تكوين المفاتيح التي يديرها العميل عبر المستأجر لحساب تخزين جديد

مقالة
03/11/2023

يقوم Azure Storage بتشفير كافة البيانات الثابتة في حساب تخزين. بشكل افتراضي، يتم تشفير البيانات باستخدام المفاتيح المُدارة من قِبل Microsoft. لمزيد من التحكم في مفاتيح التشفير، يمكنك إدارة المفاتيح الخاصة بك. يتعين تخزين المفاتيح المُدارة بواسطة العميل في Azure Key Vault أو في نموذج أمان الأجهزة المُدارة من Azure Key Vault‏ (HSM).

توضح هذه المقالة كيفية تكوين التشفير باستخدام مفاتيح يديرها العميل في الوقت الذي تقوم فيه بإنشاء حساب تخزين جديد. في سيناريو عبر المستأجرين، يوجد حساب التخزين في مستأجر يديره ISV، بينما المفتاح المستخدم لتشفير حساب التخزين هذا موجود في مخزن مفاتيح في مستأجر يديره العميل.

لمعرفة كيفية تكوين المفاتيح المدارة من قبل العميل لحساب تخزين موجود، راجع تكوين مفاتيح مدارة من قبل العملاء عبر المستأجرين لحساب تخزين موجود.

إشعار

يدعم Azure Key Vault وAzure Key Vault Managed HSM واجهات برمجة التطبيقات وواجهات الإدارة نفسها لتكوين المفاتيح التي يديرها العميل. أي إجراء مدعوم ل Azure Key Vault مدعوم أيضا ل Azure Key Vault Managed HSM.

استخدام المفاتيح المُدارة بواسطة العملاء عبر المستأجر

يرغب العديد من موفري الخدمات الذين يبنون عروض البرامج كخدمة (SaaS) على Azure في تزويد عملائهم بخيار إدارة مفاتيح التشفير الخاصة بهم. تسمح المفاتيح التي يديرها العميل لموفر الخدمة بتشفير بيانات العميل باستخدام مفتاح تشفير يديره عميل موفر الخدمة ولا يمكن لموفر الخدمة الوصول إليه. في Azure، يمكن لعميل موفر الخدمة استخدام Azure Key Vault لإدارة مفاتيح التشفير الخاصة به في مستأجر Microsoft Entra والاشتراك الخاص به.

تتطلب خدمات وموارد النظام الأساسي Azure المملوكة لموفر الخدمة والموجودة في مستأجر موفر الخدمة الوصول إلى المفتاح من مستأجر العميل لتنفيذ عمليات التشفير/فك التشفير.

تظهر الصورة أدناه تشفير البيانات الثابتة مع هوية موحدة في سير عمل CMK عبر المستأجرين يمتد عبر موفر الخدمة وعميله.

في المثال أعلاه، هناك مستأجران من Microsoft Entra: مستأجر موفر خدمة مستقل (المستأجر 1)، ومستأجر العميل (المستأجر 2). يستضيف Tenant 1 خدمات النظام الأساسي ل Azure ويستضيف Tenant 2 مخزن مفاتيح العميل.

يتم إنشاء تسجيل تطبيق متعدد المستأجرين بواسطة موفر الخدمة في المستأجر 1. يتم إنشاء بيانات اعتماد الهوية الموحدة على هذا التطبيق باستخدام هوية مُدارة مُعيَّنة من قِبل المستخدم. بعد ذلك، تتم مشاركة الاسم ومعرف التطبيق الخاص بالتطبيق مع العميل.

يقوم المستخدم الذي لديه الأذونات المناسبة بتثبيت تطبيق موفر الخدمة في مستأجر العميل، المستأجر 2. ثم يمنح المستخدم كيان الخدمة المرتبط بالوصول إلى التطبيق المثبت إلى مخزن مفاتيح العميل. يخزن العميل أيضًا مفتاح التشفير، أو المفتاح المدار من قبل العميل، في مخزن المفاتيح. يشارك العميل موقع المفتاح (عنوان URL للمفتاح) مع موفر الخدمة.

موفر الخدمة الآن لديه:

معرف تطبيق لتطبيق متعدد المستأجرين مثبت في مستأجر العميل، والذي تم منحه حق الوصول إلى المفتاح المدار من قبل العميل.
هوية مدارة تم تكوينها كبيانات اعتماد على التطبيق متعدد المستأجرين.
موقع المفتاح في مخزن مفاتيح العميل.

باستخدام هذه المعلمات الثلاث، يوفر موفر الخدمة موارد Azure في المستأجر 1 التي يمكن تشفيرها باستخدام المفتاح المدار من قبل العميل في المستأجر 2.

دعونا نقسم الحل الشامل أعلاه إلى ثلاث مراحل:

يقوم موفر الخدمة بتكوين الهويات.
يمنح العميل التطبيق متعدد المستأجرين لموفر الخدمة حق الوصول إلى مفتاح تشفير في Azure Key Vault.
يقوم موفر الخدمة بتشفير البيانات في مورد Azure باستخدام CMK.

ستكون العمليات في المرحلة 1 إعدادا لمرة واحدة لمعظم تطبيقات موفر الخدمة. سيتم تكرار العمليات في المرحلتين 2 و3 لكل عميل.

المرحلة 1 - يقوم موفر الخدمة بتكوين تطبيق Microsoft Entra

الخطوة	‏‏الوصف	الحد الأدنى للدور في Azure RBAC	الحد الأدنى للدور في Microsoft Entra RBAC
1.	إنشاء تسجيل تطبيق Microsoft Entra متعدد المستأجرين جديد أو البدء بتسجيل تطبيق موجود. لاحظ معرف التطبيق (معرف العميل) لتسجيل التطبيق باستخدام مدخل Microsoft Azure أو Microsoft Graph API أو Azure PowerShell أو Azure CLI	بلا	تطوير التطبيقات
2.	إنشاء هوية مدارة يعينها المستخدم (لاستخدامها كبيانات اعتماد هوية موحدة). مدخل Microsoft Azure / Azure CLI / Azure PowerShell/ قوالب Azure Resource Manager	المساهم في الهوية المدارة	بلا
3.	تكوين الهوية المدارة المعينة من قبل المستخدم كبيانات اعتماد هوية موحدة على التطبيق، بحيث يمكن انتحال هوية التطبيق. مرجع واجهة برمجة تطبيقات Graph/ مدخل Microsoft Azure/ Azure CLI/ Azure PowerShell	بلا	مالك التطبيق
4.	شارك اسم التطبيق ومعرف التطبيق مع العميل، حتى يتمكنوا من تثبيت التطبيق وتخويله.	بلا	بلا

