Blob depolama için şifreleme kapsamları
Şifreleme kapsamları, kapsayıcı veya tek bir blob kapsamındaki bir anahtarla şifrelemeyi yönetmenizi sağlar. Aynı depolama hesabında bulunan ancak farklı müşterilere ait veriler arasında güvenli sınırlar oluşturmak için şifreleme kapsamlarını kullanabilirsiniz.
Şifreleme kapsamlarıyla çalışma hakkında daha fazla bilgi için bkz . Şifreleme kapsamları oluşturma ve yönetme.
Şifreleme kapsamları nasıl çalışır?
Varsayılan olarak, depolama hesabı, depolama hesabının tamamı kapsamındaki bir anahtarla şifrelenir. Bir şifreleme kapsamı tanımladığınızda, kapsamı kapsayıcı veya tek bir blob olarak belirlenmiş olabilecek bir anahtar belirtirsiniz. Şifreleme kapsamı bir bloba uygulandığında blob bu anahtarla şifrelenir. Şifreleme kapsamı bir kapsayıcıya uygulandığında, kapsayıcıdaki bloblar için varsayılan kapsam görevi görür, böylece kapsayıcıya yüklenen tüm bloblar aynı anahtarla şifrelenebilir. Kapsayıcı, kapsayıcıdaki tüm bloblar için varsayılan şifreleme kapsamını zorunlu kılacak veya tek bir blob'un varsayılan dışında bir şifreleme kapsamıyla kapsayıcıya yüklenmesine izin vermek üzere yapılandırılabilir.
Şifreleme kapsamı devre dışı bırakılmadıkça, şifreleme kapsamıyla oluşturulan bir blob üzerindeki okuma işlemleri saydam bir şekilde gerçekleşir.
Anahtar yönetimi
Bir şifreleme kapsamı tanımlarken kapsamın Microsoft tarafından yönetilen bir anahtarla mı yoksa Azure Key Vault'ta depolanan müşteri tarafından yönetilen bir anahtarla mı korunacağını belirtebilirsiniz. Aynı depolama hesabındaki farklı şifreleme kapsamları Microsoft tarafından yönetilen veya müşteri tarafından yönetilen anahtarları kullanabilir. Ayrıca, bir şifreleme kapsamını müşteri tarafından yönetilen bir anahtardan Microsoft tarafından yönetilen anahtara korumak için kullanılan anahtar türünü istediğiniz zaman değiştirebilirsiniz. Müşteri tarafından yönetilen anahtarlar hakkında daha fazla bilgi için bkz . Azure Depolama şifrelemesi için müşteri tarafından yönetilen anahtarlar. Microsoft tarafından yönetilen anahtarlar hakkında daha fazla bilgi için bkz . Şifreleme anahtarı yönetimi hakkında.
Müşteri tarafından yönetilen bir anahtarla şifreleme kapsamı tanımlarsanız anahtar sürümünü otomatik olarak veya el ile güncelleştirmeyi seçebilirsiniz. Anahtar sürümünü otomatik olarak güncelleştirmeyi seçerseniz Azure Depolama, müşteri tarafından yönetilen anahtarın yeni bir sürümü için anahtar kasasını veya yönetilen HSM'yi günlük olarak denetler ve anahtarı otomatik olarak en son sürüme güncelleştirir. Müşteri tarafından yönetilen anahtarın anahtar sürümünü güncelleştirme hakkında daha fazla bilgi için bkz . Anahtar sürümünü güncelleştirme.
Azure İlkesi, şifreleme kapsamlarının müşteri tarafından yönetilen anahtarları kullanmasını gerektiren yerleşik bir ilke sağlar. Daha fazla bilgi için Azure İlkesi yerleşik ilke tanımlarının Depolama bölümüne bakın.
Depolama hesabı, anahtar sürümünün otomatik olarak güncelleştirildiği müşteri tarafından yönetilen anahtarlarla korunan en fazla 10.000 şifreleme kapsamına sahip olabilir. Depolama hesabınızda otomatik olarak güncelleştirilen müşteri tarafından yönetilen anahtarlarla korunan 10.000 şifreleme kapsamı varsa, müşteri tarafından yönetilen anahtarlarla korunan ek şifreleme kapsamları için anahtar sürümü el ile güncelleştirilmelidir.
Altyapı şifrelemesi
Azure Depolama'da altyapı şifrelemesi, verilerin çift şifrelenmesini sağlar. Altyapı şifrelemesi ile veriler iki farklı şifreleme algoritması ve iki farklı anahtar ile iki kez (hizmet düzeyinde ve bir kez altyapı düzeyinde) şifrelenir.
Altyapı şifrelemesi, hem bir şifreleme kapsamı hem de depolama hesabı düzeyinde desteklenir. Bir hesap için altyapı şifrelemesi etkinleştirildiyse, bu hesapta oluşturulan tüm şifreleme kapsamları otomatik olarak altyapı şifrelemesini kullanır. Hesap düzeyinde altyapı şifrelemesi etkinleştirilmediyse, kapsamı oluşturduğunuz sırada bir şifreleme kapsamı için etkinleştirme seçeneğiniz vardır. Şifreleme kapsamı için altyapı şifreleme ayarı, kapsam oluşturulduktan sonra değiştirilemez.
