تكوين المفاتيح المدارة من قبل العميل لتشفير وحدة تخزين Azure NetApp Files

تمكنك المفاتيح المدارة من قبل العميل لتشفير وحدة تخزين Azure NetApp Files من استخدام المفاتيح الخاصة بك بدلا من مفتاح مدار بواسطة النظام الأساسي عند إنشاء وحدة تخزين جديدة. باستخدام المفاتيح التي يديرها العميل، يمكنك إدارة العلاقة بين دورة حياة المفتاح وأذونات استخدام المفتاح وعمليات التدقيق على المفاتيح بشكل كامل.

يوضح الرسم التخطيطي التالي كيفية عمل المفاتيح المدارة من قبل العميل مع Azure NetApp Files:

1. تمنح Azure NetApp Files أذونات لمفاتيح التشفير إلى هوية مدارة. الهوية المدارة هي إما هوية مدارة يعينها المستخدم تقوم بإنشائها وإدارتها أو هوية مدارة معينة من قبل النظام مرتبطة بحساب NetApp.

2. يمكنك تكوين التشفير باستخدام مفتاح مدار من قبل العميل لحساب NetApp.

3. يمكنك استخدام الهوية المدارة التي منحها مسؤول Azure Key Vault الأذونات في الخطوة 1 لمصادقة الوصول إلى Azure Key Vault عبر معرف Microsoft Entra.

4. تقوم Azure NetApp Files بتضمين مفتاح تشفير الحساب مع المفتاح المدار من قبل العميل في Azure Key Vault.

   لا تؤثر المفاتيح التي يديرها العميل على أداء Azure NetApp Files. الفرق الوحيد بينه وبين المفاتيح المدارة بواسطة النظام الأساسي هو كيفية إدارة المفتاح.

5. لعمليات القراءة/الكتابة، ترسل Azure NetApp Files طلبات إلى Azure Key Vault لإلغاء تشفير مفتاح تشفير الحساب لتنفيذ عمليات التشفير وفك التشفير.

الاعتبارات

• لإنشاء وحدة تخزين باستخدام مفاتيح يديرها العميل، يجب تحديد ميزات الشبكة القياسية . لا يمكنك استخدام وحدات تخزين المفاتيح المدارة من قبل العميل مع تكوين وحدة التخزين باستخدام ميزات الشبكة الأساسية. اتبع الإرشادات الواردة لتعيين خيار ميزات الشبكة في صفحة إنشاء وحدة التخزين.
• لزيادة الأمان، يمكنك تحديد خيار تعطيل الوصول العام ضمن إعدادات الشبكة لمخزن المفاتيح الخاص بك. عند تحديد هذا الخيار، يجب عليك أيضا تحديد Allow trusted خدمات Microsoft لتجاوز جدار الحماية هذا للسماح لخدمة Azure NetApp Files بالوصول إلى مفتاح التشفير الخاص بك.
• تدعم المفاتيح المدارة من قبل العميل التجديد التلقائي لشهادة هوية النظام المدارة (MSI). إذا كانت شهادتك صالحة، فلن تحتاج إلى تحديثها يدويا.
• تطبيق مجموعات أمان شبكة Azure على الشبكة الفرعية للارتباط الخاص إلى Azure Key Vault غير مدعوم للمفاتيح التي يديرها العميل في Azure NetApp Files. لا تؤثر مجموعات أمان الشبكة على الاتصال بارتباط خاص ما لم Private endpoint network policy يتم تمكينها على الشبكة الفرعية. من المطلوب الاحتفاظ بهذا الخيار معطلا.
• إذا فشلت Azure NetApp Files في إنشاء وحدة تخزين مفتاح يديرها العميل، يتم عرض رسائل الخطأ. راجع قسم رسائل الخطأ واستكشاف الأخطاء وإصلاحها للحصول على مزيد من المعلومات.
• لا تقم بإجراء أي تغييرات على Azure Key Vault الأساسي أو نقطة نهاية Azure الخاصة بعد إنشاء وحدة تخزين مفاتيح يديرها العميل. يمكن أن يؤدي إجراء تغييرات إلى تعذر الوصول إلى وحدات التخزين.
• إذا أصبح Azure Key Vault غير قابل للوصول، فإن Azure NetApp Files تفقد وصولها إلى مفاتيح التشفير والقدرة على قراءة البيانات أو كتابتها إلى وحدات التخزين الممكنة باستخدام المفاتيح التي يديرها العميل. في هذه الحالة، قم بإنشاء تذكرة دعم لاستعادة الوصول يدويا لوحدات التخزين المتأثرة.
• تدعم Azure NetApp Files المفاتيح التي يديرها العميل على وحدات تخزين النسخ المتماثل المصدر والبيانات مع النسخ المتماثل عبر المناطق أو علاقات النسخ المتماثل عبر المناطق.

