مفاتيح مُدارة من قبل العملاء لتشفير Azure Storage

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

يمكنك استخدام مفتاح التشفير الخاص بك لحماية البيانات الموجودة في حساب التخزين الخاص بك. عند تحديد مفتاح مدار من قبل العميل، يتم استخدام هذا المفتاح لحماية المفتاح الذي يقوم بتشفير البيانات والتحكم فيه. تُوفر المفاتيح المُدارة بواسطة العميل مزيدًا من المرونة في إدارة عناصر التحكم في الوصول.

يجب عليك استخدام أحد مخازن مفاتيح Azure التالية لتخزين المفاتيح التي يديرها العميل:

• ⁧⁩Azure Key Vault⁧⁩
• وحدة أمان الأجهزة المُدارة لـ Azure Key Vault (HSM)

يمكنك إما إنشاء المفاتيح الخاصة بك وتخزينها في المخزن الرئيسي أو HSM المدار، أو يمكنك استخدام واجهات برمجة التطبيقات Azure Key Vault لإنشاء المفاتيح. يجب أن يكون حساب التخزين وخزينة المفاتيح أو HSM المُدارة في نفس المنطقة وفي نفس مستأجر Azure Active Directory (Azure AD)، ولكن يمكن أن تكون في اشتراكات مختلفة.

ملاحظة

يدعم Azure Key Vault وAzure Key Vault Managed HSM نفس واجهات برمجة التطبيقات والواجهات الخاصة بإدارة لتكوين.

استخدام المفاتيح المُدارة بواسطة العملاء

يوضح الرسم التخطيطي التالي كيفية استخدام Azure Storage لـAzure AD ومخزن مفاتيح أو HSM مدار لتقديم الطلبات باستخدام المفتاح المدار من قبل العميل:

توضح القائمة التالية الخطوات المرقمة في الرسم التخطيطي:

1. يمنح مسؤول Azure Key Vault أذونات لمفاتيح التشفير للهوية المدارة. قد تكون الهوية المدارة إما هوية مدارة معينة من قبل المستخدم تقوم بإنشائها وإدارتها، أو هوية مدارة معينة من قبل النظام مقترنة بحساب التخزين.
2. يقوم مسؤول Azure Storage بتكوين التشفير باستخدام مفتاح يديره العميل لحساب التخزين.
3. يستخدم Azure Storage الهوية المدارة التي منح لها مسؤول Azure Key Vault الأذونات في الخطوة 1 لمصادقة الوصول إلى Azure Key Vault عبر Azure AD.
4. يقوم Azure Storage بتغليف مفتاح تشفير الحساب بالمفتاح المدار من قبل العميل في Azure Key Vault.
5. لعمليات القراءة/الكتابة، يرسل Azure Storage طلبات إلى Azure Key Vault لفك مفتاح تشفير الحساب لإجراء عمليات التشفير وفك التشفير.

يجب أن يكون للهوية المدارة المقترنة بحساب التخزين هذه الأذونات كحد أدنى للوصول إلى مفتاح يديره العميل في Azure Key Vault:

• wrapkey
• unwrapkey
• get

لمزيد من المعلومات حول أذونات المفاتيح، راجع أنواع المفاتيح والخوارزميات والعمليات.

يوفر Azure Policy سياسة مضمنة لمطالبة حسابات التخزين باستخدام المفاتيح المدارة من قبل العميل لأحمال عمل Blob Storage وAzure Files. لمزيد من المعلومات، راجع قسم التخزين المتعلق بـتعريفات النهج المضمنة الخاصة بنهج Azure .

المفاتيح التي يديرها العميل لقوائم الانتظار والجداول

لا تتم حماية البيانات المخزنة في "قائمة الانتظار" و"تخزين الجدول" تلقائيًا بواسطة مفتاح مدار من قبل العميل عند تمكين المفاتيح المدارة من قبل العميل لحساب التخزين. يمكنك اختياريًا تكوين هذه الخدمات ليتم تضمينها في هذه الحماية في وقت إنشاء حساب التخزين.

لمزيد من المعلومات حول كيفية إنشاء حساب تخزين يدعم المفاتيح التي يديرها العميل لقوائم الانتظار والجداول، راجع إنشاء حساب يدعم المفاتيح التي يديرها العميل للجداول وقوائم الانتظار.

تتم دائمًا حماية البيانات الموجودة في مساحة تخزين Blob وملفات Azure بواسطة المفاتيح التي يديرها العميل عند تكوين المفاتيح المدارة من قبل العميل لحساب التخزين.

