Share via

استخدام مفاتيح التشفير المدارة من قبل العميل ل Azure HPC Cache

  • مقالة

يمكنك استخدام Azure Key Vault للتحكم في ملكية المفاتيح المستخدمة لتشفير بياناتك في Azure HPC Cache. توضح هذه المقالة كيفية استخدام المفاتيح التي يديرها العميل لتشفير بيانات ذاكرة التخزين المؤقت.

إشعار

يتم تشفير جميع البيانات المخزنة في Azure، بما في ذلك على أقراص ذاكرة التخزين المؤقت، في حالة الثبات باستخدام مفاتيح تديرها Microsoft بشكل افتراضي. تحتاج فقط إلى اتباع الخطوات الواردة في هذه المقالة إذا كنت تريد إدارة المفاتيح المستخدمة لتشفير بياناتك.

كما أن Azure HPC Cache محمي بواسطة تشفير مضيف الجهاز الظاهري على الأقراص المدارة التي تحتوي على البيانات المخزنة مؤقتا، حتى إذا قمت بإضافة مفتاح عميل لأقراص ذاكرة التخزين المؤقت. إضافة مفتاح يديره العميل للتشفير المزدوج يعطي مستوى إضافيا من الأمان للعملاء ذوي الاحتياجات الأمنية العالية. اقرأ التشفير من جانب الخادم لتخزين قرص Azure للحصول على التفاصيل.

هناك ثلاث خطوات لتمكين تشفير المفتاح المدار من قبل العميل ل Azure HPC Cache:

  1. إعداد Azure Key Vault لتخزين المفاتيح.

  2. عند إنشاء Azure HPC Cache، اختر تشفير المفتاح المدار من قبل العميل وحدد مخزن المفاتيح والمفتاح المراد استخدامه. اختياريا، قم بتوفير هوية مدارة لذاكرة التخزين المؤقت لاستخدامها للوصول إلى مخزن المفاتيح.

    اعتمادا على الخيارات التي تقوم بها في هذه الخطوة، قد تتمكن من تخطي الخطوة 3. اقرأ اختر خيار هوية مدارة لذاكرة التخزين المؤقت للحصول على التفاصيل.

  3. إذا كنت تستخدم هوية مدارة معينة من قبل النظام أو هوية معينة من قبل المستخدم لم يتم تكوينها مع الوصول إلى مخزن المفاتيح: انتقل إلى ذاكرة التخزين المؤقت التي تم إنشاؤها حديثا وقم بتفويضها للوصول إلى مخزن المفاتيح.

    إذا لم يكن للهوية المدارة حق الوصول إلى Azure Key Vault، فلن يتم إعداد التشفير بالكامل إلا بعد تخويله من ذاكرة التخزين المؤقت التي تم إنشاؤها حديثا (الخطوة 3).

    إذا كنت تستخدم هوية مدارة من قبل النظام، يتم إنشاء الهوية عند إنشاء ذاكرة التخزين المؤقت. يجب تمرير هوية ذاكرة التخزين المؤقت إلى مخزن المفاتيح لجعلها مستخدما معتمدا بعد إنشاء ذاكرة التخزين المؤقت.

    يمكنك تخطي هذه الخطوة إذا قمت بتعيين هوية مدارة من قبل المستخدم لديها بالفعل حق الوصول إلى key vault.

بعد إنشاء ذاكرة التخزين المؤقت، لا يمكنك التغيير بين المفاتيح التي يديرها العميل والمفاتيح التي تديرها Microsoft. ومع ذلك، إذا كانت ذاكرة التخزين المؤقت تستخدم مفاتيح يديرها العميل، يمكنك تغيير مفتاح التشفير وإصدار المفتاح وخزنة المفاتيح حسب الحاجة.

فهم key vault والمتطلبات الرئيسية

يجب أن يفي المخزن الرئيسي والمفتاح بهذه المتطلبات للعمل مع Azure HPC Cache.

