تكوين التشفير باستخدام مفاتيح يديرها العميل مخزنة في Azure Key Vault

مقالة
05/17/2022
قراءة خلال 16 دقائق

يقوم Azure Storage بتشفير كافة البيانات الثابتة في حساب تخزين. بشكل افتراضي، يتم تشفير البيانات باستخدام المفاتيح المُدارة من قِبل Microsoft. لمزيد من التحكم في مفاتيح التشفير، يمكنك إدارة المفاتيح الخاصة بك. يجب تخزين المفاتيح المدارة بواسطة العميل في Azure Key Vault أو نموذج أمان الأجهزة المدارة من Key Vault (HSM).

توضح هذه المقالة كيفية تكوين التشفير باستخدام المفاتيح التي يديرها العميل والمخزنة في مخزن مفاتيح باستخدام مدخل Azure أو PowerShell أو Azure CLI. لمعرفة كيفية تكوين التشفير باستخدام المفاتيح المدارة من قبل العميل المخزنة في HSM مدار، راجع تكوين التشفير باستخدام المفاتيح المدارة من قبل العميل المخزنة في HSM المدارة لـ Azure Key Vault.

ملاحظة

يدعم Azure Key Vault وHSM المدار لـ Azure Key Vault نفس واجهات برمجة التطبيقات والواجهات الخاصة بإدارة التكوين.

تكوين مخزن مفاتيح

يمكنك استخدام مخزن مفاتيح جديد أو موجود لتخزين المفاتيح المدارة من قبل العملاء. قد يكون حساب التخزين ومخزن المفاتيح في مناطق مختلفة أو اشتراكات في المستأجر نفسه. لمعرفة المزيد حول Azure Key Vault، راجع نظرة عامة على Azure Key Vault وما المقصود بـ Azure Key Vault؟.

يتطلب استخدام المفاتيح المدارة من قبل العملاء مع تشفير Azure Storage تمكين حماية الإزالة والحذف المبدئي لمخزن المفاتيح. يتم تمكين الحذف المبدئي بشكل افتراضي عند إنشاء مخزن مفاتيح جديد ولا يمكن تعطيله. يمكنك تمكين حماية الإزالة إما عند إنشاء مخزن المفاتيح أو بعد إنشائه.

لمعرفة كيفية إنشاء مخزن مفاتيح باستخدام مدخل Microsoft Azure، راجع التشغيل السريع: إنشاء مخزن مفاتيح باستخدام مدخل Azure. عند إنشاء مخزن المفاتيح، حدد تمكين الحماية من الإزالة، كما هو موضح في الصورة التالية.

Screenshot showing how to enable purge protection when creating a key vault

لتمكين الحماية من الإزالة على مخزن مفاتيح موجود، اتبع الخطوات التالية:

انتقل إلى Key Vault في مدخل Azure.
ضمن الإعدادات، اختر خصائص.
في القسم الحماية من الإزالة، اختر تمكين الحماية من الإزالة.

لإنشاء مخزن مفاتيح جديد باستخدام PowerShell، قم بتثبيت الإصدار 2.0.0 أو إصدار أحدث من الوحدة Az.KeyVault PowerShell. بعدها قم باستدعاء New-AzKeyVault لإنشاء مخزن مفاتيح جديد. مع الإصدار 2.0.0 والإصدارات الأحدث من الوحدة Az.KeyVault، يتم تمكين الحذف المبدئي بشكل افتراضي عند إنشاء مخزن مفاتيح جديد.

ينشئ المثال التالي مخزن مفتاح جديداً مع تمكين كل من الحماية من الإزالة والحذف المبدئي. تذكَّر استبدال قيم العناصر النائبة في الأقواس بقيمك.

$keyVault = New-AzKeyVault -Name <key-vault> `
    -ResourceGroupName <resource_group> `
    -Location <location> `
    -EnablePurgeProtection

لمعرفة كيفية تمكين الحماية من الإزالة على مخزن مفاتيح موجود باستخدام PowerShell، راجع نظرة عامة على استرداد Azure Key Vault.

