Blob 移动到另一个存储帐户时的 Azure 存储客户端加密/解密

Question

我有一个欧盟存储帐户 (v1) 和一个欧盟密钥保管库。我在保存和检索 blob 时进行客户端加密。加密/解密在这种情况下工作。

我正在 ZA 区域中重新创建我的资源，并创建了一个新的存储帐户 (v2) 和一个新的密钥保管库。我已经使用 MS Azure 存储资源管理器复制了 blob。两个密钥保管库具有相同的机密，但名称不同。

即使秘密相同，我也无法解密 ZA 存储上的 blob。

我注意到 ZA 存储上复制的 blob 具有称为“加密数据”的元数据，它指向欧盟密钥库。

有没有办法将加密的 blob 从 EU 复制到 ZA 存储帐户并使用 ZA 密钥库对其进行解密？

我能想到的唯一解决方案是编写一个方法来执行以下操作：

1. 获取欧盟 blob 并使用欧盟机密解密。
2. 使用 ZA 机密将解密的数据写入 ZA 存储。

谢谢。

Answer 1

我试过 SO 和 MS 来解决这个问题。最后我创建了自己的解决方案，如下所示：

//Procedure:
// 1. Go to ZA storage and delete all blobs.
// 2. Copy all EU storage to ZA storage with MSASE. Encrypted blobs will not be able to be decrypted yet.
// 3. Run this method. It does the following:
//   a: Processes "Documents" and "Mandates" folders.
//   b. Always copies encrypted blobs using the ZA key.Encrypted blobs will now be able to be decrypted.
//   c. If standard blob does not exist, copies it as well (without encryption).

MSASE = Microsoft Azure 存储资源管理器