توفير مفتاح تشفير على طلب لمخزن البيانات الثنائية الكبيرة
يمكن للعملاء الذين يقدمون طلبات مقابل تخزين كائن ثنائي كبير الحجم في Azure توفير مفتاح تشفير AES-256 لتشفير تلك البيانات الثنائية الكبيرة في عملية الكتابة. يجب أن تتضمن الطلبات اللاحقة للقراءة أو الكتابة إلى كائن ثنائي كبير الحجم نفس المفتاح. يوفر تضمين مفتاح التشفير في الطلب تحكما دقيقا في إعدادات التشفير لعمليات تخزين Blob. يمكن تخزين المفاتيح التي يوفرها العميل في Azure Key Vault أو في مخزن مفاتيح آخر.
تشفير عمليات القراءة والكتابة
عندما يوفر تطبيق عميل مفتاح تشفير بناء على الطلب، يقوم Azure Storage بإجراء التشفير وفك التشفير بشفافية أثناء قراءة وكتابة بيانات الكائن الثنائي كبير الحجم. يكتب Azure Storage تجزئة SHA-256 لمفتاح التشفير إلى جانب محتويات الكائن الثنائي كبير الحجم. يتم استخدام التجزئة للتحقق من أن جميع العمليات اللاحقة مقابل الكائن الثنائي كبير الحجم تستخدم نفس مفتاح التشفير.
لا يقوم Azure Storage بتخزين أو إدارة مفتاح التشفير الذي يرسله العميل مع الطلب. يتم تجاهل المفتاح بشكل آمن بمجرد اكتمال عملية التشفير أو فك التشفير.
عندما يقوم عميل بإنشاء أو تحديث كائن ثنائي كبير الحجم باستخدام مفتاح مقدم من العميل بناء على الطلب، يجب أن توفر طلبات القراءة والكتابة اللاحقة للكائن الثنائي كبير الحجم هذا المفتاح أيضا. إذا لم يتم توفير المفتاح في طلب كائن ثنائي كبير الحجم تم تشفيره بالفعل باستخدام مفتاح مقدم من العميل، فحينئذٍ يفشل الطلب مع رمز الخطأ 409 (Conflict).
إذا أرسل تطبيق العميل مفتاح تشفير بناء على الطلب، وتم تشفير حساب التخزين أيضا باستخدام مفتاح مدار بواسطة Microsoft أو مفتاح مدار من قبل العميل، فسيستخدم Azure Storage المفتاح المتوفر في طلب التشفير وفك التشفير.
لإرسال مفتاح التشفير كجزء من الطلب، يجب على العميل إنشاء اتصال آمن بـ Azure Storage باستخدام HTTPS.
يمكن أن يكون لكل لقطة كائن ثنائي كبير الحجم أو إصدار كائن ثنائي كبير الحجم مفتاح تشفير خاص به.
لا يتم دعم النسخ المتماثل لعنصر ثنائي كبير الحجم في الحساب المصدر المشفر باستخدام مفتاح يوفره العميل.
رؤوس الطلبات لتحديد المفاتيح التي يوفرها العميل
بالنسبة لمكالمات REST، يمكن للعملاء استخدام الرؤوس التالية لتمرير معلومات مفتاح التشفير بشكل آمن عند طلب مخزن البيانات الثنائية الكبيرة:
| رأس الطلب | الوصف |
|---|---|
x-ms-encryption-key |
مطلوب لكل من طلبات الكتابة والقراءة. قيمة مفتاح تشفير AES-256 مشفر من Base64. |
x-ms-encryption-key-sha256 |
مطلوب لكل من طلبات الكتابة والقراءة. SHA256 المشفرة Base64 لمفتاح التشفير. |
x-ms-encryption-algorithm |
مطلوب لطلبات الكتابة، اختياري لطلبات القراءة. يحدد الخوارزمية التي يجب استخدامها عند تشفير البيانات باستخدام المفتاح المحدد. يجب أن تكون قيمة العنوان AES256. |
يعد تحديد مفاتيح التشفير بناء على الطلب أمرا اختياريا. ومع ذلك، إذا قمت بتحديد أحد الرؤوس المذكورة أعلاه لعملية كتابة، فيجب عليك تحديدها جميعا.
عمليات مخزن البيانات الثنائية الكبيرة التي تدعم المفاتيح التي يوفرها العميل
تدعم عمليات مخزن البيانات الثنائية الكبيرة التالية إرسال مفاتيح التشفير التي يوفرها العميل عند الطلب:
- ضع الكائن الثنائي كبير الحجم
- وضع قائمة كتل
- وضع كتلة
- ضع حظر من URL
- إضافة صفحة
- إضافة صفحة من عنوان موقع ويب
- إلحاق حظر
- تعيين خصائص الكائن الثنائي كبير الحجم
- تعيين بيانات التعريف للكائن الثنائي كبير الحجم
- الحصول على كائن ثنائي كبير الحجم
- الحصول على خصائص الـ Blob
- الحصول على بيانات التعريف للكائن الثنائي كبير الحجم
- لقطة كائن ثنائي كبير الحجم
تدوير المفاتيح المقدمة من العميل
لتدوير مفتاح تشفير تم استخدامه لتشفير كائن ثنائي كبير الحجم، قم بتنزيل كائن ثنائي كبير الحجم ثم أعد تحميله باستخدام مفتاح التشفير الجديد.
هام
لا يمكن استخدام مدخل Azure للقراءة من حاوية أو كائن ثنائي كبير الحجم مشفر باستخدام مفتاح متوفر عند الطلب أو الكتابة إليه.
تأكد من حماية مفتاح التشفير الذي توفره عند طلب مخزن البيانات الثنائية الكبيرة في متجر مفاتيح آمنة مثل Azure Key Vault. إذا حاولت إجراء عملية كتابة على حاوية أو كائن ثنائي كبير الحجم بدون مفتاح التشفير، فستفشل العملية، وستفقد الوصول إلى الكائن.
دعم الميزة
قد يتأثر دعم هذه الميزة بتمكين Data Lake Storage Gen2 أو بروتوكول نظام ملفات الشبكة (NFS) 3.0 أو بروتوكول نقل ملفات SSH (SFTP). إذا قمت بتمكين أي من هذه الإمكانات، فراجع دعم ميزة Blob Storage في حسابات Azure Storage لتقييم الدعم لهذه الميزة.