تمكين المفاتيح المدارة من قبل العميل لحساب تخزين

عند تكوين مفتاح يديره العميل، يقوم Azure Storage بتغليف مفتاح تشفير البيانات الجذر للحساب باستخدام المفتاح المدار من قبل العميل في مخزن المفاتيح المقترن أو HSM المدار. لا يؤثر تمكين المفاتيح المدارة من قبل العملاء على الأداء، ويصبح ساريًا على الفور.

عند تمكين المفاتيح التي يديرها العميل أو تعطيلها، أو عند تعديل المفتاح أو إصدار المفتاح، تتغير حماية مفتاح تشفير الجذر، ولكن لا يلزم إعادة تشفير البيانات الموجودة في حساب Azure Storage الخاص بك.

يمكنك تمكين المفاتيح التي يديرها العميل على كل من حسابات التخزين الجديدة والحالية. عند تمكين المفاتيح التي يديرها العميل، يجب عليك تحديد هوية مدارة ليتم استخدامها لتخويل الوصول إلى مخزن المفاتيح الذي يحتوي على المفتاح. قد تكون الهوية المدارة إما هوية مدارة معينة من قبل المستخدم أو معينة من قبل النظام:

• عند تكوين المفاتيح المدارة من قبل العميل في الوقت الذي تنشئ فيه حساب تخزين، يجب عليك استخدام هوية مدارة معينة من قبل المستخدم.
• عند تكوين المفاتيح المدارة من قبل العميل على حساب تخزين موجود، يمكنك استخدام إما هوية مدارة معينة من قبل المستخدم أو هوية مدارة معينة من قبل النظام.

لمعرفة المزيد حول الهويات المدارة المعينة من قبل النظام مقابل الهويات المدارة المعينة من قبل المستخدم، راجع الهويات المدارة لموارد Azure.

يمكنك التبديل بين المفاتيح المدارة من قبل العميل والمفاتيح المدارة من Microsoft في أي وقت. لمزيد من المعلومات حول المفاتيح التي تديرها Microsoft، راجع حول إدارة مفاتيح التشفير .

لمعرفة كيفية تكوين تشفير Azure Storage باستخدام المفاتيح المدارة من قبل العميل في مخزن مفاتيح، راجع التكوين الخاص بالتشفير باستخدام المفاتيح المدارة من قبل العميل المخزنة في Azure Key Vault. لتكوين المفاتيح التي يديرها العميل في HSM مُدار، راجع تكوين التشفير باستخدام المفاتيح التي يديرها العميل المُخزنة في Azure Key Vault Managed HSM.

هام

تعتمد المفاتيح التي يديرها العميل على الهويات المُدارة لموارد Azure، وهي إحدى ميزات Azure Active Directory (Azure AD). لا تدعم الهويات المُدارة حالياً سيناريوهات عبر المستأجر. عند تكوين المفاتيح المدارة من قبل العميل في مدخل Microsoft Azure، يتم تعيين هوية مدارة تلقائيًا إلى حساب التخزين الخاص بك تحت التغطيات. إذا قمت لاحقًا بنقل الاشتراك أو مجموعة الموارد أو حساب التخزين من مستأجر Azure AD إلى آخر، فلن يتم نقل الهوية المدارة المقترنة بحساب التخزين إلى المستأجر الجديد، لذلك قد لا تعمل المفاتيح التي يديرها العميل بعد الآن. لمزيد من المعلومات، راجع نقل اشتراك بين دلائل Azure AD في الأسئلة المتداولة والمشكلات المعروفة المتعلقة بالهويات المدارة لموارد Azure.

يدعم تشفير Azure Storage مفاتيح RSA وRSA-HSM ذات الأحجام 2048 و3072 و4096. لمزيد من المعلومات حول المفاتيح، يُرجى مراجعة نُبذة عن المفاتيح.

استخدام مخزن رئيسي أو HSM مدار له تكاليف مرتبطة به. لمزيدٍ من المعلومات، راجع صفحة تسعير Key Vault.

تحديث إصدار المفتاح

عند تكوين التشفير باستخدام المفاتيح المدارة من قبل العملاء، يكون لديك خياران لتحديث الإصدار الرئيسي:

• تحديث إصدار المفتاح تلقائيًا: لتحديث مفتاح مدار بواسطة العميل تلقائيًا عند توفر إصدار جديد، قم بحذف إصدار المفتاح عند تمكين التشفير باستخدام مفاتيح مدارة من قبل العميل لحساب التخزين. إذا تم حذف إصدار المفتاح، فسيقوم Azure Storage بفحص مخزن المفاتيح أو HSM المدار يوميا بحثًا عن إصدار جديد من مفتاح مدار من قبل العميل. تستخدم Azure Storage تلقائيًا الإصدار الأخير من المفتاح.