اعتبارات لموفري الخدمات

لا ينصح بقوالب Azure Resource Manager (ARM) لإنشاء تطبيقات Microsoft Entra.
يمكن استخدام نفس التطبيق متعدد المستأجرين للوصول إلى المفاتيح في أي عدد من المستأجرين، مثل المستأجر 2 والمستأجر 3 والمستأجر 4 وما إلى ذلك. في كل مستأجر، يتم إنشاء مثيل مستقل للتطبيق يحتوي على نفس معرف التطبيق ولكن معرف كائن مختلف. وهكذا يتم التصريح بكل مثيل من هذا التطبيق بشكل مستقل. ضع في اعتبارك كيفية استخدام كائن التطبيق المستخدم لهذه الميزة لتقسيم التطبيق الخاص بك عبر جميع العملاء.
- يمكن أن يكون للتطبيق 20 بيانات اعتماد هوية موحدة كحد أقصى، ما يتطلب من موفر الخدمة مشاركة الهويات الموحدة بين عملائه. لمزيد من المعلومات حول اعتبارات وقيود تصميم الهويات الموحدة، راجع تكوين تطبيق للثقة بموفر هوية خارجي
في سيناريوهات نادرة، قد يستخدم موفر الخدمة كائن تطبيق واحد لكل عميل، ولكن يتطلب ذلك تكاليف صيانة كبيرة لإدارة التطبيقات على نطاق واسع عبر جميع العملاء.
في مستأجر موفر الخدمة، لا يمكن أتمتة التحقق من الناشر.

المرحلة 2 - يصرح العميل بالوصول إلى خزنة المفاتيح

الخطوة	‏‏الوصف	أدوار Azure RBAC الأقل امتيازًا	أدوار Microsoft Entra الأقل امتيازا
1.	مستحسن: أرسل المستخدم لتسجيل الدخول إلى تطبيقك. إذا كان بإمكان المستخدم تسجيل الدخول، فإن كيان الخدمة لتطبيقك موجود في المستأجر الخاص به. استخدم Microsoft Graph أو Microsoft Graph PowerShell أو Azure PowerShell أو Azure CLI لإنشاء كيان الخدمة. إنشاء عنوان URL لموافقة المسؤول ومنح موافقة على مستوى المستأجر لإنشاء كيان الخدمة باستخدام معرف التطبيق.	بلا	المستخدمون الذين لديهم أذونات لتثبيت التطبيقات
2.	إنشاء Key Vault Azure ومفتاح يستخدم كمفتاح مدار من قبل العميل.	يجب تعيين دور مساهم Key Vault للمستخدم لإنشاء مخزن المفاتيح يجب تعيين دور مسؤول تشفير Key Vault للمستخدم لإضافة مفتاح إلى مخزن المفاتيح	بلا
3.	امنح هوية التطبيق الموافق عليها حق الوصول إلى مخزن مفاتيح Azure عن طريق تعيين الدور مستخدم تشفير خدمة التشفير Key Vault	لتعيين دور مستخدم تشفير خدمة التشفير Key Vault للتطبيق، يجب أن يكون قد تم تعيين دور مسؤول وصول المستخدم.	بلا
4.	انسخ عنوان URL لمخزن المفاتيح واسم المفتاح في تكوين المفاتيح المدارة من قبل العميل لعرض SaaS.	بلا	بلا

إشعار

لتخويل الوصول إلى HSM المدار للتشفير باستخدام CMK، راجع مثال حساب التخزين هنا. لمزيد من المعلومات حول إدارة المفاتيح باستخدام HSM المدار، راجع إدارة HSM المدار باستخدام Azure CLI

اعتبارات لعملاء موفري الخدمات

في مستأجر العميل، Tenant 2، يمكن للمسؤول تعيين نهج لمنع المستخدمين غير المسؤولين من تثبيت التطبيقات. يمكن أن تمنع هذه النهج المستخدمين غير المسؤولين من إنشاء كيانات الخدمة. إذا تم تكوين مثل هذا النهج، فيجب إشراك المستخدمين الذين لديهم أذونات لإنشاء كيانات الخدمة.
يمكن التصريح بالوصول إلى Azure Key Vault باستخدام Azure RBAC أو نهج الوصول. عند منح حق الوصول إلى مخزن مفاتيح، تأكد من استخدام الآلية النشطة لمخزن المفاتيح الخاص بك.
يحتوي تسجيل تطبيق Microsoft Entra على معرف تطبيق (معرف العميل). عند تثبيت التطبيق في المستأجر الخاص بك، يتم إنشاء كيان خدمة. يشارك كيان الخدمة نفس معرف التطبيق مثل تسجيل التطبيق، ولكنه ينشئ معرف الكائن الخاص به. عند تخويل التطبيق للوصول إلى الموارد، قد تحتاج إلى استخدام كيان Name الخدمة أو ObjectID الخاصية.

المرحلة 3 - يقوم موفر الخدمة بتشفير البيانات في مورد Azure باستخدام المفتاح الذي يديره العميل

بعد اكتمال المرحلتين 1 و2، يمكن لموفر الخدمة تكوين التشفير على مورد Azure باستخدام المفتاح وخزنة المفاتيح في مستأجر العميل ومورد Azure في مستأجر ISV. يمكن لموفر الخدمة تكوين المفاتيح التي يديرها العميل عبر المستأجرين باستخدام أدوات العميل المدعومة بواسطة مورد Azure هذا، باستخدام قالب ARM، أو باستخدام واجهة برمجة تطبيقات REST.

تكوين مفاتيح مدارة من قبل العملاء عبر المستأجرين

يصف هذا القسم كيفية تكوين مفتاح مدار بواسطة العميل عبر المستأجرين (CMK) وتشفير بيانات العميل. ستتعلم كيفية تشفير بيانات العميل في مورد في Tenant1 باستخدام CMK مخزن في مخزن مفاتيح في Tenant2. يمكنك استخدام مدخل Microsoft Azure أو Azure PowerShell أو Azure CLI.

سجِّل الدخول في مدخل Microsoft Azure واتبع هذه الخطوات.

يقوم موفر الخدمة بتكوين الهويات

يتم تنفيذ الخطوات التالية من قبل موفر الخدمة في المستأجر Tenant1 لموفر الخدمة.

يقوم موفر الخدمة بإنشاء تسجيل تطبيق جديد متعدد المستأجرين

يمكنك إما إنشاء تسجيل تطبيق Microsoft Entra جديد متعدد المستأجرين أو البدء بتسجيل تطبيق متعدد المستأجرين موجود. إذا بدأت بتسجيل تطبيق موجود، فلاحظ معرف التطبيق (معرف العميل) للتطبيق.

