استخدام مفاتيح التشفير التي يديرها العميل لذاكرة التخزين المؤقت ل Azure HPC

  • مقالة
  • قراءة خلال 8 دقائق

يمكنك استخدام Azure Key Vault للتحكم في ملكية المفاتيح المستخدمة لتشفير بياناتك في ذاكرة التخزين المؤقت ل Azure HPC. توضح هذه المقالة كيفية استخدام المفاتيح المدارة من قبل العميل لتشفير بيانات ذاكرة التخزين المؤقت.

ملاحظة

يتم تشفير جميع البيانات المخزنة في Azure، بما في ذلك على أقراص ذاكرة التخزين المؤقت، في وضع السكون باستخدام المفاتيح المدارة من Microsoft بشكل افتراضي. ما عليك سوى اتباع الخطوات الواردة في هذه المقالة إذا كنت تريد إدارة المفاتيح المستخدمة لتشفير بياناتك.

تتم حماية Azure HPC Cache أيضا بواسطة تشفير مضيف VM على الأقراص المدارة التي تحتفظ ببياناتك المخزنة مؤقتا، حتى إذا قمت بإضافة مفتاح عميل لأقراص ذاكرة التخزين المؤقت. توفر إضافة مفتاح يديره العميل للتشفير المزدوج مستوى إضافيا من الأمان للعملاء ذوي الاحتياجات الأمنية العالية. اقرأ التشفير من جانب الخادم لتخزين قرص Azure للحصول على التفاصيل.

هناك ثلاث خطوات لتمكين تشفير المفاتيح التي يديرها العميل لذاكرة التخزين المؤقت ل Azure HPC:

  1. قم بإعداد Azure Key Vault لتخزين المفاتيح.

  2. عند إنشاء ذاكرة التخزين المؤقت ل Azure HPC، اختر تشفير المفاتيح التي يديرها العميل وحدد مخزن المفاتيح والمفتاح المراد استخدامهما. اختياريا، قم بتوفير هوية مدارة لذاكرة التخزين المؤقت لاستخدامها للوصول إلى مخزن المفاتيح.

    استنادا إلى الخيارات التي تقوم بها في هذه الخطوة، قد تتمكن من تخطي الخطوة 3. اقرأ اختر خيار هوية مدارة لذاكرة التخزين المؤقت للحصول على التفاصيل.

  3. في حالة استخدام هوية مدارة تم تعيينها من قبل النظام أو هوية معينة من قبل المستخدم لم يتم تكوينها باستخدام الوصول إلى المخزن الرئيسي: انتقل إلى ذاكرة التخزين المؤقت التي تم إنشاؤها حديثا وقم بتفويضها بالوصول إلى مخزن المفاتيح.

    إذا لم يكن للهوية المدارة حق الوصول بالفعل إلى Azure Key Vault، فلن يتم إعداد التشفير بالكامل إلا بعد تخويله من ذاكرة التخزين المؤقت التي تم إنشاؤها حديثا (الخطوة 3).

    إذا كنت تستخدم هوية مدارة بواسطة النظام، إنشاء الهوية عند إنشاء ذاكرة التخزين المؤقت. يجب عليك تمرير هوية ذاكرة التخزين المؤقت إلى مخزن المفاتيح لجعلها مستخدما معتمدا بعد إنشاء ذاكرة التخزين المؤقت.

    يمكنك تخطي هذه الخطوة إذا قمت بتعيين هوية يديرها المستخدم ولديها بالفعل حق الوصول إلى مخزن المفاتيح.

بعد إنشاء ذاكرة التخزين المؤقت، لا يمكنك التغيير بين المفاتيح التي يديرها العميل والمفاتيح المدارة بواسطة Microsoft. ومع ذلك، إذا كانت ذاكرة التخزين المؤقت تستخدم مفاتيح يديرها العميل، فيمكنك تغيير مفتاح التشفير وإصدار المفتاح وخزينة المفاتيح حسب الحاجة.

