تكوين المفاتيح التي يديرها العميل في نفس المستأجر لحساب تخزين جديد

يقوم Azure Storage بتشفير كافة البيانات الثابتة في حساب تخزين. بشكل افتراضي، يتم تشفير البيانات باستخدام المفاتيح المُدارة من قِبل Microsoft. لمزيد من التحكم في مفاتيح التشفير، يمكنك إدارة المفاتيح الخاصة بك. يتعين تخزين المفاتيح المُدارة بواسطة العميل في Azure Key Vault أو في نموذج أمان الأجهزة المُدارة من Azure Key Vault‏ (HSM).

توضح هذه المقالة كيفية تكوين التشفير باستخدام مفاتيح يديرها العميل في الوقت الذي تقوم فيه بإنشاء حساب تخزين جديد. يتم تخزين مفاتيح مدارة بواسطة العميل في key vault.

لمعرفة كيفية تكوين المفاتيح المُدارة من قِبل العميل لحساب تخزين موجود، راجع تكوين المفاتيح المُدارة من قِبل العميل في Azure key vault لحساب تخزين موجود.

ملاحظة

يدعم Azure Key Vault وAzure Key Vault HSM المدار واجهات برمجة التطبيقات وواجهات الإدارة نفسها لتكوين المفاتيح التي يديرها العميل. يتم أيضا دعم أي إجراء مدعوم ل Azure Key Vault ل Azure Key Vault HSM المدار.

تكوين key vault

يمكنك استخدام مخزن مفاتيح جديد أو موجود لتخزين المفاتيح المدارة من قبل العملاء. قد يكون حساب التخزين ومخزن المفاتيح في مناطق مختلفة أو اشتراكات في المستأجر نفسه. لمعرفة المزيد حول Azure Key Vault، راجع نظرة عامة على Azure Key Vault وما المقصود بـ Azure Key Vault؟.

يتطلب استخدام المفاتيح المدارة من قبل العملاء مع تشفير Azure Storage تمكين حماية الإزالة والحذف المبدئي لمخزن المفاتيح. يتم تمكين الحذف المبدئي بشكل افتراضي عند إنشاء مخزن مفاتيح جديد ولا يمكن تعطيله. يمكنك تمكين حماية الإزالة إما عند إنشاء مخزن المفاتيح أو بعد إنشائه.

يدعم Azure Key Vault التخويل باستخدام Azure RBAC عبر نموذج إذن Azure RBAC. توصي Microsoft باستخدام نموذج إذن Azure RBAC عبر نهج الوصول إلى مخزن المفاتيح. لمزيد من المعلومات، راجع منح الإذن للتطبيقات للوصول إلى مخزن مفاتيح Azure باستخدام Azure RBAC.

مدخل Azure

لمعرفة كيفية إنشاء مخزن مفاتيح باستخدام مدخل Microsoft Azure، راجع التشغيل السريع: إنشاء مخزن مفاتيح باستخدام مدخل Azure. عند إنشاء مخزن المفاتيح، حدد تمكين الحماية من الإزالة، كما هو موضح في الصورة التالية.

لتمكين الحماية من الإزالة على مخزن مفاتيح موجود، اتبع الخطوات التالية:

1. انتقل إلى Key Vault في مدخل Azure.
2. ضمن الإعدادات، اختر خصائص.
3. في القسم الحماية من الإزالة، اختر تمكين الحماية من الإزالة.

PowerShell

لإنشاء مخزن مفاتيح جديد باستخدام PowerShell، قم بتثبيت الإصدار 2.0.0 أو إصدار أحدث من الوحدة Az.KeyVault PowerShell. بعدها قم باستدعاء New-AzKeyVault لإنشاء مخزن مفاتيح جديد. مع الإصدار 2.0.0 والإصدارات الأحدث من الوحدة Az.KeyVault، يتم تمكين الحذف المبدئي بشكل افتراضي عند إنشاء مخزن مفاتيح جديد.

ينشئ المثال التالي مخزن مفاتيح جديدا مع تمكين الحماية من الحذف والإزالة المبدئية. تم تعيين نموذج إذن مخزن المفاتيح لاستخدام Azure RBAC. تذكَّر استبدال قيم العناصر النائبة في الأقواس بقيمك.