لإنشاء تسجيل جديد:

ابحث عن معرف Microsoft Entra في مربع البحث. حدد موقع ملحق معرف Microsoft Entra وحدده.
حدد إدارة > تسجيلات التطبيق من الجزء الأيسر.
حدد + New registration.
أدخل اسم تسجيل التطبيق وحدد Account في أي دليل تنظيمي (أي دليل Microsoft Entra - متعدد المستأجرين).
حدد تسجيل.
لاحظ ApplicationId/ClientId للتطبيق.

ينشئ موفر الخدمة هوية مدارة يعينها المستخدم

إنشاء هوية مدارة يعينها المستخدم لاستخدامها كبيانات اعتماد هوية موحدة.

ابحث عن الهويات المدارة في مربع البحث. حدد موقع ملحق الهويات المدارة وحدده.
حدد + إنشاء.
قدم مجموعة الموارد والمنطقة والاسم للدائرة.
حدد "Review + create".
عند النشر الناجح، لاحظ Azure ResourceId للهوية المدارة المعينة من قبل المستخدم، والتي تتوفر ضمن الخصائص. على سبيل المثال:

/subscriptions/tttttttt-0000-tttt-0000-tttt0000tttt/resourcegroups/XTCMKDemo/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ConsotoCMKDemoUA

يقوم موفر الخدمة بتكوين الهوية المدارة المعينة من قبل المستخدم كبيانات اعتماد موحدة على التطبيق

تكوين هوية مدارة يعينها المستخدم كبيانات اعتماد هوية موحدة على التطبيق، بحيث يمكن انتحال هوية التطبيق.

انتقل إلى Microsoft Entra ID > App registrations > التطبيق الخاص بك.
حدد الشهادات والأسرار.
حدد بيانات الاعتماد المتحدة.
حدد + إضافة بيانات اعتماد.
ضمن سيناريو بيانات الاعتماد الموحدة، حدد مفاتيح مدارة من قبل العميل.
انقر على تحديد هوية مدارة. من الجزء، حدد الاشتراك. في الهوية المدارة، حدد هوية مدارة معينة للمستخدم. في المربع تحديد، ابحث عن الهوية المدارة التي أنشأتها سابقًا، ثم انقر فوق تحديد في أسفل الجزء.
ضمن تفاصيل بيانات الاعتماد، أدخل اسمًا ووصفًا اختياريًا لبيانات الاعتماد وحدد إضافة.

لاستخدام Azure PowerShell لتكوين مستأجر ISV، قم بتثبيت أحدث وحدة نمطية Az . لمزيد من المعلومات حول تثبيت PowerShell، راجع تركيب Azure PowerShell على Windows باستخدام PowerShellGet.

إذا اخترت استخدام Azure PowerShell محليا:
- تثبيت أحدث إصدار من الوحدة النمطية Az PowerShell.
- اتصل بحساب Azure الخاص بك باستخدامConnect-AzAccount cmdlet.
إذا اخترت استخدام Azure Cloud Shell:
- لمزيد من المعلومات، راجع نظرة عامة على Azure Cloud Shell.

يقوم موفر الخدمة بتكوين الهويات

يتم تنفيذ الخطوات التالية من قبل موفر الخدمة (ISV) في مستأجر موفر الخدمة، Tenant1.

يقوم موفر الخدمة بتسجيل الدخول إلى Azure

في Azure PowerShell، سجل الدخول إلى مستأجر ISV وقم بتعيين الاشتراك النشط إلى اشتراك ISV.

$isvTenantId="<isv-tenant-id>"
$isvSubscriptionId="<isv-subscription-id>"

# Sign in to Azure in the ISV's tenant.
Connect-AzAccount -Tenant $isvTenantId
# Set the context to the ISV's subscription.
Set-AzContext -Subscription $isvSubscriptionId

يقوم موفر الخدمة بإنشاء تسجيل تطبيق جديد متعدد المستأجرين

اختر اسما للتطبيق المسجل متعدد المستأجرين في Tenant1، وأنشئ التطبيق متعدد المستأجرين في مدخل Microsoft Azure.

يستخدم العميل الاسم الذي توفره للتطبيق متعدد المستأجرين لتعريف التطبيق في Tenant2. لاحظ معرف كائن التطبيق ومعرف التطبيق. ستحتاج إلى هذه القيم في الخطوات اللاحقة.

$multiTenantAppName="<multi-tenant-app>"
$multiTenantApp = New-AzADApplication -DisplayName $multiTenantAppName `
    -SignInAudience AzureADMultipleOrgs

# Object ID for the new multi-tenant app
$objectId = $multiTenantApp.Id
# Application (client) ID for the multi-tenant app
$multiTenantAppObjectId = $multiTenantApp.AppId

ينشئ موفر الخدمة هوية مدارة يعينها المستخدم

سجل الدخول إلى مستأجر ISV، ثم قم بإنشاء هوية مدارة يعينها المستخدم لاستخدامها كبيانات اعتماد هوية موحدة. لإنشاء هوية مدارة جديدة يعينها المستخدم، يجب تعيين دور يتضمن إجراء Microsoft.ManagedIdentity/userAssignedIdentities/write .

$isvRgName="<isv-resource-group>"
$isvLocation="<location>"
$userIdentityName="<user-assigned-managed-identity>"

# Create a new resource group in the ISV's subscription.
New-AzResourceGroup -Location $isvLocation -ResourceGroupName $isvRgName

# Create the new user-assigned managed identity.
$userIdentity = New-AzUserAssignedIdentity -Name $userIdentityName `
    -ResourceGroupName $isvRgName `
    -Location $isvLocation `
    -SubscriptionId $isvSubscriptionId

يقوم موفر الخدمة بتكوين الهوية المدارة المعينة من قبل المستخدم كبيانات اعتماد موحدة على التطبيق

تكوين هوية مدارة يعينها المستخدم كبيانات اعتماد هوية موحدة على التطبيق، بحيث يمكن انتحال هوية التطبيق.

لتكوين بيانات اعتماد الهوية الموحدة من PowerShell، قم أولا بتثبيت الإصدار 6.3.0 أو أحدث من الوحدة النمطية Az.Resources .