فهم المخزن الرئيسي والمتطلبات الرئيسية

يجب أن يستوفي المخزن الرئيسي والمفتاح هذه المتطلبات للعمل مع ذاكرة التخزين المؤقت ل Azure HPC.

خصائص المخزن الرئيسي:

  • الاشتراك - استخدم نفس الاشتراك المستخدم لذاكرة التخزين المؤقت.
  • المنطقة - يجب أن تكون المخزن الرئيسي في نفس المنطقة مثل ذاكرة التخزين المؤقت ل Azure HPC.
  • طبقة التسعير - الطبقة القياسية كافية للاستخدام مع ذاكرة التخزين المؤقت ل Azure HPC.
  • الحذف الناعم - ستمكن ذاكرة التخزين المؤقت ل Azure HPC الحذف الناعم إذا لم يتم تكوينه بالفعل على مخزن المفاتيح.
  • حماية التطهير - يجب تمكين حماية التطهير.
  • سياسة الوصول - الإعدادات الافتراضية كافية.
  • اتصال الشبكة - يجب أن تكون ذاكرة التخزين المؤقت ل Azure HPC قادرة على الوصول إلى مخزن المفاتيح، بغض النظر عن إعدادات نقطة النهاية التي تختارها.

الخصائص الرئيسية:

  • نوع المفتاح - RSA
  • حجم مفتاح RSA - 2048
  • ممكن - نعم

أذونات الوصول إلى المخزن الرئيسي:

اختيار خيار هوية مدارة لذاكرة التخزين المؤقت

تستخدم ذاكرة التخزين المؤقت ل HPC بيانات اعتماد الهوية المدارة للاتصال بخزينة المفاتيح.

يمكن ل Azure HPC Cache استخدام نوعين من الهويات المدارة:

  • الهوية المدارة المعينة من قبل النظام - هوية فريدة يتم إنشاؤها تلقائيا لذاكرة التخزين المؤقت الخاصة بك. توجد هذه الهوية المدارة فقط أثناء وجود ذاكرة التخزين المؤقت ل HPC، ولا يمكن إدارتها أو تعديلها مباشرة.

  • الهوية المدارة المعينة من قبل المستخدم - بيانات اعتماد هوية مستقلة تديرها بشكل منفصل عن ذاكرة التخزين المؤقت. يمكنك تكوين هوية مدارة معينة من قبل المستخدم لديها حق الوصول الذي تريده بالضبط واستخدامه في عمليات التخزين المؤقت متعددة ل HPC.

إذا لم تقم بتعيين هوية مدارة إلى ذاكرة التخزين المؤقت عند إنشائها، يقوم Azure تلقائيا بإنشاء هوية مدارة معينة من قبل النظام لذاكرة التخزين المؤقت.

باستخدام هوية مدارة معينة من قبل المستخدم، يمكنك توفير هوية يمكنها بالفعل الوصول إلى مخزن المفاتيح الخاص بك. (على سبيل المثال، تمت إضافته إلى نهج الوصول إلى المخزن الرئيسي أو له دور Azure RBAC الذي يسمح بالوصول.) إذا كنت تستخدم هوية معينة من قبل النظام، أو توفر هوية مدارة ليس لديك حق الوصول، فستحتاج إلى طلب الوصول من ذاكرة التخزين المؤقت بعد الإنشاء. هذه خطوة يدوية، موضحة أدناه في الخطوة 3.

1. إعداد Azure Key Vault

يمكنك إعداد مخزن مفاتيح ومفتاح قبل إنشاء ذاكرة التخزين المؤقت، أو القيام بذلك كجزء من إنشاء ذاكرة التخزين المؤقت. تأكد من أن هذه الموارد تفي بالمتطلبات الموضحة أعلاه.

في وقت إنشاء ذاكرة التخزين المؤقت ، يجب عليك تحديد قبو ومفتاح وإصدار مفتاح لاستخدامه لتشفير ذاكرة التخزين المؤقت.

اقرأ وثائق Azure Key Vault للحصول على التفاصيل.

