Azure 中的資料落地
Azure 的全球區域比其他任何雲端提供者更多,提供您需要的規模和資料落地選項,讓您的應用程式更貼近全球各地的使用者。
概觀
資料安全性與 GDPR 的合規性
身為客戶,您會保留客戶資料的擁有權,也就是您提供以在 Azure 服務中儲存及裝載的內容、個人和其他資料。您也可以全權掌控部署解決方案或複寫資料的任何其他地理位置。
如果服務的功能需要全球資料複寫,以下提供詳細資料。
如果服務的功能需要全球資料複寫,以下提供詳細資料。
資料安全性
Microsoft 使用多層安全性和加密通訊協定來保護您的資料。 概要了解 Microsoft 如何使用加密來保護您的資料。
根據預設,Microsoft 管理的金鑰會保護您的資料,而且保存在任何實體媒體上的客戶資料一律會使用符合 FIPS 140-2 規範的加密通訊協定進行加密。客戶也可以採用客戶自控金鑰 (CMK) 雙重加密及 (或) 硬體安全模組 (HSM) 來加強資料保護。
在資料中心之間移動的所有資料流量會使用 IEEE 802.1AE MAC 安全性標準進行保護,以防止實體"中間人"攻擊。為了保持復原能力,Microsoft 使用有時跨地區邊界的多變網路路徑,但區域之間的客戶資料複寫一律會透過加密的網路連線進行傳輸。
此外,為了將隱私權風險降到最低,Microsoft 會產生匿名識別碼,讓 Microsoft 能夠提供全球雲端服務 (包括操作和改善服務、計費以及防詐騙)。在所有情況下,匿名識別碼都無法用來直接識別個人,而且識別個人的客戶資料存取權一律會受到保護,如上所述。
GDPR、轉包處理者、資料傳輸和政府機構存取
所有 Azure 服務的使用都會遵守 GDPR。如果使用 Azure 服務的客戶選擇跨境傳輸包含個人資料的內容,則必須考慮適用於這類傳輸的法規需求。Microsoft 為客戶提供服務和資源,以協助他們遵守可能適用於其營運的 GDPR 需求。
某些 Microsoft 線上服務會與擔任轉包處理者的第三方共用資料。公開的 Microsoft Online Services 轉包處理者清單指出了已獲授權,可以處理客戶資料或個人資料的轉包處理者。依照合約,這些轉包處理者均有義務達成或超越 Microsoft 對其客戶所做出的合約承諾。
Microsoft 不會提供下列權限給任何第三方:(a) 直接、無限制或不受約束的客戶資料存取權;(b) 用來保護資料的平台加密金鑰或破解這類加密的能力;或 (c) 若 Microsoft 知悉此資料是用於第三方要求所述以外的用途時,對該資料的存取權。如需 Microsoft 在政府要求下依法公開客戶資料方式的進一步資訊,請參閱這裡。
選取地理位置
選取您的地理位置
大部分的 Azure 服務都能讓您指定客戶資料的儲存及處理區域。Microsoft 可能會複寫到其他區域以復原資料,但 Microsoft 不會將客戶資料儲存在選取的地區外或在此進行處理。您和您的使用者可以在全球任何位置移動、複製或存取您的客戶資料。
某些情況下,特定服務的資料會儲存在指定區域外。請參閱此頁面上的詳細資訊,以取得詳細資料。
詳細資訊
客戶資料位置的詳細資訊
區域服務的資料儲存體
大部分 Azure 服務都在區域中部署,並讓客戶指定要部署服務的區域。這類 Azure 服務的範例包括虛擬機器、儲存體及 SQL Database。如需區域服務的完整清單,請參閱 依區域提供的產品 (英文)。
Microsoft 不會未經您授權,就儲存或處理客戶指定地區外的客戶資料。
Microsoft 可能會針對資料備援或其他作業目的,在指定地區內的區域之間複製客戶資料。例如,異地備援儲存體會在相同地區內的兩個區域之間複寫 Blob、檔案、佇列和資料表資料,以增強資料持久性,因應主要資料中心災害。
位在地區外的 Microsoft 人員 (包括轉包處理者) 可能會從遠端操作地區中的資料處理系統,但不會未經您授權就存取客戶資料。
下列服務可能會儲存或處理指定地區外的某些資料:
- 無論部署區域為何,Azure 雲端服務都會將 Web 和背景工作角色軟體部署套件備份至美國。
- Azure Data Explorer (ADX) 會將部分使用方式資料和服務追蹤儲存在位於歐盟的中央叢集一段時間。
- Language Understanding 會根據客戶使用的撰寫區域,將主動式學習資料儲存在美國、歐洲或澳洲。 深入了解
- Azure Machine Learning 可以各種文字格式儲存客戶提供的資產名稱 (例如,工作區名稱、資源群組名稱、實驗名稱、檔案名稱及影像名稱),以及儲存實驗執行參數 (在美國又稱為實驗中繼資料) 供偵錯之用。
- Azure Databricks 將下列身分識別資訊儲存在美國,以提供帳戶和存取管理功能給客戶: 使用者名稱、名字、姓氏和電子郵件地址。此資料儲存在美國,以支援全球 Azure Databricks 平台。
- Azure 序列主控台會將所有待用客戶資料儲存在客戶選取的地區中,但透過 Azure 入口網站使用時,可能會在該地區外處理主控台命令和回應,以達成在入口網站內提供主控台體驗的唯一目的。