$rgName = "<resource_group>"
$location = "<location>"
$kvName = "<key-vault>"

$keyVault = New-AzKeyVault -Name $kvName `
    -ResourceGroupName $rgName `
    -Location $location `
    -EnablePurgeProtection `
    -EnableRbacAuthorization

لمعرفة كيفية تمكين الحماية من الإزالة على مخزن مفاتيح موجود باستخدام PowerShell، راجع نظرة عامة على استرداد Azure Key Vault.

بعد إنشاء مخزن المفاتيح، ستحتاج إلى تعيين دور مسؤول التشفير Key Vault لنفسك. يمكنك هذا الدور من إنشاء مفتاح في مخزن المفاتيح. يعين المثال التالي هذا الدور لمستخدم، محدد النطاق إلى مخزن المفاتيح:

New-AzRoleAssignment -SignInName "<user-email>" `
    -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $keyVault.ResourceId

لمزيد من المعلومات حول كيفية تعيين دور RBAC باستخدام PowerShell، راجع تعيين أدوار Azure باستخدام Azure PowerShell.

Azure CLI

لإنشاء مخزن مفاتيح جديد باستخدام Azure CLI، قم باستدعاء az keyvault create. ينشئ المثال التالي مخزن مفاتيح جديدا مع تمكين الحماية من الحذف والإزالة المبدئية. تم تعيين نموذج إذن مخزن المفاتيح لاستخدام Azure RBAC. تذكَّر استبدال قيم العناصر النائبة في الأقواس بقيمك.

rgName="<resource_group>"
location="<location>"
kvName="<key-vault>"

az keyvault create \
    --name $kvName \
    --resource-group $rgName \
    --location $location \
    --enable-purge-protection \
    --enable-rbac-authorization

لمعرفة كيفية تمكين الحماية من الإزالة على مخزن مفاتيح موجود باستخدام Azure CLI، راجع نظرة عامة على استرداد Azure Key Vault.

بعد إنشاء مخزن المفاتيح، ستحتاج إلى تعيين دور مسؤول التشفير Key Vault لنفسك. يمكنك هذا الدور من إنشاء مفتاح في مخزن المفاتيح. يعين المثال التالي هذا الدور لمستخدم، محدد النطاق إلى مخزن المفاتيح:

kvResourceId=$(az keyvault show --resource-group $rgName \
    --name $kvName \
    --query id \
    --output tsv)

az role assignment create --assignee "<user-email>" \
    --role "Key Vault Crypto Officer" \
    --scope $kvResourceId

لمزيد من المعلومات حول كيفية تعيين دور RBAC باستخدام Azure CLI، راجع تعيين أدوار Azure باستخدام Azure CLI.

إضافة مفتاح

بعد ذلك، أضف مفتاحاً إلى مخزن المفاتيح. قبل إضافة المفتاح، تأكد من تعيين دور مسؤول التشفير Key Vault لنفسك.

يدعم تشفير Azure Storage مفاتيح RSA وRSA-HSM ذات الأحجام 2048 و3072 و4096. لمزيد من المعلومات حول أنواع المفاتيح المدعومة، راجع حول المفاتيح.

مدخل Azure

لمعرفة كيفية إضافة مفتاح باستخدام مدخل Azure، راجع التشغيل السريع: تعيين مفتاح من Azure واسترداده Key Vault باستخدام مدخل Azure.

PowerShell

لإضافة مفتاح باستخدام PowerShell، قم باستدعاء Add-AzKeyVaultKey. تذكر استبدال قيم العناصر النائبة بين قوسين بقيمك الخاصة واستخدام المتغيرات المحددة في الأمثلة السابقة.

$keyName = "<key-name>"

$key = Add-AzKeyVaultKey -VaultName $keyVault.VaultName `
    -Name $keyName `
    -Destination 'Software'

Azure CLI

لإضافة مفتاح باستخدام Azure CLI، قم باستدعاء az keyvault key create. تذكَّر استبدال قيم العناصر النائبة في الأقواس بقيمك.

keyName="<key-name>"

az keyvault key create \
    --name $keyName \
    --vault-name $kvName

استخدام هوية مدارة معينة من قبل المستخدم لتخويل الوصول إلى key vault

عند تمكين المفاتيح المُدارة من قِبل العميل لحساب تخزين جديد، يتعين عليك تحديد هوية مُدارة معيّنة من قبل المستخدم. يدعم حساب التخزين الحالي استخدام هوية مدارة معينة من قبل المستخدم أو هوية مدارة معينة من قبل النظام لتكوين المفاتيح التي يديرها العميل.

