跳到主内容

Azure 中的数据驻留

Azure 包含比任何其他云提供商都多的全球区域,提供使应用更贴近全球用户所需的规模和数据驻留方案。

作为客户,你可以保留客户数据的所有权;数据指你提供的用于在 Azure 服务中存储和托管的内容、个人数据和其他数据。你还可以控制要在哪些额外的地理区域部署解决方案或复制数据。

对于服务的功能需要全球数据复制的情况,请参阅以下详细信息。

  • Microsoft 使用多层安全和加密协议来保护数据。概要了解 Microsoft 如何使用加密来保护数据

    默认情况下,Microsoft 托管密钥保护你的数据,始终使用符合 FIPS 140-2 的加密协议来加密保留在任何物理媒体上的客户数据。客户还可以使用客户管理的密钥(CMK)双加密和/或硬件安全模块(HSM)来加强数据保护。

    使用 IEEE 802.1AE MAC 安全标准保护在数据中心之间移动的所有数据流量,以防止物理“中间人”攻击。为了保持复原能力,Microsoft 使用了有时跨越地区边界的可变网络路径,但区域之间的客户数据复制始终通过加密的网络连接进行传输。

    另外,为了最大限度地减少隐私风险,Microsoft 会生成匿名标识符,让 Microsoft 能够提供全球的云服务(包括运营和改进服务、计费和欺诈防护)。在所有情况下,都不能使用匿名标识符直接标识个体,并如上所述保护标识着个人的客户数据的访问权限。

  • 可通过符合 GDPR 的方式使用所有 Azure 服务。如果使用 Azure 服务的客户选择跨国传输包含个人数据的内容,则他们需要考虑适用于这种传输的法律要求。Microsoft 为客户提供服务和资源,帮助其遵循可能适用于其运营的 GDPR 要求。

    某些 Microsoft 联机服务与作为相应服务的次级处理者的第三方共享数据。已公开的 Microsoft Online Services 次级处理者列表列出了经授权处理客户数据或个人数据的次级处理者。所有此类次级处理者都有义务来满足或超越 Microsoft 对其客户的合同承诺。

    Microsoft 将不会向任何第三方提供: (1) 对客户数据的直接、不分场合或者不设限的访问;(2) 用于保护数据的平台加密密钥,或者用于破解此类加密的功能;(3) 如果 Microsoft 了解到数据被用于第三方请求中所述以外的目的,则不会向其提供对此数据的访问权限。这里提供了 Microsoft 的政府要求相关客户数据合法披露方法的详细信息。

大多数 Azure 服务允许你指定存储和处理客户数据的区域。Microsoft 可以复制到其他区域以获得数据复原能力,但 Microsoft 不会存储或处理所选地区之外的客户数据。你和你的用户可从全球任何位置移动、复制或访问你的客户数据。

有关客户数据位置的详细信息

区域服务的数据存储

大多数 Azure 服务的部署都是区域性的,客户可指定将在其中部署服务的区域。此类 Azure 服务包括虚拟机、存储器和 SQL 数据库等。有关区域性服务的完整列表,请查看各区域的服务可用性

未经你授权,Microsoft 不会在客户指定的地区之外存储或处理客户数据。

Microsoft 可能会在特定地区内的两个区域之间复制客户数据,以实现数据冗余或其他操作目的。例如,异地冗余存储将在同一地区内的两个区域之间复制 Blob、文件、队列和表数据,这样在主要数据中心发生灾难时仍然能够使用数据。

在指定地理位置之外的 Microsoft 人员(包括下级处理员)可以远程操作该地区中的数据处理系统,但不会在未经你授权的情况下访问客户数据。

以下服务可能会在指定地区以外存储或处理某些数据:

  • Azure 云服务,无论部署区域如何都将 Web 角色和辅助角色软件部署包备份到美国。
  • Azure 数据资源管理器(ADX)在有限时间内将部分使用情况数据和服务跟踪存储在位于欧盟的中心群集。
  • 语言理解,它可能会基于客户使用的创作区域将活动的学习数据存储在美国、欧洲或澳大利亚。了解详细信息
  • Azure 机器学习可以存储客户提供的资产名称(如工作区名称、资源组名称、试验名称、文件名称和图像名称)的自由文本和试验执行参数(美国称为实验元数据)以供调试。
  • Azure Databricks 将以下身份信息存储在美国,以为客户提供帐户和访问管理功能: 用户名、名字、姓氏和电子邮件地址。此数据存储在美国,以支持全球 Azure Databricks 平台。
  • Azure 串行控制台,它将所有静态客户数据存储在客户选择的地区中,但当通过 Azure 门户使用时,可能会在该地区之外处理控制台命令和响应,这样做的唯一目的是在门户内提供控制台体验。
  • 预览版、Beta 版或其他预发布服务,它们通常将客户数据存储在美国,但也可能存储在全球各地。

客户可以配置以下 Azure 服务、层级或计划,以便仅在新加坡、香港特别行政区或巴西南部单个区域中存储客户数据:

1目前仅在亚太地区的东南亚区域(新加坡)和巴西地区的巴西南部(圣保罗州)区域提供默认的单区域数据驻留。对于其他所有区域,客户数据存储在“地域”中。

2目前仅在亚太地区的东南亚区域(新加坡)提供默认的单区域数据驻留。对于其他所有区域,客户数据存储在“地域”中。

3目前仅在亚太地区的东南亚区域(新加坡)和巴西地区的巴西南部(圣保罗州)区域提供在单个区域存储客户数据的预览功能。对于其他所有区域,客户数据存储在“地域”中。

4Azure Databricks 将以下标识信息存储在美国,以便为客户提供帐户和访问管理功能: 用户名、名字、姓氏和电子邮件地址。此数据存储在美国,以支持全局 Azure Databricks 平台。目前,亚太地区的东南亚区域(新加坡)和巴西地区的巴西南部(圣保罗州)区域提供将所有其他客户数据存储在单个区域的功能。对于所有其他区域,客户数据将存储在地理位置中(受上述例外的约束)。

5ZRS 经典、GRS/RA-GRS、GZRS/RA-GZRS 将数据存储在多个区域。

非区域性服务的数据存储

某些 Azure 服务不允许客户指定将在其中部署服务的区域。除非另行指定,否则这些服务可以在 Azure 公共区域的任何 Microsoft 数据中心内存储或处理客户数据。

  • Azure 内容分发网络提供全球缓存服务,并将客户数据存储在全球的边缘位置。按地区列出的 Azure CDN POP 位置。
  • Microsoft Entra ID (以前称为 Azure Active Directory)作为非区域服务运行,并且根据客户要求(包括可用性和可伸缩性)可以在全球存储 Microsoft Entra 目录数据。了解详细信息
  • Microsoft Defender for Cloud 可以存储从客户资源(如虚拟机或 Azure AD 租户)收集或与之关联的安全相关客户数据的副本:

    (a) 与该资源位于同一地理位置,但 Microsoft 尚未部署 Microsoft Defender for Cloud 的地理位置除外,在这种情况下,此类数据的副本将存储在美国;并且

    (b) 在 Microsoft Defender for Cloud 使用另一个 Microsoft 在线服务处理此类数据时,它可以根据该另一在线服务的地理位置规则存储此类数据。

    (c) 如果客户在欧盟或美国中预置其租户,Microsoft 将仅在该地区中存储客户数据静态数据。

    (d) (a) 和 (c) 中的地理承诺不适用于以下功能: 安全解决方案 (WAF)。

  • Microsoft Defender for IoT 可以使用其他 Microsoft 在线服务处理与安全相关的客户数据,此数据可以根据其他联机服务的地理位置规则进行存储。
  • Microsoft Fabric 支持在创建新的 Microsoft Fabric 容量时选择存储客户数据的 Azure 区域。列出的默认选项是用户的租户主区域;如果用户选择该区域,则所有关联的数据(包括客户数据)都将存储在该地区。如果用户选择其他区域,则某些客户数据仍将保留在主地区。了解详细信息
  • 提供全球路由功能但无法自行处理或存储客户数据的服务。这包括 Azure 流量管理器和 Azure DNS,前者在不同的区域之间提供负载均衡,后者提供路由到不同区域的域名服务。

有关非区域性服务的完整列表,请查看各区域的服务可用性并选择“非区域性”。

可以给你提供什么帮助?