مشاركة عبر

تمكين تشفير البيانات باستخدام مفاتيح يديرها العميل في Azure Cosmos DB ل PostgreSQL

  • مقالة

ينطبق على: Azure Cosmos DB ل PostgreSQL (مدعوم بملحق قاعدة بيانات Citus إلى PostgreSQL)

المتطلبات الأساسية

تمكين تشفير البيانات باستخدام المفاتيح التي يديرها العميل

هام

إنشاء جميع الموارد التالية في نفس المنطقة حيث سيتم نشر Azure Cosmos DB لنظام مجموعة PostgreSQL.

  1. إنشاء هوية مُدارة يُعينها المستخدم. حاليا، يدعم Azure Cosmos DB ل PostgreSQL الهويات المدارة المعينة من قبل المستخدم فقط.

  2. أنشئ Azure Key Vault وأضف نهج وصول إلى الهوية المدارة المعينة من قبل المستخدم التي تم إنشاؤها باستخدام أذونات المفتاح التالية: Get و Unwrap Key و Wrap Key.

  3. إنشاء مفتاح في key vault (أنواع المفاتيح المدعومة: RSA 2048، 3071، 4096).

  4. حدد خيار تشفير المفتاح المدار من قبل العميل أثناء إنشاء نظام مجموعة Azure Cosmos DB ل PostgreSQL وحدد الهوية المدارة المناسبة المعينة من قبل المستخدم وخزنة المفاتيح والمفتاح التي تم إنشاؤها في الخطوات 1 و2 و3.

الخطوات التفصيلية

الهوية المُدارة التي يعيّنها المُستخدم

  1. ابحث عن الهويات المدارة في شريط البحث العمومي.

    Screenshot of Managed Identities in Azure portal.

  2. إنشاء هوية مدارة معينة من قبل مستخدم جديد في نفس المنطقة مثل Azure Cosmos DB لنظام مجموعة PostgreSQL.

    Screenshot of User assigned managed Identity page in Azure portal.

تعرف على المزيد حول الهوية المدارة المعينة من قبل المستخدم.

المخزن الرئيسي

يتطلب استخدام المفاتيح المدارة من قبل العميل مع Azure Cosmos DB ل PostgreSQL تعيين خاصيتين على مثيل Azure Key Vault الذي تخطط لاستخدامه لاستضافة مفاتيح التشفير الخاصة بك: Soft Delete و Purge Protection.

  1. إذا قمت بإنشاء مثيل Azure Key Vault جديد، فقم بتمكين هذه الخصائص أثناء الإنشاء:

    Screenshot of Key Vault's properties.

  2. إذا كنت تستخدم مثيل Azure Key Vault الحالي، فيمكنك التحقق من تمكين هذه الخصائص من خلال الاطلاع على قسم الخصائص في مدخل Microsoft Azure. إذا لم يتم تمكين أي من هذه الخصائص، فشاهد قسمي "تمكين الحذف المبدئي" و"تمكين الحماية من التطهير" في إحدى المقالات التالية.

  3. يجب تعيين Key Vault مع 90 يوما للأيام للاحتفاظ بالمخازن المحذوفة. إذا تم تكوين Key Vault الموجود برقم أقل، فستحتاج إلى إنشاء مخزن مفاتيح جديد حيث لا يمكن تعديل هذا الإعداد بعد الإنشاء.

    هام

    يجب أن يسمح مثيل Azure Key Vault بالوصول العام من جميع الشبكات.

إضافة نهج وصول إلى Key Vault

  1. من مدخل Microsoft Azure، انتقل إلى مثيل Azure Key Vault الذي تخطط لاستخدامه لاستضافة مفاتيح التشفير. حدد Access configuration من القائمة اليسرى. تأكد من تحديد نهج الوصول إلى Vault ضمن نموذج الإذن ثم حدد Go للوصول إلى النهج.

    Screenshot of Key Vault's access configuration.

  2. حدد + إنشاء.

  3. في علامة التبويب أذونات ضمن القائمة المنسدلة أذونات المفاتيح، حدد أذونات Get و Unwrap Key و Wrap Key.

    Screenshot of Key Vault's permissions settings.

  4. في علامة التبويب "Principal"، حدد "User Assigned Managed Identity" التي أنشأتها في خطوة المتطلبات الأساسية.

  5. انتقل إلى Review + create حدد Create.

إنشاء / استيراد مفتاح

  1. من مدخل Microsoft Azure، انتقل إلى مثيل Azure Key Vault الذي تخطط لاستخدامه لاستضافة مفاتيح التشفير.

  2. حدد Keys من القائمة اليسرى ثم حدد +Generate/Import.

