CustomerProvidedEncryptionKey Classe

Todos os dados no Azure Storage são encriptados em repouso usando uma chave de encriptação ao nível da conta. Nas versões 2018-06-17 e mais recentes, pode gerir a chave utilizada para encriptar conteúdos blob e metadados de aplicação por blob, fornecendo uma chave de encriptação AES-256 em pedidos para o serviço de armazenamento.

Quando utiliza uma chave fornecida pelo cliente, o Azure Storage não gere nem persiste na sua chave. Ao escrever dados para uma bolha, a chave fornecida é usada para encriptar os seus dados antes de escrevê-lo em disco. Um hash SHA-256 da chave de encriptação é escrito ao lado do conteúdo blob, e é usado para verificar que todas as operações subsequentes contra a bolha usam a mesma chave de encriptação. Este haxixe não pode ser usado para recuperar a chave de encriptação ou desencriptar o conteúdo da bolha. Ao ler uma bolha, a chave fornecida é utilizada para desencriptar os seus dados depois de os ler a partir do disco. Em ambos os casos, a chave de encriptação fornecida é descartada de forma segura assim que o processo de encriptação ou desencriptação estiver concluído.