略過導覽

Azure 中的資料落地

Azure 提供的全球區域比其他任何雲端提供者更多,為您提供調整規模和資料落地的選項,讓您的應用程式更貼近全球各地的使用者。

身為客戶,您會保留客戶資料的擁有權,也就是您提供以在 Azure 服務中儲存及裝載的內容、個人和其他資料。您也可以全權掌控決定部署解決方案或複寫資料的任何其他地理位置。

如果服務的功能需要全域資料複寫,以下提供詳細資料。

  • Microsoft 使用多層安全性和加密通訊協定來保護您的資料。概要了解 Microsoft 如何使用加密來保護您的資料

    根據預設,Microsoft 管理的金鑰會保護您的資料,而且保存在任何實體媒體上的客戶資料一律會使用符合 FIPS 140-2 規範的加密通訊協定進行加密。客戶也可以採用客戶自控金鑰 (CMK)、雙重加密及/或硬體安全模組 (HSM) 來加強資料保護。

    在資料中心之間移動的所有資料流量會使用 IEEE 802.1AE MAC 安全性標準進行保護,以防止實體「中間人」攻擊。為了保持復原能力,Microsoft 使用有時跨地區界限的多變網路路徑,但區域之間的客戶資料複寫一律會透過加密的網路連線進行傳輸。

    此外,為了將隱私權風險降到最低,Microsoft 會產生匿名識別碼,讓 Microsoft 能夠提供全球雲端服務 (包括操作和改善服務、計費以及防詐騙)。在所有情況下,匿名識別碼都無法用來直接識別個人,而且識別個人的客戶資料存取權一律會受到保護,如上所述。

  • 所有 Azure 服務的使用都會遵守 GDPR。如果使用 Azure 服務的客戶選擇跨境傳輸包含個人資料的內容,則必須考慮適用於這類傳輸的法規需求。Microsoft 為客戶提供服務和資源,以協助他們遵守可能適用於其營運的 GDPR 需求。

    某些 Microsoft 線上服務會與作為其轉包處理者的第三方共用資料。公開的 Microsoft Online Services 轉包處理者清單指出已獲授權可處理客戶資料或個人資料的轉包處理者。所有這類轉包處理者依合約都有義務達成或超越 Microsoft 對其客戶所做出的合約承諾。

    Microsoft 不會提供下列權限給任何第三方:(a) 直接、無限制或不受約束的客戶資料存取權;(b) 用來保護資料的平台加密金鑰或破解這類加密的能力;或 (c) 若 Microsoft 知悉此資料是用於第三方要求所述以外的用途時,對該資料的存取權。如需 Microsoft 在政府要求下依法公開客戶資料方式的進一步資訊,請參閱這裡

大部分的 Azure 服務都能讓您指定客戶資料的儲存及處理區域。Microsoft 可能會複寫到其他區域以復原資料,但 Microsoft 不會將客戶資料儲存在選取的地區外或在此進行處理。您和您的使用者可以在全域中的任何位置移動、複製或存取您的客戶資料。

客戶資料位置的詳細資訊

地區服務的資料儲存

大部分 Azure 服務都在區域中部署,並讓客戶指定要部署服務的區域。這類 Azure 服務包括虛擬機器、儲存體及 SQL Database。如需地區服務的完整清單,請參閱依區域提供的產品

Microsoft 不會未經您授權,就儲存或處理客戶指定地區外的客戶資料。

Microsoft 會針對資料備援或其他作業目的,複製指定地區內區域之間的客戶資料。例如,異地備援儲存體會在相同地區內的兩個區域之間複寫 Blob、檔案、佇列和資料表資料,以防萬一主要資料中心發生損毀,可增強資料持久性。

位在地區外的 Microsoft 人員 (包括轉包處理者) 可能會從遠端操作地區中的資料處理系統,但不會未經您授權就存取客戶資料。

下列服務可能會儲存或處理指定地區外的某些資料:

  • Azure 雲端服務,無論部署區域為何,都會將 Web 和背景工作角色軟體部署套件備份至美國。
  • Azure 資料總管 (ADX) 在位於歐洲的中央叢集上會儲存部分使用量資料與服務追蹤一段有限時間。
  • Language Understanding,會根據客戶使用的撰寫區域,將主動式學習資料儲存在美國、歐洲或澳洲。深入了解
  • Azure Machine Learning 可以各種文字格式儲存客戶提供的資產名稱 (例如,工作區名稱、資源群組名稱、實驗名稱、檔案名稱及影像名稱),以及儲存實驗執行參數 (在美國又稱為實驗中繼資料) 供偵錯之用。
  • Azure Databricks,會將身分識別資料、特定資料表名稱和物件路徑資訊儲存在美國。
  • Azure 序列主控台,會將所有待用客戶資料儲存在客戶選取的地區中,但透過 Azure 入口網站使用時,可能會在該地區外處理主控台命令和回應,以在入口網站內提供主控台體驗。
  • 預覽版、Beta 版或其他發行前版本服務,一般會將客戶資料儲存在美國,但是也可能會儲存在全球各地。

客戶可以設定下列 Azure 服務、階層或方案,將客戶資料只儲存在單一區域中:

1目前,預設只有亞太地區的東南亞區域 (新加坡) 和巴西地區的巴西南部 (聖保羅州) 區域,提供單一區域資料落地功能。至於其他所有區域,客戶資料會儲存在地區當中。

2目前,預設只有亞太地區的東南亞區域 (新加坡),提供單一區域資料落地功能。至於其他所有區域,客戶資料會儲存在地區當中。

3目前,只有亞太地區的東南亞區域 (新加坡) 和巴西地區的巴西南部 (聖保羅州) 區域,提供將客戶資料儲存於單一區域的預覽功能。至於其他所有區域,客戶資料會儲存在地區當中。

4Azure Databricks 會將身分識別資料、特定資料表名稱和物件路徑資訊儲存在美國。目前,亞太地區的東南亞區域 (新加坡) 和巴西地區的巴西南部 (聖保羅州) 區域,提供將所有其他客戶資料儲存於單一區域的功能。至於其他所有區域,客戶資料會儲存在地區當中 (依據上述例外狀況而定)。

5傳統 ZRS、GRS/RA-GRS、GZRS/RA-GZRS 會將資料儲存在多個區域中。

非區域服務的資料儲存體

某些 Azure 服務不會讓客戶指定部署服務的區域。除非另有指定,否則這些服務會將客戶資料儲存在 Azure 公開區域內的任何 Microsoft 資料中心或在此進行處理。

  • Azure 內容傳遞網路,提供全球快取服務並且在全世界的邊緣位置儲存客戶資料。依區域的 Azure CDN POP 位置。
  • Azure Active Directory (Azure AD),可能會將 Azure AD 資料儲存在全球各地。這不適用於美國的 Azure AD 部署 (Azure AD 資料只儲存在美國) 以及歐洲的部署 (Azure AD 資料會儲存在歐洲或美國)。深入了解
  • Azure Multi-Factor Authentication,此服務會將驗證資料儲存在美國。深入了解
  • 適用於雲端的 Microsoft Defender,可儲存從客戶資源 (例如虛擬機器或 Azure AD 租用戶) 收集或相關聯的安全性相關客戶資料副本:

    (a) 與該資源的地理位置相同,但 Microsoft 尚未部署適用於雲端的 Microsoft Defender 的地理位置除外,在這種情況下,這類資料的一份副本會儲存在美國;且

    (b) 當適用於雲端的 Microsoft Defender 使用另一個 Microsoft Online Service 處理這類資料時,可能會根據該其他線上服務的地理位置規則來儲存這類資料。

  • 提供全域路由功能的服務本身不會處理或儲存客戶資料。這包括 Azure 流量管理員,其提供不同區域間的負載平衡,而 Azure DNS 提供路由至不同區域的網域名稱服務。

如需非區域服務的完整清單,請參閱依區域提供的產品,並選取 [非區域]。