إعداد المفاتيح التي يديرها العميل لتشفير البيانات في وضع السكون لبيئات خدمة التكامل (ISEs) في تطبيقات Azure Logic

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

تعتمد تطبيقات Azure Logic على Azure Storage لتخزين البيانات وتشفيرها تلقائيا في حالة السكون. يحمي هذا التشفير بياناتك ويساعدك على الوفاء بالتزامات الأمان والامتثال المؤسسية. بشكل افتراضي، يستخدم Azure Storage المفاتيح المدارة من Microsoft لتشفير بياناتك. لمزيد من المعلومات حول كيفية عمل تشفير تخزين Azure، راجع تشفير تخزين Azure للبيانات في وضع السكون وتشفير بيانات Azure في حالة السكون.

عندما تقوم بإنشاء بيئة خدمة تكامل (ISE) لاستضافة تطبيقاتك المنطقية، وتريد المزيد من التحكم في مفاتيح التشفير التي يستخدمها Azure Storage، يمكنك إعداد المفتاح الخاص بك واستخدامه وإدارته باستخدام Azure Key Vault. تعرف هذه الإمكانية باسم "إحضار مفتاحك الخاص" (BYOK) ، ويسمى مفتاحك "المفتاح المدار من قبل العميل". باستخدام هذه القدرة، يتيح Azure Storage تلقائيا التشفير المزدوج أو تشفير البنية الأساسية باستخدام المفاتيح المدارة من قبل النظام الأساسي لمفتاحك. لمعرفة المزيد، راجع تشفير البيانات بشكل مضاعف باستخدام تشفير البنية الأساسية.

يوضح هذا الموضوع كيفية إعداد وتحديد مفتاح التشفير الخاص بك لاستخدامه عند إنشاء بورصة اسطنبول باستخدام واجهة برمجة تطبيقات REST للتطبيقات المنطقية. للحصول على الخطوات العامة لإنشاء ISE من خلال واجهة برمجة تطبيقات REST للتطبيقات المنطقية، راجع إنشاء بيئة خدمة تكامل (ISE) باستخدام واجهة برمجة تطبيقات REST للتطبيقات المنطقية.

الاعتبارات

• في الوقت الحالي، لا يتوفر الدعم الرئيسي الذي يديره العميل لبورصة اسطنبول إلا في المناطق التالية:

  • Azure: غرب الولايات المتحدة 2 وشرق الولايات المتحدة وجنوب وسط الولايات المتحدة.

  • Azure Government: أريزونا وفرجينيا وتكساس.

• يمكنك تحديد مفتاح مدار من قبل العميل فقط عند إنشاء ISE الخاص بك، وليس بعد ذلك. لا يمكنك تعطيل هذا المفتاح بعد إنشاء بورصة اسطنبول الخاصة بك. حاليا، لا يوجد دعم لتدوير مفتاح مدار من قبل العميل ل ISE.

• يجب أن يكون مخزن المفاتيح الذي يخزن مفتاحك المدار من قبل العميل موجودا في نفس منطقة Azure مثل ISE.

• لدعم المفاتيح التي يديرها العميل، تتطلب بورصة اسطنبول تمكين الهوية المدارة المعينة من قبل النظام أو المعينة من قبل المستخدم. تتيح هذه الهوية لبورصة اسطنبول مصادقة الوصول إلى الموارد الآمنة، مثل الأجهزة الظاهرية والأنظمة أو الخدمات الأخرى، الموجودة في شبكة Azure الظاهرية أو المتصلة بها. وبهذه الطريقة، لن تضطر إلى تسجيل الدخول باستخدام بيانات الاعتماد الخاصة بك.

• حاليا، لإنشاء بورصة اسطنبول التي تدعم المفاتيح التي يديرها العميل وتمكين أي نوع الهوية المدارة، يجب عليك استدعاء واجهة برمجة تطبيقات REST للتطبيقات المنطقية باستخدام طلب HTTPS PUT.

