إنشاء حساب تخزين يدعم المفاتيح التي يديرها العميل للجداول وقوائم الانتظار

مقالة
05/11/2023

يقوم Azure Storage بتشفير كافة البيانات الثابتة في حساب تخزين. بشكل افتراضي، يستخدم "تخزين قائمة الانتظار" "وتخزين الجدول" مفتاحًا يُحدد نطاقه إلى الخدمة ويُديره Microsoft. يمكنك أيضًا اختيار استخدام المفاتيح التي يديرها العميل لتشفير بيانات قائمة الانتظار أو الجدول. لاستخدام المفاتيح التي يديرها العميل مع قوائم الانتظار والجداول، يجب عليك أولًا إنشاء حساب تخزين يستخدم مفتاح تشفير يُحدد نطاقه إلى الحساب بدلًا من الخدمة. بعد إنشاء حساب يستخدم مفتاح تشفير الحساب لبيانات قائمة الانتظار والجدول، يمكنك تكوين المفاتيح التي يديرها العميل لحساب التخزين هذا.

توضح هذه المقالة كيفية إنشاء حساب تخزين يعتمد على مفتاح يُحدد نطاقه إلى الحساب. عند إنشاء الحساب لأول مرة، تستخدم Microsoft مفتاح الحساب لتشفير البيانات الموجودة في الحساب، وتدير Microsoft المفتاح. يمكنك لاحقًا تكوين المفاتيح التي يديرها العميل للحساب للاستفادة من هذه المزايا، بما في ذلك القدرة على توفير مفاتيحك وتحديث إصدار المفتاح وتدوير المفاتيح وإبطال عناصر التحكم بالوصول.

إنشاء حساب يستخدم مفتاح تشفير الحساب

يجب تكوين حساب تخزين جديد لاستخدام مفتاح تشفير الحساب لقوائم الانتظار والجداول في وقت إنشاء حساب التخزين. لا يمكن تغيير نطاق مفتاح التشفير بعد إنشاء الحساب.

يجب أن يكون حساب التخزين من نوع v2 للأغراض العامة. يمكنك إنشاء حساب التخزين وتكوينه للاعتماد على مفتاح تشفير الحساب باستخدام مدخل Microsoft Azure أو PowerShell أو Azure CLI أو قالب Azure Resource Manager.

لمعرفة المزيد عن إنشاء حساب تخزين، راجع إنشاء حساب تخزين.

ملاحظة

يمكن تكوين "تخزين قائمة الانتظار" "وتخزين الجدول" فقط اختياريًا لتشفير البيانات باستخدام مفتاح تشفير الحساب عند إنشاء حساب التخزين. يستخدم تخزين كائن ثنائي كبير الحجم وملفات Azure دائمًا مفتاح تشفير الحساب لتشفير البيانات.

لإنشاء حساب تخزين يعتمد على مفتاح تشفير الحساب مع مدخل Microsoft Azure، اتبع الخطوات التالية:

من قائمة المدخل اليسرى، حدد حسابات التخزين لعرض قائمة بحسابات التخزين خاصتك.
في صفحة حسابات التخزين، حدد جديد.
املأ الحقول في علامة تبويب الأساسيات.
في علامة التبويب "خيارات متقدمة"، حدد موقع قسم الجداول وقوائم الانتظار، وحدد تمكين الدعم للمفاتيح التي يديرها العميل.

لاستخدام PowerShell لإنشاء حساب تخزين يعتمد على مفتاح تشفير الحساب، تأكد من تثبيت الوحدة النمطية Azure PowerShell الإصدار 3.4.0 أو إصدار أحدث. للحصول على مزيد من المعلومات، راجع تثبيت الوحدة النمطية Azure PowerShell .

أنشئ بعد ذلك حساب تخزين v2 للأغراض العامة عن طريق استدعاء الأمر New-AzStorageAccount، مع المعلمات المناسبة:

قم بتضمين الخيار -EncryptionKeyTypeForQueue وعيّن قيمته إلى Account لاستخدام مفتاح تشفير الحساب لتشفير البيانات في "تخزين قائمة الانتظار".
قم بتضمين الخيار -EncryptionKeyTypeForTable وعيّن قيمته إلى Account لاستخدام مفتاح تشفير الحساب لتشفير البيانات في "تخزين الجدول".

يوضح المثال التالي كيفية إنشاء حساب تخزين v2 للأغراض العامة تم تكوينه للتخزين المتكرر جغرافيًا للوصول إلى القراءة (RA-GRS) والذي يستخدم مفتاح تشفير الحساب لتشفير البيانات لكل من "تخزين قائمة الانتظار" "وتخزين الجدول". تذكَّر استبدال قيم العناصر النائبة في الأقواس بقيمك:

New-AzStorageAccount -ResourceGroupName <resource_group> `
    -AccountName <storage-account> `
    -Location <location> `
    -SkuName "Standard_RAGRS" `
    -Kind StorageV2 `
    -EncryptionKeyTypeForTable Account `
    -EncryptionKeyTypeForQueue Account

لاستخدام Azure CLI لإنشاء حساب تخزين يعتمد على مفتاح تشفير الحساب، تأكد من تثبيت الإصدار 2.0.80 من Azure CLI أو إصدار أحدث. لمزيد من المعلومات، راجع ⁧⁩تثبيت Azure CLI⁧⁩.

