توفير مفتاح تشفير على طلب لمخزن البيانات الثنائية الكبيرة
العملاء الذين يقدمون طلبات مقابل مخزن Azure Blob يتوفر لهم خيار توفير مفتاح تشفير AES-256 على أساس كل طلب. يوفر تضمين مفتاح التشفير في الطلب تحكما دقيقا في إعدادات التشفير لعمليات مخزن البيانات الثنائية الكبيرة. يمكن تخزين المفاتيح التي يوفرها العميل في Azure Key Vault أو في مخزن مفاتيح آخر.
تشفير عمليات القراءة والكتابة
عندما يوفر تطبيق عميل مفتاح تشفير بناء على الطلب، يقوم Azure Storage بإجراء التشفير وفك التشفير بشفافية أثناء قراءة وكتابة بيانات الكائن الثنائي كبير الحجم. يكتب Azure Storage تجزئة SHA-256 لمفتاح التشفير إلى جانب محتويات الكائن الثنائي كبير الحجم. يتم استخدام التجزئة للتحقق من أن جميع العمليات اللاحقة مقابل الكائن الثنائي كبير الحجم تستخدم نفس مفتاح التشفير.
لا يقوم Azure Storage بتخزين أو إدارة مفتاح التشفير الذي يرسله العميل مع الطلب. يتم تجاهل المفتاح بشكل آمن بمجرد اكتمال عملية التشفير أو فك التشفير.
عندما يقوم عميل بإنشاء أو تحديث كائن ثنائي كبير الحجم باستخدام مفتاح مقدم من العميل بناء على الطلب، يجب أن توفر طلبات القراءة والكتابة اللاحقة للكائن الثنائي كبير الحجم هذا المفتاح أيضا. إذا لم يتم توفير المفتاح في طلب للحصول على كائن ثنائي كبير الحجم تم تشفيره بالفعل باستخدام مفتاح مقدم من العميل، فسيفشل الطلب باستخدام رمز الخطأ 409 (تعارض).
إذا أرسل تطبيق العميل مفتاح تشفير بناء على الطلب، وتم تشفير حساب التخزين أيضا باستخدام مفتاح مدار بواسطة Microsoft أو مفتاح مدار من قبل العميل، فسيستخدم Azure Storage المفتاح المتوفر في طلب التشفير وفك التشفير.
لإرسال مفتاح التشفير كجزء من الطلب، يجب على العميل إنشاء اتصال آمن بـ Azure Storage باستخدام HTTPS.
يمكن أن يكون لكل لقطة كائن ثنائي كبير الحجم مفتاح تشفير خاص به.
رؤوس الطلبات لتحديد المفاتيح التي يوفرها العميل
بالنسبة لمكالمات REST، يمكن للعملاء استخدام الرؤوس التالية لتمرير معلومات مفتاح التشفير بشكل آمن عند طلب مخزن البيانات الثنائية الكبيرة:
| رأس الطلب | الوصف |
|---|---|
x-ms-encryption-key |
مطلوب لكل من طلبات الكتابة والقراءة. قيمة مفتاح تشفير AES-256 مشفر من Base64. |
x-ms-encryption-key-sha256 |
مطلوب لكل من طلبات الكتابة والقراءة. SHA256 المشفرة Base64 لمفتاح التشفير. |
x-ms-encryption-algorithm |
مطلوب لطلبات الكتابة، اختياري لطلبات القراءة. يحدد الخوارزمية التي يجب استخدامها عند تشفير البيانات باستخدام المفتاح المحدد. يجب أن تكون قيمة العنوان AES256. |
يعد تحديد مفاتيح التشفير بناء على الطلب أمرا اختياريا. ومع ذلك، إذا قمت بتحديد أحد الرؤوس المذكورة أعلاه لعملية كتابة، فيجب عليك تحديدها جميعا.
عمليات مخزن البيانات الثنائية الكبيرة التي تدعم المفاتيح التي يوفرها العميل
تدعم عمليات مخزن البيانات الثنائية الكبيرة التالية إرسال مفاتيح التشفير التي يوفرها العميل عند الطلب:
- ضع الكائن الثنائي كبير الحجم
- ضع قائمة الحظر
- ضع حظر
- ضع حظر من URL
- ضع صفحة
- ضع صفحة من عنوان URL
- أضف حظر
- تعيين خصائص الكائن الثنائي كبير الحجم
- تعيين بيانات التعريف للكائن الثنائي كبير الحجم
- الحصول على كائن ثنائي كبير الحجم
- الحصول على خصائص الـ Blob
- الحصول على بيانات التعريف للكائن الثنائي كبير الحجم
- لقطة كائن ثنائي كبير الحجم
تدوير المفاتيح المقدمة من العميل
لتدوير مفتاح تشفير تم استخدامه لتشفير كائن ثنائي كبير الحجم، قم بتنزيل الكائن الثنائي كبير الحجم ثم أعد تحميله باستخدام مفتاح التشفير الجديد.
هام
لا يمكن استخدام مدخل Azure للقراءة من حاوية أو كائن ثنائي كبير الحجم مشفر باستخدام مفتاح متوفر عند الطلب أو الكتابة إليه.
تأكد من حماية مفتاح التشفير الذي توفره عند طلب مخزن البيانات الثنائية الكبيرة في متجر مفاتيح آمنة مثل Azure Key Vault. إذا حاولت إجراء عملية كتابة على حاوية أو كائن ثنائي كبير الحجم بدون مفتاح التشفير، فستفشل العملية، وستفقد الوصول إلى الكائن.
دعم الميزة
يوضح هذا الجدول كيفية دعم هذه الميزة في حسابك وتأثيرها على الدعم عند تمكين قدرات معينة.
| نوع حساب التخزين | Blob Storage (الدعم الافتراضي) | Data Lake Storage Gen2 1 | NFS 3.0 1 | SFTP 1 |
|---|---|---|---|---|
| معيار الأغراض العامة v2 |  |
 |
|
|
| Premium كتلة blobs | |
|
|
|
1 تتطلب كل من Data Lake Storage Gen2 و Network File System (NFS) 3.0 وSSH File Transfer Protocol (SFTP) حساب تخزين مع تمكين مساحة اسماء هرمية.