Altyapı şifrelemesi hakkında daha fazla bilgi için bkz . Verilerin çift şifrelenmesini sağlamak için altyapı şifrelemesini etkinleştirme.
Kapsayıcılar ve bloblar için şifreleme kapsamları
Kapsayıcı oluşturduğunuzda, daha sonra bu kapsayıcıya yüklenen bloblar için varsayılan bir şifreleme kapsamı belirtebilirsiniz. Kapsayıcı için varsayılan bir şifreleme kapsamı belirttiğinizde, varsayılan şifreleme kapsamının nasıl zorunlu kılınacağını belirleyebilirsiniz:
- Kapsayıcıya yüklenen tüm blobların varsayılan şifreleme kapsamını kullanmasını zorunlu kılabilirsiniz. Bu durumda, kapsayıcıdaki her blob aynı anahtarla şifrelenir.
- Bir istemcinin kapsayıcı için varsayılan şifreleme kapsamını geçersiz kılmasına izin verebilirsiniz, böylece blob varsayılan kapsam dışında bir şifreleme kapsamıyla karşıya yüklenebilir. Bu durumda kapsayıcıdaki bloblar farklı anahtarlarla şifrelenebilir.
Aşağıdaki tablo, kapsayıcı için varsayılan şifreleme kapsamının nasıl yapılandırıldığına bağlı olarak blob karşıya yükleme işleminin davranışını özetler:
Kapsayıcıda tanımlanan şifreleme kapsamı... | Varsayılan şifreleme kapsamına sahip bir blob karşıya yükleniyor... | Varsayılan kapsam dışında bir şifreleme kapsamına sahip blob karşıya yükleniyor... |
---|---|---|
Geçersiz kılmalara izin verilen varsayılan şifreleme kapsamı | Başarılı | Başarılı |
Geçersiz kılmaların yasak olduğu varsayılan bir şifreleme kapsamı | Başarılı | Başarısız |
Kapsayıcı oluşturulduğu sırada bir kapsayıcı için varsayılan şifreleme kapsamı belirtilmelidir.
Kapsayıcı için varsayılan şifreleme kapsamı belirtilmezse, depolama hesabı için tanımladığınız herhangi bir şifreleme kapsamını kullanarak bir blob yükleyebilirsiniz. Şifreleme kapsamı, blob karşıya yüklenirken belirtilmelidir.
Not
Şifreleme kapsamına sahip yeni bir blob yüklediğinizde, bu blob için varsayılan erişim katmanını değiştiremezsiniz. Ayrıca, şifreleme kapsamı kullanan mevcut bir blob için erişim katmanını değiştiremezsiniz. Erişim katmanları hakkında daha fazla bilgi için bkz . Blob verileri için Sık Erişimli, Seyrek Erişimli ve Arşiv erişim katmanları.
Şifreleme kapsamını devre dışı bırakma
Şifreleme kapsamını devre dışı bırakırsanız, şifreleme kapsamıyla yapılan sonraki okuma veya yazma işlemleri HTTP hata kodu 403 (Yasak) ile başarısız olur. Şifreleme kapsamını yeniden etkinleştirirseniz, okuma ve yazma işlemleri yeniden normal şekilde devam eder.
Şifreleme kapsamınız müşteri tarafından yönetilen bir anahtarla korunuyorsa ve anahtar kasasında anahtarı iptal ederseniz verilere erişilemez hale gelir. Şifreleme kapsamı için ücret tahsil edilmemesi için anahtar kasasındaki anahtarı iptal etmeden önce şifreleme kapsamını devre dışı bırakmayı unutmayın.
Müşteri tarafından yönetilen anahtarların anahtar kasasında geçici silme ve temizleme korumasıyla korunduğunu ve silinen bir anahtarın bu özellikler tarafından tanımlanan davranışa tabi olduğunu unutmayın. Daha fazla bilgi için Azure Key Vault belgelerinde aşağıdaki konulardan birine bakın:
Önemli
Şifreleme kapsamını silmek mümkün değildir.
Şifreleme kapsamları için faturalama
Bir şifreleme kapsamını etkinleştirdiğinizde, en az 30 gün boyunca faturalandırılırsınız. 30 gün sonra, bir şifreleme kapsamı için ücretler saatlik olarak eşit olarak dağıtılır.
Şifreleme kapsamını etkinleştirdikten sonra, 30 gün içinde devre dışı bırakırsanız, 30 gün boyunca faturalandırılırsınız. Şifreleme kapsamını 30 gün sonra devre dışı bırakırsanız, bu 30 gün için ücretlendirilirsiniz ve 30 gün sonra şifreleme kapsamının geçerli olduğu saat sayısı kadar ücretlendirilirsiniz.
Gereksiz ücretlerden kaçınmak için gerekli olmayan şifreleme kapsamlarını devre dışı bırakın.
Şifreleme kapsamlarının fiyatlandırması hakkında bilgi edinmek için bkz . Blob Depolama fiyatlandırması.
Özellik desteği
Bu özellik için destek, Data Lake Storage 2. Nesil, Ağ Dosya Sistemi (NFS) 3.0 protokolü veya SSH Dosya Aktarım Protokolü (SFTP) etkinleştirilerek etkilenebilir. Bu özelliklerden herhangi birini etkinleştirdiyseniz bu özelliğin desteğini değerlendirmek için bkz . Azure Depolama hesaplarında Blob Depolama özelliği desteği.