ملاحظة

يجب أن تستخدم Key Vault Azure نفس الاشتراك وأن تكون في نفس منطقة ذاكرة التخزين المؤقت ل Azure HPC. تأكد من أن المنطقة التي تختارها تدعم كلا المنتجين.

2. إنشاء ذاكرة التخزين المؤقت مع تمكين المفاتيح التي يديرها العميل

يجب عليك تحديد مصدر مفتاح التشفير عند إنشاء ذاكرة التخزين المؤقت ل Azure HPC. اتبع الإرشادات الواردة في إنشاء ذاكرة تخزين مؤقت ل Azure HPC، وحدد مخزن المفاتيح والمفتاح في صفحة مفاتيح تشفير القرص . يمكنك إنشاء مخزن مفاتيح ومفتاح جديدين أثناء إنشاء ذاكرة التخزين المؤقت.

تلميح

إذا لم تظهر صفحة مفاتيح تشفير القرص ، فتأكد من وجود ذاكرة التخزين المؤقت في إحدى المناطق المدعومة.

Screenshot of the completed Disk encryption keys screen, part of the cache creation interface in the portal.

يجب أن يتمتع المستخدم الذي يقوم بإنشاء ذاكرة التخزين المؤقت بامتيازات مساوية لدور المساهم Key Vault أو أعلى.

  1. انقر على الزر لتمكين المفاتيح المدارة بشكل خاص. بعد تغيير هذا الإعداد، تظهر إعدادات المخزن الرئيسي.

  2. انقر على تحديد مخزن مفاتيح لفتح صفحة تحديد المفاتيح. اختر أو أنشئ مخزن المفاتيح والمفتاح لتشفير البيانات على أقراص ذاكرة التخزين المؤقت هذه.

    إذا لم يظهر Key Vault Azure في القائمة، فتحقق من المتطلبات التالية:

    • هل ذاكرة التخزين المؤقت في نفس الاشتراك مثل مخزن المفاتيح؟
    • هل ذاكرة التخزين المؤقت في نفس منطقة مخزن المفاتيح؟
    • هل هناك اتصال بالشبكة بين مدخل Azure وخزينة المفاتيح؟

  3. بعد تحديد مخزن، حدد المفتاح الفردي من الخيارات المتاحة، أو أنشئ مفتاحا جديدا. يجب أن يكون المفتاح مفتاح RSA 2048 بت.

  4. حدد إصدار المفتاح المحدد. تعرف على المزيد حول تعيين الإصدار في وثائق Azure Key Vault.

هذه الإعدادات اختيارية:

  • حدد المربع استخدام إصدار المفتاح الحالي دائما إذا كنت تريد استخدام التدوير التلقائي للمفتاح.

  • إذا كنت تريد استخدام هوية مدارة معينة لذاكرة التخزين المؤقت هذه، فحدد المستخدم المعين في قسم الهويات المدارة وحدد الهوية التي تريد استخدامها. اقرأ وثائق الهويات المدارة للحصول على المساعدة.

    تلميح

    يمكن للهوية المدارة المعينة من قبل المستخدم تبسيط إنشاء ذاكرة التخزين المؤقت إذا قمت بتمرير هوية تم تكوينها بالفعل للوصول إلى مخزن المفاتيح. باستخدام هوية مدارة تم تعيينها بواسطة النظام، يجب عليك اتخاذ خطوة إضافية بعد إنشاء ذاكرة التخزين المؤقت من أجل تخويل الهوية المعينة للنظام التي تم إنشاؤها حديثا لذاكرة التخزين المؤقت لاستخدام مخزن المفاتيح الخاص بك.

    ملاحظة

    لا يمكنك تغيير الهوية المعينة بعد إنشاء ذاكرة التخزين المؤقت.

تابع بقية المواصفات وقم بإنشاء ذاكرة التخزين المؤقت كما هو موضح في إنشاء ذاكرة تخزين مؤقت ل Azure HPC.

3. تفويض تشفير Azure Key Vault من ذاكرة التخزين المؤقت (إذا لزم الأمر)

ملاحظة

هذه الخطوة غير مطلوبة إذا قمت بتوفير هوية مدارة معينة من قبل المستخدم مع حق الوصول إلى المخزن الرئيسي عند إنشاء ذاكرة التخزين المؤقت.

