المفاتيح التي يديرها العملاء في Azure Monitor

يتم تشفير البيانات في Azure Monitor باستخدام مفاتيح تُديرها Microsoft. يمكنك استخدام مفتاح التشفير الخاص بك لحماية البيانات في مساحات العمل الخاصة بك. تمنحك المفاتيح التي يديرها العميل في Azure Monitor التحكم في دورة حياة مفتاح التشفير والوصول إلى السجلات. بمجرد تكوينها، يتم تشفير البيانات الجديدة التي يتم استيعابها في مساحات العمل المرتبطة بمفتاحك في Azure Key Vault، أو HSM المدار من Azure Key Vault (وحدة أمان الأجهزة).

نظرة عامة على المفتاح المُدار بواسطة العميل

يعد تشفير البيانات الثابتة أحد متطلبات الخصوصية والأمان الشائعة في المؤسسات. يمكنك السماح ل Azure بإدارة التشفير بالكامل في حالة الثبات، أو استخدام خيارات مختلفة لإدارة مفاتيح التشفير والتشفير عن كثب.

يتأكد Azure Monitor من تشفير جميع البيانات والاستعلامات المحفوظة في حالة عدم التشغيل باستخدام المفاتيح المُدارة بواسطة Microsoft (MMK). استخدام Azure Monitor للتشفير مطابق للطريقة التي يعمل بها تشفير Azure Storage.

للتحكم في دورة حياة المفتاح مع القدرة على إبطال بيانات الوصول، وتشفير البيانات باستخدام المفتاح الخاص بك في Azure Key Vault، أو HSM المدار من Azure Key Vault. تتوفر إمكانية المفاتيح التي يديرها العميل على مجموعات مخصصة وتوفر لك مستوى أعلى من الحماية والتحكم.

يتم تشفير البيانات التي يتم استيعابها في مجموعات مخصصة مرتين - على مستوى الخدمة باستخدام مفاتيح مدارة من قبل Microsoft أو مفاتيح يديرها العميل، وعلى مستوى البنية الأساسية، باستخدام خوارزميتين مختلفتين للتشفير ومفاتيحين مختلفين. يحمي التشفير المزدوج من سيناريو يتم فيه اختراق إحدى خوارزميات التشفير أو المفاتيح. تتيح لك المجموعات المخصصة أيضا حماية البيانات باستخدام Lockbox.

يتم الاحتفاظ بالبيانات التي تم تناولها في آخر 14 يوما، أو المستخدمة مؤخرا في الاستعلامات، في ذاكرة التخزين المؤقت الساخن (مدعومة من SSD) لكفاءة الاستعلام. يتم تشفير بيانات SSD باستخدام مفاتيح تديرها Microsoft بغض النظر عما إذا كنت تقوم بتكوين المفاتيح المدارة من قبل العميل، ولكن التحكم في الوصول إلى SSD يلتزم بإبطال المفتاح.

هام

تستخدم المجموعات المخصصة نموذج تسعير مستوى الالتزام الذي يبلغ 100 غيغابايت على الأقل في اليوم.

كيفية عمل المفاتيح المدارة من قبل العميل في Azure Monitor

يستخدم Azure Monitor الهوية المدارة لمنح حق الوصول إلى مفتاحك في Azure Key Vault. يتم دعم هوية مجموعات Log Analytics على مستوى نظام المجموعة. لتوفير مفاتيح يديرها العميل على مساحات عمل متعددة، يعمل مورد مجموعة Log Analytics كاتصال هوية وسيط بين Key Vault ومساحات عمل Log Analytics. يستخدم تخزين نظام المجموعة الهوية المدارة المقترنة بالمجموعة للمصادقة على Azure Key Vault من خلال معرف Microsoft Entra.

تدعم المجموعات نوعين من الهوية المدارة: تعيين النظام وتعيين المستخدم، بينما يمكن تعريف هوية واحدة في نظام مجموعة اعتمادا على السيناريو الخاص بك.

• الهوية المدارة المعينة من قبل النظام أبسط ويتم إنشاؤها تلقائيا مع نظام المجموعة عند identitytype تعيين إلى SystemAssigned. يتم استخدام هذه الهوية لاحقا لمنح حق الوصول إلى التخزين إلى Key Vault لتشفير البيانات وفك تشفيرها.
• تتيح لك الهوية المدارة المعينة من قبل المستخدم تكوين المفاتيح المدارة من قبل العميل عند إنشاء نظام المجموعة، عندما identitytype يتم تعيينها إلى UserAssigned، ومنحها أذونات في Key Vault قبل إنشاء نظام المجموعة.

تكوين المفاتيح المدارة من قبل العميل على مجموعة جديدة، أو مجموعة مخصصة موجودة مع مساحات عمل مرتبطة استيعاب البيانات. يمكن إلغاء ربط مساحات العمل من نظام مجموعة في أي وقت. يتم تشفير البيانات الجديدة التي يتم استيعابها في مساحات العمل المرتبطة باستخدام المفتاح الخاص بك، وتظل البيانات القديمة مشفرة باستخدام المفاتيح التي تديرها Microsoft. لا يقطع التكوين الاستيعاب أو الاستعلامات، حيث يتم تنفيذ الاستعلامات عبر البيانات القديمة والجديدة بسلاسة. عند إلغاء ربط مساحات العمل من نظام مجموعة، يتم تشفير البيانات الجديدة التي تم استيعابها باستخدام مفاتيح تديرها Microsoft.