خصائص Key vault:

  • الاشتراك - استخدم نفس الاشتراك المستخدم لذاكرة التخزين المؤقت.
  • المنطقة - يجب أن يكون مخزن المفاتيح في نفس المنطقة مثل Azure HPC Cache.
  • مستوى التسعير - المستوى القياسي كاف للاستخدام مع Azure HPC Cache.
  • الحذف المبدئي - ستمكن Azure HPC Cache الحذف المبدئي إذا لم يتم تكوينه بالفعل على مخزن المفاتيح.
  • حماية المسح - يجب تمكين الحماية من الإزالة.
  • نهج الوصول - الإعدادات الافتراضية كافية.
  • اتصال الشبكة - يجب أن تكون Azure HPC Cache قادرة على الوصول إلى مخزن المفاتيح، بغض النظر عن إعدادات نقطة النهاية التي تختارها.

الخصائص الرئيسية:

  • نوع المفتاح - RSA
  • حجم مفتاح RSA - 2048
  • ممكن - نعم

أذونات الوصول إلى Key vault:

  • يجب أن يكون لدى المستخدم الذي يقوم بإنشاء Azure HPC Cache أذونات مكافئة لدور المساهم في Key Vault. الأذونات نفسها مطلوبة لإعداد Azure Key Vault وإدارته.

    اقرأ الوصول الآمن إلى key vault لمزيد من المعلومات.

اختر خيار هوية مدارة لذاكرة التخزين المؤقت

تستخدم HPC Cache بيانات اعتماد الهوية المدارة للاتصال بخزنة المفاتيح.

يمكن ل Azure HPC Cache استخدام نوعين من الهويات المدارة:

  • الهوية المدارة المعينة من قبل النظام - هوية فريدة تم إنشاؤها تلقائيا لذاكرة التخزين المؤقت. هذه الهوية المدارة موجودة فقط أثناء وجود HPC Cache، ولا يمكن إدارتها أو تعديلها مباشرة.

  • الهوية المدارة المعينة من قبل المستخدم - بيانات اعتماد هوية مستقلة تديرها بشكل منفصل عن ذاكرة التخزين المؤقت. يمكنك تكوين هوية مدارة معينة من قبل المستخدم لها حق الوصول الذي تريده بالضبط واستخدامها في عدة HPC Caches.

إذا لم تقم بتعيين هوية مدارة إلى ذاكرة التخزين المؤقت عند إنشائها، يقوم Azure تلقائيا بإنشاء هوية مدارة معينة من قبل النظام لذاكرة التخزين المؤقت.

باستخدام هوية مدارة معينة من قبل المستخدم، يمكنك توفير هوية لديها بالفعل حق الوصول إلى مخزن المفاتيح الخاص بك. (على سبيل المثال، تمت إضافته إلى نهج الوصول إلى مخزن المفاتيح أو لديه دور Azure RBAC الذي يسمح بالوصول.) إذا كنت تستخدم هوية معينة من قبل النظام، أو توفر هوية مدارة لا تملك حق الوصول، فستحتاج إلى طلب الوصول من ذاكرة التخزين المؤقت بعد الإنشاء. هذه خطوة يدوية، موضحة أدناه في الخطوة 3.

1. إعداد Azure Key Vault

يمكنك إعداد مخزن مفاتيح ومفتاح قبل إنشاء ذاكرة التخزين المؤقت، أو القيام بذلك كجزء من إنشاء ذاكرة التخزين المؤقت. تأكد من أن هذه الموارد تفي بالمتطلبات الموضحة أعلاه.

في وقت إنشاء ذاكرة التخزين المؤقت، يجب تحديد مخزن ومفتاح وإصدار مفتاح لاستخدامه لتشفير ذاكرة التخزين المؤقت.

اقرأ وثائق Azure Key Vault للحصول على التفاصيل.

