Blob depolama isteğinde şifreleme anahtarı sağlama
Azure Blob depolamaya yönelik istekte bulunan istemciler, bir yazma işleminde bu blobu şifrelemek için bir AES-256 şifreleme anahtarı sağlayabilir. Sonraki okuma veya bloba yazma istekleri aynı anahtarı içermelidir. İstekte şifreleme anahtarı dahil olmak, Blob depolama işlemleri için şifreleme ayarları üzerinde ayrıntılı denetim sağlar. Müşteri tarafından sağlanan anahtarlar Azure Key Vault'ta veya başka bir anahtar deposunda depolanabilir.
Okuma ve yazma işlemlerini şifreleme
İstemci uygulaması istekte bir şifreleme anahtarı sağladığında, Azure Depolama blob verilerini okurken ve yazarken şifreleme ve şifre çözme işlemlerini saydam bir şekilde gerçekleştirir. Azure Depolama, blobun içeriğiyle birlikte şifreleme anahtarının SHA-256 karması yazar. Karma, bloba karşı sonraki tüm işlemlerin aynı şifreleme anahtarını kullandığını doğrulamak için kullanılır.
Azure Depolama, istemcinin istekle birlikte gönderdiği şifreleme anahtarını depolamaz veya yönetmez. Şifreleme veya şifre çözme işlemi tamamlandıktan sonra anahtar güvenli bir şekilde atılır.
İstemci istekte müşteri tarafından sağlanan bir anahtarı kullanarak blob oluşturduğunda veya güncelleştirdiğinde, bu blob için sonraki okuma ve yazma isteklerinin de anahtarı sağlaması gerekir. Anahtar, müşteri tarafından sağlanan bir anahtarla zaten şifrelenmiş bir blob isteğinde sağlanmamışsa istek 409 (Çakışma) hata koduyla başarısız olur.
İstemci uygulaması istek üzerine bir şifreleme anahtarı gönderirse ve depolama hesabı da Microsoft tarafından yönetilen anahtar veya müşteri tarafından yönetilen anahtar kullanılarak şifrelenirse Azure Depolama, şifreleme ve şifre çözme isteğinde sağlanan anahtarı kullanır.
şifreleme anahtarını isteğin bir parçası olarak göndermek için istemcinin HTTPS kullanarak Azure Depolama'ya güvenli bir bağlantı kurması gerekir.
Her blob anlık görüntüsünün veya blob sürümünün kendi şifreleme anahtarı olabilir.
Nesne çoğaltma, müşteri tarafından sağlanan bir anahtarla şifrelenmiş kaynak hesaptaki bloblar için desteklenmez.
Müşteri tarafından sağlanan anahtarları belirtmek için istek üst bilgileri
REST çağrıları için istemciler, bir istek üzerindeki şifreleme anahtarı bilgilerini Blob depolamaya güvenli bir şekilde geçirmek için aşağıdaki üst bilgileri kullanabilir:
İstek Üst Bilgisi | Açıklama |
---|---|
x-ms-encryption-key |
Hem yazma hem de okuma istekleri için gereklidir. Base64 kodlamalı AES-256 şifreleme anahtarı değeri. |
x-ms-encryption-key-sha256 |
Hem yazma hem de okuma istekleri için gereklidir. Şifreleme anahtarının Base64 ile kodlanmış SHA256'sı. |
x-ms-encryption-algorithm |
Yazma istekleri için gereklidir, okuma istekleri için isteğe bağlıdır. Verilen anahtarı kullanarak verileri şifrelerken kullanılacak algoritmayı belirtir. Bu üst bilginin değeri olmalıdır AES256 . |
İstekte şifreleme anahtarlarının belirtilmesi isteğe bağlıdır. Ancak, bir yazma işlemi için yukarıda listelenen üst bilgilerden birini belirtirseniz, bunların tümünü belirtmeniz gerekir.
Müşteri tarafından sağlanan anahtarları destekleyen blob depolama işlemleri
Aşağıdaki Blob depolama işlemleri, istek üzerine müşteri tarafından sağlanan şifreleme anahtarlarının gönderilmesini destekler:
- Blobu Yerleştir
- Put Block List
- Blok Koy
- URL'den Blok Koy
- Sayfa Koy
- URL'den Sayfa Yerleştir
- Ekleme Bloğu
- Blob Meta Verilerini Ayarlama
- Blob Alma
- BLOB özelliklerini Al
- Blob Meta Verilerini Alma
- Anlık Görüntü Blobu
Müşteri tarafından sağlanan anahtarları döndürme
Blobu şifrelemek için kullanılan bir şifreleme anahtarını döndürmek için blobu indirin ve yeni şifreleme anahtarıyla yeniden yükleyin.
Önemli
Azure portalı, istekte sağlanan bir anahtarla şifrelenmiş bir kapsayıcıdan veya blobdan okumak veya bu bloba yazmak için kullanılamaz.
Azure Key Vault gibi güvenli bir anahtar deposunda blob depolama isteğinde sağladığınız şifreleme anahtarını koruduğundan emin olun. Şifreleme anahtarı olmadan bir kapsayıcı veya blob üzerinde yazma işlemi denerseniz işlem başarısız olur ve nesneye erişimi kaybedersiniz.
Özellik desteği
Bu özellik için destek, Data Lake Storage 2. Nesil, Ağ Dosya Sistemi (NFS) 3.0 protokolü veya SSH Dosya Aktarım Protokolü (SFTP) etkinleştirilerek etkilenebilir. Bu özelliklerden herhangi birini etkinleştirdiyseniz bu özelliğin desteğini değerlendirmek için bkz . Azure Depolama hesaplarında Blob Depolama özelliği desteği.