• يجب أن تمنح المخزن الرئيسي حق الوصول إلى الهوية المدارة ل ISE الخاص بك ، ولكن يعتمد التوقيت على الهوية المدارة التي تستخدمها.

  • الهوية المدارة المعينة من قبل النظام: في غضون 30 دقيقة بعد إرسال طلب HTTPS PUT الذي ينشئ ISE الخاص بك، يجب عليك منح المخزن الرئيسي حق الوصول إلى الهوية المدارة ل ISE. وإلا، يفشل إنشاء بورصة ISE وتحصل على خطأ في الأذونات.

  • الهوية المدارة المعينة من قبل المستخدم: قبل إرسال طلب HTTPS PUT الذي ينشئ ISE الخاص بك، امنح المخزن الرئيسي حق الوصول إلى الهوية المدارة ل ISE.

المتطلبات الأساسية

• نفس المتطلباتوالمتطلبات لتمكين الوصول إلى بورصة اسطنبول الخاصة بك كما هو الحال عند إنشاء بورصة اسطنبول في مدخل Azure

• مخزن مفاتيح Azure يحتوي على خاصيتي الحذف الناعم وعدم التطهير ممكنين

  لمزيد من المعلومات حول تمكين هذه الخصائص، راجع Azure Key Vault نظرة عامة على الحذف الناعموتكوين المفاتيح التي يديرها العميل باستخدام Azure Key Vault. إذا كنت جديدا على Azure Key Vault، فتعرف على كيفية إنشاء مخزن مفاتيح باستخدام مدخل Azure أو Azure CLIأوAzure PowerShell.

• في مخزن المفاتيح، مفتاح تم إنشاؤه باستخدام قيم المواقع التالية:

  الخاصية	القيمة
  نوع المفتاح	RSA
  حجم مفتاح RSA	2048
  ⁧⁩ممكَن⁧⁩	نعم

  

  لمزيد من المعلومات، راجع تكوين المفاتيح المدارة من قبل العميل باستخدام Azure Key Vault أو الأمر Azure PowerShell، Add-AzKeyVaultKey.

• أداة يمكنك استخدامها لإنشاء ISE الخاص بك عن طريق استدعاء واجهة برمجة تطبيقات REST للتطبيقات المنطقية مع طلب HTTPS PUT. على سبيل المثال، يمكنك استخدام Postman، أو يمكنك إنشاء تطبيق منطقي ينفذ هذه المهمة.

إنشاء بورصة اسطنبول باستخدام المخزن الرئيسي ودعم الهوية المدارة

لإنشاء بورصة اسطنبول الخاصة بك عن طريق استدعاء واجهة برمجة تطبيقات REST للتطبيقات المنطقية، قم بإجراء طلب وضع HTTPS هذا:

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Logic/integrationServiceEnvironments/{integrationServiceEnvironmentName}?api-version=2019-05-01

هام

يتطلب إصدار Logic Apps REST API 2019-05-01 إجراء طلب HTTPS PUT الخاص بك لموصلات ISE.

عادة ما يستغرق النشر في غضون ساعتين حتى ينتهي. وفي بعض الأحيان، قد يستغرق النشر ما يصل إلى أربع ساعات. للتحقق من حالة النشر، في مدخل Azure، على شريط أدوات Azure، حدد أيقونة الإعلامات، التي تفتح جزء الإعلامات.

ملاحظة

إذا فشل النشر أو حذفت ISE، فقد يستغرق Azure ما يصل إلى ساعة قبل إصدار الشبكات الفرعية. هذا التأخير يعني أنك قد تضطر إلى الانتظار قبل إعادة استخدام هذه الشبكات الفرعية في بورصة اسطنبول أخرى.

