إدارة البيانات السرية لـAzure Stack Edge باستخدام Azure Key Vault

  • مقالة
  • قراءة خلال 9 دقائق

ينطبق على:Yes for Pro GPU SKU Azure Stack Edge Pro - GPUAzureYes for Pro 2 SKU Stack Edge Pro 2AzureYes for Pro R SKU Stack Edge Pro RAzureYes for Mini R SKU Stack Edge Mini R

تم دمج Azure Key Vault مع مورد Azure Stack Edge للإدارة السرية. توفر هذه المقالة تفاصيل حول كيفية إنشاء Azure Key Vault لمورد Azure Stack Edge أثناء تنشيط الجهاز ثم يتم استخدامه للإدارة السرية.

حول المخزن الرئيسي وAzure Stack Edge

تستخدم خدمة Azure Key Vault السحابية لتخزين الوصول إلى الرموز المميزة وكلمات المرور والشهادات ومفاتيح واجهة برمجة التطبيقات والأسرار الأخرى والتحكم فيها بشكل آمن. Key Vault أيضا يجعل من السهل إنشاء مفاتيح التشفير المستخدمة لتشفير بياناتك والتحكم فيها.

بالنسبة لخدمة Azure Stack Edge، يوفر التكامل مع المخزن الرئيسي المزايا التالية:

  • يخزن أسرار العملاء. أحد الأسرار المستخدمة لخدمة Azure Stack Edge هو مفتاح تكامل القناة (CIK). يسمح لك هذا المفتاح بتشفير أسرارك ويتم تخزينه بأمان في قبو المفاتيح. يتم أيضا تخزين أسرار الجهاز مثل مفتاح استرداد BitLocker وكلمة مرور مستخدم وحدة التحكم في إدارة اللوحة الأساسية (BMC) في مخزن المفاتيح.

    لمزيد من المعلومات، راجع تخزين الأسرار والمفاتيح بشكل آمن.

  • يمرر أسرار العملاء المشفرة إلى الجهاز.

  • يعرض أسرار الجهاز لسهولة الوصول إليه إذا كان الجهاز معطلا.

إنشاء مفتاح التنشيط وإنشاء مخزن المفاتيح

يتم إنشاء مخزن مفاتيح لمورد Azure Stack Edge أثناء عملية إنشاء مفتاح التنشيط. يتم إنشاء مخزن المفاتيح في نفس مجموعة الموارد حيث يوجد مورد Azure Stack Edge. يلزم الحصول على إذن المساهم في المخزن الرئيسي.

المتطلبات الأساسية للمخزن الرئيسي

قبل إنشاء المخزن الرئيسي أثناء التنشيط، يجب استيفاء المتطلبات الأساسية التالية:

  • قم بتسجيل موفر موارد Microsoft.KeyVault قبل إنشاء مورد Azure Stack Edge. يتم تسجيل موفر الموارد تلقائيا إذا كان لديك حق وصول المالك أو المساهم إلى الاشتراك. يتم إنشاء المخزن الرئيسي في نفس الاشتراك ومجموعة الموارد مثل مورد Azure Stack Edge.

  • عند إنشاء مورد Azure Stack Edge، يتم أيضا إنشاء هوية مدارة معينة من قبل النظام تستمر طوال عمر المورد وتتواصل مع موفر المورد على السحابة.

    عند تمكين الهوية المدارة، يقوم Azure بإنشاء هوية موثوق بها لمورد Azure Stack Edge.

إنشاء قبو المفاتيح

بعد إنشاء المورد ، تحتاج إلى تنشيط المورد باستخدام الجهاز. للقيام بذلك، ستقوم بإنشاء مفتاح تنشيط من مدخل Azure.

عند إنشاء مفتاح تنشيط، تحدث الأحداث التالية:

Activation key generation flow

  • يمكنك طلب مفتاح تنشيط في مدخل Azure. ثم يتم إرسال الطلب إلى موفر موارد المخزن الرئيسي.
  • يتم إنشاء مخزن مفتاح طبقة قياسي مع سياسة الوصول ويتم قفله افتراضيا.

