نطاقات التشفير لتخزين كائن ثنائي كبير الحجم
تمكنك نطاقات التشفير من إدارة التشفير باستخدام مفتاح يتم تحديد نطاقه إلى حاوية أو كائن ثنائي كبير الحجم فردي. يمكنك استخدام نطاقات التشفير لإنشاء حدود آمنة بين البيانات الموجودة في نفس حساب التخزين ولكنها تنتمي إلى عملاء مختلفين.
لمزيد من المعلومات حول العمل مع نطاقات التشفير، راجع إنشاء وإدارة نطاقات التشفير .
كيفية عمل نطاقات التشفير
افتراضياً، يتم تشفير حساب التخزين بمفتاح يتم تحديد نطاقه لحساب التخزين بأكمله. عندما تحدد نطاق تشفير، فإنك تحدد مفتاحًا قد يتم تحديده إلى حاوية أو كائن ثنائي كبير الحجم فردي. عندما يتم تطبيق نطاق التشفير على كائن ثنائي كبير الحجم، يتم تشفير الكائن الثنائي كبير الحجم بهذا المفتاح. عندما يتم تطبيق نطاق التشفير على حاوية، فإنه يعمل كنطاق افتراضي للكائنات الثنائية كبيرة الحجم في تلك الحاوية، بحيث يمكن تشفير جميع الكائنات الثنائية كبيرة الحجم التي يتم تحميلها إلى تلك الحاوية بنفس المفتاح. يمكن تكوين الحاوية لفرض نطاق التشفير الافتراضي لجميع الكائنات الثنائية كبيرة الحجم في الحاوية، أو للسماح بتحميل كائن ثنائي كبير الحجم فردي إلى الحاوية بنطاق تشفير آخر غير الافتراضي.
تحدث عمليات القراءة على كائن ثنائي كبير الحجم تم إنشاؤه باستخدام نطاق تشفير بشفافية، طالما لم يتم تعطيل نطاق التشفير.
إدارة المفاتيح
عند تحديد نطاق تشفير، يمكنك تحديد ما إذا كان النطاق محميًا بمفتاح تديره Microsoft أو بمفتاح يديره العميل يتم تخزينه في Azure Key Vault. يمكن لنطاقات التشفير المختلفة على حساب التخزين نفسه استخدام المفاتيح التي تديرها Microsoft أو يديرها العملاء. يمكنك أيضًا تبديل نوع المفتاح المستخدم لحماية نطاق التشفير من مفتاح يديره العميل إلى مفتاح تديره Microsoft، أو العكس، في أي وقت. لمزيد من المعلومات حول المفاتيح التي يديرها العملاء، راجع المفاتيح التي يديرها العملاء لتشفير Azure Storage . لمزيد من المعلومات حول المفاتيح التي تديرها Microsoft، راجع حول إدارة مفاتيح التشفير .
إذا قمت بتحديد نطاق تشفير باستخدام مفتاح يديره العميل، فيمكنك اختيار تحديث إصدار المفتاح إما تلقائيًا أو يدويًا. إذا اخترت تحديث إصدار المفتاح تلقائيًا، فإن Azure Storage تتحقق من مخزن المفتاح أو HSM المدارة يوميًا للحصول على إصدار جديد من المفتاح الذي يديره العميل وتقوم تلقائيًا بتحديث مفتاح أحدث إصدار. لمزيد من المعلومات حول تحديث الإصدار الرئيسي لمفتاح يديره العميل، راجع تحديث الإصدار الرئيسي .
توفر سياسة Azure سياسة مدمجة تتطلب أن تستخدم نطاقات التشفير المفاتيح التي يديرها العملاء. لمزيد من المعلومات، راجع قسم التخزين في تعريفات سياسة Azure المدمجة .
قد يحتوي حساب التخزين على ما يصل إلى 10000 نطاق تشفير محمي بمفاتيح يديرها العملاء ويتم تحديث الإصدار الرئيسي لها تلقائيًا. إذا كان حساب التخزين خاصتك يحتوي بالفعل على 10000 نطاق تشفير محمي بالمفاتيح التي يديرها العملاء والتي يتم تحديثها تلقائيًا، فيجب تحديث إصدار المفتاح يدويًا لأي نطاقات تشفير إضافية محمية بالمفاتيح التي يديرها العملاء.
تشفير البنية الأساسية
يتيح تشفير البنية الأساسية في Azure Storage التشفير المزدوج للبيانات. مع تشفير البنية الأساسية، يتم تشفير البيانات مرتين — مرة واحدة على مستوى الخدمة ومرة واحدة على مستوى البنية التحتية — باستخدام خوارزميتي تشفير مختلفتين ومفتاحين مختلفين.
