trasparente, purché l'ambito di crittografia non sia disabilitato.
Gestione delle chiavi
Quando si definisce un ambito di crittografia, è possibile specificare se l'ambito è protetto con una chiave gestita da Microsoft o con una chiave gestita dal cliente archiviata in Azure Key Vault. Ambiti di crittografia diversi nello stesso account di archiviazione possono usare chiavi gestite da Microsoft o gestite dal cliente. È anche possibile cambiare il tipo di chiave usata per proteggere un ambito di crittografia da una chiave gestita dal cliente a una chiave gestita da Microsoft o viceversa, in qualsiasi momento. Per altre informazioni sulle chiavi gestite dal cliente, vedere Chiavi gestite dal cliente per la crittografia Archiviazione di Azure. Per altre informazioni sulle chiavi gestite da Microsoft, vedere Informazioni sulla gestione delle chiavi di crittografia.
Se si definisce un ambito di crittografia con una chiave gestita dal cliente, è possibile scegliere di aggiornare la versione della chiave automaticamente o manualmente. Se si sceglie di aggiornare automaticamente la versione della chiave, Archiviazione di Azure controlla ogni giorno l'insieme di credenziali delle chiavi o il modulo di protezione hardware gestito dal cliente per individuare una nuova versione della chiave gestita dal cliente e aggiorna automaticamente la chiave alla versione più recente. Per altre informazioni sull'aggiornamento della versione della chiave per una chiave gestita dal cliente, vedere Aggiornare la versione della chiave.
Criteri di Azure fornisce criteri predefiniti per richiedere che gli ambiti di crittografia usino chiavi gestite dal cliente. Per altre informazioni, vedere la sezione Archiviazione in Definizioni del criterio predefinito di Criteri di Azure.
Un account di archiviazione può avere fino a 10.000 ambiti di crittografia protetti con chiavi gestite dal cliente per cui la versione della chiave viene aggiornata automaticamente. Se l'account di archiviazione dispone già di 10.000 ambiti di crittografia protetti con chiavi gestite dal cliente che vengono aggiornate automaticamente, la versione della chiave deve essere aggiornata manualmente per eventuali ambiti di crittografia aggiuntivi protetti con chiavi gestite dal cliente.
Crittografia dell'infrastruttura
La crittografia dell'infrastruttura in Archiviazione di Azure abilita la doppia crittografia dei dati. Con la crittografia dell'infrastruttura, i dati vengono crittografati due volte, una volta a livello di servizio e una volta a livello di infrastruttura, con due algoritmi di crittografia diversi e due chiavi diverse.
La crittografia dell'infrastruttura è supportata per un ambito di crittografia, nonché a livello dell'account di archiviazione. Se la crittografia dell'infrastruttura è abilitata per un account, qualsiasi ambito di crittografia creato in tale account usa automaticamente la crittografia dell'infrastruttura. Se la crittografia dell'infrastruttura non è abilitata a livello di account, è possibile abilitarla per un ambito di crittografia al momento della creazione dell'ambito. L'impostazione di crittografia dell'infrastruttura per un ambito di crittografia non può essere modificata dopo la creazione dell'ambito.
Per altre informazioni sulla crittografia dell'infrastruttura, vedere Abilitare la crittografia dell'infrastruttura per la doppia crittografia dei dati.
Ambiti di crittografia per contenitori e BLOB
Quando si crea un contenitore, è possibile specificare un ambito di crittografia predefinito per i BLOB caricati successivamente in tale contenitore. Quando si specifica un ambito di crittografia predefinito per un contenitore, è possibile decidere come viene applicato l'ambito di crittografia predefinito:
- È possibile richiedere che tutti i BLOB caricati nel contenitore usino l'ambito di crittografia predefinito. In questo caso, ogni BLOB nel contenitore viene crittografato con la stessa chiave.
- È possibile consentire a un client di eseguire l'override dell'ambito di crittografia predefinito per il contenitore, in modo che un BLOB possa essere caricato con un ambito di crittografia diverso dall'ambito predefinito. In questo caso, i BLOB nel contenitore possono essere crittografati con chiavi diverse.