    Screenshot of Key generation page.

  3. يمكن أن يكون المفتاح الذي يديره العميل لاستخدامه لتشفير DEK نوع مفتاح RSA غير متماثل فقط. يتم دعم جميع أحجام مفاتيح RSA 2048 و3072 و4096.

  4. يجب أن يكون تاريخ تنشيط المفتاح (إذا تم تعيينه) تاريخاً ووقتاً في الماضي. يجب أن يكون تاريخ انتهاء الصلاحية (إن تم تعيينه) تاريخاً ووقتاً في المستقبل.

  5. يجب أن يكون المفتاح في الحالة ممكّن.

  6. إذا كنت تقوم باستيراد مفتاح موجود إلى مخزن المفاتيح، فتأكد من توفيره بتنسيقات الملفات المدعومة (.pfx، .byok، ). .backup

  7. إذا كنت تقوم بتناوب المفتاح يدويا، فلا يجب حذف إصدار المفتاح القديم لمدة 24 ساعة على الأقل.

تمكين تشفير CMK أثناء توفير نظام مجموعة جديد

  1. أثناء توفير Azure Cosmos DB جديد لنظام مجموعة PostgreSQL، بعد توفير المعلومات الضرورية ضمن علامات تبويب الأساسيات والشبكات، انتقل إلى علامة التبويب التشفير . Screenshot of Encrytion configuration page.

  2. حدد المفتاح المدار بواسطة العميل ضمن خيار مفتاح تشفير البيانات.

  3. حدد الهوية المدارة المعينة من قبل المستخدم التي تم إنشاؤها في القسم السابق.

  4. حدد key vault الذي تم إنشاؤه في الخطوة السابقة، والذي يحتوي على نهج الوصول إلى الهوية المدارة للمستخدم المحددة في الخطوة السابقة.

  5. حدد المفتاح الذي تم إنشاؤه في الخطوة السابقة، ثم حدد Review + create.

  6. بمجرد إنشاء نظام المجموعة، تحقق من تمكين تشفير CMK عن طريق الانتقال إلى شفرة تشفير البيانات في Azure Cosmos DB لنظام مجموعة PostgreSQL في مدخل Microsoft Azure. Screenshot of data encryption tab.

إشعار

يمكن تكوين تشفير البيانات فقط أثناء إنشاء نظام مجموعة جديد ولا يمكن تحديثه على نظام مجموعة موجود. الحل البديل لتحديث تكوين التشفير على نظام مجموعة موجود هو إجراء استعادة نظام المجموعة وتكوين تشفير البيانات أثناء إنشاء نظام المجموعة المستعادة حديثا.

التوافر العالي

عند تمكين تشفير CMK على المجموعة الأساسية، يتم تشفير جميع عقد قابلية الوصول العالية الاحتياطية تلقائيا بواسطة مفتاح نظام المجموعة الأساسي.

تغيير تكوين التشفير عن طريق إجراء PITR

يمكن تغيير تكوين التشفير من التشفير المدار بواسطة الخدمة إلى التشفير المدار من قبل العميل أو العكس أثناء تنفيذ عملية استعادة نظام المجموعة (PITR - استعادة في نقطة زمنية).

  1. انتقل إلى شفرة تشفير البيانات، وحدد بدء عملية الاستعادة. بدلا من ذلك، يمكنك تنفيذ PITR عن طريق تحديد الخيار Restore في شفرة Overview . Screenshot of PITR.

  2. يمكنك تغيير/تكوين تشفير البيانات في علامة تبويب التشفير لصفحة استعادة نظام المجموعة.

مراقبة المفتاح المدار من قبل العميل في Key Vault

لمراقبة حالة قاعدة البيانات وتمكين التنبيه لفقدان الوصول إلى أداة حماية تشفير البيانات الشفاف قم بتكوين ميزات Azure التالية:

  • Azure Resource Health: تظهر قاعدة البيانات التي يتعذر الوصول إليها والتي فقدت الوصول إلى مفتاح العميل على أنها "غير قابلة للوصول" بعد رفض الاتصال الأول بقاعدة البيانات.

  • Activity log: عند فشل الوصول إلى "مفتاح العميل" في مخزن المفاتيح المُدار بواسطة العميل، تتم إضافة الإدخالات إلى سجل النشاط. يمكنك إعادة الوصول في أقرب وقت ممكن، إن قمت بإنشاء تنبيهات لهذه الأحداث.

  • مجموعات الإجراءات: حدد هذه المجموعات لإرسال إعلامات وتنبيهات إليك استنادا إلى تفضيلاتك.

الخطوات التالية