إشعار

يجب أن يستخدم Azure Key Vault نفس الاشتراك وأن يكون في نفس المنطقة مثل Azure HPC Cache. تأكد من أن المنطقة التي تختارها تدعم كلا المنتجين.

2. إنشاء ذاكرة التخزين المؤقت مع تمكين المفاتيح التي يديرها العميل

يجب تحديد مصدر مفتاح التشفير عند إنشاء Azure HPC Cache. اتبع الإرشادات الواردة في إنشاء Azure HPC Cache، وحدد مخزن المفاتيح والمفتاح في صفحة مفاتيح تشفير القرص. يمكنك إنشاء مخزن مفاتيح جديد ومفتاح أثناء إنشاء ذاكرة التخزين المؤقت.

تلميح

إذا لم تظهر صفحة مفاتيح تشفير القرص، فتأكد من أن ذاكرة التخزين المؤقت في إحدى المناطق المدعومة.

Screenshot of the completed Disk encryption keys screen, part of the cache creation interface in the portal.

يجب أن يكون لدى المستخدم الذي يقوم بإنشاء ذاكرة التخزين المؤقت امتيازات مساوية لدور المساهم في Key Vault أو أعلى.

  1. انقر فوق الزر لتمكين المفاتيح المدارة بشكل خاص. بعد تغيير هذا الإعداد، تظهر إعدادات key vault.

  2. انقر فوق تحديد مخزن مفاتيح لفتح صفحة تحديد المفتاح. اختر أو أنشئ مخزن المفاتيح والمفتاح لتشفير البيانات على أقراص ذاكرة التخزين المؤقت هذه.

    إذا لم يظهر Azure Key Vault في القائمة، فتحقق من هذه المتطلبات:

    • هل ذاكرة التخزين المؤقت في نفس الاشتراك مثل key vault؟
    • هل ذاكرة التخزين المؤقت في نفس المنطقة مثل خزنة المفاتيح؟
    • هل هناك اتصال بالشبكة بين مدخل Microsoft Azure وخزنة المفاتيح؟

  3. بعد تحديد مخزن، حدد المفتاح الفردي من الخيارات المتاحة، أو أنشئ مفتاحا جديدا. يجب أن يكون المفتاح هو مفتاح RSA 2048 بت.

  4. حدد إصدار المفتاح المحدد. تعرف على المزيد حول تعيين الإصدار في وثائق Azure Key Vault.

هذه الإعدادات اختيارية:

  • حدد المربع استخدام إصدار المفتاح الحالي دائما إذا كنت تريد استخدام التدوير التلقائي للمفتاح.

  • إذا كنت تريد استخدام هوية مدارة معينة لذاكرة التخزين المؤقت هذه، فحدد المستخدم المعين في قسم الهويات المدارة وحدد الهوية التي تريد استخدامها. اقرأ وثائق الهويات المدارة للحصول على المساعدة.

    تلميح

    يمكن للهوية المدارة المعينة من قبل المستخدم تبسيط إنشاء ذاكرة التخزين المؤقت إذا قمت بتمرير هوية تم تكوينها بالفعل للوصول إلى مخزن المفاتيح الخاص بك. باستخدام هوية مدارة معينة من قبل النظام، يجب اتخاذ خطوة إضافية بعد إنشاء ذاكرة التخزين المؤقت لتخويل الهوية المعينة حديثا من قبل النظام لذاكرة التخزين المؤقت لاستخدام مخزن المفاتيح الخاص بك.

    إشعار

    لا يمكنك تغيير الهوية المعينة بعد إنشاء ذاكرة التخزين المؤقت.

تابع بقية المواصفات وأنشئ ذاكرة التخزين المؤقت كما هو موضح في إنشاء Azure HPC Cache.

3. تخويل تشفير Azure Key Vault من ذاكرة التخزين المؤقت (إذا لزم الأمر)

إشعار

هذه الخطوة غير مطلوبة إذا قمت بتوفير هوية مدارة معينة من قبل المستخدم مع الوصول إلى مخزن المفاتيح عند إنشاء ذاكرة التخزين المؤقت.