    • يستخدم مخزن المفاتيح هذا الاسم الافتراضي أو اسما مخصصا بطول 3 إلى 24 حرفا قمت بتحديده. لا يمكنك استخدام مخزن مفاتيح قيد الاستخدام بالفعل.

    • يتم تخزين تفاصيل قبو المفاتيح في الخدمة. يتم استخدام هذه الخزنة الرئيسية للإدارة السرية وتستمر طالما كان مورد Azure Stack Edge موجودا.

      Key Vault created during activation key generation

  • يتم تمكين قفل المورد على خزينة المفاتيح لمنع الحذف العرضي. يتم أيضا تمكين الحذف الناعم على قبو المفاتيح الذي يسمح باستعادة قبو المفاتيح في غضون 90 يوما إذا كان هناك حذف عرضي. لمزيد من المعلومات حول الحذف المبدئي، راجع نظرة عامة حول الحذف المبدئي في Azure Key Vault.
  • يتم الآن تمكين هوية مدارة تم تعيينها بواسطة النظام تم إنشاؤها عند إنشاء مورد Azure Stack Edge.
  • يتم إنشاء مفتاح تكامل القناة (CIK) ووضعه في مخزن المفاتيح. يتم عرض تفاصيل CIK في الخدمة.
  • يتم أيضا إنشاء حساب تخزين زائد عن الحاجة (ZRS) في نفس نطاق مورد Azure Stack Edge ويتم وضع قفل على الحساب.
    • يستخدم هذا الحساب لتخزين سجلات التدقيق.
    • يعد إنشاء حساب التخزين عملية طويلة الأمد وتستغرق بضع دقائق.
    • يتم وضع علامة على حساب التخزين باسم المخزن الرئيسي.
  • تتم إضافة إعداد تشخيصات إلى مخزن المفاتيح ويتم تمكين التسجيل.
  • تتم إضافة الهوية المدارة إلى سياسة الوصول إلى المخزن الرئيسي للسماح بالوصول إلى مخزن المفاتيح حيث يستخدم الجهاز مخزن المفاتيح لتخزين الأسرار واستردادها.
  • يقوم مخزن المفاتيح بمصادقة الطلب باستخدام الهوية المدارة لإنشاء مفتاح التنشيط. يتم إرجاع مفتاح التنشيط إلى مدخل Azure. يمكنك بعد ذلك نسخ هذا المفتاح واستخدامه في واجهة المستخدم المحلية لتنشيط جهازك.

ملاحظة

  • إذا كان لديك مورد Azure Stack Edge موجود قبل دمج Azure Key Vault مع مورد Azure Stack Edge، فلن تتأثر. يمكنك الاستمرار في استخدام مورد Azure Stack Edge الحالي.
  • يضيف إنشاء المخزن الرئيسي وحساب التخزين إلى التكلفة الإجمالية للمورد. لمزيد من المعلومات حول المعاملات المسموح بها والرسوم المقابلة، راجع تسعير حساب Azure Key Vault والتسعيرلحساب التخزين.

إذا واجهت أي مشاكل تتعلق بخزينة المفاتيح وتنشيط الجهاز، فراجع استكشاف مشكلات تنشيط الجهاز وإصلاحها.

عرض خصائص المخزن الرئيسي

بعد إنشاء مفتاح التنشيط وإنشاء مخزن المفاتيح، قد تحتاج إلى الوصول إلى مخزن المفاتيح لعرض الأسرار وسياسات الوصول والتشخيصات والرؤى. يصف الإجراء التالي كل من هذه العمليات.

عرض الأسرار

بعد إنشاء مفتاح التنشيط وإنشاء مخزن المفاتيح، قد تحتاج إلى الوصول إلى قبو المفاتيح.

للوصول إلى مخزن المفاتيح وعرض الأسرار، اتبع الخطوات التالية:

  1. في مدخل Azure لمورد Azure Stack Edge، انتقل إلى الأمان.

