Azure шифрование / дешифрование на стороне клиента при перемещении больших двоичных объектов на другую учетную запись хранения

Question

У меня есть учетная запись хранения в ЕС (v1) и хранилище ключей ЕС. Я делаю шифрование на стороне клиента при сохранении и получении больших двоичных объектов. Шифрование / дешифрование работает в этом сценарии.

Я воссоздаю свои ресурсы в регионе ZA и создал новую учетную запись хранения (v2) и новое хранилище ключей. Я скопировал капли через MS Azure Storage Explorer. Оба хранилища ключей имеют один и тот же секрет, но с другим именем.

Я не могу расшифровать большие двоичные объекты в хранилище ZA, даже если секретные данные совпадают.

Я заметил, что скопированные большие двоичные объекты на в хранилище ZA есть метаданные, называемые «encryptiondata», которые указывают на хранилище ключей ЕС.

Есть ли способ скопировать зашифрованные двоичные объекты из EU в учетную запись хранилища ZA и использовать ключ ZA для расшифровки их?

Единственное решение, которое я могу придумать, - это написать метод для выполнения следующих действий:

1. Получить блоб EU и расшифровать его с секретом ЕС.
2. Записать расшифрованные данные в ZA хранилище с секретом ZA.

Спасибо.

Answer 1

Я пытался ТАК и MS решить эту проблему. В конце концов я создал собственное решение следующим образом:

//Procedure:
// 1. Go to ZA storage and delete all blobs.
// 2. Copy all EU storage to ZA storage with MSASE. Encrypted blobs will not be able to be decrypted yet.
// 3. Run this method. It does the following:
//   a: Processes "Documents" and "Mandates" folders.
//   b. Always copies encrypted blobs using the ZA key.Encrypted blobs will now be able to be decrypted.
//   c. If standard blob does not exist, copies it as well (without encryption).

MSASE = Microsoft Azure Storage Explorer