- Azure OpenAI 服務會將所有待用客戶資料儲存在客戶選取的地區中 (此處所述的有限微調案例除外),但是 (i) 針對標記為 [全球] 的任何模型部署類型,可能會在全球任何 Azure OpenAI 區域中處理傳送到該部署或由該部署輸出的提示和完成項目,以進行推斷或微調,而 (ii) 針對標記為 [DataZone] 的任何模型部署類型,可能會在 Microsoft 定義的指定資料區域內處理傳送到該部署或由該部署輸出的提示和完成項目,以進行推斷或微調。針對微調模型選取 [全球] 或 [DataZone] 部署類型時, 訓練資料, 驗證資料和/或自訂模型權數可能會暫時儲存在選取的地區外。 深入了解 (部分機器翻譯)
- 當客戶將選取的服務設定至 Azure 擴充區域時,Microsoft 會將其客戶資料儲存在 Azure 擴充區域中並加以處理。如果客戶選取的 Azure 擴充區域與指定的地區位於不同的國家/地區,則客戶資料會儲存在 Azure 擴充區域中並加以處理。
- 預覽版、搶鮮版 (Beta) 或其他發行前版本服務,一般會將客戶資料儲存在美國,但也可能會儲存在全球各地。
客戶資料位於單一區域
客戶可以設定下列 Azure 服務、階層或方案,將客戶資料只儲存在新加坡、香港特別行政區或巴西南部的單一區域中:
其他資源
非區域服務的資料儲存體
某些 Azure 服務不會讓客戶指定部署服務的區域。除非另有說明,否則這些服務可能會在 Azure 公用區域內的任何 Microsoft 資料中心儲存或處理客戶資料。
- Azure 內容傳遞網路提供全球快取服務,並且在全世界的邊緣位置儲存客戶資料。 依區域的 Microsoft Azure 內容傳遞網路 POP 位置。
- Microsoft Entra ID (以前稱為 Azure Active Directory) 以非區域服務的形式運行,可根據客戶需求 (包括可用性和可擴縮性) 在全球各地儲存 Microsoft Entra 目錄資料。 深入了解。
- 適用於雲端的 Microsoft Defender 可以儲存從客戶資料 (例如虛擬機或 Azure AD 租用戶) 收集或連結的安全性相關客戶資源複本:
(a) 與該資源相同的地區中; 除了 Microsoft 尚未部署適用於雲端的 Microsoft Defender 之地區外,在此情況下,這類資料的複本會儲存在美國; 而且
(b) 適用於雲端的 Microsoft Defender 使用其他 Microsoft 線上服務處理這類資料時,可能會根據該其他線上服務的地理位置規則儲存這類資料。
(c) 如果客戶在歐盟或美國提供租用戶,則 Microsoft 將僅在該地理位置內儲存靜態客戶資料。
(d) (a) 和 (c) 中的地區承諾不適用於下列功能:安全性解決方案 (WAF)。 - 適用於 IoT 的 Microsoft Defender 在使用其他 Microsoft 線上服務處理安全性相關的客戶資料時,可能會根據其他線上服務的地理位置規則儲存這類資料。
- Microsoft Fabric 可讓您在建立新的 Microsoft Fabric 容量時,選擇儲存客戶資料的 Azure 區域。列出的預設選項是使用者的租用戶所在國家/地區; 如果使用者選擇該區域,則所有相關資料 (包括客戶資料) 都會儲存在該地區。如果使用者選取其他區域,某些客戶資料仍然會保留在所在地區。 深入了解。
- 提供全域路由功能的服務本身不會處理或儲存客戶資料。這包括 Azure 流量管理員,其提供不同區域間的負載平衡,而 Azure DNS 提供路由至不同區域的網域名稱服務。
如需非區域服務的完整清單,請參閱依區域提供的產品 (英文),並選取 [非區域]。
其他資源
Azure 解決方案
Azure 雲端解決方案
使用驗證過的 Azure 雲端服務組合以及範例結構和文件,來解決您的商務問題。
商務解決方案中樞
尋找合適的 Microsoft Cloud 解決方案
瀏覽 Microsoft 商務解決方案中樞,尋找可協助組織達成目標的產品和解決方案。
- [1]目前,預設只有亞太地區的東南亞區域 (新加坡) 和巴西地區的巴西南部 (聖保羅州) 區域,提供單一區域資料落地功能。至於其他所有區域,客戶資料會儲存在地區當中。
- [2]目前,預設只有亞太地區的東南亞區域 (新加坡),提供單一區域資料落地功能。至於其他所有區域,客戶資料會儲存在地區當中。
- [3]Azure Databricks 將下列身分識別資訊儲存在美國,以提供帳戶和存取管理功能給客戶: 使用者名稱、名字、姓氏和電子郵件地址。此資料儲存在美國,以支援全球 Azure Databricks 平台。目前,亞太地區的東南亞區域 (新加坡) 和巴西地區的巴西南部 (聖保羅州) 區域,提供將所有其他客戶資料儲存於單一區域的功能。至於其他所有區域,客戶資料會儲存在地區當中 (依據上述例外狀況而定)。
- [4]ZRS Classic、GRS/RA-GRS、GZRS/RA-GZRS 會將資料儲存在多個區域中。
取得 Azure 行動應用程式 
