Şifreleme kapsamları oluşturma ve yönetme

Şifreleme kapsamları tek bir blob veya kapsayıcı düzeyinde şifrelemeyi yönetmenizi sağlar. Aynı depolama hesabında bulunan ancak farklı müşterilere ait veriler arasında güvenli sınırlar oluşturmak için şifreleme kapsamlarını kullanabilirsiniz. Şifreleme kapsamları hakkında daha fazla bilgi için bkz . Blob depolama için şifreleme kapsamları.

Bu makalede şifreleme kapsamının nasıl oluşturulacağı gösterilmektedir. Ayrıca blob veya kapsayıcı oluştururken şifreleme kapsamının nasıl belirtileceğini de gösterir.

Şifreleme kapsamı oluşturma

Microsoft tarafından yönetilen bir anahtarla veya Azure Key Vault'ta veya Azure Key Vault Yönetilen Donanım Güvenlik Modeli'nde (HSM) depolanan müşteri tarafından yönetilen bir anahtarla korunan bir şifreleme kapsamı oluşturabilirsiniz. Müşteri tarafından yönetilen bir anahtarla şifreleme kapsamı oluşturmak için önce bir anahtar kasası veya yönetilen HSM oluşturmanız ve kapsam için kullanmayı planladığınız anahtarı eklemeniz gerekir. Anahtar kasasında veya yönetilen HSM'de temizleme koruması etkinleştirilmelidir.

Depolama hesabı ve anahtar kasası aynı kiracıda veya farklı kiracılarda olabilir. Her iki durumda da depolama hesabı ve anahtar kasası farklı bölgelerde olabilir.

Bir şifreleme kapsamı oluşturduğunuzda otomatik olarak etkinleştirilir. Şifreleme kapsamını oluşturduktan sonra bir blob oluşturduğunuzda belirtebilirsiniz. Kapsayıcı oluştururken, kapsayıcıdaki tüm bloblara otomatik olarak uygulanan varsayılan bir şifreleme kapsamı da belirtebilirsiniz.

Bir şifreleme kapsamı yapılandırdığınızda, en az bir ay (30 gün) için faturalandırılırsınız. İlk aydan sonra, bir şifreleme kapsamı için ücretler saatlik olarak eşit olarak dağıtılır. Daha fazla bilgi için bkz . Şifreleme kapsamları için faturalama.

Azure portalında şifreleme kapsamı oluşturmak için şu adımları izleyin:

  1. Azure portalda depolama hesabınıza gidin.

  2. Güvenlik + ağ altında Şifreleme'yi seçin.

  3. Şifreleme Kapsamları sekmesini seçin.

  4. Yeni bir şifreleme kapsamı eklemek için Ekle düğmesine tıklayın.

  5. Şifreleme Kapsamı Oluştur bölmesinde yeni kapsam için bir ad girin.

  6. Microsoft tarafından yönetilen anahtarlar veya Müşteri tarafından yönetilen anahtarlar gibi istenen şifreleme anahtarı desteğini seçin.

    • Microsoft tarafından yönetilen anahtarlar'ı seçtiyseniz, şifreleme kapsamını oluşturmak için Oluştur'a tıklayın.
    • Müşteri tarafından yönetilen anahtarlar'ı seçtiyseniz, bir abonelik seçin ve bu şifreleme kapsamı için kullanılacak bir anahtar kasası ve anahtar belirtin. İstenen anahtar kasası farklı bir bölgedeyse Anahtar URI'sini girin'i seçin ve anahtar URI'sini belirtin.
  7. Depolama hesabı için altyapı şifrelemesi etkinleştirildiyse, yeni şifreleme kapsamı için otomatik olarak etkinleştirilir. Aksi takdirde, şifreleme kapsamı için altyapı şifrelemesinin etkinleştirilip etkinleştirilmeyeceğini seçebilirsiniz.

    Screenshot showing how to create encryption scope in Azure portal

Depolama hesabı için şifreleme kapsamlarını listeleme

Azure portalında bir depolama hesabının şifreleme kapsamlarını görüntülemek için depolama hesabının Şifreleme Kapsamları ayarına gidin. Bu bölmeden bir şifreleme kapsamını etkinleştirebilir veya devre dışı bırakabilir ya da şifreleme kapsamının anahtarını değiştirebilirsiniz.

Screenshot showing list of encryption scopes in Azure portal

Anahtar URI'si ve sürümü ve anahtar sürümünün otomatik olarak güncelleştirilip güncelleştirilmediği dahil olmak üzere müşteri tarafından yönetilen anahtarın ayrıntılarını görüntülemek için Anahtar sütunundaki bağlantıyı izleyin.

Screenshot showing details for a key used with an encryption scope

Varsayılan şifreleme kapsamına sahip bir kapsayıcı oluşturma

Kapsayıcı oluşturduğunuzda, varsayılan bir şifreleme kapsamı belirtebilirsiniz. Bu kapsayıcıdaki bloblar varsayılan olarak bu kapsamı kullanır.

Kapsayıcı tüm blobların varsayılan kapsamı kullanmasını gerektirecek şekilde yapılandırılmadığı sürece tek bir blob kendi şifreleme kapsamıyla oluşturulabilir. Daha fazla bilgi için bkz . Kapsayıcılar ve bloblar için şifreleme kapsamları.