New-AzADAppFederatedCredential -ApplicationObjectId $multiTenantApp.Id `
    -Name "MyFederatedIdentityCredential" `
    -Audience "api://AzureADTokenExchange" `
    -Issuer "https://login.microsoftonline.com/<tenant-id>/v2.0" `
    -Subject $userIdentity.PrincipalId `
    -Description "Federated Identity Credential for CMK"

استخدم بيئة Bash في Azure Cloud Shell. لمزيد من المعلومات، راجع التشغيل السريع ل Bash في Azure Cloud Shell.
إذا كنت تفضل تشغيل أوامر مرجع CLI محلياً قم بتثبيت CLI Azure. إذا كنت تعمل على نظام تشغيل Windows أو macOS، ففكر في تشغيل Azure CLI في حاوية Docker. لمزيد من المعلومات، راجع كيفية تشغيل Azure CLI في حاوية Docker.
- إذا كنت تستخدم تثبيت محلي، يُرجى تسجيل الدخول إلى Azure CLI مستخدمًا أمر az login. لإنهاء عملية المصادقة، اتبع الخطوات المعروضة في جهازك. للحصول على خيارات أخرى لتسجيل دخول، راجع تسجيل الدخول باستخدام Azure CLI.
- عندما يُطلب منك، قم بتثبيت ملحق Azure CLI عند الاستخدام لأول مرة. لمزيد من المعلومات بشأن الامتدادات، راجع استخدام امتدادات مع Azure CLI.
- يُرجى تشغيل إصدار az للوصول إلى الإصدار والمكتبات التابعة التي تم تثبيتها. للتحديث لآخر إصدار، يُرجى تشغيل تحديث az.

يقوم موفر الخدمة بتكوين الهويات

يتم تنفيذ الخطوات التالية من قبل موفر الخدمة في المستأجر Tenant1 لموفر الخدمة.

يقوم موفر الخدمة بتسجيل الدخول إلى Azure

تسجيل الدخول إلى Azure لاستخدام Azure CLI.

az login

يقوم موفر الخدمة بإنشاء تسجيل تطبيق جديد متعدد المستأجرين

اختر اسما لتطبيقك متعدد المستأجرين في Tenant1، وأنشئ التطبيق متعدد المستأجرين في مدخل Microsoft Azure.

يستخدم العميل الاسم الذي توفره للتطبيق متعدد المستأجرين لتعريف التطبيق في Tenant2. انسخ معرف التطبيق (أو معرف العميل) للتطبيق، ومعرف الكائن للتطبيق، وكذلك معرف المستأجر للتطبيق. ستحتاج إلى هذه القيم في الخطوات التالية.

multiTenantAppName="<multi-tenant-app>"
multiTenantAppObjectId=$(az ad app create --display-name $multiTenantAppName \
    --sign-in-audience AzureADMultipleOrgs \
    --query id \
    --output tsv)

multiTenantAppId=$(az ad app show --id $multiTenantAppObjectId --query appId --output tsv)

ينشئ موفر الخدمة هوية مدارة يعينها المستخدم

isvSubscriptionId="<isv-subscription-id>"
isvRgName="<isv-resource-group>"
isvLocation="<location>"
userIdentityName="<user-assigned-managed-identity>"

az group create --location $isvLocation \
    --resource-group $isvRgName \
    --subscription $isvSubscriptionId

principalId=$(az identity create --name $userIdentityName \
    --resource-group $isvRgName \
    --location $isvLocation \
    --subscription $isvSubscriptionId \
    --query principalId \
    --out tsv)

يقوم موفر الخدمة بتكوين الهوية المدارة المعينة من قبل المستخدم كبيانات اعتماد موحدة على التطبيق

بادر بتشغيل الأسلوب az ad app federated-credential create لتكوين بيانات اعتماد هوية موحدة على تطبيق وإنشاء علاقة ثقة مع موفر هوية خارجي.

استخدم api://AzureADTokenExchange كقيمة audience في بيانات اعتماد الهوية الموحدة. انظر مرجع واجهة برمجة التطبيقات لمزيد من التفاصيل.

# Create a file named "credential.json" with the following content.
# Replace placeholders in angle brackets with your own values.
{
    "name": "MyFederatedIdentityCredential",
    "issuer": "https://login.microsoftonline.com/<tenantID>/v2.0",
    "subject": "<user-assigned-identity-principal-id>",
    "description": "Federated Identity Credential for CMK",
    "audiences": [
        "api://AzureADTokenExchange"
    ]
}

az ad app federated-credential create --id $multiTenantAppObjectId --parameters credential.json

يشارك موفر الخدمة معرف التطبيق مع العميل

ابحث عن معرف التطبيق (معرف العميل) للتطبيق متعدد المستأجرين وشاركه مع العميل.

يمنح العميل تطبيق موفر الخدمة حق الوصول إلى المفتاح في key vault

يتم تنفيذ الخطوات التالية من قبل العميل في المستأجر الخاص بالعميل Tenant2. يمكن للعميل استخدام مدخل Microsoft Azure أو Azure PowerShell أو Azure CLI.

يجب أن يكون المستخدم الذي ينفذ الخطوات مسؤولًا له دور متميز مثل مسؤول التطبيق أو مسؤول تطبيق السحابة أو المسؤول العام.

سجِّل الدخول في مدخل Microsoft Azure واتبع هذه الخطوات.

يقوم العميل بتثبيت تطبيق موفر الخدمة في مستأجر العميل

لتثبيت التطبيق المسجل لموفر الخدمة في مستأجر العميل، يمكنك إنشاء كيان خدمة بمعرف التطبيق من التطبيق المسجل. يمكنك إنشاء كيان الخدمة بأي من الطرق التالية:

استخدم Microsoft Graph أو Microsoft Graph PowerShell أو Azure PowerShell أو Azure CLI لإنشاء كيان الخدمة يدويًا.
إنشاء عنوان URL لموافقة المسؤول ومنح موافقة على مستوى المستأجر لإنشاء كيان الخدمة. ستحتاج إلى تزويدهم بـ AppId الخاص بك.

ينشئ العميل مخزن مفاتيح

لإنشاء مخزن المفاتيح، يجب تعيين دور مساهم Key Vault أو دور آخر يسمح بإنشاء مخزن مفاتيح.

من قائمة مدخل Microsoft Azure، أو من الصفحة الرئيسية، حدد + إنشاء مورد. في مربع البحث، أدخل مخازن المفاتيح. من قائمة النتائج، حدد مخازن المفاتيح. في صفحة مخازن المفاتيح، حدد إنشاء.
في علامة تبويب الأساسيات، اختر اشتراكًا. ضمن مجموعة الموارد: حدد أنشئ واحدة جديدة* وأدخل اسم مجموعة موارد.
أدخل اسماً فريداً لمخزن المفاتيح.
حدد منطقة وطبقة تسعير.
تمكين حماية التطهير لمخزن المفاتيح الجديد.
في علامة التبويب نهج الوصول، حدد التحكم في الوصول المستند إلى الدور في Azureلنموذج الإذن.
حدد "Review + create" ثم "Create".