• تحديث الإصدار الرئيسي يدويًا: لاستخدام إصدار معين من مفتاح تشفير Azure Storage، حدد هذا الإصدار الأساسي عند تمكين التشفير باستخدام مفاتيح مدارة من قبل العميل لحساب التخزين. إذا قمت بتحديد إصدار المفتاح، فسيستخدم Azure Storage هذا الإصدار للتشفير حتى تقوم بتحديث إصدار المفتاح يدويًا.

  عند تحديد إصدار المفتاح بشكل صريح، يجب عليك تحديث حساب التخزين يدويًا لاستخدام إصدار المفتاح الجديد URI عند إنشاء إصدار جديد. لمعرفة كيفية تحديث حساب التخزين لاستخدام إصدار جديد من المفتاح، راجع تكوين التشفير باستخدام المفاتيح المدارة من قبل العميل المخزنة في Azure Key Vault أو تكوين التشفير باستخدام المفاتيح المدارة من قبل العميل المخزنة في Azure Key Vault HSM المدار.

عند تحديث إصدار المفتاح، تتغير حماية مفتاح تشفير الجذر، ولكن لا تتم إعادة تشفير البيانات الموجودة في حساب Azure Storage الخاص بك. لا يوجد أي إجراء آخر مطلوب من المستخدم.

ملاحظة

لتدوير مفتاح، أنشئ إصدارًا جديدًا من المفتاح في مخزن المفاتيح أو HSM المدار، وفقًا لسياسات الامتثال الخاصة بك. يمكنك تدوير المفتاح يدويًا أو إنشاء وظيفة لتدويره وفقا لجدول زمني.

إبطال الوصول إلى المفاتيح التي يديرها العميل

يمكنك إبطال وصول حساب التخزين إلى المفتاح الذي يديره العميل في أي وقت. بعد إبطال الوصول إلى المفاتيح التي يديرها العميل، أو بعد تعطيل المفتاح أو حذفه، لا يمكن للعملاء استدعاء العمليات التي تقرأ من نقطة أو تكتب إليها أو بيانات التعريف الخاصة بها. ستفشل محاولات استدعاء أي من العمليات التالية باستخدام رمز الخطأ 403 (ممنوع) لجميع المستخدمين:

• قائمة الكاائنات الثنائية كبيرة الحجم، عند استدعاؤها باستخدام المعلمة include=metadata على طلب URI
• الحصول على كائن ثنائي كبير الحجم
• الحصول على خصائص الـ Blob
• الحصول على بيانات التعريف للكائن الثنائي كبير الحجم
• تعيين بيانات التعريف للكائن الثنائي كبير الحجم
• لقطة كائن ثنائي كبير الحجم، عند الاتصال برأس x-ms-meta-name الطلب
• نسخ كائن ثنائي كبير الحجم
• نسخ الكائن الثنائي كبير الحجم من عنوان URL
• تعيين طبقة الـ Blob
• وضع كتلة
• وضع كتلة من URL
• إلحاق كتلة
• إلحاق كتلة من عنوان URL
• وضع الكائن الثنائي كبير الحجم
• وضع الصفحة
• وضَع صفحة من عنوان URL
• نُسخة تزايدية لكائن ثنائي كبير الحجم

لاستدعاء هذه العمليات مرة أخرى، قم باستعادة الوصول إلى المفتاح الذي يديره العميل.

قد تتم متابعة كافة عمليات البيانات غير المدرجة في هذا القسم بعد إبطال المفاتيح التي يديرها العميل أو تعطيل مفتاح أو حذفه.

لإبطال الوصول إلى المفاتيح التي يديرها العميل، استخدم PowerShell أو Azure CLI.

المفاتيح المدارة من قبل العميل للأقراص المدارة من Azure

تتوفر أيضًا المفاتيح المدارة من قبل العميل لإدارة تشفير الأقراص المدارة من Azure. تتصرف المفاتيح المدارة من قبل العميل بشكل مختلف للأقراص المدارة مقارنة بموارد تخزين Azure. لمزيد من المعلومات، راجع التشفير من جانب الخادم للأقراص المدارة من Azure Windows أو التشفير من جانب الخادم للأقراص المدارة من Azure لنظام التشغيل Linux.

الخطوات التالية

• تشفير Azure Storage للبيانات الثابتة
• تكوين التشفير باستخدام مفاتيح يديرها العميل مخزنة في Azure Key Vault
• تكوين التشفير باستخدام المفاتيح التي يديرها العميل المُخزنة في Azure Key Vault Managed HSM