Azure portalında varsayılan şifreleme kapsamına sahip bir kapsayıcı oluşturmak için önce Şifreleme kapsamı oluşturma bölümünde açıklandığı gibi şifreleme kapsamını oluşturun. Ardından, kapsayıcıyı oluşturmak için şu adımları izleyin:

  1. Depolama hesabınızdaki kapsayıcılar listesine gidin ve Ekle düğmesini seçerek kapsayıcı oluşturun.

  2. Yeni Kapsayıcı bölmesinde Gelişmiş ayarlar'ı genişletin.

  3. Şifreleme kapsamı açılan listesinde kapsayıcı için varsayılan şifreleme kapsamını seçin.

  4. Kapsayıcıdaki tüm blobların varsayılan şifreleme kapsamını kullanmasını istemek için Kapsayıcıdaki tüm bloblar için bu şifreleme kapsamını kullan onay kutusunu seçin. Bu onay kutusu seçiliyse, kapsayıcıdaki tek bir blob varsayılan şifreleme kapsamını geçersiz kılamaz.

    Screenshot showing container with default encryption scope

İstemci blobu varsayılan şifreleme kapsamına sahip bir kapsayıcıya yüklerken kapsam belirtmeye çalışırsa ve kapsayıcı blobların varsayılan kapsamı geçersiz kılmasını engelleyecek şekilde yapılandırılmışsa, işlem isteğin kapsayıcı şifreleme ilkesi tarafından yasaklandığını belirten bir iletiyle başarısız olur.

Şifreleme kapsamına sahip bir blobu karşıya yükleme

Bir blobu karşıya yüklediğinizde, bu blob için bir şifreleme kapsamı belirtebilir veya belirtildiyse kapsayıcı için varsayılan şifreleme kapsamını kullanabilirsiniz.

Dekont

Şifreleme kapsamına sahip yeni bir blob yüklediğinizde, bu blob için varsayılan erişim katmanını değiştiremezsiniz. Ayrıca, şifreleme kapsamı kullanan mevcut bir blob için erişim katmanını değiştiremezsiniz. Erişim katmanları hakkında daha fazla bilgi için bkz . Blob verileri için Sık Erişimli, Seyrek Erişimli ve Arşiv erişim katmanları.

Azure portalı aracılığıyla şifreleme kapsamına sahip bir blobu karşıya yüklemek için önce Şifreleme kapsamı oluşturma bölümünde açıklandığı gibi şifreleme kapsamını oluşturun. Ardından blobu oluşturmak için şu adımları izleyin:

  1. Blobu karşıya yüklemek istediğiniz kapsayıcıya gidin.

  2. Karşıya Yükle düğmesini seçin ve karşıya yüklenecek blobu bulun.

  3. Blobu karşıya yükle bölmesinde Gelişmiş ayarları genişletin.

  4. Şifreleme kapsamı açılan bölümünü bulun. Varsayılan olarak blob, belirtildiyse kapsayıcı için varsayılan şifreleme kapsamıyla oluşturulur. Kapsayıcı blobların varsayılan şifreleme kapsamını kullanmasını gerektiriyorsa, bu bölüm devre dışı bırakılır.

  5. Karşıya yüklediğiniz blob için farklı bir kapsam belirtmek için Var olan bir kapsamı seçin'i ve ardından açılan listeden istediğiniz kapsamı seçin.

    Screenshot showing how to upload a blob with an encryption scope

Kapsamın şifreleme anahtarını değiştirme

Şifreleme kapsamını Microsoft tarafından yönetilen anahtardan müşteri tarafından yönetilen anahtara koruyan anahtarı değiştirmek için önce depolama hesabı için Azure Key Vault veya Key Vault HSM ile müşteri tarafından yönetilen anahtarları etkinleştirdiğinizden emin olun. Daha fazla bilgi için bkz. Azure Key Vault'ta depolanan müşteri tarafından yönetilen anahtarlarla şifrelemeyi yapılandırma veya Azure Key Vault'ta depolanan müşteri tarafından yönetilen anahtarlarla şifrelemeyi yapılandırma.

Azure portalında kapsamı koruyan anahtarı değiştirmek için şu adımları izleyin:

  1. Depolama hesabının şifreleme kapsamlarının listesini görüntülemek için Şifreleme Kapsamları sekmesine gidin.
  2. Değiştirmek istediğiniz kapsamın yanındaki Diğer düğmesini seçin.
  3. Şifreleme kapsamını düzenle bölmesinde, şifreleme türünü Microsoft tarafından yönetilen anahtardan müşteri tarafından yönetilen anahtara (veya tersine) değiştirebilirsiniz.
  4. Müşteri tarafından yönetilen yeni bir anahtar seçmek için Yeni anahtar kullan'ı seçin ve anahtar kasasını, anahtarı ve anahtar sürümünü belirtin.

Şifreleme kapsamını devre dışı bırakma

Gereksiz ücretlerden kaçınmak için gerekli olmayan şifreleme kapsamlarını devre dışı bırakın. Daha fazla bilgi için bkz . Şifreleme kapsamları için faturalama.

Azure portalında bir şifreleme kapsamını devre dışı bırakmak için depolama hesabının Şifreleme Kapsamları ayarına gidin, istediğiniz şifreleme kapsamını seçin ve Devre dışı bırak'ı seçin.

Sonraki adımlar