هام

إمكانية المفاتيح التي يديرها العميل إقليمية. يجب أن يكون Azure Key Vault والكتلة المخصصة ومساحات العمل المرتبطة في نفس المنطقة، ولكن يمكن أن تكون في اشتراكات مختلفة.

1. Key Vault
2. مورد مجموعة Log Analytics الذي لديه هوية مدارة مع أذونات إلى Key Vault - يتم نشر الهوية إلى تخزين نظام المجموعة المخصص الأساسي
3. نظام مجموعة مخصصة
4. مساحات العمل المرتبطة بنظام مجموعة مخصصة

أنواع مفاتيح التشفير

هناك ثلاثة أنواع من المفاتيح المتضمنة في تشفير بيانات التخزين:

• KEK - مفتاح تشفير المفتاح (المفتاح الذي يديره العميل)
• AEK - مفتاح تشفير الحساب
• DEK - مفتاح تشفير البيانات

يتم تطبيق القواعد التالية:

• يحتوي تخزين نظام المجموعة على مفتاح تشفير فريد لكل حساب تخزين، والذي يعرف باسم AEK.
• يتم استخدام AEK لاشتقاق DEKs، وهي المفاتيح المستخدمة لتشفير كل كتلة من البيانات المكتوبة على القرص.
• عند تكوين KEK المدار من قبل العميل في مجموعتك، يقوم تخزين نظام المجموعة بتنفيذ wrapunwrap وطلبات Key Vault لتشفير AEK وفك تشفيره.
• KEK الخاص بك لا يترك Key Vault الخاص بك. إذا قمت بتخزين المفتاح الخاص بك في Azure Key Vault Managed HSM، فإنه لا يترك هذا الجهاز أيضا.
• يستخدم Azure Storage الهوية المدارة المقترنة بالمجموعة للمصادقة. يصل إلى Azure Key Vault عبر معرف Microsoft Entra.

خطوات التزويد بمفتاح مُدار بواسطة العميل

1. إنشاء Azure Key Vault وتخزين المفتاح
2. إنشاء مجموعة مخصصة
3. منح أذونات إلى «مخزن المفاتيح»
4. تحديث نظام مجموعة مخصص بتفاصيل معرف المفتاح
5. ارتباط مساحات العمل

لا يدعم تكوين المفتاح الذي يديره العميل إعداد الهوية وتفاصيل معرف المفتاح. قم بتنفيذ هذه العملية عبر طلبات PowerShell أو CLI أو REST .

الأذونات المطلوبة

لتنفيذ الإجراءات المتعلقة بالمجموعة، تحتاج إلى هذه الأذونات:

الإجراء	الأذونات أو الدور المطلوب
إنشاء مجموعة مخصصة	Microsoft.Resources/deployments/*والأذونات Microsoft.OperationalInsights/clusters/write ، كما هو منصوص عليه في دور مساهم Log Analytics المضمن، على سبيل المثال
تغيير خصائص نظام مجموعة	Microsoft.OperationalInsights/clusters/write الأذونات، كما هو منصوص عليه في دور مساهم Log Analytics المضمن، على سبيل المثال
ربط مساحات العمل بمجموعة	Microsoft.OperationalInsights/clusters/writeو Microsoft.OperationalInsights/workspaces/writeو والأذونات Microsoft.OperationalInsights/workspaces/linkedservices/write ، كما هو منصوص عليه في الدور المضمن ل Log Analytics Contributor، على سبيل المثال
التحقق من حالة ارتباط مساحة العمل	Microsoft.OperationalInsights/workspaces/read أذونات إلى مساحة العمل، كما هو منصوص عليه في الدور المضمن لقارئ Log Analytics، على سبيل المثال
الحصول على مجموعات أو التحقق من حالة توفير نظام المجموعة	Microsoft.OperationalInsights/clusters/read الأذونات، كما هو منصوص عليه في الدور المضمن لقارئ Log Analytics، على سبيل المثال
تحديث مستوى الالتزام أو نوع الفوترة في نظام مجموعة	Microsoft.OperationalInsights/clusters/write الأذونات، كما هو منصوص عليه في دور مساهم Log Analytics المضمن، على سبيل المثال
منح الأذونات المطلوبة	دور المالك أو المساهم الذي لديه */write أذونات، أو دور مساهم Log Analytics المضمن، الذي لديه Microsoft.OperationalInsights/* أذونات
إلغاء ربط مساحة عمل من نظام المجموعة	Microsoft.OperationalInsights/workspaces/linkedServices/delete الأذونات، كما هو منصوص عليه في دور مساهم Log Analytics المضمن، على سبيل المثال
حذف مجموعة مخصصة	Microsoft.OperationalInsights/clusters/delete الأذونات، كما هو منصوص عليه في دور مساهم Log Analytics المضمن، على سبيل المثال

تخزين مفتاح التشفير ("KEK")

تسرد قائمة منتجات Azure Key Management الخزائن وأجهزة HSM المدارة التي يمكن استخدامها.