المناطق المدعومة

يتم دعم المفاتيح التي يديرها العميل في Azure NetApp Files للمناطق التالية:

• وسط أستراليا
• وسط أستراليا 2
• شرق أستراليا
• جنوب شرق أستراليا
• جنوب البرازيل
• جنوب شرق البرازيل
• وسط كندا
• شرق كندا
• وسط الهند‬
• Central US
• شرق آسيا
• شرق الولايات المتحدة
• East US 2
• وسط فرنسا
• منطقة شمال ألمانيا
• وسط غرب ألمانيا
• إسرائيل الوسطى
• منطقة شمال إيطاليا
• شرق اليابان
• غرب اليابان
• وسط كوريا
• منطقة جنوب كوريا الجنوبية
• وسط شمال الولايات المتحدة
• أوروبا الشمالية
• شرق النرويج
• غرب النرويج
• قطر الوسطى
• جنوب أفريقيا
• South Central US
• جنوب الهند
• جنوب شرق آسيا
• وسط إسبانيا
• منطقة السويد الوسطى
• شمال سويسرا
• غرب سويسرا
• الإمارات العربية المتحدة، الوسط
• شمال الإمارات العربية المتحدة
• جنوب المملكة المتحدة
• غرب المملكة المتحدة
• US Gov – أريزونا
• ولاية تكساس الأمريكية
• ولاية فرجينيا الأمريكية
• أوروبا الغربية
• غرب الولايات المتحدة
• West US 2
• غرب الولايات المتحدة الأمريكية 3

المتطلبات

قبل إنشاء أول وحدة تخزين مفاتيح يديرها العميل، يجب عليك إعداد:

• Azure Key Vault، يحتوي على مفتاح واحد على الأقل.
  • يجب تمكين الحماية من الحذف والإزالة المبدئية لمخزن المفاتيح.
  • يجب أن يكون المفتاح من نوع RSA.
• يجب أن يحتوي مخزن المفاتيح على نقطة نهاية خاصة ل Azure.
  • يجب أن تتواجد نقطة النهاية الخاصة في شبكة فرعية مختلفة عن تلك المفوضة إلى Azure NetApp Files. يجب أن تكون الشبكة الفرعية في نفس الشبكة الظاهرية مثل تلك المفوضة إلى Azure NetApp.

لمزيد من المعلومات حول Azure Key Vault ونقطة نهاية Azure الخاصة، راجع:

• التشغيل السريع: إنشاء مخزن مفاتيح
• إنشاء مفتاح أو استيراده إلى المخزن
• إنشاء نقطة نهاية خاصة
• المزيد حول المفاتيح وأنواع المفاتيح المدعومة
• مجموعات أمان الشبكة
• إدارة نهج الشبكة لنقاط النهاية الخاصة

تكوين حساب NetApp لاستخدام المفاتيح التي يديرها العميل

بوابة

1. في مدخل Microsoft Azure وضمن Azure NetApp Files، حدد Encryption.

   تمكنك صفحة التشفير من إدارة إعدادات التشفير لحساب NetApp الخاص بك. يتضمن خيارا يسمح لك بتعيين حساب NetApp الخاص بك لاستخدام مفتاح التشفير الخاص بك، والذي يتم تخزينه في Azure Key Vault. يوفر هذا الإعداد هوية معينة من قبل النظام إلى حساب NetApp، ويضيف نهج وصول للهوية مع أذونات المفتاح المطلوبة.

   

2. عند تعيين حساب NetApp الخاص بك لاستخدام المفتاح المدار من قبل العميل، لديك طريقتان لتحديد Key URI:

   • يتيح لك الخيار تحديد من key vault تحديد مخزن مفاتيح ومفتاح.

   • يسمح لك الخيار Enter key URI بإدخال مفتاح URI يدويا.

3. حدد نوع الهوية الذي تريد استخدامه للمصادقة على Azure Key Vault. إذا تم تكوين Azure Key Vault لاستخدام نهج الوصول إلى Vault كنموذج إذن، فسيتوفر كلا الخيارين. وإلا، يتوفر الخيار المعين من قبل المستخدم فقط.