عند تكوين المفاتيح المدارة من قبل العميل بهوية مدارة معينة من قبل المستخدم، يتم استخدام الهوية المدارة المعينة من قبل المستخدم لتخويل الوصول إلى مخزن المفاتيح الذي يحتوي على المفتاح. يجب إنشاء الهوية المعينة من قبل المستخدم قبل تكوين المفاتيح التي يديرها العميل.

الهوية المدارة المعينة من قبل المستخدم هي مورد Azure مستقل. للتعرف على الهويات المُدارة التي يعيّنها المستخدم، راجع أنواع الهويات المُدارة. للتعرف على كيفية إنشاء هوية مُدارة معينة من قِبل المستخدم وإدارتها، راجع إدارة الهويات المُدارة المعينة من قِبل المستخدم.

يتعين أن يكون للهوية المُدارة المعيّنة من قِبل المستخدم الأذونات للوصول إلى المفتاح في key vault. قم بتعيين دور مستخدم تشفير خدمة التشفير Key Vault إلى الهوية المدارة المعينة من قبل المستخدم مع نطاق مخزن المفاتيح لمنح هذه الأذونات.

مدخل Azure

قبل أن تتمكن من تكوين المفاتيح التي يديرها العميل بهوية مدارة معينة من قبل المستخدم، يجب عليك تعيين دور مستخدم تشفير خدمة التشفير Key Vault إلى الهوية المدارة المعينة من قبل المستخدم، التي تم تحديد نطاقها إلى مخزن المفاتيح. يمنح هذا الدور أذونات الهوية المدارة المعينة من قبل المستخدم للوصول إلى المفتاح في مخزن المفاتيح. لمزيد من المعلومات حول تعيين أدوار Azure RBAC باستخدام مدخل Microsoft Azure، راجع تعيين أدوار Azure باستخدام مدخل Microsoft Azure.

عندما تقوم بتكوين المفاتيح المدارة من قبل العميل باستخدام مدخل Azure، يمكنك تحديد هوية موجودة معينة من قبل المستخدم من خلال واجهة مستخدم المدخل.

PowerShell

يوضح المثال التالي كيفية استرداد الهوية المدارة المعينة من قبل المستخدم وتعيين دور التحكم في الوصول استنادا إلى الدور المطلوب إليها، الذي تم تحديد نطاقه إلى مخزن المفاتيح. تذكر استبدال قيم العنصر النائب بين قوسين بقيمك الخاصة واستخدام المتغيرات المحددة في الأمثلة السابقة:

$userIdentity = Get-AzUserAssignedIdentity -Name <user-assigned-identity> `
    -ResourceGroupName $rgName

$principalId = $userIdentity.PrincipalId

New-AzRoleAssignment -ObjectId $principalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

Azure CLI

يوضح المثال التالي كيفية استرداد الهوية المدارة المعينة من قبل المستخدم وتعيين دور التحكم في الوصول استنادا إلى الدور المطلوب إليها، الذي تم تحديد نطاقه إلى مخزن المفاتيح. تذكر استبدال قيم العنصر النائب بين قوسين بقيمك الخاصة واستخدام المتغيرات المحددة في الأمثلة السابقة:

identityResourceId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query id \
    --output tsv)

principalId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query principalId \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId \
    --assignee-principal-type ServicePrincipal

تكوين المفاتيح المُدارة من قِبل العميل لحساب تخزين جديد

عند تكوين التشفير باستخدام المفاتيح التي يديرها العميل لحساب تخزين جديد، يمكنك اختيار تحديث إصدار المفتاح المستخدم لتشفير Azure Storage تلقائياً، كلما توفر إصدار جديد في مخزن المفاتيح المقترن. بدلاً من ذلك، يمكنك تحديد إصدار مفتاح بشكل صريح لاستخدامه للتشفير حتى يتم تحديث إصدار المفتاح يدوياً.

يجب عليك استخدام هوية مدارة حالية تم تعيينها من قبل المستخدم لتخويل الوصول إلى مخزن المفاتيح عند تكوين المفاتيح التي يديرها العميل أثناء إنشاء حساب التخزين. يجب أن يكون للهوية المدارة المعينة من قبل المستخدم الأذونات المناسبة للوصول إلى مخزن المفاتيح. لمزيد من المعلومات، راجع المصادقة على Azure Key Vault.