لاحظ أن اسم مخزن المفاتيح وتطبيقات URI التي تصل إلى خزنة المفاتيح الخاصة بك يجب أن تستخدم URI هذا.

لمزيد من المعلومات، راجع التشغيل السريع - إنشاء Azure Key Vault باستخدام مدخل Microsoft Azure.

يعيّن العميل دور مسؤول تشفير Key Vault لحساب مستخدم

تضمن هذه الخطوة أنه يمكنك إنشاء مفاتيح التشفير.

انتقل إلى مخزن المفاتيح وحدد Access Control (IAM) من الجزء الأيمن.
ضمن منح حق الوصول إلى هذا المورد، حدد إضافة تعيين دور.
ابحث عن مسؤول تشفير Key Vault وحدده.
ضمن الأعضاء، حدد المستخدم أو المجموعة أو كيان الخدمة.
حدد الأعضاء وابحث عن حساب المستخدم الخاص بك.
حدد Review + Assign.

ينشئ العميل مفتاح تشفير

لإنشاء مفتاح التشفير، يجب تعيين دور مسؤول تشفير Key Vault أو دور آخر يسمح بإنشاء مفتاح.

في صفحات خصائص Key Vault، حدد المفاتيح.
حدد إنشاء/استيراد.
في شاشة إنشاء مفتاح ، حدد اسما للمفتاح. اترك الخيارات الأخرى بإعداداتها الافتراضية.
حدد إنشاء.
نسخ معرف موارد منتظم للمفتاح.

يمنح العميل تطبيق موفر الخدمة حق الوصول إلى مخزن المفاتيح

قم بتعيين دور Azure RBAC مستخدم تشفير خدمة تشفير Key Vault إلى التطبيق المسجل لموفر الخدمة حتى يتمكن من الوصول إلى مخزن المفاتيح.

انتقل إلى مخزن المفاتيح وحدد Access Control (IAM) من الجزء الأيمن.
ضمن منح حق الوصول إلى هذا المورد، حدد إضافة تعيين دور.
ابحث عن مستخدم تشفير خدمة تشفير Key Vault وحدده.
ضمن الأعضاء، حدد المستخدم أو المجموعة أو كيان الخدمة.
حدد الأعضاء وابحث عن اسم التطبيق للتطبيق الذي قمت بتثبيته من موفر الخدمة.
حدد Review + Assign.

الآن يمكنك تكوين المفاتيح المدارة من قبل العميل باستخدام معرف موارد منتظم لخزنة المفاتيح والمفتاح.

لاستخدام Azure PowerShell لتكوين مستأجر العميل، قم بتثبيت أحدث وحدة نمطية من Az . لمزيد من المعلومات حول تثبيت PowerShell، راجع تركيب Azure PowerShell على Windows باستخدام PowerShellGet.

إذا اخترت استخدام Azure PowerShell محليا:
- تثبيت أحدث إصدار من الوحدة النمطية Az PowerShell.
- اتصل بحساب Azure الخاص بك باستخدامConnect-AzAccount cmdlet.
إذا اخترت استخدام Azure Cloud Shell:
- لمزيد من المعلومات، راجع نظرة عامة على Azure Cloud Shell.

يسجل العميل الدخول إلى Azure

في Azure PowerShell، سجل الدخول إلى مستأجر العميل وقم بتعيين الاشتراك النشط إلى اشتراك العميل.

$customerTenantId="<customer-tenant-id>"
$customerSubscriptionId="<customer-subscription-id>"

# Sign in to Azure in the customer's tenant.
Connect-AzAccount -Tenant $customerTenantId
# Set the context to the customer's subscription.
Set-AzContext -Subscription $customerSubscriptionId

يقوم العميل بتثبيت تطبيق موفر الخدمة في مستأجر العميل

بمجرد تلقي معرف التطبيق للتطبيق متعدد المستأجرين لموفر الخدمة، قم بتثبيت التطبيق في المستأجر الخاص بك، Tenant2، عن طريق إنشاء كيان خدمة.

تنفيذ الأوامر التالية في المستأجر حيث تخطط لإنشاء مخزن المفاتيح.

$customerRgName="<customer-resource-group>"
$customerLocation="<location>"
$multiTenantAppId="<multi-tenant-app-id>" # appId value from Tenant1 

# Create a resource group in the customer's subscription.
New-AzResourceGroup -Location $customerLocation -ResourceGroupName $customerRgName

# Create the service principal with the registered app's application ID (client ID).
$servicePrincipal = New-AzADServicePrincipal -ApplicationId $multiTenantAppId

ينشئ العميل مخزن مفاتيح

لإنشاء مخزن المفاتيح، يجب تعيين دور مساهم Key Vault أو دور آخر يسمح بإنشاء مخزن مفاتيح.

$kvName="<key-vault>"

$kv = New-AzKeyVault -Location $customerLocation `
    -Name $kvName `
    -ResourceGroupName $customerRgName `
    -SubscriptionId $customerSubscriptionId `
    -EnablePurgeProtection `
    -EnableRbacAuthorization

يعيّن العميل دور مسؤول تشفير Key Vault لحساب مستخدم

تعيين دور Key Vault Crypto Officer إلى حساب مستخدم. تضمن هذه الخطوة أن المستخدم يمكنه إنشاء مخزن المفاتيح ومفاتيح التشفير. يعين المثال أدناه الدور للمستخدم الحالي الذي سجل الدخول.

$currentUserObjectId = (Get-AzADUser -SignedIn).Id

New-AzRoleAssignment -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $kv.ResourceId `
    -ObjectId $currentUserObjectId

ينشئ العميل مفتاح تشفير

لإنشاء مفتاح التشفير، يجب تعيين دور مسؤول تشفير Key Vault أو دور آخر يسمح بإنشاء مفتاح.

$keyName="<key-name>"

Add-AzKeyVaultKey -Name $keyName `
    -VaultName $kvName `
    -Destination software

يمنح العميل تطبيق موفر الخدمة حق الوصول إلى مخزن المفاتيح

قم بتعيين دور Azure RBAC Key Vault Crypto Service Encryption User إلى التطبيق المسجل لموفر الخدمة، عبر كيان الخدمة الذي قمت بإنشائه سابقا، حتى يتمكن من الوصول إلى مخزن المفاتيح.