إنشاء أو استخدام Azure Key Vault موجود في المنطقة التي تم تخطيط نظام المجموعة فيها. في Key vault الخاص بك، قم بإنشاء أو استيراد مفتاح لاستخدامه في تشفير السجلات. يجب تكوين Azure Key Vault بحيث يكون قابلاً للاسترداد، لحماية مفتاحك والوصول إلى بياناتك في Azure Monitor. يمكنك التحقق من هذا التكوين ضمن الخصائص الموجودة في «مخزن المفاتيح»، وينبغي تمكين كلًّ من الحماية من الإزالة والحذف المبدئي.

هام

يوصى بإعداد إعلام عبر Azure Event Grid للاستجابة بفعالية لأحداث Azure Key Vault مثل مفتاح يقترب من انتهاء الصلاحية. عند انتهاء صلاحية المفتاح، لا يتأثر الاستيعاب والاستعلامات، ولكن لا يمكنك تحديث المفتاح في نظام المجموعة. اتبع هذه الخطوات لحلها

1. تحديد المفتاح المستخدم في صفحة نظرة عامة على نظام المجموعة في مدخل Microsoft Azure، ضمن JSON View
2. تمديد تاريخ انتهاء صلاحية المفتاح في Azure Key Vault
3. تحديث نظام المجموعة باستخدام المفتاح النشط، ويفضل أن يكون بقيمة الإصدار ""، لاستخدام أحدث إصدار تلقائيا دائما

يمكن تحديث هذه الإعدادات في «مخزن المفاتيح» من خلال CLI وPowerShell:

• حذف مبدئي
• حماية إزالة الحماية من الحذف القسري للبيانات السرية والمخزن حتى بعد الحذف المبدئي

إنشاء نظام المجموعة

تستخدم المجموعات الهوية المدارة لتشفير البيانات مع Key Vault الخاص بك. تكوين الخاصية identitytype إلى SystemAssigned أو UserAssigned عند إنشاء نظام المجموعة الخاص بك للسماح بالوصول إلى Key Vault لعمليات تشفير البيانات وفك التشفير.

على سبيل المثال، أضف هذه الخصائص في نص الطلب للهوية المدارة المعينة من قبل النظام

{
  "identity": {
    "type": "SystemAssigned"
    }
}

إشعار

يمكن تغيير نوع الهوية بعد إنشاء نظام المجموعة دون انقطاع في الاستيعاب أو الاستعلامات، مع الاعتبارات التالية:

• لا يمكن تحديث الهوية والمفتاح في وقت واحد لنظام مجموعة. تحديث في عمليتين متتاليتين.
• عند التحديث SystemAssigned إلى UserAssigned، امنح UserAssign الهوية في Key Vault، ثم حدث identity في نظام المجموعة.
• عند التحديث UserAssigned إلى SystemAssigned، امنح SystemAssigned الهوية في Key Vault، ثم حدث identity في نظام المجموعة.

اتبع الإجراء الموضح في مقالة نظام المجموعة المخصصة.

قم بمنح أذونات «لمخزن المفاتيح»

هناك نموذجان للأذونات في Key Vault لمنح حق الوصول إلى نظام المجموعة والتخزين المضمن - التحكم في الوصول المستند إلى الدور Azure (Azure RBAC)، ونهج الوصول إلى Vault (قديم).

1. تعيين التحكم في الوصول استنادا إلى الدور في Azure الذي تتحكم فيه (مستحسن)

   لإضافة تعيينات الأدوار، يجب أن يكون لديك دور مع Microsoft.Authorization/roleAssignments/write وأذونات Microsoft.Authorization/roleAssignments/delete ، مثل مسؤول وصول المستخدم أو المالك.

   1. افتح Key Vault في مدخل Microsoft Azure وحدد إعدادات> تكوين >التحكم في الوصول المستند إلى دور Azureوتطبيقه.
   2. حدد Go للتحكم في الوصول (IAM) وأضف تعيين دور مستخدم تشفير خدمة تشفير Key Vault .
   3. حدد الهوية المدارة في علامة التبويب الأعضاء وحدد الاشتراك للهوية والهوية كعضو.

   

2. تعيين نهج الوصول إلى المخزن (قديم)

   افتح Key Vault في مدخل Microsoft Azure وحدد لإنشاء نهج باستخدام هذه الإعدادات:

   • أذونات المفتاح - حدد الحصول على>مفتاح الالتفافومفتاح فك الالتفاف.
   • حدد كيانا اعتمادا على نوع الهوية المستخدم في نظام المجموعة (النظام أو الهوية المدارة المعينة من قبل المستخدم)
     • الهوية المُدارة المخصصة للنظام - أدخل اسم الكتلة أو المعرف الرئيسي للمجموعة
     • الهوية المُدارة التي عيّنها المستخدم - أدخل اسم الهوية

   

   يُلزم إذن لـGet للتحقق من تكوين «مخزن المفاتيح» الخاص بك ليكون قابلًا للاسترداد كي يحمي المفتاح الخاص بك والوصول إلى بياناتك على خدمة «مُراقبة» Azure.

قم بتحديث المجموعة باستخدام تفاصيل معرّف المفتاح

تتطلب جميع العمليات التي يتم إجراؤها على المجموعة Microsoft.OperationalInsights/clusters/write إذن الإجراء. يمكن منحه الإذن عبر المالك أو المساهم الذي يحتوي على */write الإجراء، أو عبر دور Log Analytics Contributor الذي يحتوي على Microsoft.OperationalInsights/* الإجراء.