تكوين التشفير للتحديث التلقائي لإصدارات المفاتيح

يمكن لـ Azure Storage تحديث المفتاح المدار من قبل العميل، والذي يتم استخدامه للتشفير تلقائياً لاستخدام أحدث إصدار من المفاتيح من مخزن المفاتيح. يتحقق Azure Storage من مخزن المفاتيح يوميًا للحصول على إصدار جديد من المفتاح. عند توفر إصدار جديد، يبدأ Azure Storage تلقائيًا باستخدام أحدث إصدار من المفتاح للتشفير.

هام

يتحقق Azure Storage من مخزن المفاتيح للحصول على إصدار مفتاح جديد مرة واحدة فقط يوميًا. عند تدوير مفتاح، تأكد من الانتظار لمدة 24 ساعة قبل تعطيل الإصدار الأقدم.

مدخل Azure

لتكوين المفاتيح المدارة من قبل العميل لحساب تخزين جديد مع التحديث التلقائي لإصدار المفتاح، اتبع الخطوات التالية:

1. في مدخل Azure، انتقل إلى صفحة حسابات التخزين، وحدد الزر إنشاء لإنشاء حساب جديد.

2. اتبع الخطوات الموضحة في إنشاء حساب تخزين لملء الحقول الموجودة في علامات التبويب الأساسيات، ومتقدم، والشبكات، وحماية البيانات.

3. في علامة التبويب تشفير، حدد الخدمات التي تريد تمكين دعم المفاتيح التي يديرها العميل في الحقل تمكين الدعم للمفاتيح المدارة من قبل العميل.

4. في الحقل نوع التشفير، حدد المفاتيح المدارة من قبل العميل (CMK).

5. في حقل مفتاح التشفير، اختر تحديد مخزن مفاتيح ومفتاح، وعين مخزن المفاتيح والمفتاح.

6. بالنسبة إلى حقل الهوية المعينة من قبل المستخدم، حدد هوية مدارة حالية تم تعيينها من قبل المستخدم.

   

7. حدد الزر مراجعة للتحقق من الصحة وإنشاء الحساب.

يمكنك أيضاً تكوين المفاتيح التي يديرها العميل من خلال التحديث اليدوي لإصدار المفتاح عند إنشاء حساب تخزين جديد. اتبع الخطوات الموضحة في تكوين التشفير للتحديث اليدوي لإصدارات المفاتيح.

PowerShell

لتكوين المفاتيح المدارة من قِبل العميل لحساب تخزين جديد مع التحديث التلقائي لإصدار المفاتيح، قم باستدعاء New-AzStorageAccount، كما هو موضح في المثال التالي. استخدم المتغير الذي أنشأته مسبقاً لمعرف المورد للهوية المدارة المعينة من قبل المستخدم. ستحتاج أيضاً إلى معرف موارد منتظم لمخزن المفاتيح واسم المفتاح:

$accountName = "<storage-account>"

New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Kind StorageV2 `
    -SkuName Standard_LRS `
    -Location $location `
    -AllowBlobPublicAccess $false `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

Azure CLI

لتكوين المفاتيح المدارة من قِبل العميل لحساب تخزين جديد مع التحديث التلقائي لإصدار المفاتيح، قم باستدعاء az storage account create، كما هو موضح في المثال التالي. استخدم المتغير الذي أنشأته مسبقاً لمعرف المورد للهوية المدارة المعينة من قبل المستخدم. ستحتاج أيضاً إلى معرف موارد منتظم لمخزن المفاتيح واسم المفتاح:

accountName="<storage-account>"

az storage account create \
    --name $accountName \
    --resource-group $rgName \
    --location $location \
    --sku Standard_LRS \
    --kind StorageV2 \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-vault <key-vault-uri> \
    --encryption-key-name $keyName \
    --encryption-key-source Microsoft.Keyvault \
    --key-vault-user-identity-id $identityResourceId

تكوين التشفير للتحديث اليدوي لإصدارات المفاتيح

إذا كنت تفضل تحديث إصدار المفتاح يدويًا، فحدد الإصدار صراحة عندما تقوم بتكوين التشفير باستخدام المفاتيح التي يديرها العميل أثناء إنشاء حساب التخزين. في هذه الحالة، لن يحدث Azure Storage إصدار المفتاح تلقائياً عند إنشاء إصدار جديد في مخزن المفاتيح. لاستخدام إصدار مفتاح جديد، يجب تحديث الإصدار المستخدم لتشفير Azure Storage يدوياً.