لإنشاء مخزن مفاتيح جديد باستخدام Azure CLI، قم باستدعاء az keyvault create. تذكَّر استبدال قيم العناصر النائبة في الأقواس بالقيم الخاصة بك:

az keyvault create \
    --name <key-vault> \
    --resource-group <resource_group> \
    --location <region> \
    --enable-purge-protection

لمعرفة كيفية تمكين الحماية من الإزالة على مخزن مفاتيح موجود باستخدام Azure CLI، راجع نظرة عامة على استرداد Azure Key Vault.

إضافة مفتاح

بعد ذلك، أضف مفتاحاً إلى مخزن المفاتيح.

يدعم تشفير Azure Storage مفاتيح RSA وRSA-HSM ذات الأحجام 2048 و3072 و4096. لمزيد من المعلومات حول أنواع المفاتيح المدعومة، راجع حول المفاتيح.

لمعرفة كيفية إضافة مفتاح باستخدام مدخل Azure، راجع التشغيل السريع: تعيين مفتاح من Azure واسترداده Key Vault باستخدام مدخل Azure.

لإضافة مفتاح باستخدام PowerShell، قم باستدعاء Add-AzKeyVaultKey. تذكر استبدال قيم العناصر النائبة بين قوسين بقيمك الخاصة واستخدام المتغيرات المحددة في الأمثلة السابقة.

$key = Add-AzKeyVaultKey -VaultName $keyVault.VaultName `
    -Name <key> `
    -Destination 'Software'

لإضافة مفتاح باستخدام Azure CLI، قم باستدعاء az keyvault key create. تذكَّر استبدال قيم العناصر النائبة في الأقواس بقيمك.

az keyvault key create \
    --name <key> \
    --vault-name <key-vault>

اختيار هوية مدارة لتخويل الوصول إلى مخزن المفاتيح

عند تمكين المفاتيح التي يديرها العميل لحساب تخزين، يجب عليك تحديد هوية مدارة سيتم استخدامها لتخويل الوصول إلى مخزن المفاتيح الذي يحتوي على المفتاح. يجب أن يكون للهوية المدارة أذونات للوصول إلى المفتاح في مخزن المفاتيح.

قد تكون الهوية المدارة التي تخول الوصول إلى مخزن المفاتيح إما هوية مدارة معينة من قبل المستخدم أو معينة من قبل النظام، بناء على السيناريو الخاص بك:

عند تكوين المفاتيح المدارة من قبل العميل في الوقت الذي تنشئ فيه حساب تخزين، يجب عليك تحديد هوية مدارة معينة من قبل المستخدم.
عند تكوين المفاتيح المدارة من قبل العميل على حساب تخزين موجود، يمكنك تحديد إما هوية مدارة معينة من قبل المستخدم أو هوية مدارة معينة من قبل النظام.

للتعرف على أنواع الهويات المُدارة التي يعيّنها النظام مقابل التي يعينها المستخدم، راجع أنواع الهويات المُدارة.

استخدام هوية مدارة معينة من قبل المستخدم لتخويل الوصول

يعتبر المورد المعين من قبل المستخدم مورد Azure مستقلاً. للتعرف على كيفية إنشاء هوية مُدارة معينة من قِبل المستخدم وإدارتها، راجع إدارة الهويات المُدارة المعينة من قِبل المستخدم.

يمكن لكل من حسابات التخزين الجديدة والحالية استخدام هوية معينة من قِبل المستخدم لتخويل الوصول إلى مخزن المفاتيح. يجب إنشاء الهوية المعينة من قبل المستخدم قبل تكوين المفاتيح التي يديرها العميل.