تقوم هذه الخطوة بتحديث تخزين نظام المجموعة المخصص بالمفتاح والإصدار لاستخدامهما في AEKwrap و unwrap.

هام

• يمكن أن يكون تدوير المفتاح تلقائيا أو لكل إصدار مفتاح صريح، راجع تدوير المفتاح لتحديد النهج المناسب قبل تحديث تفاصيل معرف المفتاح في نظام المجموعة.
• يجب أن لا يتضمن تحديث المجموعة كلًّا من الهوية وتفاصيل معرّف المفتاح في العملية نفسها. إذا كنت بحاجة إلى تحديث كليهما، يجب أن يكون التحديث في عمليتين متتاليتين.

تحديث KeyVaultProperties في نظام المجموعة مع تفاصيل معرف المفتاح.

إن العملية غير متزامنة وقد تستغرق بعض الوقت لاستكمالها.

مدخل Microsoft Azure

‏‫غير متوفر‬

Azure CLI

عند إدخال '' قيمة ل key-version، يستخدم نظام المجموعة دائما إصدار المفتاح الأخير في Key Vault وليس هناك حاجة لتحديث تدوير مفتاح نشر نظام المجموعة.

az account set --subscription cluster-subscription-id

az monitor log-analytics cluster update --no-wait --name "cluster-name" --resource-group "resource-group-name" --key-name "key-name" --key-vault-uri "key-uri" --key-version "key-version"

$clusterResourceId = az monitor log-analytics cluster list --resource-group "resource-group-name" --query "[?contains(name, "cluster-name")].[id]" --output tsv
az resource wait --created --ids $clusterResourceId --include-response-body true

بوويرشيل

عند إدخال قيمة "'" ل KeyVersion، يستخدم نظام المجموعة دائما إصدار المفتاح الأخير في Key Vault ولا توجد حاجة لتحديث تدوير مفتاح نشر نظام المجموعة.

Select-AzSubscription "cluster-subscription-id"

Update-AzOperationalInsightsCluster -ResourceGroupName "resource-group-name" -ClusterName "cluster-name" -KeyVaultUri "key-uri" -KeyName "key-name" -KeyVersion "key-version" -AsJob

# Check when the job is done when `-AsJob` was used
Get-Job -Command "New-AzOperationalInsightsCluster*" | Format-List -Property *

استراح

PATCH https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.OperationalInsights/clusters/cluster-name?api-version=2023-09-01
Authorization: Bearer <token> 
Content-type: application/json
 
{
  "properties": {
    "keyVaultProperties": {
      "keyVaultUri": "https://key-vault-name.vault.azure.net",
      "keyName": "key-name",
      "keyVersion": ""
  },
  "sku": {
    "name": "CapacityReservation",
    "capacity": 100
  }
}

استجابه

يستغرق نشر المفتاح بعض الوقت لاستكماله. تحقق من حالة التحديث عن طريق إرسال GET طلب على نظام المجموعة وانظر إلى خصائص KeyVaultProperties . يجب أن يرجع المفتاح الخاص بك الذي تم تحديثه مؤخرًا في الاستجابة.

الاستجابة GET للطلب عند اكتمال التحديث الرئيسي: 202 (مقبول) ورأس

{
  "identity": {
    "type": "SystemAssigned",
    "tenantId": "tenant-id",
    "principalId": "principal-id"
  },
  "sku": {
    "name": "capacityreservation",
    "capacity": 100
  },
  "properties": {
    "keyVaultProperties": {
      "keyVaultUri": "https://key-vault-name.vault.azure.net",
      "keyName": "key-name",
      "keyVersion": ""
      },
    "provisioningState": "Succeeded",
    "clusterId": "cluster-id",
    "billingType": "Cluster",
    "lastModifiedDate": "last-modified-date",
    "createdDate": "created-date",
    "isDoubleEncryptionEnabled": false,
    "isAvailabilityZonesEnabled": false,
    "capacityReservationProperties": {
      "lastSkuUpdate": "last-sku-modified-date",
      "minCapacity": 100
    }
  },
  "id": "/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.OperationalInsights/clusters/cluster-name",
  "name": "cluster-name",
  "type": "Microsoft.OperationalInsights/clusters",
  "location": "cluster-region"
}

قم بربط مساحة العمل بالمجموعة

هام

يجب تنفيذ هذه الخطوة فقط بعد توفير نظام المجموعة. إذا قمت بربط مساحات العمل واستيعاب البيانات قبل التوفير، يتم إسقاط البيانات التي تم استيعابها ولا يمكن استردادها.

قم باتباع الإجراء الموضح في مقالة نظم المجموعات المخصصة.

إلغاء ربط مساحة العمل من نظام المجموعة

قم باتباع الإجراء الموضح في مقالة نظم المجموعات المخصصة.

إبطال المفتاح

هام

• الطريقة الموصى بها لإبطال الوصول إلى بياناتك هي عن طريق تعطيل المفتاح أو حذف نهج الوصول في Key Vault الخاص بك.
• يؤدي إعداد نظام المجموعةidentitytype إلى None إبطال الوصول إلى بياناتك أيضًا، ولكن لا يُوصى بهذه الطريقة لأنه لا يمكنك التراجع عنها دون الاتصال بالدعم.