يجب عليك استخدام هوية مدارة حالية تم تعيينها من قبل المستخدم لتخويل الوصول إلى مخزن المفاتيح عند تكوين المفاتيح التي يديرها العميل أثناء إنشاء حساب التخزين. يجب أن يكون للهوية المدارة المعينة من قبل المستخدم الأذونات المناسبة للوصول إلى مخزن المفاتيح. لمزيد من المعلومات، راجع المصادقة على Azure Key Vault.

⁩مدخل Microsoft Azure⁧

لتكوين المفاتيح التي يديرها العميل باستخدام التحديث اليدوي لإصدار المفتاح في مدخل Azure، حدد عنوان URI للمفتاح، بما في ذلك الإصدار، أثناء إنشاء حساب التخزين. لتحديد مفتاح كعنوان URI، اتبع الخطوات التالية:

1. في مدخل Azure، انتقل إلى صفحة حسابات التخزين، وحدد الزر إنشاء لإنشاء حساب جديد.

2. اتبع الخطوات الموضحة في إنشاء حساب تخزين لملء الحقول الموجودة في علامات التبويب الأساسيات، ومتقدم، والشبكات، وحماية البيانات.

3. في علامة التبويب تشفير، حدد الخدمات التي تريد تمكين دعم المفاتيح التي يديرها العميل في الحقل تمكين الدعم للمفاتيح المدارة من قبل العميل.

4. في الحقل نوع التشفير، حدد المفاتيح المدارة من قبل العميل (CMK).

5. لتحديد موقع URI للمفتاح في مدخل Microsoft Azure، انتقل إلى مخزن المفاتيح لديك، وحدد إعداد المفاتيح. حدد المفتاح المطلوب، ثم حدد المفتاح المطلوب لعرض إصداراته. حدد إصدار مفتاح لعرض إعدادات ذلك الإصدار.

6. انسخ قيمة حقل معرف المفتاح الذي يوفر عنوان URI.

   

7. في إعدادات مفتاح التشفير لحساب التخزين، حدد الخيار إدخال عنوان URI للمفتاح.

8. الصق عنوان URI الذي نسخته في حقل URI للمفتاح. قم بتضمين إصدار المفتاح على URI لتكوين التحديث اليدوي لإصدار المفتاح.

9. حدد هوية مُدارة معيّنة من قبل المستخدم عن طريق اختيار الارتباط تحديد هوية.

   

10. حدد الزر مراجعة للتحقق من الصحة وإنشاء الحساب.

PowerShell

لتكوين المفاتيح التي يديرها العميل مع التحديث اليدوي لإصدار المفتاح، قم بتوفير إصدار المفتاح بشكل صريح عند تكوين التشفير أثناء إنشاء حساب التخزين. قم باستدعاء Set-AzStorageAccount لتحديث إعدادات تشفير حساب التخزين، كما هو موضح في المثال التالي، وقم بتضمين الخيار -KeyvaultEncryption لتمكين المفاتيح التي يديرها العميل لحساب التخزين.

تذكر استبدال قيم العناصر النائبة بين قوسين بقيمك الخاصة واستخدام المتغيرات المحددة في الأمثلة السابقة.

$accountName = "<storage-account>"

New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Kind StorageV2 `
    -SkuName Standard_LRS `
    -Location $location `
    -AllowBlobPublicAccess $false `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

عند التحديث إلى الإصدار الرئيسي يدويا، ستحتاج إلى تحديث إعدادات تشفير حساب التخزين لاستخدام الإصدار الجديد. أولاً، قم باستدعاء Get-AzKeyVaultKey للحصول على أحدث إصدار من المفتاح. ثم قم باستدعاء az storage account update لتحديث إعدادات تشفير حساب التخزين لاستخدام الإصدار الجديد من المفتاح، كما هو موضح في المثال السابق.

Azure CLI

لتكوين المفاتيح التي يديرها العميل مع التحديث اليدوي لإصدار المفتاح، قم بتوفير إصدار المفتاح بشكل صريح عند تكوين التشفير أثناء إنشاء حساب التخزين. قم باستدعاء تحديث الحساب az storage account update لتحديث إعدادات تشفير حساب التخزين، كما هو موضح في المثال التالي. قم بتضمين المعلمة --encryption-key-source وتعيينها إلى Microsoft.Keyvault لتمكين المفاتيح التي يديرها العميل للحساب.