إذا قمت بحذف شبكتك الظاهرية، فسيستغرق Azure عموما ما يصل إلى ساعتين قبل إطلاق الشبكات الفرعية، ولكن قد تستغرق هذه العملية وقتا أطول. عند حذف الشبكات الظاهرية، تأكد من عدم وجود موارد لا تزال متصلة. راجع حذف الشبكة الظاهرية.

عنوان الطلب

في رأس الطلب، قم بتضمين الخصائص التالية:

• Content-typeتعيين قيمة الخاصية هذه إلى application/json.:

• Authorizationقم بتعيين قيمة الخاصية هذه إلى الرمز المميز لحاملها للعميل الذي لديه حق الوصول إلى اشتراك Azure أو مجموعة الموارد التي تريد استخدامها.:

نص الطلب

في نص الطلب، قم بتمكين الدعم لهذه العناصر الإضافية من خلال توفير معلوماتها في تعريف بورصة اسطنبول الخاص بك:

• الهوية المدارة التي تستخدمها بورصة اسطنبول للوصول إلى المخزن الرئيسي الخاص بك
• مخزن المفاتيح والمفتاح الذي يديره العميل والذي تريد استخدامه

طلب بناء جملة النص الأساسي

فيما يلي بناء جملة نص الطلب، الذي يصف الخصائص التي يجب استخدامها عند إنشاء ISE:

{
   "id": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{Azure-resource-group}/providers/Microsoft.Logic/integrationServiceEnvironments/{ISE-name}",
   "name": "{ISE-name}",
   "type": "Microsoft.Logic/integrationServiceEnvironments",
   "location": "{Azure-region}",
   "sku": {
      "name": "Premium",
      "capacity": 1
   },
   "identity": {
      "type": <"SystemAssigned" | "UserAssigned">,
      // When type is "UserAssigned", include the following "userAssignedIdentities" object:
      "userAssignedIdentities": {
         "/subscriptions/{Azure-subscription-ID}/resourceGroups/{Azure-resource-group}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{user-assigned-managed-identity-object-ID}": {
            "principalId": "{principal-ID}",
            "clientId": "{client-ID}"
         }
      }
   },
   "properties": {
      "networkConfiguration": {
         "accessEndpoint": {
            // Your ISE can use the "External" or "Internal" endpoint. This example uses "External".
            "type": "External"
         },
         "subnets": [
            {
               "id": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{Azure-resource-group}/providers/Microsoft.Network/virtualNetworks/{virtual-network-name}/subnets/{subnet-1}",
            },
            {
               "id": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{Azure-resource-group}/providers/Microsoft.Network/virtualNetworks/{virtual-network-name}/subnets/{subnet-2}",
            },
            {
               "id": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{Azure-resource-group}/providers/Microsoft.Network/virtualNetworks/{virtual-network-name}/subnets/{subnet-3}",
            },
            {
               "id": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{Azure-resource-group}/providers/Microsoft.Network/virtualNetworks/{virtual-network-name}/subnets/{subnet-4}",
            }
         ]
      },
      "encryptionConfiguration": {
         "encryptionKeyReference": {
            "keyVault": {
               "id": "subscriptions/{Azure-subscription-ID}/resourceGroups/{Azure-resource-group}/providers/Microsoft.KeyVault/vaults/{key-vault-name}",
            },
            "keyName": "{customer-managed-key-name}",
            "keyVersion": "{key-version-number}"
         }
      }
   }
}

طلب مثال على النص الأساسي

يوضح نص طلب المثال هذا قيم العينة:

{
   "id": "/subscriptions/********************/resourceGroups/Fabrikam-RG/providers/Microsoft.Logic/integrationServiceEnvironments/Fabrikam-ISE",
   "name": "Fabrikam-ISE",
   "type": "Microsoft.Logic/integrationServiceEnvironments",
   "location": "WestUS2",
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "/subscriptions/********************/resourceGroups/Fabrikam-RG/providers/Microsoft.ManagedIdentity/userAssignedIdentities/*********************************": {
            "principalId": "*********************************",
            "clientId": "*********************************"
         }
      }
   },
   "sku": {
      "name": "Premium",
      "capacity": 1
   },
   "properties": {
      "networkConfiguration": {
         "accessEndpoint": {
            // Your ISE can use the "External" or "Internal" endpoint. This example uses "External".
            "type": "External"
         },
         "subnets": [
            {
               "id": "/subscriptions/********************/resourceGroups/Fabrikam-RG/providers/Microsoft.Network/virtualNetworks/Fabrikam-VNET/subnets/subnet-1",
            },
            {
               "id": "/subscriptions/********************/resourceGroups/Fabrikam-RG/providers/Microsoft.Network/virtualNetworks/Fabrikam-VNET/subnets/subnet-2",
            },
            {
               "id": "/subscriptions/********************/resourceGroups/Fabrikam-RG/providers/Microsoft.Network/virtualNetworks/Fabrikam-VNET/subnets/subnet-3",
            },
            {
               "id": "/subscriptions/********************/resourceGroups/Fabrikam-RG/providers/Microsoft.Network/virtualNetworks/Fabrikam-VNET/subnets/subnet-4",
            }
         ]
      },
      "encryptionConfiguration": {
         "encryptionKeyReference": {
            "keyVault": {
               "id": "subscriptions/********************/resourceGroups/Fabrikam-RG/providers/Microsoft.KeyVault/vaults/FabrikamKeyVault",
            },
            "keyName": "Fabrikam-Encryption-Key",
            "keyVersion": "********************"
         }
      }
   }
}

منح حق الوصول إلى المخزن الرئيسي

على الرغم من اختلاف التوقيت بناء على الهوية المدارة التي تستخدمها، يجب عليك منح المخزن الرئيسي حق الوصول إلى الهوية المدارة ل ISE.

• الهوية المدارة المعينة من قبل النظام: في غضون 30 دقيقة بعد إرسال طلب HTTPS PUT الذي ينشئ ISE الخاص بك، يجب عليك إضافة سياسة وصول إلى المخزن الرئيسي الخاص بك للهوية المدارة المعينة من قبل النظام الخاص ب ISE. وإلا، يفشل الإنشاء لبورصة اسطنبول الخاصة بك، وتحصل على خطأ في الأذونات.

• الهوية المدارة المعينة من قبل المستخدم: قبل إرسال طلب HTTPS PUT الذي ينشئ ISE، أضف سياسة وصول إلى المخزن الرئيسي للهوية المدارة التي يعينها المستخدم ل ISE.

لهذه المهمة، يمكنك استخدام الأمر Azure PowerShell Set-AzKeyVaultAccessPolicy ، أو يمكنك اتباع الخطوات التالية في مدخل Azure:

1. في مدخل Azure، افتح مخزن مفاتيح Azure.

2. في قائمة المخزن الرئيسي، حدد سياسات>الوصولإضافة سياسة الوصول، على سبيل المثال:

   

3. بعد فتح جزء نهج إضافة وصول، اتبع الخطوات التالية:

   1. حدد هذه الخيارات:

      إعداد	القيم
      تكوين من قائمة القالب (اختياري)	إدارة المفاتيح
      الأذونات الرئيسية	- عمليات الإدارة الرئيسية: احصل على قائمة - عمليات التشفير: مفتاح إلغاء الالتفاف ، مفتاح الالتفاف

      

   2. لتحديد المدير، حدد لا شيء محدد. بعد فتح الجزء الرئيسي ، في مربع البحث، ابحث عن ISE وحدده. عند الانتهاء، اختر SelectAdd>.

      

   3. عند الانتهاء من جزء نهج الوصول، حدد حفظ.

لمزيد من المعلومات، راجع كيفية المصادقة Key Vault نهج الوصول Key Vault وتعيينه.

الخطوات التالية

• تعرف على المزيد حول Azure Key Vault