عندما تقوم بتكوين المفاتيح المدارة من قبل العميل باستخدام مدخل Azure، يمكنك تحديد هوية موجودة معينة من قبل المستخدم من خلال واجهة مستخدم المدخل. للحصول على التفاصيل، راجع أحد الأقسام التالية:

تكوين المفاتيح المدارة من قبل العميل لحساب جديد
تكوين المفاتيح المدارة من قِبل العميل لحساب موجود

لتخويل الوصول إلى مخزن المفاتيح باستخدام هوية مدارة معينة من قبل المستخدم، ستحتاج إلى معرف المورد والمعرف الأساسي للهوية المدارة المعينة من قبل المستخدم. يمكنك استدعاء Get-AzUserAssignIdentity للحصول على الهوية المدارة المعينة من قبل المستخدم، ثم احفظ معرف المورد والمعرف الأساسي للمتغيرات. ستحتاج إلى هذه القيم في الخطوات اللاحقة:

$userIdentityId = Get-AzUserAssignedIdentity -Name <user-assigned-identity> -ResourceGroupName <resource-group>
$principalId = $userIdentity.PrincipalId

لتخويل الوصول إلى مخزن المفاتيح باستخدام هوية مدارة معينة من قبل المستخدم، ستحتاج إلى معرف المورد والمعرف الأساسي للهوية المدارة المعينة من قبل المستخدم. قم باستدعاء الأمر az identity show للحصول على الهوية المدارة المعينة من قبل المستخدم، ثم احفظ معرف المورد والمعرف الأساسي للمتغيرات. ستحتاج إلى هذه القيم في الخطوات اللاحقة:

userIdentityId=$(az identity show --name sample-user-assigned-identity --resource-group storagesamples-rg --query id)
principalId=$(az identity show --name sample-user-assigned-identity --resource-group storagesamples-rg --query principalId)

استخدام هوية مدارة معينة من قبل النظام لتخويل الوصول

ترتبط الهوية المدارة المعينة من قبل النظام بمثيل خدمة Azure، وفي هذه الحالة يكون حساب Azure Storage. يجب تعيين هوية مدارة تم تعيينها من قبل النظام بشكل صريح إلى حساب تخزين قبل أن تتمكن من استخدام الهوية المدارة المعينة من قبل النظام لتخويل الوصول إلى مخزن المفاتيح الذي يحتوي على المفتاح المدار من قبل العميل.

يمكن لحسابات التخزين الحالية فقط استخدام هوية معينة من قبل النظام لتفويض الوصول إلى مخزن المفاتيح. يجب أن تستخدم حسابات التخزين الجديدة هوية معينة من قبل المستخدم، إذا تم تكوين المفاتيح التي يديرها العميل عند إنشاء الحساب.

عندما تقوم بتكوين المفاتيح المدارة من قبل العميل باستخدام مدخل Azure باستخدام هوية مدارة معينة من قبل النظام، يتم تعيين الهوية المدارة المعينة من قبل النظام إلى حساب التخزين تحت التغطيات. لمعرفة التفاصيل، يرجى الاطلاع على تكوين المفاتيح التي يديرها العميل لحساب حالٍ.

لتعيين هوية مدارة تم تعيينها من قبل النظام إلى حساب التخزين الخاص بك، قم باستدعاء Set-AzStorageAccount:

$storageAccount = Set-AzStorageAccount -ResourceGroupName <resource_group> `
    -Name <storage-account> `
    -AssignIdentity

بعد ذلك، احصل على المعرف الأساسي للهوية المدارة المعينة من قبل النظام، واحفظها في متغير. ستحتاج إلى هذه القيمة في الخطوة التالية لإنشاء نهج الوصول إلى مخزن المفاتيح:

$principalId = $storageAccount.Identity.PrincipalId

لمصادقة الوصول إلى مخزن المفاتيح باستخدام هوية مدارة معينة من قبل النظام، قم بتعيين الهوية المدارة المعينة من قبل النظام إلى حساب التخزين عن طريق استدعاء az storage account update:

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --assign-identity

principalId = $(az storage account show --name <storage-account> --resource-group <resource_group> --query identity.principalId)

تكوين نُهج الوصول إلى مخزن المفاتيح

تتمثل الخطوة التالية في تكوين نهج الوصول إلى مخزن المفاتيح. يمنح نهج الوصول إلى مخزن المفاتيح أذونات للهوية المدارة التي سيتم استخدامها لتخويل الوصول إلى مخزن المفاتيح. لمعرفة المزيد حول نهج الوصول إلى مخزن المفاتيح، راجع نظرة عامة على Azure Key Vault ونظرة عامة على أمان Azure Key Vault.