يحترم تخزين نظام المجموعة دائما التغييرات في الأذونات الرئيسية في غضون ساعة أو في وقت أقرب، ويصبح التخزين غير متوفر. يتم إسقاط البيانات الجديدة التي يتم استيعابها في مساحات العمل المرتبطة ولا يمكن تجاوزها. لا يمكن الوصول إلى البيانات في مساحات العمل هذه وتفشل الاستعلامات. تبقى البيانات التي تم إدخالها مسبقًا في موقع التخزين ما لم يتم حذف نظام المجموعة ومساحات العمل الخاصة بك. يحكم نهج استبقاء البيانات البيانات التي لا يمكن الوصول إليها ويمسحها عند الوصول إلى فترة الاستبقاء. يتم الاحتفاظ أيضًا بالبيانات التي تم إدخالها في الـ 14 يومًا الماضية والبيانات المستخدمة مؤخرًا في الاستعلامات في ذاكرة التخزين المؤقت الساخنة (مدعومة بـ SSD) لكفاءة الاستعلام. يتم حذف البيانات على SSD في عملية إبطال المفتاح ويصبح الوصول إليها غير قابل للوصول. يحاول تخزين نظام المجموعة الوصول إلى Key Vault لعمليات wrap و unwrap بشكل دوري. بمجرد تمكين المفتاح ونجاحه unwrap ، تتم إعادة تحميل بيانات SSD من التخزين. يتم استئناف إدخال البيانات ووظائف الاستعلام في غضون 30 دقيقة.

دوران المفتاح

إن لتدوير المفتاح وضعين:

• Autorotation — قم بتحديث "keyVaultProperties" الخصائص في نظام المجموعة وحذف "keyVersion" الخاصية ، أو قم بتعيينها إلى "". يستخدم التخزين تلقائيا أحدث إصدار مفتاح.
• تحديث إصدار المفتاح الصريح - تحديث "keyVaultProperties" الخصائص وتحديث إصدار المفتاح في "keyVersion" الخاصية . يتطلب تدوير المفتاح تحديثا صريحا للخاصية "keyVersion" في نظام المجموعة. لمزيد من المعلومات، راجع تحديث نظام المجموعة بتفاصيل معرف المفتاح. إذا قمت بإنشاء إصدار مفتاح جديد في Key Vault ولكنك لم تقم بتحديث المفتاح في نظام المجموعة، يستمر تخزين نظام المجموعة في استخدام المفتاح السابق. إذا قمت بتعطيل المفتاح القديم أو حذفه قبل تحديث مفتاح جديد في نظام المجموعة، فستدخل في حالة إبطال المفتاح.

تظل جميع البيانات الخاصة بك قابلة للوصول أثناء وبعد عملية تدوير المفتاح. يتم تشفير البيانات دائما باستخدام مفتاح تشفير الحساب (AEK)، الذي يتم تشفيره باستخدام إصدار مفتاح تشفير المفتاح الجديد (KEK) في Key Vault.

المفتاح المدار من قبل العميل للاستعلامات المحفوظة وتنبيهات البحث في السجل

لغة الاستعلام المستخدمة في Log Analytics معبرة ويمكن أن تحتوي على معلومات حساسة في بناء جملة الاستعلام أو التعليقات. يجب على المؤسسات التي تلتزم بمتطلبات تنظيمية وتوافقية صارمة الحفاظ على هذه المعلومات مشفرة باستخدام مفتاح يديره العميل. يمكنك Azure Monitor من تخزين الاستعلامات والوظائف وتنبيهات البحث المحفوظة المشفرة باستخدام المفتاح الخاص بك في حساب التخزين الخاص بك عند ربطها بمساحة العمل الخاصة بك.

المفتاح المدار من قبل العميل للمصنفات

مع الاعتبارات المذكورة للمفتاح المدار من قبل العميل للاستعلامات المحفوظة وتنبيهات البحث في السجل، يتيح لك Azure Monitor تخزين استعلامات المصنف المشفرة باستخدام المفتاح الخاص بك في حساب التخزين الخاص بك، عند تحديد حفظ المحتوى إلى حساب تخزين Azure في عملية "حفظ" المصنف.

إشعار

تظل الاستعلامات مشفرة باستخدام مفتاح Microsoft (MMK) في السيناريوهات التالية بغض النظر عن تكوين المفتاح المدار من قبل العميل: لوحات معلومات Azure وتطبيق Azure Logic ودفاتر ملاحظات Azure ودفاتر التشغيل التلقائية.

عند ربط حساب التخزين الخاص بك بالاستعلامات المحفوظة، تخزن الخدمة الاستعلامات المحفوظة وتسجل استعلامات تنبيه البحث في حساب التخزين الخاص بك. من خلال التحكم في نهج تشفير حساب التخزين الثابت، يمكنك حماية الاستعلامات المحفوظة وتسجيل تنبيهات البحث باستخدام المفتاح المدار من قبل العميل. ومع ذلك، ستكون مسؤولاً عن التكاليف المرتبطة بحساب التخزين هذا.

