需要在Azure Blob存储中存储一些内容,并希望在将其存储在Azure Blob之前进行加密(我们不希望依赖静态的Azure存储加密)。问题是我们不希望将我们的加密密钥存储在Azure(例如Key Vault)上,并将其存储在Azure之外。有关实现这一目标的策略的任何建议?
答案 0 :(得分:0)
问题是我们不希望将加密密钥存储在Azure上(例如密钥保管库),并将其存储在Azure之外。
Azure存储服务加密目前不允许我们使用自己的加密密钥。要使用自己的加密密钥并将其存储在Azure之外,您需要为存储服务创建代理。
例如,您可以创建一个Web API来处理所有blob读/写请求。在Web API中,您可以使用自己的加密密钥来加密或解密数据,然后将数据写入或读取到Azure Blob存储。
这种方式的限制是我们无法使用Azure存储客户端库或其他工具来访问存储代理(Web API),因为它是由您自己编写的。
我们可以使用的任何内部部分秘密选项的建议,Azure上的组件都可以访问这些选项。
我建议您将密钥存储在本地,并创建一个可以返回此密钥的内部API。要从azure组件访问此内部API,您可以使用混合连接。
Access on-premises resources using hybrid connections in Azure App Service