لمعرفة كيفية تكوين نهج الوصول إلى مخزن المفاتيح باستخدام مدخل Azure، راجع تعيين نهج الوصول إلى Azure Key Vault.

لتكوين نهج الوصول إلى مخزن المفاتيح باستخدام PowerShell، قم باستدعاء Set-AzKeyVaultAccessPolicy، مع توفير المتغير للمعرف الأساسي الذي قمت باسترداده مسبقاً للهوية المدارة.

Set-AzKeyVaultAccessPolicy `
    -VaultName $keyVault.VaultName `
    -ObjectId $principalId `
    -PermissionsToKeys wrapkey,unwrapkey,get

لمعرفة المزيد حول تعيين نهج الوصول إلى مخزن المفاتيح باستخدام PowerShell، راجع تعيين نهج وصول Key Vault Azure.

لتكوين نهج الوصول إلى مخزن المفاتيح باستخدام PowerShell، قم باستدعاء az keyvault set-policy، مع توفير المتغير للمعرف الأساسي الذي قمت باسترداده مسبقاً للهوية المدارة.

az keyvault set-policy \
    --name <key-vault> \
    --resource-group <resource_group>
    --object-id $principalId \
    --key-permissions get unwrapKey wrapKey

لمعرفة المزيد حول تعيين نهج الوصول إلى مخزن المفاتيح باستخدام Azure CLI، راجع تعيين نهج الوصول إلى Azure Key Vault.

تكوين المفاتيح المدارة من قبل العميل لحساب جديد

عند تكوين التشفير باستخدام المفاتيح التي يديرها العميل لحساب تخزين جديد، يمكنك اختيار تحديث إصدار المفتاح المستخدم لتشفير Azure Storage تلقائياً، كلما توفر إصدار جديد في مخزن المفاتيح المقترن. بدلاً من ذلك، يمكنك تحديد إصدار مفتاح بشكل صريح لاستخدامه للتشفير حتى يتم تحديث إصدار المفتاح يدوياً.

يجب عليك استخدام هوية مدارة حالية تم تعيينها من قبل المستخدم لتخويل الوصول إلى مخزن المفاتيح عند تكوين المفاتيح التي يديرها العميل أثناء إنشاء حساب التخزين. يجب أن يكون للهوية المدارة المعينة من قبل المستخدم الأذونات المناسبة للوصول إلى مخزن المفاتيح.

لتكوين المفاتيح المدارة من قبل العميل لحساب تخزين جديد مع التحديث التلقائي لإصدار المفتاح، اتبع الخطوات التالية:

في مدخل Azure، انتقل إلى صفحة حسابات التخزين، وحدد الزر إنشاء لإنشاء حساب جديد.
اتبع الخطوات الموضحة في إنشاء حساب تخزين لملء الحقول الموجودة في علامات التبويب الأساسيات، ومتقدم، والشبكات، وحماية البيانات.
في علامة التبويب تشفير، حدد الخدمات التي تريد تمكين دعم المفاتيح التي يديرها العميل في الحقل تمكين الدعم للمفاتيح المدارة من قبل العميل.
في الحقل نوع التشفير، حدد المفاتيح المدارة من قبل العميل (CMK).
في حقل مفتاح التشفير، اختر تحديد مخزن مفاتيح ومفتاح، وعين مخزن المفاتيح والمفتاح.
بالنسبة إلى حقل الهوية المعينة من قبل المستخدم، حدد هوية مدارة حالية تم تعيينها من قبل المستخدم.
حدد مراجعة + إنشاء للتحقق من صحة الحساب الجديد وإنشائه.

