Azure存储提供了几个选项来加密静态数据。通过客户端加密，您可以在将数据上载到Azure存储之前对其进行加密。您还可以选择使用Microsoft托管密钥或在Azure密钥保险库中使用客户管理的密钥使用存储服务加密来管理加密操作。今天，我们展示了对存储服务加密的增强，以支持对存储帐户（密钥存储在任何密钥存储中）的细粒度加密设置。客户提供的密钥（CPK）使您能够在本地或非Azure密钥库的密钥存储库中存储和管理密钥，以满足公司、合同和法规遵从性对数据安全的要求。客户提供的密钥允许您使用blob api将加密密钥作为读或写操作的一部分传递给存储服务。由于加密密钥是在对象级别定义的，因此在一个存储帐户中可以有多个加密密钥。使用客户提供的密钥创建blob时，存储服务将加密密钥的SHA-256哈希与blob保持在一起，以验证将来的请求。检索对象时，必须在请求中提供相同的加密密钥。例如，如果使用CPK使用Put blob创建blob，则所有后续写入操作都必须提供相同的加密密钥。如果提供了不同的密钥，或者请求中没有提供密钥，则操作将失败，并出现400个错误请求。由于加密密钥本身是在请求中提供的，因此必须建立安全连接来传输密钥。过程如下： 图1客户提供的密钥入门通过向请求中添加x-ms-encryption-*头，可以将客户提供的密钥用于受支持的blob操作。请求标头说明x-ms-加密密钥必修的。Base64编码的AES-256加密密钥值。x-ms-加密-密钥-sha256必修的。加密密钥的Base64编码的SHA256。x-ms-加密算法必修的。指定使用给定密钥加密数据时要使用的算法。必须是AES256。请求放置mycontainer/我的blob.txtx-ms-版本：2019-02-02x-ms-encryption-key:MDEyMzQ1NjcwMTIzNDU2NzAxMjM0NTY3MDEyMzQ1Njc=x-ms-encryption-key-sha256:3QFFPRA5+XANHqwwbT4yXDmrT/2JaLt/FKHjzhOdoE=x-ms-加密算法：AES256内容长度：...密钥管理Azure存储不存储或管理客户提供的加密密钥。密钥被用于加密或解密blob数据后，将尽快安全地丢弃它们。如果在启用快照的blob上使用客户提供的密钥，则可以为每个快照配置不同的加密密钥。必须跟踪快照和关联的加密密钥，才能通过blob操作传递正确的密钥。如果需要旋转与对象关联的密钥，可以下载该对象并使用新的加密密钥上载。下一步行动通过最近发布的storage services REST API（版本2019-02-02），您的存储帐户上现在可以使用此功能。您还可以使用.NET客户端库和Java客户端库。客户提供的钥匙不需要额外收费。有关客户提供的密钥的更多信息，请访问我们的文档页。如有任何进一步的问题，或讨论您的具体情况，请发送电子邮件至azurestoragefeedback@microsoft.com或者在我们的反馈论坛上发布您对Azure存储的想法和建议。