Azure 中的資料落地

Azure 提供的全球區域比其他任何雲端提供者更多,為您提供調整規模和資料落地的選項,讓您的應用程式更貼近全球各地的使用者。

As a customer, you maintain ownership of customer data—the content, personal and other data you provide for storing and hosting in Azure services. Microsoft will not store customer data outside the geography you specify, except for certain non-regional services. You are in control of any additional geographies where you decide to deploy your solutions or replicate your data. Microsoft cloud operations and Azure services will not access customer data without explicit permission.

Where a service's functionality requires global data replication, details are available below.

  • Microsoft secures your data using multiple layers of security and encryption protocols. Get an overview Microsoft data security capabilities here.

    By default, Microsoft Managed Keys protect your data, and customer data that persists on any physical media is always encrypted using FIPS 140-2 compliant encryption protocols. Customers can also employ customer-managed keys (CMK), double encryption and/or hardware security modules (HSM)for increased data protection.

    All data traffic moving between datacenters is also protected using IEEE 802.1AE MAC Security Standards, preventing physical "man-in-the-middle" attacks.

    Additionally, to minimize privacy risk, Microsoft generates "pseudonymous identifiers" that enable Microsoft to offer a world class 24x7 cloud service (including operating and improving services, billing, and fraud protection). In all cases, pseudonymous identifiers cannot be used to directly identify an individual, and access to the customer data that identifies individuals is always protected as described above.

  • All Azure services can be used in compliance with the GDPR. If customers using Azure services choose to transfer content containing personal data across borders, they will need to consider the legal requirements that apply to such transfers. Microsoft provides customers with services and resources to help them comply with GDPR requirements that may apply to their operations.

    Some Microsoft services share data with third parties acting as its subprocessors to power certain online services. The publicly disclosed Microsoft Online Services Subprocessors List identifies subprocessors authorized to process customer data or personal data. All such subprocessors are contractually obligated to meet or exceed the contractual commitments Microsoft makes to its customers.

    Microsoft will not provide any third party (a) direct, blanket, or unfettered access to customers' data; (b) platform encryption keys used to secure data or the ability to break such encryption; or (c) access to data if Microsoft is aware that the data is to be used for purposes other than those stated in the third party's request. Further information on Microsoft’s approach to legal disclosure of customer data in relation to government demands is available here.

大部分的 Azure 服務都能讓您指定客戶資料的儲存區域。Microsoft 可能會複寫到其他區域以復原資料,但 Microsoft 不會將客戶資料複寫或移動至地區以外 (請參閱本頁的其他資訊)。您和您的使用者可以在全域中的任何位置移動、複製或存取您的客戶資料。

More information on Customer Data

地區服務的資料儲存

大部分 Azure 服務都在區域中部署,並讓客戶指定要部署服務的區域。這類 Azure 服務包括虛擬機器、儲存體及 SQL Database。如需地區服務的完整清單,請參閱依區域提供的產品

Microsoft 會針對資料備援或其他作業目的,複製指定地區內區域之間的客戶資料。例如,異地備援儲存體會在相同地區內的兩個區域之間複寫 Blob、檔案、佇列和資料表資料,以防萬一主要資料中心發生損毀,可增強資料持久性。

除了下列區域服務之外,Microsoft 不會將客戶資料儲存在客戶指定的地區外:

  • Azure 雲端服務,無論部署區域為何,都會將 Web 和背景工作角色軟體部署套件備份至美國。
  • Language Understanding,會根據客戶使用的撰寫區域,將主動式學習資料儲存在美國、歐洲或澳洲。深入了解 Language Understanding
  • Azure Machine Learning,其會將客戶提供的自由格式文字 (例如工作區名稱、資源群組名稱、實驗名稱、檔案名稱和影像名稱),以及實驗參數 (又稱為中繼資料) 儲存在美國。只會儲存名稱,而不會儲存資產,且這樣做是為了用於偵錯。
  • Azure Databricks,會將身分識別資料、特定資料表名稱和物件路徑資訊儲存在美國。
  • Azure Sentinel,會產生新的安全性資料 (例如事件、警示規則和書籤),可能包含客戶 Azure 監視器記錄執行個體中的客戶資料。Azure Sentinel 所產生的這類安全性資料,會儲存在歐洲待用 (從歐洲客戶監視器記錄工作區產生的安全性資料) 或美國 (從其他位置之客戶監視器記錄工作區產生的安全性資料)。
  • 預覽版、Beta 版或其他發行前版本服務,一般會將客戶資料儲存在美國,但是也可能會儲存在全球各地。

客戶可以設定特定的 Azure 服務、階層或方案,將客戶資料只儲存在單一區域中。這些區域包括:

1目前只在亞太地區的東南亞區域 (新加坡),提供將客戶資料儲存於單一區域的功能。至於其他所有區域,客戶資料會儲存在地區當中。

2目前,只有亞太地區的東南亞區域 (新加坡) 和巴西地區的巴西南部 (聖保羅州) 區域,提供將客戶資料儲存於單一區域的預覽功能。至於其他所有區域,客戶資料會儲存在地區當中。

3Azure Databricks 會將身分識別資料、特定資料表名稱和物件路徑資訊儲存在美國。目前,亞太地區的東南亞區域 (新加坡) 和巴西地區的巴西南部 (聖保羅州) 區域,提供將所有其他客戶資料儲存於單一區域的功能。至於其他所有區域,客戶資料會儲存在地區當中 (依據上述例外狀況而定)。

4傳統 ZRS 會將資料儲存在多個區域中。

非區域服務的資料儲存體

某些 Azure 服務不會讓客戶指定部署服務的區域。除非另有指定,否則這些服務會將客戶資料儲存在任何 Microsoft 資料中心。

  • Azure 內容傳遞網路,提供全球快取服務並且在全世界的邊緣位置儲存客戶資料。
  • Azure Active Directory (Azure AD),可能會將 Azure AD 資料儲存在全球各地。這不適用於美國的 Azure AD 部署 (Azure AD 資料只儲存在美國) 以及歐洲的部署 (Azure AD 資料會儲存在歐洲或美國)。深入了解 Azure AD 歐洲客戶的身分識別儲存體。
  • Azure Multi-Factor Authentication,此服務會將驗證資料儲存在美國。深入了解 Multi-Factor Authentication
  • Azure 資訊安全中心可能會儲存收集自或與客戶資源 (例如虛擬機器或 Azure AD 租用戶) 相關聯的安全性相關客戶資料複本:

    在與該資源相同的地區中 (除了 Microsoft 尚未部署資訊安全中心的地區之外),這類資料的複本會儲存在美國;

    資訊安全中心使用其他線上服務處理這類資料時,可能會根據該其他線上服務的地理位置規則儲存這類資料。

  • 提供全域路由功能的服務本身不會處理或儲存客戶資料。這包括 Azure 流量管理員,其提供不同區域間的負載平衡,而 Azure DNS 提供路由至不同區域的網域名稱服務。

如需非區域服務的完整清單,請參閱依區域提供的產品,並選取 [非區域]。