我们在 Azure 中有几个经典存储帐户,其中 Blob 存储中有许多文件未加密,因为它们是在默认启用所有上传加密之前上传的。
每https://docs.microsoft.com/en-us/azure/storage/common/storage-service-encryption:
默认情况下,所有存储帐户(经典存储帐户和资源管理器存储帐户)均启用存储服务加密,在启用加密之前创建的存储帐户中的任何现有文件都将通过后台加密过程进行追溯加密。
然而,我们没有看到任何旧的 blob 被追溯加密。
现有 blob 的追溯加密是否仅在 ARM 存储帐户上进行?如果是,则迁移存储帐户(如上所述)https://docs.microsoft.com/en-us/azure/virtual-machines/windows/migration-classic-resource-manager-ps导致旧的 blob 开始在后台加密?
答案1
最初添加 SSE 时,现有的 blob 未被加密,您需要将它们移出存储帐户并移回(或只是移至新的存储帐户)才能在首次写入时对它们进行加密。
现有文件的后台加密过程是在 SSE 的 GA 中引入的,我不清楚它是否适用于经典。但是,如果您迁移到 ARM 存储帐户,那么它们将被加密。