يمكنك أيضاً تكوين المفاتيح التي يديرها العميل من خلال التحديث اليدوي لإصدار المفتاح عند إنشاء حساب تخزين جديد. اتبع الخطوات الموضحة في تكوين التشفير للتحديث اليدوي لإصدارات المفاتيح.

لتكوين المفاتيح المدارة من قِبل العميل لحساب تخزين جديد مع التحديث التلقائي لإصدار المفاتيح، قم باستدعاء New-AzStorageAccount، كما هو موضح في المثال التالي. استخدم المتغير الذي أنشأته مسبقاً لمعرف المورد للهوية المدارة المعينة من قبل المستخدم. ستحتاج أيضاً إلى عنوان URI لمخزن المفاتيح واسم المفتاح:

New-AzStorageAccount -ResourceGroupName <resource-group> `
    -Name <storage-account> `
    -Kind StorageV2 `
    -SkuName Standard_LRS `
    -Location $location `
    -IdentityType SystemAssignedUserAssigned `
    -UserIdentityId $userIdentityId `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVaultUserAssignedIdentityId $userIdentityId

لتكوين المفاتيح المدارة من قِبل العميل لحساب تخزين جديد مع التحديث التلقائي لإصدار المفاتيح، قم باستدعاء az storage account create، كما هو موضح في المثال التالي. استخدم المتغير الذي أنشأته مسبقاً لمعرف المورد للهوية المدارة المعينة من قبل المستخدم. ستحتاج أيضاً إلى عنوان URI لمخزن المفاتيح واسم المفتاح:

az storage account create \
    --name <storage-account> \
    --resource-group <resource-group> \
    --location <location> \
    --sku Standard_LRS \
    --kind StorageV2 \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id <user-assigned-managed-identity> \
    --encryption-key-vault <key-vault-uri> \
    --encryption-key-name <key-name> \
    --encryption-key-source Microsoft.Keyvault \
    --key-vault-user-identity-id <user-assigned-managed-identity>

تكوين المفاتيح المدارة من قبل العميل لحساب موجود

عند تكوين التشفير باستخدام المفاتيح التي يديرها العميل لحساب تخزين موجود، يمكنك اختيار تحديث إصدار المفتاح المستخدم لتشفير Azure Storage تلقائياً، كلما توفر إصدار جديد في مخزن المفاتيح المقترن. بدلاً من ذلك، يمكنك تحديد إصدار مفتاح بشكل صريح لاستخدامه للتشفير حتى يتم تحديث إصدار المفتاح يدوياً.

يمكنك استخدام هوية مدارة معينة من قبل النظام أو معينة من قبل المستخدم لتخويل الوصول إلى مخزن المفاتيح عند تكوين المفاتيح التي يديرها العميل لحساب تخزين موجود.

ملاحظة

لتدوير مفتاح، قم بإنشاء إصدار جديد من المفتاح في Azure Key Vault. لا يتعامل Azure Storage مع تدوير المفتاح في Azure Key Vault، لذلك ستحتاج إلى تدوير المفتاح يدوياً أو إنشاء وظيفة لتدويره وفقًا لجدول زمني.

تكوين التشفير للتحديث التلقائي لإصدارات المفاتيح

يمكن لـ Azure Storage تحديث المفتاح المدار من قبل العميل، والذي يتم استخدامه للتشفير تلقائياً لاستخدام أحدث إصدار من المفاتيح. عند تدوير المفتاح الذي يديره العميل في Azure Key Vault، سيبدأ Azure Storage تلقائياً في استخدام أحدث إصدار من المفتاح للتشفير.