New-AzRoleAssignment -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $kv.ResourceId `
    -ObjectId $servicePrincipal.Id

الآن يمكنك تكوين المفاتيح المدارة من قبل العميل باستخدام معرف موارد منتظم لخزنة المفاتيح والمفتاح.

استخدم بيئة Bash في Azure Cloud Shell. لمزيد من المعلومات، راجع التشغيل السريع ل Bash في Azure Cloud Shell.
إذا كنت تفضل تشغيل أوامر مرجع CLI محلياً قم بتثبيت CLI Azure. إذا كنت تعمل على نظام تشغيل Windows أو macOS، ففكر في تشغيل Azure CLI في حاوية Docker. لمزيد من المعلومات، راجع كيفية تشغيل Azure CLI في حاوية Docker.
- إذا كنت تستخدم تثبيت محلي، يُرجى تسجيل الدخول إلى Azure CLI مستخدمًا أمر az login. لإنهاء عملية المصادقة، اتبع الخطوات المعروضة في جهازك. للحصول على خيارات أخرى لتسجيل دخول، راجع تسجيل الدخول باستخدام Azure CLI.
- عندما يُطلب منك، قم بتثبيت ملحق Azure CLI عند الاستخدام لأول مرة. لمزيد من المعلومات بشأن الامتدادات، راجع استخدام امتدادات مع Azure CLI.
- يُرجى تشغيل إصدار az للوصول إلى الإصدار والمكتبات التابعة التي تم تثبيتها. للتحديث لآخر إصدار، يُرجى تشغيل تحديث az.

يسجل العميل الدخول إلى Azure

تسجيل الدخول إلى Azure لاستخدام Azure CLI.

az login

يقوم العميل بتثبيت تطبيق موفر الخدمة في مستأجر العميل

بمجرد تلقي معرف التطبيق للتطبيق متعدد المستأجرين لموفر الخدمة، قم بتثبيت التطبيق في المستأجر Tenant2 باستخدام الأمر التالي. يؤدي تثبيت التطبيق إلى إنشاء كيان خدمة في المستأجر الخاص بك.

تنفيذ الأوامر التالية في المستأجر حيث تخطط لإنشاء مخزن المفاتيح.

# Create the service principal with the registered app's application ID (client ID)
multiTenantAppId="<multi-tenant-app-id>"
az ad sp create --id $multiTenantAppId --query id --out tsv

ينشئ العميل مخزن مفاتيح

لإنشاء مخزن المفاتيح، يجب تعيين دور مساهم Key Vault أو دور آخر يسمح بإنشاء مخزن مفاتيح.

customerSubscriptionId="<customer-subscription-id>"
customerRgName="<customer-resource-group>"
customerLocation="<location>"
kvName="<key-vault>"

az group create --location $customerLocation \
    --name $customerRgName

az keyvault create --name $kvName \
    --location $customerLocation \
    --resource-group $customerRgName \
    --subscription $customerSubscriptionId \
    --enable-purge-protection true \
    --enable-rbac-authorization true

يعيّن العميل دور مسؤول تشفير Key Vault لحساب مستخدم

تضمن هذه الخطوة أنه يمكنك إنشاء مخزن المفاتيح ومفاتيح التشفير.

currentUserObjectId=$(az ad signed-in-user show --query id --output tsv)

kvResourceId=$(az keyvault show --resource-group $customerRgName \
    --name $kvName \
    --query id \
    --output tsv)

az role assignment create --role "Key Vault Crypto Officer" \
    --scope $kvResourceId \
    --assignee-object-id $currentUserObjectId

ينشئ العميل مفتاح تشفير

لإنشاء مفتاح التشفير، يجب تعيين دور مسؤول تشفير Key Vault أو دور آخر يسمح بإنشاء مفتاح.

keyName="<key-name>"
az keyvault key create --name $keyName --vault-name $kvName

يمنح العميل تطبيق موفر الخدمة حق الوصول إلى مخزن المفاتيح

قم بتعيين دور Azure RBAC Key Vault Crypto Service Encryption User إلى التطبيق المسجل لموفر الخدمة، عبر كيان الخدمة الذي قمت بإنشائه سابقا، بحيث يمكن للتطبيق المسجل الوصول إلى مخزن المفاتيح.

servicePrincipalId=$(az ad sp show --id $multiTenantAppId --query id --output tsv)

az role assignment create --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId \
    --assignee-object-id $servicePrincipalId

الآن يمكنك تكوين المفاتيح المدارة من قبل العميل باستخدام معرف موارد منتظم لخزنة المفاتيح والمفتاح.

إنشاء حساب تخزين جديد مشفر بمفتاح من مستأجر مختلف

حتى هذه النقطة، قمت بتكوين التطبيق متعدد المستأجرين على مستأجر ISV، وتثبيت التطبيق على مستأجر العميل، وتكوين مخزن المفاتيح والمفتاح على مستأجر العميل. بعد ذلك، يمكنك إنشاء حساب تخزين جديد على مستأجر ISV وتكوين المفاتيح التي يديرها العميل باستخدام المفتاح من مستأجر العميل.

يجب عليك استخدام هوية مدارة حالية تم تعيينها من قبل المستخدم لتخويل الوصول إلى مخزن المفاتيح عند تكوين المفاتيح التي يديرها العميل أثناء إنشاء حساب التخزين. يجب أن يكون للهوية المدارة المعينة من قبل المستخدم الأذونات المناسبة للوصول إلى مخزن المفاتيح. لمزيد من المعلومات، راجع المصادقة على Azure Key Vault.

عند تكوين التشفير باستخدام المفاتيح التي يديرها العميل لحساب تخزين موجود، يمكنك اختيار تحديث إصدار المفتاح المستخدم لتشفير Azure Storage تلقائياً، كلما توفر إصدار جديد في مخزن المفاتيح المقترن. للقيام بذلك، احذف إصدار المفتاح من معرف موارد منتظم للمفتاح. بدلاً من ذلك، يمكنك تحديد إصدار مفتاح بشكل صريح لاستخدامه للتشفير حتى يتم تحديث إصدار المفتاح يدوياً. بما في ذلك إصدار المفتاح على معرف موارد منتظم للمفتاح يقوم بتكوين المفاتيح التي يديرها العميل للتحديث اليدوي لإصدار المفتاح.

هام

لتدوير مفتاح، قم بإنشاء إصدار جديد من المفتاح في Azure Key Vault. لا يتعامل Azure Storage مع تدوير المفتاح، لذلك ستحتاج إلى إدارة تدوير المفتاح في مخزن المفاتيح. يمكنك تكوين التدوير التلقائي للمفتاح في Azure Key Vault أو تدوير المفتاح يدويًا.