تذكَّر استبدال قيم العناصر النائبة في الأقواس بقيمك.

accountName="<storage-account>"

key_vault_uri=$(az keyvault show \
    --name <key-vault> \
    --resource-group <resource_group> \
    --query properties.vaultUri \
    --output tsv)

key_version=$(az keyvault key list-versions \
    --name <key> \
    --vault-name <key-vault> \
    --query [-1].kid \
    --output tsv | cut -d '/' -f 6)

az storage account create \
    --name $accountName \
    --resource-group $rgName \
    --location $location \
    --sku Standard_LRS \
    --kind StorageV2 \
    --allow-blob-public-access false \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-vault $keyVaultUri \
    --encryption-key-name $keyName \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-version $keyVersion \
    --key-vault-user-identity-id $identityResourceId

عند التحديث إلى الإصدار الرئيسي يدويا، ستحتاج إلى تحديث إعدادات تشفير حساب التخزين لاستخدام الإصدار الجديد. أولاً ، استعلم عن Key vault URI باستدعاء az keyvault show ، وللإصدار الرئيسي عن طريق استدعاء az keyvault key-members . ثم قم باستدعاء az storage account update لتحديث إعدادات تشفير حساب التخزين لاستخدام الإصدار الجديد من المفتاح، كما هو موضح في المثال السابق.

تغيير المفتاح

يمكنك تغيير المفتاح الذي تستخدمه لتشفير Azure Storage في أي وقت.

ملاحظة

عند تغيير المفتاح أو إصدار المفتاح، تتغير حماية مفتاح التشفير الجذر، ولكن تظل البيانات الموجودة في حساب Azure Storage مشفرة في جميع الأوقات. لا يوجد أي إجراء إضافي مطلوب من جانبك لضمان حماية بياناتك. لا يؤثر تغيير المفتاح أو تدوير إصدار المفتاح على الأداء. لا يوجد وقت تعطل مقترن بتغيير المفتاح أو تدوير إصدار المفتاح.

مدخل Azure

لتغيير المفتاح باستخدام مدخل Azure، اتبع الخطوات التالية:

1. انتقل إلى حساب التخزين لديك، واعرض إعدادات التشفير.
2. حدد مخزن المفاتيح، واختر مفتاحاً جديداً.
3. حفظ التغييرات.

PowerShell

لتغيير المفتاح من خلال PowerShell، يجب عليك استدعاء Set-AzStorageAccount وتوفير إصدار واسم المفتاح الجديد. إذا كان المفتاح الجديد في مخزن مفاتيح مختلف، يجب عليك أيضاً تحديث عنوان URI لمخزن المفاتيح.

Azure CLI

لتغيير المفتاح باستخدام Azure CLI، يجب عليك استدعاء az storage account update وتوفير اسم المفتاح الجديد وإصداره. إذا كان المفتاح الجديد في مخزن مفاتيح مختلف، يجب عليك أيضاً تحديث عنوان URI لمخزن المفاتيح.

إذا كان المفتاح الجديد في مخزن مفاتيح مختلف، يجب منح الوصول إلى الهوية المدارة إلى المفتاح في المخزن الجديد. إذا اخترت التحديث اليدوي لإصدار المفتاح، فستحتاج أيضا إلى تحديث URI لمخزن المفاتيح.

إبطال الوصول إلى حساب تخزين يستخدم مفاتيح يديرها العميل

لإلغاء الوصول مؤقتا إلى حساب تخزين يستخدم مفاتيح يديرها العميل، قم بتعطيل المفتاح المستخدم حاليا في مخزن المفاتيح. لا يوجد أي تأثير على الأداء أو وقت تعطل مقترن بتعطيل المفتاح وإعادة إبطاله.

بعد تعطيل المفتاح، لا يمكن للعملاء استدعاء العمليات التي تقرأ من أو تكتب إلى كائن ثنائي كبير الحجم أو بيانات التعريف الخاصة به. للحصول على معلومات حول العمليات التي ستفشل، راجع إبطال الوصول إلى حساب تخزين يستخدم المفاتيح التي يديرها العميل.

تنبيه

عند تعطيل المفتاح في مخزن المفاتيح، تظل البيانات الموجودة في حساب Azure Storage مشفرة، ولكنها تصبح غير قابلة للوصول حتى تتمكن من إعادة تمكين المفتاح.