   • إذا اخترت تعيين النظام، فحدد الزر حفظ . يقوم مدخل Azure بتكوين حساب NetApp تلقائيا عن طريق إضافة هوية معينة من قبل النظام إلى حساب NetApp الخاص بك. يتم أيضا إنشاء نهج وصول على Azure Key Vault الخاص بك مع أذونات المفاتيح Get و Encrypt و Decrypt.

   

   • إذا اخترت تعيين من قبل المستخدم، يجب تحديد هوية. اختر تحديد هوية لفتح جزء سياق حيث تحدد هوية مدارة معينة من قبل المستخدم.

   

   إذا قمت بتكوين Azure Key Vault لاستخدام نهج الوصول إلى Vault، فإن مدخل Azure يقوم بتكوين حساب NetApp تلقائيا مع العملية التالية: تتم إضافة الهوية المعينة من قبل المستخدم التي تحددها إلى حساب NetApp الخاص بك. يتم إنشاء نهج وصول على Azure Key Vault الخاص بك باستخدام أذونات المفتاح Get و Encrypt و Decrypt.

   إذا قمت بتكوين Azure Key Vault لاستخدام التحكم في الوصول المستند إلى الدور في Azure، فأنت بحاجة إلى التأكد من أن الهوية المحددة التي عينها المستخدم لها تعيين دور على مخزن المفاتيح مع أذونات للإجراءات:

   • Microsoft.KeyVault/vaults/keys/read
   • Microsoft.KeyVault/vaults/keys/encrypt/action
   • Microsoft.KeyVault/vaults/keys/decrypt/action تتم إضافة الهوية المعينة من قبل المستخدم التي تحددها إلى حساب NetApp الخاص بك. نظرا للطبيعة القابلة للتخصيص للتحكم في الوصول المستند إلى الدور (RBAC)، لا يقوم مدخل Azure بتكوين الوصول إلى مخزن المفاتيح. راجع توفير الوصول إلى مفاتيح Key Vault والشهادات والأسرار باستخدام عنصر تحكم الوصول المستند إلى دور Azure للحصول على تفاصيل حول تكوين Azure Key Vault.

4. حدد حفظ ثم لاحظ الإعلام الذي يبلغ عن حالة العملية. إذا لم تنجح العملية، تظهر رسالة خطأ. راجع رسائل الخطأ واستكشاف الأخطاء وإصلاحها للحصول على المساعدة في حل الخطأ.

Azure CLI

تعتمد كيفية تكوين حساب NetApp باستخدام مفاتيح يديرها العميل باستخدام Azure CLI على ما إذا كنت تستخدم هوية معينة من قبل النظام أو هوية معينة من قبل المستخدم.

استخدام هوية معينة من قبل النظام

1. قم بتحديث حساب NetApp الخاص بك لاستخدام هوية معينة من قبل النظام.

   az netappfiles account update \
       --name <account_name> \
       --resource-group <resource_group> \
       --identity-type SystemAssigned
   

2. لاستخدام نهج وصول، قم بإنشاء متغير يتضمن المعرف الأساسي لهوية الحساب، ثم قم بتشغيل az keyvault set-policy وتعيين أذونات "Get" و"Encrypt" و"Decrypt".

   netapp_account_principal=$(az netappfiles account show \
       --name <account_name> \
       --resource-group <resource_group> \
       --query identity.principalId \
       --output tsv)
   
   az keyvault set-policy \
       --name <key_vault_name> \
       --resource-group <resource-group> \
       --object-id $netapp_account_principal \
       --key-permissions get encrypt decrypt
   

3. تحديث حساب NetApp مع مخزن المفاتيح الخاص بك.

   key_vault_uri=$(az keyvault show \
       --name <key-vault> \
       --resource-group <resource_group> \
       --query properties.vaultUri \
       --output tsv)
   az netappfiles account update --name <account_name> \  
       --resource-group <resource_group> \
       --key-source Microsoft.Keyvault \
       --key-vault-uri $key_vault_uri \
       --key-name <key>
   

استخدام هوية جديدة يعينها المستخدم

1. إنشاء هوية جديدة يعينها المستخدم.

   az identity create \
       --name <identity_name> \
       --resource-group <resource_group>
   

2. تعيين نهج وصول لمخزن المفاتيح.

   user_assigned_identity_principal=$(az identity show \
       --name <identity_name> \
       --resource-group <resource_group> \
       --query properties.principalId \
       -output tsv)
   az keyvault set-policy \
       --name <key_vault_name> \
       --resource-group <resource-group> \
       --object-id $user_assigned_identity_principal \
       --key-permissions get encrypt decrypt
   

   إشعار

   يمكنك بدلا من ذلك استخدام التحكم في الوصول المستند إلى الدور لمنح حق الوصول إلى key vault.