لتكوين المفاتيح المدارة من قبل العميل لحساب موجود مع التحديث التلقائي لإصدار المفتاح في مدخل Azure، اتبع الخطوات التالية:

انتقل إلى حساب التخزين الخاص بك.
على جزء الإعدادات لحساب التخزين، انقر فوق تشفير. بشكل افتراضي، يتم تعيين إدارة المفاتيح إلى المفاتيح المدارة من Microsoft، كما هو موضح في الصورة التالية.
حدد خيار المفاتيح المدارة من قبل العميل.
اختر الخيار تحديد من Key Vault.
ثم حدد تحديد مخزن مفاتيح ومفتاح.
حدد مخزن المفاتيح الذي يحتوي على المفتاح الذي تريد استخدامه. يمكنك أيضاً إنشاء مخزن مفاتيح جديد.
حدد المفتاح من مخزن المفاتيح. يمكنك أيضاً إنشاء مفتاح جديد.
حدد نوع الهوية التي تريد استخدامها لمصادقة الوصول إلى مخزن المفاتيح. تتضمن الخيارات تعيين من قِبل النظام (الافتراضي) أو تعيين من قبل المستخدم. لمعرفة المزيد حول كل نوع من أنواع الهوية المدارة، راجع أنواع الهوية المدارة.
1. إذا قمت بتحديد التعيين من قبل النظام، يتم إنشاء الهوية المدارة المعينة من قبل النظام لحساب التخزين تحت الأغطية، إذا لم تكن موجودة بالفعل.
2. إذا قمت بتحديد التعيين من قبل المستخدم، يجب عليك تحديد هوية حالية معينة من قبل المستخدم لديها أذونات للوصول إلى مخزن المفاتيح. للتعرف على كيفية إنشاء هوية معينة من قِبل المستخدم، راجع إدارة الهويات المُدارة المعينة من قِبل المستخدم.
احفظ التغييرات التي قمت بإجرائها.

بعد تحديد المفتاح، يشير مدخل Azure إلى تمكين التحديث التلقائي لإصدار المفتاح، ويعرض إصدار المفتاح المستخدم حالياً للتشفير. يعرض المدخل أيضاً نوع الهوية المدارة المستخدمة لتخويل الوصول إلى مخزن المفاتيح والمعرف الأساسي للهوية المدارة.

Screenshot showing automatic updating of the key version enabled

لتكوين المفاتيح المدارة من قبل العميل لحساب موجود مع التحديث التلقائي لإصدار المفتاح باستخدام PowerShell، قم بتثبيت الوحدة Az.Storage، الإصدار 2.0.0 أو إصدار أحدث.

بعد ذلك، قم باستدعاء Set-AzStorageAccount لتحديث إعدادات تشفير حساب التخزين، مع حذف إصدار المفتاح. قم بتضمين الخيار -KeyvaultEncryption لتمكين المفاتيح التي يديرها العميل لحساب التخزين.

Set-AzStorageAccount -ResourceGroupName $storageAccount.ResourceGroupName `
    -AccountName $storageAccount.StorageAccountName `
    -KeyvaultEncryption `
    -KeyName $key.Name `
    -KeyVaultUri $keyVault.VaultUri

لتكوين المفاتيح المدارة من قبل العميل لحساب موجود مع التحديث التلقائي لإصدار المفتاح باستخدام Azure CLI، قم بتثبيت الإصدار 2.4.0 من Azure CLI أو إصدار أحدث. لمزيد من المعلومات، راجع ⁧⁩تثبيت Azure CLI⁧⁩.

بعد ذلك، قم باستدعاء az storage account update لتحديث إعدادات تشفير حساب التخزين مع حذف إصدار المفتاح. قم بتضمين المعلمة --encryption-key-source وتعيينها إلى Microsoft.Keyvault لتمكين المفاتيح التي يديرها العميل للحساب.

key_vault_uri=$(az keyvault show \
    --name <key-vault> \
    --resource-group <resource_group> \
    --query properties.vaultUri \
    --output tsv)
az storage account update
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-name <key> \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $key_vault_uri

تكوين التشفير للتحديث اليدوي لإصدارات المفاتيح

إذا كنت تفضل تحديث إصدار المفتاح يدوياً، فحدد الإصدار صراحة في الوقت الذي تقوم فيه بتكوين التشفير باستخدام المفاتيح التي يديرها العميل. في هذه الحالة، لن يقوم Azure Storage تلقائياً بتحديث إصدار المفتاح عند إنشاء إصدار جديد في مخزن المفاتيح. لاستخدام إصدار مفتاح جديد، يجب تحديث الإصدار المستخدم لتشفير Azure Storage يدوياً.