مدخل Azure

لتعطيل مفتاح يديره العميل باستخدام مدخل Microsoft Azure، اتبع الخطوات التالية:

1. انتقل إلى مخزن المفاتيح الذي يحتوي على المفتاح.

2. ضمن Objects، حدد Keys.

3. انقر بزر الماوس الأيمن فوق المفتاح وحدد تعطيل.

   

PowerShell

لإبطال مفتاح يديره العميل باستخدام PowerShell، اتصل بالأمر Update-AzKeyVaultKey ، كما هو موضح في المثال التالي. تذكر استبدال قيم العنصر النائب بين قوسين بالقيم الخاصة بك لتحديد المتغيرات، أو استخدام المتغيرات المحددة في الأمثلة السابقة.

$kvName  = "<key-vault-name>"
$keyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it

# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $keyName -VaultName $kvName

# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $kvName -Name $keyName -Enable $enabled

Azure CLI

لإبطال مفتاح يديره العميل باستخدام Azure CLI، قم باستدعاء الأمر az keyvault key set-attributes ، كما هو موضح في المثال التالي. تذكر استبدال قيم العنصر النائب بين قوسين بالقيم الخاصة بك لتحديد المتغيرات، أو استخدام المتغيرات المحددة في الأمثلة السابقة.

kvName="<key-vault-name>"
keyName="<key-name>"
enabled="false"
# "false" to disable the key / "true" to enable it:

# Check the current state of the key (before and after enabling/disabling it)
az keyvault key show \
    --vault-name $kvName \
    --name $keyName

# Disable (or enable) the key
az keyvault key set-attributes \
    --vault-name $kvName \
    --name $keyName \
    --enabled $enabled

سيؤدي تعطيل المفتاح إلى فشل محاولات الوصول إلى البيانات في حساب التخزين مع رمز الخطأ 403 (ممنوع). للحصول على قائمة بعمليات حساب التخزين التي ستتأثر بتعطيل المفتاح، راجع إبطال الوصول إلى حساب تخزين يستخدم المفاتيح التي يديرها العميل.

التبديل مرة أخرى إلى المفاتيح التي تديرها Microsoft

يمكنك التبديل من المفاتيح التي يديرها العميل مرة أخرى إلى المفاتيح التي تديرها Microsoft في أي وقت، باستخدام مدخل Microsoft Azure أو PowerShell أو Azure CLI.

مدخل Azure

للتبديل من المفاتيح التي يديرها العميل مرة أخرى إلى المفاتيح التي تديرها Microsoft في مدخل Microsoft Azure، اتبع الخطوات التالية:

1. انتقل إلى حساب التخزين الخاص بك.

2. ضمن Security + networking، حدد Encryption.

3. تغيير نوع التشفير إلى المفاتيح التي تديرها Microsoft.

   

PowerShell

للتبديل من المفاتيح التي يديرها العميل مرة أخرى إلى المفاتيح التي تديرها Microsoft باستخدام PowerShell، اتصل ب Set-AzStorageAccount مع -StorageEncryption الخيار، كما هو موضح في المثال التالي. تذكر استبدال قيم العناصر النائبة بين قوسين بقيمك الخاصة واستخدام المتغيرات المحددة في الأمثلة السابقة.

Set-AzStorageAccount -ResourceGroupName $storageAccount.ResourceGroupName `
    -AccountName $storageAccount.StorageAccountName `
    -StorageEncryption  

Azure CLI

للتبديل من المفاتيح التي يديرها العميل مرة أخرى إلى المفاتيح المدارة من قبل Microsoft باستخدام Azure CLI، اتصل بتحديث حساب تخزين az وقم بتعيين --encryption-key-source parameter إلى Microsoft.Storage، كما هو موضح في المثال التالي. تذكر استبدال قيم العناصر النائبة بين قوسين بقيمك الخاصة واستخدام المتغيرات المحددة في الأمثلة السابقة.

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-source Microsoft.Storage

الخطوات التالية

• تشفير Azure Storage للبيانات الثابتة
• مفاتيح مُدارة من قبل العملاء لتشفير Azure Storage
• تكوين المفاتيح المُدارة من قِبل العميل في Azure key vault لحساب تخزين موجود
• تكوين التشفير باستخدام المفاتيح التي يديرها العميل المُخزنة في Azure Key Vault Managed HSM