بعد بضع دقائق، تظهر Azure HPC Cache الجديدة في مدخل Microsoft Azure. انتقل إلى صفحة نظرة عامة لتخويلها للوصول إلى Azure Key Vault وتمكين تشفير المفتاح المدار من قبل العميل.

تلميح

قد تظهر ذاكرة التخزين المؤقت في قائمة الموارد قبل مسح رسائل "النشر قيد التنفيذ". تحقق من قائمة الموارد بعد دقيقة أو دقيقتين بدلا من انتظار إعلام النجاح.

يجب تخويل التشفير في غضون 90 دقيقة بعد إنشاء ذاكرة التخزين المؤقت. إذا لم تكمل هذه الخطوة، فستنتهي مهلة ذاكرة التخزين المؤقت وتفشل. يجب إعادة إنشاء ذاكرة التخزين المؤقت الفاشلة، ولا يمكن إصلاحها.

تعرض ذاكرة التخزين المؤقت الحالة في انتظار المفتاح. انقر فوق الزر تمكين التشفير في أعلى الصفحة لتخويل ذاكرة التخزين المؤقت للوصول إلى مخزن المفاتيح المحدد.

Screenshot of cache overview page in portal, with highlighting on the Enable encryption button (top row) and Status: Waiting for key.

انقر فوق تمكين التشفير ثم انقر فوق الزر نعم لتخويل ذاكرة التخزين المؤقت لاستخدام مفتاح التشفير. يتيح هذا الإجراء أيضا الحماية من الحذف المبدئي والإزالة (إذا لم يكن ممكنا بالفعل) على مخزن المفاتيح.

Screenshot of cache overview page in portal, with a banner message at the top that asks the user to enable encryption by clicking yes.

بعد أن تطلب ذاكرة التخزين المؤقت الوصول إلى مخزن المفاتيح، يمكنها إنشاء وتشفير الأقراص التي تخزن البيانات المخزنة مؤقتا.

بعد تخويل التشفير، تمر Azure HPC Cache بعدة دقائق أخرى من الإعداد لإنشاء الأقراص المشفرة والبنية الأساسية ذات الصلة.

تحديث إعدادات المفتاح

يمكنك تغيير مخزن المفاتيح أو المفتاح أو إصدار المفتاح لذاكرة التخزين المؤقت الخاصة بك من مدخل Microsoft Azure. انقر فوق ارتباط إعدادات التشفير لذاكرة التخزين المؤقت لفتح صفحة إعدادات مفتاح العميل.

لا يمكنك تغيير ذاكرة التخزين المؤقت بين المفاتيح التي يديرها العميل والمفاتيح التي يديرها النظام.

Screenshot of

انقر فوق الارتباط تغيير المفتاح، ثم انقر فوق تغيير خزنة المفاتيح أو المفتاح أو الإصدار لفتح محدد المفتاح.

Screenshot of

يتم عرض خزائن المفاتيح في نفس الاشتراك والمنطقة مثل ذاكرة التخزين المؤقت هذه في القائمة.

بعد اختيار قيم مفتاح التشفير الجديد، انقر فوق تحديد. تظهر صفحة تأكيد مع القيم الجديدة. انقر فوق حفظ لإنهاء التحديد.

Screenshot of confirmation page with Save button at top left.

اقرأ المزيد حول المفاتيح التي يديرها العميل في Azure

تشرح هذه المقالات المزيد حول استخدام Azure Key Vault والمفاتيح التي يديرها العميل لتشفير البيانات في Azure:

الخطوات التالية

بعد إنشاء Azure HPC Cache والتشفير المعتمد المستند إلى Key Vault، تابع إعداد ذاكرة التخزين المؤقت الخاصة بك عن طريق منحها حق الوصول إلى مصادر البيانات الخاصة بك.