ثم أنشئ حساب تخزين v2 للأغراض العامة عن طريق استدعاء الأمر az storage account create، مع المعلمات المناسبة:

قم بتضمين الخيار --encryption-key-type-for-queue وعيّن قيمته إلى Account لاستخدام مفتاح تشفير الحساب لتشفير البيانات في "تخزين قائمة الانتظار".
قم بتضمين الخيار --encryption-key-type-for-table وعيّن قيمته إلى Account لاستخدام مفتاح تشفير الحساب لتشفير البيانات في "تخزين الجدول".

az storage account create \
    --name <storage-account> \
    --resource-group <resource-group> \
    --location <location> \
    --sku Standard_RAGRS \
    --kind StorageV2 \
    --encryption-key-type-for-table Account \
    --encryption-key-type-for-queue Account

يُنشئ مثال JSON التالي حساب تخزين v2 للأغراض العامة تم تكوينه للتخزين المتكرر جغرافيًا للوصول إلى القراءة (RA-GRS) والذي يستخدم مفتاح تشفير الحساب لتشفير البيانات لكل من "تخزين قائمة الانتظار" "وتخزين الجدول". تذكَّر استبدال قيم العناصر النائبة الموجودة بين قوسين بقيمك:

"resources": [
    {
        "type": "Microsoft.Storage/storageAccounts",
        "apiVersion": "2019-06-01",
        "name": "[parameters('<storage-account>')]",
        "location": "[parameters('<location>')]",
        "dependsOn": [],
        "tags": {},
        "sku": {
            "name": "[parameters('Standard_RAGRS')]"
        },
        "kind": "[parameters('StorageV2')]",
        "properties": {
            "accessTier": "[parameters('<accessTier>')]",
            "supportsHttpsTrafficOnly": "[parameters('supportsHttpsTrafficOnly')]",
            "largeFileSharesState": "[parameters('<largeFileSharesState>')]",
            "encryption": {
                "services": {
                    "queue": {
                        "keyType": "Account"
                    },
                    "table": {
                        "keyType": "Account"
                    }
                },
                "keySource": "Microsoft.Storage"
            }
        }
    }
],

بعد إنشاء حساب يعتمد على مفتاح تشفير الحساب، يمكنك تكوين المفاتيح التي يديرها العميل والمُخزنة في Azure Key Vault أو في نموذج أمان الأجهزة المُدارة Key Vault (HSM). لمعرفة كيفية تخزين المفاتيح التي يديرها العميل في مخزن مفاتيح، راجع تكوين التشفير باستخدام المفاتيح التي يديرها العميل المُخزنة في Azure Key Vault. لمعرفة كيفية تخزين المفاتيح التي يديرها العميل في HSM مُدار، راجع تكوين التشفير باستخدام المفاتيح التي يديرها العميل المُخزنة في Azure Key Vault Managed HSM.

التحقق من مفتاح تشفير الحساب

بعد إنشاء الحساب، يمكنك التحقق من أن حساب التخزين يستخدم مفتاح تشفير يُحدد نطاقه إلى الحساب باستخدام مدخل Microsoft Azure أو PowerShell أو Azure CLI.

للتحقق من أن خدمة في حساب تخزين تستخدم مفتاح تشفير يُحدد نطاقه إلى الحساب مع مدخل Microsoft Azure، اتبع الخطوات التالية:

يرجى الانتقال إلى حساب التخزين الجديد في بوابة Azure.
في القسم الأمان + الشبكات، حدد التشفير.
إذا تم إنشاء حساب التخزين للاعتماد على مفتاح تشفير الحساب، فسترى في علامة التبويب تشفير أنه يمكن تمكين المفاتيح التي يديرها العميل لجميع خدمات "تخزين Azure" الأربع: الكائنات الثنائية كبيرة الحجم والملفات والجداول وقوائم الانتظار.

للتحقق من أن خدمة ما في حساب تخزين تستخدم مفتاح تشفير الحساب مع PowerShell، استدعِ الأمر Get-AzStorageAccount. يُرجع هذا الأمر مجموعة من خصائص حساب التخزين وقيمها. ابحث عن الحقل KeyType الخاص بكل خدمة داخل الخاصية Encryption، وتحقق من تعيينها إلى Account.

$account = Get-AzStorageAccount -ResourceGroupName <resource-group> `
    -StorageAccountName <storage-account>
$account.Encryption.Services.Queue
$account.Encryption.Services.Table

للتحقق من أن خدمة ما في حساب تخزين تستخدم مفتاح تشفير الحساب مع Azure CLI، استدعِ الأمر az storage account show. يُرجع هذا الأمر مجموعة من خصائص حساب التخزين وقيمها. ابحث عن الحقل keyType الخاص بكل خدمة داخل خاصية التشفير، وتحقق من تعيينها إلى Account.

az storage account show \
    --name <storage-account> \
    --resource-group <resource-group>

بعد التحقق من أن حساب التخزين يستخدم مفتاح تشفير يُحدد نطاقه للحساب، يمكنك تمكين المفاتيح التي يديرها العميل للحساب. ستستخدم جميع خدمات "تخزين Azure" الأربع - الكائنات الثنائية كبيرة الحجم والملفات والجداول وقوائم الانتظار - المفتاح الذي يديره العميل للتشفير.

التسعير والفوترة

تتم فوترة حساب التخزين الذي تم إنشاؤه لاستخدام مفتاح تشفير يُحدد نطاقه إلى الحساب لسعة "تخزين الجدول" والمعاملات بمعدل مختلف عن الحساب الذي يستخدم المفتاح الافتراضي لنطاق الخدمة. للحصول على التفاصيل، راجع تسعير تخزين جدول Azure.

Share via

إنشاء حساب تخزين يدعم المفاتيح التي يديرها العميل للجداول وقوائم الانتظار

إنشاء حساب يستخدم مفتاح تشفير الحساب

التحقق من مفتاح تشفير الحساب

التسعير والفوترة

الخطوات التالية

الموارد الإضافية