  2. في الجزء الأيسر، ضمن الأمان، يمكنك عرض الأسرار.

  3. يمكنك أيضا الانتقال إلى مخزن المفاتيح المقترن بمورد Azure Stack Edge. حدد اسم مخزن المفاتيح.

    Go to device key vault

  4. لعرض الأسرار المخزنة في مخزن المفاتيح، انتقل إلى الأسرار. يتم تخزين مفتاح تكامل القناة ومفتاح استرداد BitLocker وكلمات مرور مستخدم وحدة تحكم إدارة اللوحة الأساسية (BMC) في مخزن المفاتيح. في حالة تعطل الجهاز، توفر البوابة الإلكترونية وصولا سهلا إلى مفتاح استرداد BitLocker وكلمة مرور مستخدم BMC.

    View device secrets in key vault

عرض سياسات الوصول إلى الهوية المدارة

للوصول إلى سياسات الوصول لمخزن المفاتيح والهوية المدارة، اتبع الخطوات التالية:

  1. في مدخل Azure لمورد Azure Stack Edge، انتقل إلى الأمان.

  2. حدد الارتباط المقابل لاسم مخزن المفاتيح للانتقال إلى مخزن المفاتيح المقترن بمورد Azure Stack Edge.

    Go to device key vault

  3. لعرض سياسات الوصول المرتبطة بخزانة المفاتيح، انتقل إلى سياسات الوصول. يمكنك أن ترى أنه تم منح الهوية المدارة حق الوصول. حدد ⁧⁩أذونات سرية⁧⁩. يمكنك أن ترى أن الوصول إلى الهوية المدارة يقتصر فقط على الحصول على السر وتعيينه .

    View access policies for key vault

عرض سجلات التدقيق

للوصول إلى المخزن الرئيسي وعرض إعدادات التشخيص وسجلات التدقيق، اتبع الخطوات التالية:

  1. في مدخل Azure لمورد Azure Stack Edge، انتقل إلى الأمان.

  2. حدد الارتباط المقابل لاسم مخزن المفاتيح للانتقال إلى مخزن المفاتيح المقترن بمورد Azure Stack Edge.

    Go to device key vault

  3. لعرض إعدادات التشخيص المقترنة بخزينة المفاتيح، انتقل إلى إعدادات التشخيص. يتيح لك هذا الإعداد مراقبة كيفية ووقت الوصول إلى خزائن المفاتيح ومن يقوم بذلك. يمكنك أن ترى أنه تم إنشاء إعداد تشخيص. تتدفق السجلات إلى حساب التخزين الذي تم إنشاؤه أيضا. يتم أيضا إنشاء أحداث التدقيق في المخزن الرئيسي.

    View diagnostics settings for key vault

إذا قمت بتكوين هدف تخزين مختلف للسجلات الموجودة على مخزن المفاتيح، فيمكنك عرض السجلات مباشرة في حساب التخزين هذا.

عرض الرؤى

للوصول إلى إحصاءات المخزن الرئيسي، بما في ذلك العمليات التي يتم إجراؤها على المخزن الرئيسي، اتبع الخطوات التالية:

  1. في مدخل Azure لمورد Azure Stack Edge، انتقل إلى الأمان.

  2. حدد الرابط المقابل لتشخيصات المخزن الرئيسي.

    Go to device key vault

  3. توفر شفرة Insights نظرة عامة على العمليات التي يتم إجراؤها على قبو المفاتيح.

    View insights for your key vault

عرض حالة الهوية المدارة

لعرض حالة الهوية المدارة المعينة من قبل النظام المقترنة بمورد Azure Stack Edge الخاص بك، اتبع الخطوات التالية:

  1. في مدخل Azure لمورد Azure Stack Edge، انتقل إلى الأمان.

