المفاتيح التي يديرها العميل لتشفير Azure Fluid Relay

يمكنك استخدام مفتاح التشفير الخاص بك لحماية البيانات في مورد Azure Fluid Relay. عند تحديد مفتاح مدار من قبل العميل (CMK)، يتم استخدام هذا المفتاح لحماية الوصول إلى المفتاح الذي يقوم بتشفير بياناتك والتحكم فيه. يوفر CMK مرونة أكبر لإدارة عناصر التحكم في الوصول.

يجب استخدام أحد مخازن مفاتيح Azure التالية لتخزين CMK الخاص بك:

• Azure Key Vault
• وحدة أمان الأجهزة المُدارة لـ Azure Key Vault (HSM)

يجب إنشاء مورد Azure Fluid Relay جديد لتمكين CMK. لا يمكنك تغيير تمكين/تعطيل CMK على مورد Fluid Relay موجود.

أيضا، يعتمد CMK من Fluid Relay على الهوية المدارة، وتحتاج إلى تعيين هوية مدارة إلى مورد Fluid Relay عند تمكين CMK. يسمح فقط بالهوية المعينة من قبل المستخدم لمورد Fluid Relay CMK. لمزيد من المعلومات حول الهويات المدارة، راجع هنا.

لا يمكن تكوين مورد Fluid Relay باستخدام CMK من خلال مدخل Microsoft Azure حتى الآن.

عند تكوين مورد Fluid Relay باستخدام CMK، تقوم خدمة Azure Fluid Relay بتكوين الإعدادات المشفرة ل CMK المناسبة على نطاق حساب تخزين Azure حيث يتم تخزين البيانات الاصطناعية لجلسة عمل Fluid. لمزيد من المعلومات حول CMK في Azure Storage، راجع هنا.

للتحقق من أن مورد Fluid Relay يستخدم CMK، يمكنك التحقق من خاصية المورد عن طريق إرسال GET ومعرفة ما إذا كان يحتوي على خاصية صالحة وغير فارغة من encryption.customerManagedKeyEncryption.

المتطلبات:

قبل تكوين CMK على مورد Azure Fluid Relay، يجب استيفاء المتطلبات الأساسية التالية:

• يجب تخزين المفاتيح في Azure Key Vault.
• يجب أن تكون المفاتيح مفتاح RSA وليس مفتاح EC لأن مفتاح EC لا يدعم WRAP وWRAP.
• يجب إنشاء هوية مدارة معينة من قبل المستخدم بإذن ضروري (GET و WRAP و UNWRAP) إلى مخزن المفاتيح في الخطوة 1. مزيد من المعلومات هنا. يرجى منح GET و WRAP وWRAP ضمن أذونات المفتاح في AKV.
• يجب أن يكون Azure Key Vault والهوية المعينة من قبل المستخدم ومورد Fluid Relay في نفس المنطقة وفي نفس مستأجر Microsoft Entra.

إنشاء مورد Fluid Relay باستخدام CMK

PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group name> /providers/Microsoft.FluidRelay/fluidRelayServers/< Fluid Relay resource name>?api-version=2022-06-01 @"<path to request payload>" 

طلب تنسيق البيانات الأساسية:

{ 
    "location": "<the region you selected for Fluid Relay resource>", 
    "identity": { 
        "type": "UserAssigned", 
        "userAssignedIdentities": { 
            “<User assigned identity resource ID>": {} 
        } 
    }, 
    "properties": { 
       "encryption": { 
            "customerManagedKeyEncryption": { 
                "keyEncryptionKeyIdentity": { 
                    "identityType": "UserAssigned", 
                    "userAssignedIdentityResourceId":  "<User assigned identity resource ID>" 
                }, 
                "keyEncryptionKeyUrl": "<key identifier>" 
            } 
        } 
    } 
} 

مثال userAssignedIdentities وuserAssignedIdentityResourceId: /subscriptions/ xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxx/resourceGroups/testGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/testUserAssignedIdentity

مثال على keyEncryptionKeyUrl: https://test-key-vault.vault.azure.net/keys/testKey/testKeyVersionGuid

ملاحظات:

• يجب أن يكون Identity.type هو UserAssigned. هو نوع هوية الهوية المدارة التي تم تعيينها إلى مورد Fluid Relay.
• Properties.encryption.customerManagedKeyEncryption.keyEncryptionKeyIdentity.identityType يجب أن يكون UserAssigned. هو نوع هوية الهوية المدارة التي يجب استخدامها ل CMK.
• على الرغم من أنه يمكنك تحديد أكثر من واحد في Identity.userAssignedIdentities، سيتم استخدام هوية مستخدم واحدة فقط تم تعيينها لمورد Fluid Relay المحدد للوصول إلى CMK في مخزن المفاتيح للتشفير.
• Properties.encryption.customerManagedKeyEncryption.keyEncryptionKeyIdentity.userAssignedIdentityResourceId هو معرف المورد للهوية المعينة للمستخدم التي يجب استخدامها ل CMK. لاحظ أنه يجب أن يكون أحد الهويات في Identity.userAssignedIdentities (يجب تعيين الهوية إلى مورد Fluid Relay قبل أن يتمكن من استخدامه ل CMK). أيضا، يجب أن يكون لديه الأذونات اللازمة على المفتاح (الذي يوفره keyEncryptionKeyUrl).
• Properties.encryption.customerManagedKeyEncryption.keyEncryptionKeyUrl هو معرف المفتاح المستخدم ل CMK.

تحديث إعدادات CMK لمورد Fluid Relay موجود

يمكنك تحديث إعدادات CMK التالية على مورد Fluid Relay الموجود:

• تغيير الهوية المستخدمة للوصول إلى مفتاح تشفير المفتاح.
• تغيير معرف مفتاح تشفير المفتاح (عنوان URL للمفتاح).
• تغيير إصدار المفتاح لمفتاح تشفير المفتاح.

لاحظ أنه لا يمكنك تعطيل CMK على مورد Fluid Relay الموجود بمجرد تمكينه.

طلب عنوان URL:

PATCH https://management.azure.com/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.FluidRelay/fluidRelayServers/<fluid relay server name>?api-version=2022-06-01 @"path to request payload" 

طلب مثال الحمولة لتحديث عنوان URL لمفتاح تشفير المفتاح:

{ 
    "properties": { 
       "encryption": { 
            "customerManagedKeyEncryption": { 
                "keyEncryptionKeyUrl": "https://test_key_vault.vault.azure.net/keys/testKey /xxxxxxxxxxxxxxxx" 
            } 
        } 
    } 
}

(راجع أيضًا )

• نظرة عامة على بنية Azure Fluid Relay
• تخزين البيانات في Azure Fluid Relay
• تشفير البيانات في Azure Fluid Relay