الاعتبارات قبل تعيين المفتاح المدار من قبل العميل للاستعلامات المحفوظة

• يجب أن تكون لديك أذونات "كتابة" على مساحة العمل وحساب التخزين.
• يجب أن يكون حساب التخزين StorageV2 وفي نفس المنطقة مثل مساحة عمل Log Analytics.
• عند ربط حساب تخزين للاستعلامات المحفوظة، تتم إزالة الاستعلامات والوظائف المحفوظة الموجودة من مساحة العمل الخاصة بك للخصوصية. إذا كنت بحاجة إلى أن تكون هذه مفيدة، فانسخ الاستعلامات والوظائف المحفوظة الموجودة قبل التكوين. يمكنك عرض الاستعلامات المحفوظة باستخدام PowerShell، أو عند تصدير قالب ضمن التنفيذ التلقائي في مساحة العمل الخاصة بك.
• لا يتم تخزين الاستعلامات المحفوظة في حزمة الاستعلام على حساب التخزين المرتبط ولا يمكن تشفيرها باستخدام مفتاح مدار من قبل العميل. من المستحسن حفظ استعلام قديم لحماية الاستعلامات باستخدام مفتاح مدار من قبل العميل.
• تعتبر الاستعلامات والوظائف المحفوظة في حساب التخزين المرتبط عناصر خدمة وقد يتغير تنسيقها.
• الاستعلام "المحفوظات" و"التثبيت في لوحة المعلومات" غير مدعومين عند ربط حساب التخزين للاستعلامات المحفوظة.
• يمكنك ربط حساب تخزين واحد أو منفصل للاستعلامات المحفوظة وتسجيل استعلامات تنبيه البحث.
• للاحتفاظ بالاستعلامات والوظائف مشفرة باستخدام المفتاح الخاص بك، قم بتكوين حساب التخزين المرتبط باستخدام المفتاح المدار بواسطة العميل. يمكن إجراء هذه العملية كإنشاء حساب تخزين، أو لاحقا.

تكوين حساب التخزين المرتبط للاستعلامات المحفوظة

ربط حساب تخزين للاستعلامات والوظائف المحفوظة للاحتفاظ بالاستعلامات المحفوظة في حساب التخزين الخاص بك.

إشعار

تزيل العملية الاستعلامات والوظائف المحفوظة من مساحة العمل إلى جدول في حساب التخزين الخاص بك. يمكنك إلغاء ربط حساب التخزين للاستعلامات المحفوظة، لنقل الاستعلامات والوظائف المحفوظة مرة أخرى إلى مساحة العمل الخاصة بك. قم بتحديث المستعرض إذا لم تقم بحفظ الاستعلامات أو الوظائف التي لم تظهر في مدخل Microsoft Azure بعد العملية.

مدخل Microsoft Azure

‏‫غير متوفر‬

az account set --subscription "storage-account-subscription-id"

$storageAccountId = '/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage name>'

az account set --subscription "workspace-subscription-id"

az monitor log-analytics workspace linked-storage create --type Query --resource-group "resource-group-name" --workspace-name "workspace-name" --storage-accounts $storageAccountId

بوويرشيل

Select-AzSubscription "StorageAccount-subscription-id"

$storageAccountId = (Get-AzStorageAccount -ResourceGroupName "resource-group-name" -Name "storage-account-name").id

Select-AzSubscription "workspace-subscription-id"

New-AzOperationalInsightsLinkedStorageAccount -ResourceGroupName "resource-group-name" -WorkspaceName "workspace-name" -DataSourceType Query -StorageAccountIds $storageAccountId

استراح

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.OperationalInsights/workspaces/<workspace-name>/linkedStorageAccounts/Query?api-version=2020-08-01
Authorization: Bearer <token> 
Content-type: application/json
 
{
  "properties": {
    "dataSourceType": "Query", 
    "storageAccountIds": 
    [
      "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"
    ]
  }
}

بعد انتهاء التكوين، سيتم حفظ أي استعلام جديد لبحث محفوظ في موقع التخزين الخاص بك.

تكوين حساب التخزين المرتبط لاعلامات تنبيه البحث في السجل

الاعتبارات قبل تعيين المفتاح المدار من قبل العميل للاستعلامات المحفوظة لتنبيه السجل

• يتم حفظ استعلامات التنبيه ككائن ثنائي كبير الحجم في حساب التخزين.
• لا تحتوي تنبيهات بحث السجل التي تم تشغيلها على نتائج البحث أو استعلام التنبيه. استخدم أبعاد التنبيه للحصول على سياق التنبيهات التي تم إطلاقها.
• للاحتفاظ بالاستعلامات والوظائف مشفرة باستخدام المفتاح الخاص بك، قم بتكوين حساب التخزين المرتبط باستخدام المفتاح المدار بواسطة العميل. يمكن إجراء هذه العملية كإنشاء حساب تخزين، أو لاحقا.

ربط حساب تخزين للتنبيهات للاحتفاظ استعلامات تنبيه البحث في السجل في حساب التخزين الخاص بك.