يتحقق Azure Storage من مخزن المفاتيح للحصول على إصدار مفتاح جديد مرة واحدة فقط يوميًا. عند تدوير مفتاح في Azure Key Vault، تأكد من الانتظار لمدة 24 ساعة قبل تعطيل الإصدار الأقدم.

لتكوين المفاتيح التي يديرها العميل عبر المستأجر لحساب تخزين جديد في مدخل Microsoft Azure، يرجى اتباع الخطوات التالية:

في مدخل Microsoft Azure، انتقل إلى صفحة حسابات التخزين في مستأجر ISV، وحدد الزر إنشاء لإنشاء حساب جديد.
اتبع الخطوات الموضحة في إنشاء حساب تخزين لملء الحقول الموجودة في علامات التبويب الأساسيات، ومتقدم، والشبكات، وحماية البيانات.
في علامة التبويب تشفير، حدد الخدمات التي تريد تمكين دعم المفاتيح التي يديرها العميل في الحقل تمكين الدعم للمفاتيح المدارة من قبل العميل.
في الحقل نوع التشفير، حدد المفاتيح المدارة من قبل العميل (CMK).
في حقل مفتاح التشفير، اختر إدخال مفتاح من مخزن المفاتيح، وحدد مفتاح URI. حذف إصدار المفتاح من معرف موارد منتظم إذا كنت تريد أن يتحقق Azure Storage تلقائيًا من وجود إصدار مفتاح جديد وتحديثه.
بالنسبة لحقل الهوية المعين من قبل المستخدم، ابحث عن الهوية المدارة المعينة من قبل المستخدم التي قمت بإنشائها مسبقًا في مستأجر ISV.
قم بتوسيع قسم متقدم، وحدد التطبيق المسجل متعدد المستأجرين الذي قمت بإنشائه مسبقًا في مستأجر ISV.
حدد الزر مراجعة للتحقق من الصحة وإنشاء الحساب.

لتكوين مفاتيح مدارة من قبل العملاء عبر المستأجرين لحساب تخزين جديد في PowerShell، قم أولا بتثبيت الوحدة النمطية Az.Storage PowerShell، الإصدار 5.1.0 أو أحدث. تم تثبيت هذه الوحدة النمطية مع الوحدة النمطية Az PowerShell، الإصدار 9.1.0 أو أحدث.

بعد ذلك، اتصل ب New-AzStorageAccount، مع توفير معرف المورد للهوية المدارة المعينة من قبل المستخدم التي قمت بتكوينها مسبقا في اشتراك ISV، ومعرف التطبيق (العميل) للتطبيق متعدد المستأجرين الذي قمت بتكوينه مسبقا في اشتراك ISV. قم بتوفير عنوان URI لمخزن المفاتيح واسم المفتاح من مخزن مفاتيح العميل.

تذكر استبدال قيم العناصر النائبة بين قوسين بقيمك الخاصة واستخدام المتغيرات المحددة في الأمثلة السابقة.

$accountName = "<account-name>"
$kvUri = "<key-vault-uri>"
$keyName = "<keyName>"
$location = "<location>"
$multiTenantAppId = "<application-id>" # appId value from multi-tenant app

$userIdentity = Get-AzUserAssignedIdentity -Name <user-assigned-identity> -ResourceGroupName $rgName

New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Kind StorageV2 `
    -SkuName Standard_LRS `
    -Location $location `
    -AllowBlobPublicAccess $false `
    -UserAssignedIdentityId $userIdentity.Id `
    -IdentityType SystemAssignedUserAssigned `
    -KeyName $keyName `
    -KeyVaultUri $kvUri `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id `
    -KeyVaultFederatedClientId $multiTenantAppId

لتكوين مفاتيح مدارة من قبل العملاء عبر المستأجرين لحساب تخزين جديد باستخدام Azure CLI، قم أولا بتثبيت Azure CLI، الإصدار 2.42.0 أو أحدث. للمزيد من المعلومات حول تثبيت Azure CLI، راجع كيفية تثبيت Azure CLI.

بعد ذلك، قم باستدعاء az storage account create، مع توفير معرف المورد للهوية المدارة المعينة من قبل المستخدم التي قمت بتكوينها مسبقا في اشتراك ISV، ومعرف التطبيق (العميل) للتطبيق متعدد المستأجرين الذي قمت بتكوينه مسبقا في اشتراك ISV. قم بتوفير عنوان URI لمخزن المفاتيح واسم المفتاح من مخزن مفاتيح العميل.

تذكر استبدال قيم العناصر النائبة بين قوسين بقيمك الخاصة واستخدام المتغيرات المحددة في الأمثلة السابقة.

accountName="<storage-account>"
kvUri="<key-vault-uri>"
keyName="<key-name>"
multiTenantAppId="<multi-tenant-app-id>" # appId value from multi-tenant app

# Get the resource ID for the user-assigned managed identity.
identityResourceId=$(az identity show --name $managedIdentity \
    --resource-group $isvRgName \
    --query id \
    --output tsv)

az storage account create \
    --name $accountName \
    --resource-group $isvRgName \
    --location $isvLocation \
    --sku Standard_LRS \
    --kind StorageV2 \
    --allow-blob-public-access false \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-vault $kvUri \
    --encryption-key-name $keyName \
    --encryption-key-source Microsoft.Keyvault \
    --key-vault-user-identity-id $identityResourceId \
    --key-vault-federated-client-id $multiTenantAppId

يمكنك أيضاً تكوين المفاتيح التي يديرها العميل من خلال التحديث اليدوي لإصدار المفتاح عند إنشاء حساب تخزين جديد. للقيام بذلك، قم بتضمين إصدار المفتاح عند تحديد مفتاح URI.

غيّر المفتاح

يمكنك تغيير المفتاح الذي تستخدمه لتشفير Azure Storage في أي وقت.

إشعار

عند تغيير المفتاح أو إصدار المفتاح، تتغير حماية مفتاح التشفير الجذر، ولكن تظل البيانات الموجودة في حساب Azure Storage مشفرة في جميع الأوقات. لا يوجد إجراء إضافي مطلوب من جانبك لضمان حماية البيانات. لا يؤثر تغيير المفتاح أو تدوير إصدار المفتاح على الأداء. لا يوجد وقت تعطل مقترن بتغيير المفتاح أو تدوير إصدار المفتاح.

