问Azure密钥库加密解密可以在数据库中执行吗？

EN

尝试使用用于Python的Azure存储客户端库支持在上传到Azure存储之前对客户端应用程序中的数据进行加密，并在下载到客户端时解密数据。

通过信封技术使用加密包含以下步骤

1) Azure存储客户端库生成一个内容加密密钥(CEK)，这是一个一次性使用的对称密钥。

2)使用此内容加密密钥(CEK)加密用户数据

3)然后使用密钥加密密钥(KEK)包装(加密) CEK。KEK由密钥标识符标识，可以是非对称密钥对，也可以是本地管理的对称密钥。存储客户端库本身从未访问过KEK。库调用KEK提供的密钥包装算法。用户可以选择使用自定义提供程序进行密钥包装/展开(如果需要)。

4)然后将加密的数据上传到Azure存储服务中。包装的密钥和一些附加的加密元数据要么存储为元数据(在blob上)，要么与加密的数据(队列消息和表实体)进行内插。

通过信封技术进行解密：包含以下步骤

1)客户端库假定用户在本地管理密钥加密密钥(KEK)。用户不需要知道用于加密的特定密钥。相反，可以设置和使用密钥解析器，它将不同的密钥标识符解析为密钥。

2)客户端库下载加密数据以及存储在服务上的任何加密材料

3)包装内容加密密钥(CEK)，然后使用密钥加密密钥(KEK)解除(解密)。这里，客户端库也无法访问KEK。它只是调用自定义提供程序的解包装算法。

4)然后使用内容加密密钥(CEK)对加密的用户数据进行解密。

有关更多细节和一步一步的过程，请参阅此文档