يتم دعم تشفير البنية الأساسية لنطاق التشفير، وكذلك على مستوى حساب التخزين. إذا تم تمكين تشفير البنية الأساسية لحساب ما، فإن أي نطاق تشفير يتم إنشاؤه على هذا الحساب يستخدم تلقائيًا تشفير البنية التحتية. إذا لم يتم تمكين تشفير البنية الأساسية على مستوى الحساب، فسيكون لديك خيار تمكينه لنطاق التشفير في الوقت الذي تقوم فيه بإنشاء النطاق. لا يمكن تغيير إعداد تشفير البنية الأساسية لنطاق التشفير بعد إنشاء النطاق.
لمزيد من المعلومات حول تشفير البنية الأساسية، راجع تمكين تشفير البنية الأساسية للحصول على تشفير مزدوج للبيانات.
نطاقات التشفير للحاويات والكائنات الثنائية كبيرة الحجم
عند إنشاء حاوية، يمكنك تحديد نطاق تشفير افتراضي للكائنات الثنائية كبيرة الحجم التي يتم تحميلها لاحقًا إلى تلك الحاوية. عند تحديد نطاق تشفير افتراضي للحاوية، يمكنك تحديد كيفية فرض نطاق التشفير الافتراضي:
- يمكنك أن تطلب من جميع الكائنات الثنائية كبيرة الحجم التي تم تحميلها إلى الحاوية استخدام نطاق التشفير الافتراضي. في هذه الحالة، يتم تشفير كل كائن ثنائي كبير الحجم في الحاوية بنفس المفتاح.
- يمكنك السماح للعميل بمنع نطاق التشفير الافتراضي للحاوية، بحيث يمكن تحميل كائن ثنائي كبير الحجم بنطاق تشفير آخر غير النطاق الافتراضي. في هذه الحالة، قد يتم تشفير الكائنات الثنائية كبيرة الحجم الموجودة في الحاوية بمفاتيح مختلفة.
يلخص الجدول التالي سلوك عملية تحميل كائن ثنائي كبير الحجم، اعتمادًا على كيفية تكوين نطاق التشفير الافتراضي للحاوية:
| نطاق التشفير المحدد على الحاوية هو... | جارٍ تحميل نقطة بنطاق التشفير الافتراضي... | جارٍ تحميل كائن ثنائي كبير الحجم بنطاق تشفير آخر غير النطاق الافتراضي... |
|---|---|---|
| نطاق تشفير افتراضي مع تجاوز مسموح به | ينجح | ينجح |
| نطاق تشفير افتراضي مع حظر التجاوزات | ينجح | يفشل |
يجب تحديد نطاق تشفير افتراضي للحاوية في وقت إنشاء الحاوية.
إذا لم يتم تحديد نطاق تشفير افتراضي للحاوية، فيمكنك تحميل كائن ثنائي كبير الحجم باستخدام أي نطاق تشفير قمت بتحديده لحساب التخزين. يجب تحديد نطاق التشفير في وقت تحميل الكائن الثنائي كبير الحجم.
تعطيل نطاق تشفير
عند تعطيل نطاق التشفير، ستفشل أي عمليات قراءة أو كتابة لاحقة تتم باستخدام نطاق التشفير باستخدام رمز الخطأ HTTP 403 (ممنوع). إذا قمت بإعادة تمكين نطاق التشفير، فستستمر عمليات القراءة والكتابة بشكل طبيعي مرة أخرى.
عند تعطيل نطاق التشفير، لن يتم محاسبتك عليه بعد الآن. قم بتعطيل أي نطاقات تشفير غير مطلوبة لتجنب الرسوم غير الضرورية.
إذا كان نطاق التشفير خاصتك محميًا بمفتاح يديره العميل، وقمت بإلغاء المفتاح الموجود في مخزن المفتاح، فستصبح البيانات غير قابلة للوصول. تأكد من تعطيل نطاق التشفير قبل إلغاء المفتاح الموجود في مخزن المفاتيح لتجنب فرض رسوم على نطاق التشفير.
ضع في اعتبارك أن المفاتيح التي يديرها العملاء محمية بواسطة الحماية من الحذف والمسح المبدئي في مخزن المفاتيح، ويخضع المفتاح المحذوف للسلوك المحدد من قبل تلك الخصائص. لمزيد من المعلومات، راجع أحد الموضوعات التالية في وثائق Azure Key Vault:
هام
لا يمكن حذف نطاق تشفير.
دعم الميزة
يُبين هذا الجدول كيفية دعم هذه الميزة في حسابك وتأثيرها على الدعم عند تمكين قدرات معينة.
| نوع حساب التخزين | Blob Storage (دعم افتراضي) | Data Lake Storage Gen2 1 | NFS 3.0 1 | SFTP 1 |
|---|---|---|---|---|
| معيار الأغراض العامة v2 |  |
 |
|
|
| Premium كتلة blobs | |
|
|
|
1 تتطلب كل من Data Lake Storage Gen2 و Network File System (NFS) 3.0 وSSH File Transfer Protocol (SFTP) حساب تخزين مع تمكين مساحة اسماء هرمية.