لتكوين المفاتيح التي يديرها العميل باستخدام التحديث اليدوي لإصدار المفتاح في مدخل Azure، حدد عنوان URI للمفتاح، بما في ذلك الإصدار. لتحديد مفتاح كعنوان URI، اتبع الخطوات التالية:

لتحديد موقع URI للمفتاح في مدخل Azure، انتقل إلى مخزن المفاتيح لديك، وحدد إعداد المفاتيح. حدد المفتاح المطلوب، ثم انقر فوق المفتاح لعرض إصداراته. حدد إصدار مفتاح لعرض إعدادات ذلك الإصدار.
انسخ قيمة حقل معرف المفتاح الذي يوفر عنوان URI.
في إعدادات مفتاح التشفير لحساب التخزين، حدد الخيار إدخال عنوان URI للمفتاح.
الصق عنوان URI الذي نسخته في حقل URI للمفتاح. احذف إصدار المفتاح من URI لتمكين التحديث التلقائي لإصدار المفتاح.
حدد الاشتراك الذي يحتوي على مخزن المفاتيح.
حدد إما هوية مدارة معينة من قبل النظام أو معينة من قبل المستخدم.
حفظ التغييرات.

لتكوين المفاتيح التي يديرها العميل مع التحديث اليدوي لإصدار المفتاح، قم بتوفير إصدار المفتاح بشكل صريح عند تكوين التشفير لحساب التخزين. قم باستدعاء Set-AzStorageAccount لتحديث إعدادات تشفير حساب التخزين، كما هو موضح في المثال التالي، وقم بتضمين الخيار -KeyvaultEncryption لتمكين المفاتيح التي يديرها العميل لحساب التخزين.

تذكر استبدال قيم العناصر النائبة بين قوسين بقيمك الخاصة واستخدام المتغيرات المحددة في الأمثلة السابقة.

Set-AzStorageAccount -ResourceGroupName $storageAccount.ResourceGroupName `
    -AccountName $storageAccount.StorageAccountName `
    -KeyvaultEncryption `
    -KeyName $key.Name `
    -KeyVersion $key.Version `
    -KeyVaultUri $keyVault.VaultUri

عند التحديث إلى إصدار المفتاح يدوياً، ستحتاج إلى تحديث إعدادات تشفير حساب التخزين لاستخدام الإصدار الجديد. أولاً، قم باستدعاء Get-AzKeyVaultKey للحصول على أحدث إصدار من المفتاح. ثم قم باستدعاء az storage account update لتحديث إعدادات تشفير حساب التخزين لاستخدام الإصدار الجديد من المفتاح، كما هو موضح في المثال السابق.

لتكوين المفاتيح التي يديرها العميل مع التحديث اليدوي لإصدار المفتاح، قم بتوفير إصدار المفتاح بشكل صريح عند تكوين التشفير لحساب التخزين. قم باستدعاء تحديث الحساب az storage account update لتحديث إعدادات تشفير حساب التخزين، كما هو موضح في المثال التالي. قم بتضمين المعلمة --encryption-key-source وتعيينها إلى Microsoft.Keyvault لتمكين المفاتيح التي يديرها العميل للحساب.

تذكَّر استبدال قيم العناصر النائبة في الأقواس بقيمك.

key_vault_uri=$(az keyvault show \
    --name <key-vault> \
    --resource-group <resource_group> \
    --query properties.vaultUri \
    --output tsv)
key_version=$(az keyvault key list-versions \
    --name <key> \
    --vault-name <key-vault> \
    --query [-1].kid \
    --output tsv | cut -d '/' -f 6)
az storage account update
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-name <key> \
    --encryption-key-version $key_version \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $key_vault_uri

عند التحديث إلى إصدار المفتاح يدوياً، ستحتاج إلى تحديث إعدادات تشفير حساب التخزين لاستخدام الإصدار الجديد. أولاً، استعلم عن عنوان URI لمخزن المفاتيح باستدعاء az keyvault show، ولإصدار المفتاح عن طريق استدعاء az keyvault key list-versions. ثم قم باستدعاء az storage account update لتحديث إعدادات تشفير حساب التخزين لاستخدام الإصدار الجديد من المفتاح، كما هو موضح في المثال السابق.