3. قم بتعيين الهوية المعينة من قبل المستخدم إلى حساب NetApp وتحديث تشفير مخزن المفاتيح.

   key_vault_uri=$(az keyvault show \
       --name <key-vault> \
       --resource-group <resource_group> \
       --query properties.vaultUri \
       --output tsv)
   user_assigned_identity=$(az identity show \
       --name <identity_name> \
       --resource-group <resource_group> \
       --query id \
       -output tsv)
   az netappfiles account update --name <account_name> \  
       --resource-group <resource_group> \
       --identity-type UserAssigned \
       --key-source Microsoft.Keyvault \
       --key-vault-uri $key_vault_uri \
       --key-name <key> \
       --keyvault-resource-id <key-vault> \   
       --user-assigned-identity $user_assigned_identity
   

Azure PowerShell

تعتمد عملية تكوين حساب NetApp باستخدام مفاتيح يديرها العميل في Azure CLI على ما إذا كنت تستخدم هوية معينة من قبل النظام أو هوية معينة من قبل المستخدم.

تمكين الوصول إلى الهوية المعينة من قبل النظام

1. تحديث حساب NetApp الخاص بك لاستخدام الهوية المعينة من قبل النظام.

   $netappAccount = Update-AzNetAppFilesAccount -ResourceGroupName <resource_group> -Name <account_name> -AssignIdentity
   

2. لاستخدام نهج وصول، قم بتشغيل Set-AzKeyVaultAccessPolicy باسم مخزن المفاتيح، والمعرف الأساسي لهوية الحساب، والأذونات "Get" و"Encrypt" و"Decrypt".

   Set-AzKeyVaultAccessPolicy -VaultName <key_vault_name> -ResourceGroupname <resource_group> -ObjectId $netappAccount.Identity.PrincipalId -PermissionsToKeys get,encrypt,decrypt
   

3. قم بتحديث حساب NetApp الخاص بك بمعلومات مخزن المفاتيح.

   Update-AzNetAppFilesAccount -ResourceGroupName $netappAccount.ResourceGroupName -AccountName $netappAccount.ResourceGroupName   -KeyVaultEncryption -KeyVaultUri <keyVaultUri> -KeyName <keyName>
   

تمكين الوصول للهوية المعينة من قبل المستخدم

1. إنشاء هوية جديدة يعينها المستخدم.

   $userId = New-AzUserAssignedIdentity -ResourceGroupName <resourceGroupName> -Name $userIdName
   

2. تعيين نهج الوصول إلى مخزن المفاتيح.

   Set-AzKeyVaultAccessPolicy -VaultName <key_vault_name> `
       -ResourceGroupname <resource_group> `
       -ObjectId $userId.PrincipalId `
       -PermissionsToKeys get,encrypt,decrypt `
       -BypassObjectIdValidation
   

   إشعار

   يمكنك بدلا من ذلك استخدام التحكم في الوصول المستند إلى الدور لمنح حق الوصول إلى key vault.

3. قم بتعيين الهوية المعينة من قبل المستخدم إلى حساب NetApp وتحديث تشفير مخزن المفاتيح.

   $netappAccount = Update-AzNetAppFilesAccount -ResourceGroupName <resource_group> `
       -Name <account_name> `
       -IdentityType UserAssigned `
       -UserAssignedIdentityId $userId.Id `
       -KeyVaultEncryption `
       -KeyVaultUri <keyVaultUri> `
       -KeyName <keyName> `
       -EncryptionUserAssignedIdentity $userId.Id
   

استخدام التحكم في الوصول المستند إلى الدور

يمكنك استخدام Azure Key Vault الذي تم تكوينه لاستخدام التحكم في الوصول المستند إلى الدور في Azure. لتكوين المفاتيح المدارة من قبل العميل من خلال مدخل Microsoft Azure، تحتاج إلى توفير هوية معينة من قبل المستخدم.

1. في حساب Azure الخاص بك، انتقل إلى Key vaults ثم Access policies.

2. لإنشاء نهج وصول، ضمن Permission model، حدد Azure role-based access-control.