  2. في الجزء الأيسر، انتقل إلى الهوية المدارة المعينة من قبل النظام لعرض ما إذا كانت الهوية المدارة المعينة من قبل النظام ممكنة أو معطلة.

    Go to device key vault

عرض أقفال قبو المفاتيح

للوصول إلى مخزن المفاتيح وعرض الأقفال، اتبع الخطوات التالية:

  1. في مدخل Azure لمورد Azure Stack Edge، انتقل إلى الأمان.

  2. حدد الارتباط المقابل لاسم مخزن المفاتيح للانتقال إلى مخزن المفاتيح المقترن بمورد Azure Stack Edge.

    Go to device key vault

  3. لعرض الأقفال الموجودة في مخزن المفاتيح، انتقل إلى الأقفال. لمنع الحذف العرضي، يتم تمكين قفل مورد على مخزن المفاتيح.

    View locks on your key vault

إعادة إنشاء مفتاح التنشيط

في بعض الحالات، قد تحتاج إلى إعادة إنشاء مفتاح التنشيط. عند إعادة إنشاء مفتاح تنشيط، تحدث الأحداث التالية:

  1. يمكنك طلب إعادة إنشاء مفتاح تنشيط في مدخل Azure.
  2. يتم إرجاع مفتاح التنشيط إلى مدخل Azure. يمكنك بعد ذلك نسخ هذا المفتاح واستخدامه.

لا يتم الوصول إلى مخزن المفاتيح عند إعادة إنشاء مفتاح التنشيط.

استعادة أسرار الجهاز

إذا تم حذف CIK عن طريق الخطأ أو أصبحت الأسرار (على سبيل المثال ، كلمة مرور مستخدم BMC) قديمة في قبو المفاتيح ، فستحتاج إلى دفع الأسرار من الجهاز لتحديث أسرار قبو المفاتيح.

اتبع الخطوات التالية لمزامنة أسرار الجهاز:

  1. في مدخل Azure، انتقل إلى مورد Azure Stack Edge ثم انتقل إلى الأمان.

  2. في الجزء الأيسر، من شريط الأوامر العلوي، حدد مزامنة أسرار الجهاز.

  3. يتم دفع أسرار الجهاز إلى قبو المفاتيح لاستعادة أو تحديث الأسرار الموجودة في قبو المفاتيح. سيظهر لك إشعار عند اكتمال المزامنة.

    Sync device secrets on your key vault

حذف مفتاح الخزنة

هناك طريقتان لحذف مخزن المفاتيح المقترن بمورد Azure Stack Edge:

  • احذف مورد Azure Stack Edge واختر حذف مخزن المفاتيح المقترن في نفس الوقت.
  • حذف قبو المفاتيح عن طريق الخطأ مباشرة.

عند حذف مورد Azure Stack Edge، يتم أيضا حذف مخزن المفاتيح باستخدام المورد. تتم مطالبتك بالتأكيد. إذا كنت تقوم بتخزين مفاتيح أخرى في قبو المفاتيح هذا ولا تنوي حذف قبو المفاتيح هذا، فيمكنك اختيار عدم تقديم الموافقة. يتم حذف مورد Azure Stack Edge فقط تاركا مخزن المفاتيح سليما.

اتبع الخطوات التالية لحذف مورد Azure Stack Edge ومخزن المفاتيح المقترن:

  1. في مدخل Azure، انتقل إلى مورد Azure Stack Edge ثم انتقل إلى نظرة عامة.

  2. في الجزء الأيسر، حدد حذف. سيؤدي هذا الإجراء إلى حذف مورد Azure Stack Edge.

    Delete Azure Stack Edge resource and associated key vault

  3. سترى شفرة تأكيد. اكتب اسم مورد Azure Stack Edge. لتأكيد حذف مخزن المفاتيح المقترن، اكتب نعم.

    Confirm deletion of Azure Stack Edge resource and associated key vault

  4. حدد⁧⁩حذف⁧⁩.

يتم حذف مورد Azure Stack Edge ومخزن المفاتيح.

