我有高级存储帐户,我在创建此帐户后立即启用了加密,并找到了此链接 https://learn.microsoft.com/en-us/azure/storage/storage-service-encryption检查 blob 是否已加密。
现在,如果我使用 Azure key 保管库加密操作系统磁盘和数据磁盘,该 key 保管库也用于保护静态数据,但加密的存储帐户也可以执行相同的操作。谁能解释一下这两者之间有什么区别。我知道 key 、 secret 等,所以我不想要这个差异。
最佳答案
They are different levels of service. You can use encryption for the data in transit or for the data written to Azure Storage using SSE. You can keep your sensitive storage access keys in Azure Key Vault.
Azure Key Vault 是一项 Azure 服务,可帮助你加密和保存 key 和 secret ,包括存储帐户 key 、数据加密 key 、.PXF 文件等。这是维护 key 和 key 的好方法。在几分钟内授予这些 key 的权限。
从 Azure 存储安全角度来看,您可以将存储帐户 key 放入 Azure Key Vault 中,并从这里为您的客户端和应用程序提供服务。这将帮助您的应用程序直接从 Vault 检索访问 key 。当您在 Vault 中重新生成主要或辅助存储 key 时,应用程序将检索更新的 key ,而无需重新部署它们。请引用What is Azure Key Vault? .
存储服务加密 (SSE) 允许您请求存储服务在将数据写入 Azure 存储时自动加密数据。当您从 Azure 存储读取数据时,数据将由存储服务解密。返回前的存储服务。这使您能够保护数据,而无需修改代码或向任何应用程序添加代码。 现在, key 由 Microsoft 管理,您无法使用您的 key 和管理 key 。SSE 仅支持 ARM 模式存储帐户。 您可以查看 Azure 存储安全指南 here 。许多加密技术是可选的,请根据您组织的合规性需求做出适当的选择。
关于Azure Key Vault 与存储加密,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/43440714/