我有一个合规活动来加密我的Azure Service Bus高级版,以便使用客户管理的密钥进行加密。但是,Microsoft文档指出,命名空间必须没有队列、主题和数据。我的ASB有数据,正在运行。我负担不起停机时间来删除队列、启用加密,然后继续。还有其他选择吗?
如果您选中此配置用于加密Azure Service Bus的客户管理密钥文档,则您会发现-
Azure服务总线高级版使用Azure存储服务加密为休息时的数据提供加密。Service Bus Premium使用Azure存储来存储数据。存储在Azure存储中的所有数据都使用Microsoft托管密钥加密。
正如您在问题中提到的,它也有一个限制,即只能为新的或空的命名空间启用加密。如果命名空间包含任何队列或主题,则加密操作将失败。别无选择。
因此,我们有两种类型的加密,如下所示-
-
休息时的加密-Azure确保使用Microsoft托管密钥(默认值(或客户托管密钥加密用于持久化消息的磁盘。
-
传输中的加密-这基本上是在保护用于从点对点传输数据的介质。其中一个经典的例子是Azure中的TLS/SSL加密,用于加密传输的数据。
有关更多信息,请阅读在REST中使用用户密钥文档保护Azure服务总线和加密Azure服务总线数据的最佳实践。