مدخل Microsoft Azure

‏‫غير متوفر‬

az account set --subscription "storage-account-subscription-id"

$storageAccountId = '/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage name>'

az account set --subscription "workspace-subscription-id"

az monitor log-analytics workspace linked-storage create --type ALerts --resource-group "resource-group-name" --workspace-name "workspace-name" --storage-accounts $storageAccountId

بوويرشيل

Select-AzSubscription "StorageAccount-subscription-id"

$storageAccountId = (Get-AzStorageAccount -ResourceGroupName "resource-group-name" -Name "storage-account-name").id

Select-AzSubscription "workspace-subscription-id"

New-AzOperationalInsightsLinkedStorageAccount -ResourceGroupName "resource-group-name" -WorkspaceName "workspace-name" -DataSourceType Alerts -StorageAccountIds $storageAccountId

استراح

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.OperationalInsights/workspaces/<workspace-name>/linkedStorageAccounts/Alerts?api-version=2020-08-01
Authorization: Bearer <token> 
Content-type: application/json
 
{
  "properties": {
    "dataSourceType": "Alerts", 
    "storageAccountIds": 
    [
      "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"
    ]
  }
}

بعد انتهاء التكوين، سيتم حفظ أي استعلام جديد للتنبيه في موقع التخزين الخاص بك.

صندوق تأمين العميل

يمنحك «مربع التأمين» عنصر التحكم للموافقة على طلب مهندس Microsoft أو رفضه للوصول إلى بياناتك أثناء طلب الدعم.

يتم توفير Lockbox في نظام مجموعة مخصص في Azure Monitor، حيث يتم منح إذنك للوصول إلى البيانات على مستوى الاشتراك.

تعرف على المزيد حول «مربع تأمين العميل» لـ Microsoft Azure

عمليات المُتاح «المُدار بواسطة العميل»

يتم توفير المفتاح «المُدار بواسطة العميل» على المجموعة المخصصة ويتم الإشارة إلى هذه العمليات في مقالة المجموعة المخصصة

• احصل على جميع المجموعات في مجموعة الموارد
• احصل على جميع المجموعات في الاشتراك
• قم بتحديث حجز «القدرة الإنتاجية» في المجموعة
• قم بتحديث «نوع» الفوترة في المجموعة
• إلغاء ربط مساحة عمل من نظام المجموعة
• حذف نظام مجموعة

القيود والحدود

• يمكنك إنشاء حد أقصى خمسة نظم مجموعات نشطة في كل منطقة واشتراك.

• يمكن أن يوجد الحد الأقصى لعدد سبع مجموعات محجوزة (نشطة أو تم حذفها مؤخرًا) في كل منطقة واشتراك.

• يمكن ربط 1000 مساحة عمل لـ Log Analytics كحد أقصى بنظام مجموعة.

• يسمح بإجراء عمليتين لربط مساحة العمل على مساحة عمل معينة كحد أقصى في فترة 30 يومًا.

• نقل نظام مجموعة إلى مجموعة موارد أخرى أو اشتراك غير معتمد حاليًا.

• يجب ألا يتضمن تحديث نظام المجموعة كلا من تفاصيل الهوية ومعرف المفتاح في نفس العملية. وإذا احتجت إلى تحديثٍ لكليهما، يجب أن يكون التحديث في عمليتين متتاليتين.

• إن «مربع التأمين» غير متوفر في الصين حاليًّا.

• لا ينطبق Lockbox على الجداول التي تتضمن خطة الجدول المساعدة.

• يتم تكوين التشفير المزدوج تلقائيًّا للتجمعات التي تم إنشاؤها من أكتوبر 2020 في المناطق المدعومة. يمكنك التحقق مما إذا تم تكوين نظام المجموعة الخاص بك للتشفير المزدوج عن طريق إرسال GET طلب على نظام المجموعة ومراقبة isDoubleEncryptionEnabled أن القيمة مخصصة true للمجموعات مع تمكين التشفير المزدوج.

  • إذا قمت بإنشاء نظام مجموعة وتلقى خطأ -"اسم المنطقة لا يدعم التشفير المزدوج للمجموعات"، فلا يزال بإمكانك إنشاء نظام المجموعة دون تشفير مزدوج، عن طريق إضافة "properties": {"isDoubleEncryptionEnabled": false} في نص طلب REST.
  • لا يمكن تغيير إعدادات التشفير المزدوج بعد إنشاء نظام المجموعة.

• يُسمح بحذف مساحة عمل مرتبطة أثناء الارتباط بنظام المجموعة. في حال قرارك باسترداد مساحة العمل أثناء فترة الحذف المبدئي، فإنها تعود إلى الحالة السابقة وتظل مرتبطة بنظام المجموعة.

• ينطبق تشفير المفاتيح المدارة بواسطة العميل على البيانات التي تم إدخالها حديثًا بعد تاريخ التكوين. تظل البيانات التي تم استيعابها قبل التكوين مشفرة باستخدام مفاتيح Microsoft. يمكنك الاستعلام عن البيانات التي تم استيعابها قبل وبعد تكوين المفتاح المدار من قبل العميل بسلاسة.

• يجب تكوين «مخزن مفاتيح» Azure ليكون قابلًا للاسترداد. لا تُمَكنُ هذه الخصائص بشكل افتراضي ويجب تكوينها باستخدام CLI أو PowerShell:
  

  • الحذف المبدئي.
  • يجب تشغيل الحماية من الإزالة للحماية من الحذف القسري للبيانات السرية والمخزن حتى بعد الحذف المبدئي.

• يجب أن يكون Azure Key Vault، نظام المجموعة ومساحات العمل في نفس المنطقة وفي نفس مستأجر Microsoft Entra، ولكن يمكن أن تكون في اشتراكات مختلفة.