تغيير المفتاح

يمكنك تغيير المفتاح الذي تستخدمه لتشفير Azure Storage في أي وقت.

لتغيير المفتاح باستخدام مدخل Azure، اتبع الخطوات التالية:

انتقل إلى حساب التخزين لديك، واعرض إعدادات التشفير.
حدد مخزن المفاتيح، واختر مفتاحاً جديداً.
حفظ التغييرات.

إبطال المفاتيح المدارة من قبل العميل

يؤدي إبطال مفتاح مدار من قبل العميل إلى إزالة الاقتران بين حساب التخزين ومخزن المفاتيح.

لإبطال المفاتيح التي يديرها العميل باستخدام مدخل Azure، قم بتعطيل المفتاح كما هو موضح في تعطيل المفاتيح التي يديرها العميل.

يمكنك إبطال المفاتيح التي يديرها العميل عن طريق إزالة نهج الوصول إلى مخزن المفاتيح. لإبطال مفتاح يديره العميل باستخدام PowerShell، قم باستدعاء Remove-AzKeyVaultAccessPolicy، كما هو موضح في المثال التالي. تذكر استبدال قيم العناصر النائبة بين قوسين بقيمك الخاصة واستخدام المتغيرات المحددة في الأمثلة السابقة.

Remove-AzKeyVaultAccessPolicy -VaultName $keyVault.VaultName `
    -ObjectId $storageAccount.Identity.PrincipalId `

يمكنك إبطال المفاتيح التي يديرها العميل عن طريق إزالة نهج الوصول إلى مخزن المفاتيح. لإبطال مفتاح مدار بواسطة العميل باستخدام Azure CLI، قم باستدعاء الأمر az keyvault delete-policy، كما هو موضح في المثال التالي. تذكر استبدال قيم العناصر النائبة بين قوسين بقيمك الخاصة واستخدام المتغيرات المحددة في الأمثلة السابقة.

az keyvault delete-policy \
    --name <key-vault> \
    --object-id $storage_account_principal

استخدام المفاتيح المُدارة بواسطة العملاء

عند تعطيل المفاتيح التي يديرها العميل، يتم تشفير حساب التخزين الخاص بك مرة أخرى باستخدام المفاتيح المدارة من قبل Microsoft.

لتعطيل المفاتيح المُدارة بواسطة العميل في مدخل Azure، اتبع هذه الخطوات:

انتقل إلى حساب التخزين لديك، واعرض إعدادات التشفير.
قم بإلغاء تحديد خانة الاختيار الموجودة بجوار إعداد استخدام المفتاح الخاص بك.

لتعطيل المفاتيح التي يديرها العميل باستخدام PowerShell، قم باستدعاء Set-AzStorageAccount باستخدام الخيار -StorageEncryption، كما هو موضح في المثال التالي. تذكر استبدال قيم العناصر النائبة بين قوسين بقيمك الخاصة واستخدام المتغيرات المحددة في الأمثلة السابقة.

Set-AzStorageAccount -ResourceGroupName $storageAccount.ResourceGroupName `
    -AccountName $storageAccount.StorageAccountName `
    -StorageEncryption

لتعطيل المفاتيح التي يديرها العميل باستخدام Azure CLI، قم باستدعاء az storage account update، وتعيين --encryption-key-source parameter إلى Microsoft.Storage، كما هو موضح في المثال التالي. تذكر استبدال قيم العناصر النائبة بين قوسين بقيمك الخاصة واستخدام المتغيرات المحددة في الأمثلة السابقة.

az storage account update
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-source Microsoft.Storage