Azure 中的資料落地

Azure 提供的全球區域比其他任何雲端提供者更多,為您提供調整規模和資料落地的選項,讓您的應用程式更貼近全球各地的使用者。

身為客戶,您會保留客戶資料的擁有權,也就是您提供以在 Azure 服務中儲存及裝載的內容、個人和其他資料。除了特定非區域服務以外,Microsoft 不會在您指定的地理位置以外儲存或處理客戶資料。您也可以全權掌控決定部署解決方案或複寫資料的任何其他地理位置。

如果服務的功能需要全域資料複寫,以下提供詳細資料。

  • Microsoft 使用多層安全性和加密通訊協定來保護您的資料。概要了解 Microsoft 如何使用加密來保護您的資料

    根據預設,Microsoft 管理的金鑰會保護您的資料,而且保存在任何實體媒體上的客戶資料一律會使用符合 FIPS 140-2 規範的加密通訊協定進行加密。客戶也可以採用客戶自控金鑰 (CMK)、雙重加密及/或硬體安全模組 (HSM) 來加強資料保護。

    在資料中心之間移動的所有資料流量會使用 IEEE 802.1AE MAC 安全性標準進行保護,以防止實體「中間人」攻擊。為了保持復原能力,Microsoft 使用有時跨地區界限的多變網路路徑,但區域之間的客戶資料複寫一律會透過加密的網路連線進行傳輸。

    此外,為了將隱私權風險降到最低,Microsoft 會產生匿名識別碼,讓 Microsoft 能夠提供全球雲端服務 (包括操作和改善服務、計費以及防詐騙)。在所有情況下,匿名識別碼都無法用來直接識別個人,而且識別個人的客戶資料存取權一律會受到保護,如上所述。

  • 所有 Azure 服務的使用都會遵守 GDPR。如果使用 Azure 服務的客戶選擇跨境傳輸包含個人資料的內容,則必須考慮適用於這類傳輸的法規需求。Microsoft 為客戶提供服務和資源,以協助他們遵守可能適用於其營運的 GDPR 需求。

    某些 Microsoft 線上服務會與作為其轉包處理者的第三方共用資料。公開的 Microsoft Online Services 轉包處理者清單指出已獲授權可處理客戶資料或個人資料的轉包處理者。所有這類轉包處理者依合約都有義務達成或超越 Microsoft 對其客戶所做出的合約承諾。

    Microsoft 不會提供下列權限給任何第三方:(a) 直接、無限制或不受約束的客戶資料存取權;(b) 用來保護資料的平台加密金鑰或破解這類加密的能力;或 (c) 若 Microsoft 知悉此資料是用於第三方要求所述以外的用途時,對該資料的存取權。如需 Microsoft 在政府要求下依法公開客戶資料方式的進一步資訊,請參閱這裡

大部分的 Azure 服務都能讓您指定客戶資料的儲存及處理區域。Microsoft 可能會複寫到其他區域以復原資料,但 Microsoft 不會將客戶資料儲存在選取的地區外或在此進行處理。您和您的使用者可以在全域中的任何位置移動、複製或存取您的客戶資料。

客戶資料位置的詳細資訊

地區服務的資料儲存

大部分 Azure 服務都在區域中部署,並讓客戶指定要部署服務的區域。這類 Azure 服務包括虛擬機器、儲存體及 SQL Database。如需地區服務的完整清單,請參閱依區域提供的產品

Microsoft 會針對資料備援或其他作業目的,複製指定地區內區域之間的客戶資料。例如,異地備援儲存體會在相同地區內的兩個區域之間複寫 Blob、檔案、佇列和資料表資料,以防萬一主要資料中心發生損毀,可增強資料持久性。

除了下列區域服務之外,Microsoft 不會未經您許可,就將客戶資料儲存在客戶指定的地區外或在此進行處理:

  • Azure 雲端服務,無論部署區域為何,都會將 Web 和背景工作角色軟體部署套件備份至美國。
  • Language Understanding,會根據客戶使用的撰寫區域,將主動式學習資料儲存在美國、歐洲或澳洲。深入了解
  • Azure Machine Learning,會將客戶提供的自由格式文字 (例如工作區、資源群組、實驗、檔案和影像的名稱),以及實驗參數儲存在美國。
  • Azure Databricks,會將身分識別資料、特定資料表名稱和物件路徑資訊儲存在美國。
  • Azure Sentinel
  • Azure 序列主控台,會將所有待用客戶資料儲存在客戶選取的地區中,但透過 Azure 入口網站使用時,可能會在該地區外處理主控台命令和回應,以在入口網站內提供主控台體驗。
  • 預覽版、Beta 版或其他發行前版本服務,一般會將客戶資料儲存在美國,但是也可能會儲存在全球各地。

客戶可以設定下列 Azure 服務、階層或方案,將客戶資料只儲存在單一區域中:

1目前,預設只有亞太地區的東南亞區域 (新加坡) 和巴西地區的巴西南部 (聖保羅州) 區域,提供單一區域資料落地功能。至於其他所有區域,客戶資料會儲存在地區當中。

2目前,預設只有亞太地區的東南亞區域 (新加坡),提供單一區域資料落地功能。至於其他所有區域,客戶資料會儲存在地區當中。

3目前,只有亞太地區的東南亞區域 (新加坡) 和巴西地區的巴西南部 (聖保羅州) 區域,提供將客戶資料儲存於單一區域的預覽功能。至於其他所有區域,客戶資料會儲存在地區當中。

4Azure Databricks 會將身分識別資料、特定資料表名稱和物件路徑資訊儲存在美國。目前,亞太地區的東南亞區域 (新加坡) 和巴西地區的巴西南部 (聖保羅州) 區域,提供將所有其他客戶資料儲存於單一區域的功能。至於其他所有區域,客戶資料會儲存在地區當中 (依據上述例外狀況而定)。

5傳統 ZRS 會將資料儲存在多個區域中。

非區域服務的資料儲存體

某些 Azure 服務不會讓客戶指定部署服務的區域。除非另有指定,否則這些服務會將客戶資料儲存在任何 Microsoft 資料中心或在此進行處理。

  • Azure 內容傳遞網路,提供全球快取服務並且在全世界的邊緣位置儲存客戶資料。
  • Azure Active Directory (Azure AD),可能會將 Azure AD 資料儲存在全球各地。這不適用於美國的 Azure AD 部署 (Azure AD 資料只儲存在美國) 以及歐洲的部署 (Azure AD 資料會儲存在歐洲或美國)。深入了解
  • Azure Multi-Factor Authentication,此服務會將驗證資料儲存在美國。深入了解
  • Azure 資訊安全中心,可能會儲存收集自客戶資源 (例如虛擬機器或 Azure AD 租用戶) 或與其建立關聯的安全性相關客戶資料複本:

    (a) 與該資源相同的地區中;除了 Microsoft 尚未部署資訊安全中心的地區之外,在此情況下,這類資料的複本會儲存在美國;而且

    (b) 資訊安全中心使用其他 Microsoft 線上服務處理這類資料時,可能會根據該其他線上服務的地理位置規則儲存這類資料。

  • 提供全域路由功能的服務本身不會處理或儲存客戶資料。這包括 Azure 流量管理員,其提供不同區域間的負載平衡,而 Azure DNS 提供路由至不同區域的網域名稱服務。

如需非區域服務的完整清單,請參閱依區域提供的產品,並選取 [非區域]。