بعد بضع دقائق، تظهر ذاكرة التخزين المؤقت الجديدة ل Azure HPC في مدخل Azure الخاص بك. انتقل إلى صفحة نظرة عامة لتفويضها بالوصول إلى Azure Key Vault وتمكين تشفير المفاتيح التي يديرها العميل.

تلميح

قد تظهر ذاكرة التخزين المؤقت في قائمة الموارد قبل مسح رسائل "النشر الجاري". تحقق من قائمة الموارد الخاصة بك بعد دقيقة أو دقيقتين بدلا من انتظار إشعار النجاح.

يجب عليك تفويض التشفير في غضون 90 دقيقة بعد إنشاء ذاكرة التخزين المؤقت. إذا لم تكمل هذه الخطوة، فستنتهي مهلة ذاكرة التخزين المؤقت وتفشل. يجب إعادة إنشاء ذاكرة التخزين المؤقت الفاشلة ، ولا يمكن إصلاحها.

تعرض ذاكرة التخزين المؤقت الحالة مفتاح انتظار. انقر فوق الزر تمكين التشفير في أعلى الصفحة لتخويل ذاكرة التخزين المؤقت للوصول إلى مخزن المفاتيح المحدد.

Screenshot of cache overview page in portal, with highlighting on the Enable encryption button (top row) and Status: Waiting for key.

انقر فوق تمكين التشفير ثم انقر فوق الزر نعم لتخويل ذاكرة التخزين المؤقت لاستخدام مفتاح التشفير. يتيح هذا الإجراء أيضا الحماية من الحذف الناعم والتطهير (إن لم يكن ممكنا بالفعل) على مخزن المفاتيح.

Screenshot of cache overview page in portal, with a banner message at the top that asks the user to enable encryption by clicking yes.

بعد أن تطلب ذاكرة التخزين المؤقت الوصول إلى مخزن المفاتيح، يمكنها إنشاء الأقراص التي تخزن البيانات المخزنة مؤقتا وتشفيرها.

بعد تخويل التشفير، تمر ذاكرة التخزين المؤقت ل Azure HPC بعدة دقائق أخرى من الإعداد لإنشاء الأقراص المشفرة والبنية الأساسية ذات الصلة.

تحديث إعدادات المفاتيح

يمكنك تغيير مخزن المفاتيح أو المفتاح أو إصدار المفتاح لذاكرة التخزين المؤقت من مدخل Azure. انقر فوق ارتباط إعدادات التشفير في ذاكرة التخزين المؤقت لفتح صفحة إعدادات مفتاح العميل .

لا يمكنك تغيير ذاكرة التخزين المؤقت بين المفاتيح التي يديرها العميل والمفاتيح المدارة بواسطة النظام.

Screenshot of

انقر على الرابط تغيير المفتاح ، ثم انقر على تغيير مخزن المفاتيح أو المفتاح أو الإصدار لفتح محدد المفاتيح.

Screenshot of

يتم عرض الخزائن الرئيسية في نفس الاشتراك ونفس المنطقة مثل ذاكرة التخزين المؤقت هذه في القائمة.

بعد اختيار قيم مفتاح التشفير الجديدة، انقر فوق تحديد. تظهر صفحة تأكيد تحتوي على القيم الجديدة. انقر فوق حفظ لإنهاء التحديد.

Screenshot of confirmation page with Save button at top left.

قراءة المزيد حول المفاتيح التي يديرها العميل في Azure

توضح هذه المقالات المزيد حول استخدام Azure Key Vault والمفاتيح التي يديرها العميل لتشفير البيانات في Azure:

الخطوات التالية

بعد إنشاء ذاكرة التخزين المؤقت ل Azure HPC والتشفير المعتمد المستند إلى Key Vault، استمر في إعداد ذاكرة التخزين المؤقت من خلال منحها حق الوصول إلى مصادر البيانات الخاصة بك.