• يؤدي إعداد نظام المجموعةidentitytype إلى None إبطال الوصول إلى بياناتك أيضًا، ولكن لا يُوصى بهذه الطريقة لأنه لا يمكنك التراجع عنها دون الاتصال بالدعم. إن الطريقة المقترحة لإبطال الوصول إلى البيانات هي إبطال المفتاح.

• لا يمكنك استخدام مفتاح مدار من قبل العميل مع هوية مدارة يعينها المستخدم إذا كان Key Vault الخاص بك في Private-Link (شبكة ظاهرية). استخدم هوية مدارة معينة من قبل النظام في هذا السيناريو.

استكشاف الأخطاء وإصلاحها

• السلوك حسب مدى توفر Key Vault:

  • تخزين العملية العادية يخزن AEK مؤقتا لفترات قصيرة من الوقت ويعود إلى Key Vault دوريا unwrap .

  • أخطاء اتصال Key Vault - يعالج التخزين الأخطاء العابرة (المهلات، وفشل الاتصال، ومشكلات DNS)، من خلال السماح للمفاتيح بالبقاء في ذاكرة التخزين المؤقت أثناء مشكلة التوفر، ويتغلب على مشكلات التوفر والحذف. تستمر إمكانيات الاستعلام والإدخال دون انقطاع.

• معدل الوصول إلى Key Vault - التردد الذي يصل به تخزين نظام المجموعة إلى Key Vault للعمليات wrap يتراوح unwrap بين 6 إلى 60 ثانية.

• إذا قمت بتحديث نظام المجموعة الخاص بك أثناء وجوده في حالة التوفير، أو حالة التحديث، يفشل التحديث.

• إذا تلقيت خطأ تعارض عند إنشاء نظام مجموعة، فربما تم حذف مجموعة بنفس الاسم في آخر 14 يوما محجوز اسمها. تصبح أسماء المجموعات المحذوفة متوفرة بعد 14 يوما من الحذف.

• فشل ربط مساحة عمل بمجموعة إذا كانت مساحة العمل مرتبطة بمجموعة أخرى.

• إذا قمت بإنشاء نظام مجموعة وحددت KeyVaultProperties على الفور، فقد تفشل العملية حتى يتم تعيين هوية إلى نظام المجموعة، ومنحها إلى Key Vault.

• إذا قمت بتحديث نظام المجموعة الحالي مع KeyVaultProperties ومفتاح Get نهج الوصول مفقود في Key Vault، تفشل العملية.

• إذا فشلت في نشر نظام المجموعة، فتحقق من وجود Azure Key Vault والمجموعة ومساحات العمل المرتبطة في نفس المنطقة. يمكن أن تكون ذلك في اشتراكات مختلفة.

• إذا قمت بتدوير المفتاح في Key Vault ولم تقم بتحديث تفاصيل معرف المفتاح الجديد في نظام المجموعة، تستمر المجموعة في استخدام المفتاح السابق ويصبح الوصول إلى بياناتك غير قابل للوصول. تحديث تفاصيل معرف المفتاح الجديد في نظام المجموعة لاستئناف استيعاب البيانات ووظيفة الاستعلام. قم بتحديث إصدار المفتاح مع '' تدوين للتأكد من أن التخزين يستخدم دائما أحدث إصدار مفتاح تلقائيا.

• بعض العمليات طويلة الأمد ويمكن أن تستغرق بعض الوقت لإكمالها، وتشمل إنشاء نظام المجموعة وتحديث مفتاح نظام المجموعة وحذف نظام المجموعة. يمكنك التحقق من حالة العملية عن طريق إرسال GET طلب إلى نظام المجموعة أو مساحة العمل ومراقبة الاستجابة. على سبيل المثال، لا تحتوي مساحة العمل غير المرتبطة على clusterResourceId ضمن features.

• رسائل خطأ

  تحديث المجموعة

  • 400 - نظام المجموعة في حالة الحذف. عملية عدم التزامن قيد التنفيذ. يجب أن يكمل نظام المجموعة العملية الخاصة به قبل تنفيذ أية عملية تحديث.
  • 400 - KeyVaultProperties ليست فارغة ولكنها ذات تنسيق غير صحيح. انظر تحديث معرّف المفتاح.
  • 400 - فشل التحقق من صحة المفتاح في Key Vault. قد يكون ذلك بسبب عدم وجود أذونات أو عند عدم وجود المفتاح. قم بالتحقق من تعيين المفتاح ونهج الوصول في Key Vault.
  • 400 - المفتاح غير قابل للاسترداد. يجب تعيين Key Vault إلى الحدف المبدئي وحماية المسح. انظر وثائق Key Vault
  • 400 - لا يمكن تنفيذ العملية الآن. انتظر حتى تكتمل عملية Async وحاول مرة أخرى.
  • 400 - نظام المجموعة في حالة الحذف. انتظر حتى تكتمل عملية Async وحاول مرة أخرى.

  مجموعة Get

  • 404 - لم يتم العثور على نظام المجموعة، ربما تم حذف نظام المجموعة. إذا حاولت إنشاء نظام مجموعة بهذا الاسم والحصول على تعارض، فإن نظام المجموعة في عملية الحذف.

الخطوات التالية

• تعرف على المزيد حول فوترة نظام المجموعة المخصص لـ Log Analytics
• تعرف على التصميم المناسب لمساحات عمل Log Analytics