لتغيير المفتاح باستخدام مدخل Azure، اتبع الخطوات التالية:

انتقل إلى حساب التخزين لديك، واعرض إعدادات التشفير.
حدد مخزن المفاتيح، واختر مفتاحاً جديداً.
احفظ تغييراتك.

إبطال الوصول إلى حساب تخزين يستخدم مفاتيح يديرها العميل

لإبطال الوصول إلى حساب تخزين يستخدم مفاتيح يديرها العميل مؤقتا، قم بتعطيل المفتاح المستخدم حاليا في مخزن المفاتيح. لا يوجد أي تأثير على الأداء أو وقت تعطل مقترن بتعطيل المفتاح وإعادة تمكينه.

بعد تعطيل المفتاح، لا يمكن للعملاء استدعاء العمليات التي تقرأ من أو تكتب إلى كائن ثنائي كبير الحجم أو بيانات التعريف الخاصة به. للحصول على معلومات حول العمليات التي ستفشل، راجع إبطال الوصول إلى حساب تخزين يستخدم مفاتيح يديرها العميل.

تنبيه

عند تعطيل المفتاح في مخزن المفاتيح، تظل البيانات الموجودة في حساب Azure Storage مشفرة، ولكن يصبح الوصول إليها غير قابل للوصول حتى تتمكن من إعادة تمكين المفتاح.

لتعطيل مفتاح مدار من قبل العميل باستخدام مدخل Microsoft Azure، اتبع الخطوات التالية:

انتقل إلى key vault الذي يحتوي على المفتاح.
ضمن Objects، حدد Keys.
انقر بزر الماوس الأيمن فوق المفتاح وحدد تعطيل.

لإبطال مفتاح مدار من قبل العميل باستخدام PowerShell، قم باستدعاء الأمر Update-AzKeyVaultKey ، كما هو موضح في المثال التالي. تذكر استبدال قيم العنصر النائب بين قوسين بالقيم الخاصة بك لتعريف المتغيرات، أو استخدام المتغيرات المعرفة في الأمثلة السابقة.

$kvName  = "<key-vault-name>"
$keyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it

# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $keyName -VaultName $kvName

# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $kvName -Name $keyName -Enable $enabled

لإبطال مفتاح مدار من قبل العميل باستخدام Azure CLI، قم باستدعاء الأمر az keyvault key set-attributes ، كما هو موضح في المثال التالي. تذكر استبدال قيم العنصر النائب بين قوسين بالقيم الخاصة بك لتعريف المتغيرات، أو استخدام المتغيرات المعرفة في الأمثلة السابقة.

kvName="<key-vault-name>"
keyName="<key-name>"
enabled="false"
# "false" to disable the key / "true" to enable it:

# Check the current state of the key (before and after enabling/disabling it)
az keyvault key show \
    --vault-name $kvName \
    --name $keyName

# Disable (or enable) the key
az keyvault key set-attributes \
    --vault-name $kvName \
    --name $keyName \
    --enabled $enabled

التبديل مرة أخرى إلى المفاتيح التي تديرها Microsoft

يمكنك التبديل من المفاتيح التي يديرها العميل مرة أخرى إلى المفاتيح التي تديرها Microsoft في أي وقت، باستخدام مدخل Microsoft Azure أو PowerShell أو Azure CLI.

للتبديل من المفاتيح المدارة من قبل العميل مرة أخرى إلى المفاتيح المدارة من قبل Microsoft في مدخل Microsoft Azure، اتبع الخطوات التالية:

انتقل إلى حساب التخزين الخاص بك.
ضمن Security + networking، حدد Encryption.
تغيير نوع التشفير إلى المفاتيح التي تديرها Microsoft.

للتبديل من المفاتيح المدارة من قبل العميل مرة أخرى إلى المفاتيح المدارة من قبل Microsoft باستخدام PowerShell، اتصل ب Set-AzStorageAccount مع -StorageEncryption الخيار ، كما هو موضح في المثال التالي. تذكر استبدال قيم العناصر النائبة بين قوسين بقيمك الخاصة واستخدام المتغيرات المحددة في الأمثلة السابقة.

Set-AzStorageAccount -ResourceGroupName $storageAccount.ResourceGroupName `
    -AccountName $storageAccount.StorageAccountName `
    -StorageEncryption

للتبديل من المفاتيح المدارة من قبل العميل مرة أخرى إلى المفاتيح المدارة من قبل Microsoft باستخدام Azure CLI، اتصل بتحديث حساب تخزين az وقم بتعيين --encryption-key-source parameter إلى Microsoft.Storage، كما هو موضح في المثال التالي. تذكر استبدال قيم العناصر النائبة بين قوسين بقيمك الخاصة واستخدام المتغيرات المحددة في الأمثلة السابقة.

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-source Microsoft.Storage

مشاركة عبر

تكوين المفاتيح التي يديرها العميل عبر المستأجر لحساب تخزين جديد

استخدام المفاتيح المُدارة بواسطة العملاء عبر المستأجر

المرحلة 1 - يقوم موفر الخدمة بتكوين تطبيق Microsoft Entra

اعتبارات لموفري الخدمات

المرحلة 2 - يصرح العميل بالوصول إلى خزنة المفاتيح

اعتبارات لعملاء موفري الخدمات

المرحلة 3 - يقوم موفر الخدمة بتشفير البيانات في مورد Azure باستخدام المفتاح الذي يديره العميل

تكوين مفاتيح مدارة من قبل العملاء عبر المستأجرين

يقوم موفر الخدمة بتكوين الهويات

يقوم موفر الخدمة بإنشاء تسجيل تطبيق جديد متعدد المستأجرين

ينشئ موفر الخدمة هوية مدارة يعينها المستخدم

يقوم موفر الخدمة بتكوين الهوية المدارة المعينة من قبل المستخدم كبيانات اعتماد موحدة على التطبيق

يشارك موفر الخدمة معرف التطبيق مع العميل

يمنح العميل تطبيق موفر الخدمة حق الوصول إلى المفتاح في key vault

يقوم العميل بتثبيت تطبيق موفر الخدمة في مستأجر العميل

ينشئ العميل مخزن مفاتيح

يعيّن العميل دور مسؤول تشفير Key Vault لحساب مستخدم

ينشئ العميل مفتاح تشفير

يمنح العميل تطبيق موفر الخدمة حق الوصول إلى مخزن المفاتيح

إنشاء حساب تخزين جديد مشفر بمفتاح من مستأجر مختلف

غيّر المفتاح

إبطال الوصول إلى حساب تخزين يستخدم مفاتيح يديرها العميل

التبديل مرة أخرى إلى المفاتيح التي تديرها Microsoft

(راجع أيضًا )

الموارد الإضافية