قد يتم حذف مخزن المفاتيح عن طريق الخطأ عندما يكون مورد Azure Stack Edge قيد الاستخدام. إذا حدث ذلك، رفع تنبيه هام في صفحة الأمان لمورد Azure Stack Edge الخاص بك. يمكنك الانتقال إلى هذه الصفحة لاستعادة مخزن المفاتيح الخاص بك.

استرداد قبو المفاتيح

يمكنك استرداد مخزن المفاتيح المقترن بمورد Azure Stack Edge إذا تم حذفه أو تطهيره عن طريق الخطأ. إذا تم استخدام قبو المفاتيح هذا لتخزين مفاتيح أخرى ، فستحتاج إلى استرداد هذه المفاتيح عن طريق استعادة قبو المفاتيح.

  • في غضون 90 يوما من الحذف، يمكنك استعادة مخزن المفاتيح الذي تم حذفه.
  • إذا انقضت فترة حماية التطهير البالغة 90 يوما، فلن تتمكن من استعادة قبو المفاتيح. بدلا من ذلك، ستحتاج إلى إنشاء مخزن مفاتيح جديد.

في غضون 90 يوما من الحذف، اتبع الخطوات التالية لاسترداد مخزن المفاتيح:

  • في مدخل Azure، انتقل إلى صفحة الأمان في مورد Azure Stack Edge. سيظهر لك إشعار يفيد بحذف المخزن الرئيسي المقترن بالمورد. يمكنك تحديد الإشعار أو تحديد إعادة التكوين مقابل اسم مخزن المفاتيح ضمن تفضيلات الأمان لاسترداد مخزن المفاتيح.

    Go to Security page

  • في شفرة قبو المفاتيح استرداد ، حدد تكوين. يتم تنفيذ العمليات التالية كجزء من عملية الاسترداد:

    Recovery steps

    • يتم استرداد مخزن مفاتيح يحمل نفس الاسم ويتم وضع قفل على مورد قبو المفاتيح.

      ملاحظة

      إذا تم حذف مخزن المفاتيح، ولم تنقضي فترة حماية التطهير البالغة 90 يوما، فلن يمكن استخدام اسم المخزن الرئيسي لإنشاء مخزن مفاتيح جديد في تلك الفترة الزمنية.

    • يتم إنشاء حساب تخزين لتخزين سجلات التدقيق.

    • يتم منح الهوية المدارة المعينة من قبل النظام حق الوصول إلى المخزن الرئيسي.

    • يتم دفع أسرار الجهاز إلى قبو المفاتيح.

    حدد ⁧⁩Configure⁧⁩.

    Recover key vault blade

    يتم استرداد المخزن الرئيسي وعند اكتمال الاسترداد ، يتم عرض إشعار بهذا المعنى.

إذا تم حذف مخزن المفاتيح وانقضت فترة حماية التطهير البالغة 90 يوما، فسيكون لديك خيار إنشاء مخزن مفاتيح جديد من خلال إجراء استرداد المفتاح الموضح أعلاه. في هذه الحالة، ستقدم اسما جديدا لمخزن المفاتيح. يتم إنشاء حساب تخزين جديد، ويتم منح الهوية المدارة حق الوصول إلى هذا المخزن الرئيسي، ويتم دفع أسرار الجهاز إلى هذا المخزن الرئيسي.

استرداد الوصول إلى الهوية المدارة

إذا تم حذف سياسة الوصول إلى الهوية المدارة المعينة من قبل النظام، رفع تنبيه عندما يتعذر على الجهاز إعادة مزامنة أسرار المخزن الرئيسي. إذا لم تتمكن الهوية المدارة من الوصول إلى مخزن المفاتيح، رفع تنبيه الجهاز مرة أخرى. حدد التنبيه في كل حالة لفتح شفرة قبو المفاتيح Recover وإعادة تكوينها. يجب أن تستعيد هذه العملية الوصول إلى الهوية المدارة.

Granting managed identity access to key vault flow

الخطوات التالية