La tabella seguente riepiloga il comportamento di un'operazione di caricamento BLOB, a seconda della configurazione dell'ambito di crittografia predefinito per il contenitore:
L'ambito di crittografia definito nel contenitore è... | Caricamento di un BLOB con ambito di crittografia predefinito... | Caricamento di un BLOB con ambito di crittografia diverso dall'ambito predefinito... |
---|---|---|
Ambito di crittografia predefinito con sostituzioni consentite | Ha esito positivo | Ha esito positivo |
Ambito di crittografia predefinito con sostituzioni non consentite | Ha esito positivo | Ha esito negativo |
È necessario specificare un ambito di crittografia predefinito per un contenitore al momento della creazione del contenitore.
Se non viene specificato alcun ambito di crittografia predefinito per il contenitore, è possibile caricare un BLOB usando qualsiasi ambito di crittografia definito per l'account di archiviazione. L'ambito di crittografia deve essere specificato al momento del caricamento del BLOB.
Nota
Quando si carica un nuovo BLOB con un ambito di crittografia, non è possibile modificare il livello di accesso predefinito per tale BLOB. Non è inoltre possibile modificare il livello di accesso per un BLOB esistente che usa un ambito di crittografia. Per altre informazioni sui livelli di accesso, vedere Livelli di accesso ad accesso frequente, sporadico e archivio per i dati BLOB.
Disabilitazione di un ambito di crittografia
Quando si disabilita un ambito di crittografia, le operazioni di lettura o scrittura successive eseguite con l'ambito di crittografia avranno esito negativo con codice di errore HTTP 403 (Accesso negato). Se si riabilita l'ambito di crittografia, le operazioni di lettura e scrittura continueranno normalmente.
Se l'ambito di crittografia è protetto con una chiave gestita dal cliente e si revoca la chiave nell'insieme di credenziali delle chiavi, i dati diventano inaccessibili. Assicurarsi di disabilitare l'ambito di crittografia prima di revocare la chiave nell'insieme di credenziali delle chiavi per evitare di essere addebitati per l'ambito di crittografia.
Tenere presente che le chiavi gestite dal cliente sono protette dall'eliminazione temporanea e dalla protezione dall'eliminazione nell'insieme di credenziali delle chiavi e una chiave eliminata è soggetta al comportamento definito per da tali proprietà. Per altre informazioni, vedere uno degli argomenti seguenti nella documentazione di Azure Key Vault:
- Come usare la funzionalità di eliminazione temporanea con PowerShell
- Come usare l'eliminazione temporanea con l'interfaccia della riga di comando
Importante
Non è possibile eliminare un ambito di crittografia.
Fatturazione per gli ambiti di crittografia
Quando si abilita un ambito di crittografia, vengono fatturati almeno 30 giorni. Dopo 30 giorni, gli addebiti per un ambito di crittografia vengono ripartiti su base oraria.
Dopo aver abilitato l'ambito di crittografia, se la si disabilita entro 30 giorni, l'addebito viene comunque effettuato per 30 giorni. Se si disabilita l'ambito di crittografia dopo 30 giorni, vengono addebitati i costi per questi 30 giorni più il numero di ore in cui l'ambito di crittografia è stato applicato dopo 30 giorni.
Disabilitare gli ambiti di crittografia non necessari per evitare addebiti non necessari.
Per informazioni sui prezzi per gli ambiti di crittografia, vedere Prezzi di Archiviazione BLOB.
Supporto funzionalità
Il supporto di questa funzionalità potrebbe essere influenzato dall'abilitazione dei protocolli Data Lake Storage Gen2, NFS (Network File System) 3.0 o SFTP (SSH File Transfer Protocol). Se è stata abilitata una di queste funzionalità, vedere Supporto delle funzionalità di Archiviazione del BLOB negli account di Archiviazione di Azure per valutare il supporto per questa funzionalità.