3. عند إنشاء الدور المعين من قبل المستخدم، هناك ثلاثة أذونات مطلوبة للمفاتيح التي يديرها العميل:

   1. Microsoft.KeyVault/vaults/keys/read
   2. Microsoft.KeyVault/vaults/keys/encrypt/action
   3. Microsoft.KeyVault/vaults/keys/decrypt/action

   على الرغم من وجود أدوار محددة مسبقا تتضمن هذه الأذونات، فإن هذه الأدوار تمنح امتيازات أكثر مما هو مطلوب. يوصى بإنشاء دور مخصص مع الحد الأدنى من الأذونات المطلوبة فقط. لمزيد من المعلومات، راجع أدوار Azure المخصصة.

   {
       "id": "/subscriptions/<subscription>/Microsoft.Authorization/roleDefinitions/<roleDefinitionsID>",
       "properties": {
           "roleName": "NetApp account",
           "description": "Has the necessary permissions for customer-managed key encryption: get key, encrypt and decrypt",
           "assignableScopes": [
               "/subscriptions/<subscriptionID>/resourceGroups/<resourceGroup>"
           ],
           "permissions": [
             {
               "actions": [],
               "notActions": [],
               "dataActions": [
                   "Microsoft.KeyVault/vaults/keys/read",
                   "Microsoft.KeyVault/vaults/keys/encrypt/action",
                   "Microsoft.KeyVault/vaults/keys/decrypt/action"
               ],
               "notDataActions": []
               }
           ]
         }
   }
   

4. بمجرد إنشاء الدور المخصص وإتاحته للاستخدام مع مخزن المفاتيح، يمكنك تطبيقه على الهوية المعينة من قبل المستخدم.

إنشاء وحدة تخزين Azure NetApp Files باستخدام مفاتيح يديرها العميل

1. من Azure NetApp Files، حدد Volumes ثم + Add volume.

2. اتبع الإرشادات الواردة في تكوين ميزات الشبكة لوحدات تخزين Azure NetApp Files:

   • تعيين خيار ميزات الشبكة في صفحة إنشاء وحدة التخزين.
   • يجب أن تسمح مجموعة أمان الشبكة للشبكة الفرعية المفوضة لوحدات التخزين بنسبة استخدام الشبكة الواردة من الجهاز الظاهري لتخزين NetApp.

3. بالنسبة لحساب NetApp الذي تم تكوينه لاستخدام مفتاح مدار من قبل العميل، تتضمن صفحة إنشاء وحدة تخزين خيار مصدر مفتاح التشفير.

   لتشفير وحدة التخزين باستخدام المفتاح الخاص بك، حدد المفتاح المدار بواسطة العميل في القائمة المنسدلة مصدر مفتاح التشفير.

   عند إنشاء وحدة تخزين باستخدام مفتاح مدار من قبل العميل، يجب عليك أيضا تحديد قياسي لخيار ميزات الشبكة. ميزات الشبكة الأساسية غير مدعومة.

   يجب عليك تحديد نقطة نهاية خاصة بخزنة المفاتيح أيضا. تعرض القائمة المنسدلة نقاط النهاية الخاصة في الشبكة الظاهرية المحددة. إذا لم تكن هناك نقطة نهاية خاصة لمخزن المفاتيح الخاص بك في الشبكة الظاهرية المحددة، فإن القائمة المنسدلة فارغة، ولن تتمكن من المتابعة. إذا كان الأمر كذلك، فتحقق من نقطة نهاية Azure الخاصة.

   

4. استمر في إكمال عملية إنشاء وحدة التخزين. راجع:

   • إنشاء وحدة تخزين NFS
   • إنشاء وحدة تخزين SMB
   • إنشاء وحدة تخزين ثنائية البروتوكول

نقل وحدة تخزين Azure NetApp Files إلى مفاتيح يديرها العميل (معاينة)

تدعم Azure NetApp Files القدرة على نقل وحدات التخزين الموجودة باستخدام المفاتيح المدارة بواسطة النظام الأساسي إلى المفاتيح التي يديرها العميل. بمجرد إكمال الترحيل، لا يمكنك العودة إلى المفاتيح المدارة بواسطة النظام الأساسي.

تسجيل الميزة

انتقال مفتاح التشفير ل Azure NetApp Files قيد المعاينة حاليا. قبل استخدام هذه الميزة للمرة الأولى، تحتاج إلى تسجيلها.

1. سجل الميزة :

   Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFMigratePmkToCmk 
   

2. تحقق من حالة تسجيل الميزة:

   Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFMigratePmkToCmk
   

   إشعار

   قد تكون RegistrationState في Registering الحالة لمدة تصل إلى 60 دقيقة قبل التغيير إلى Registered. انتظر حتى يتم تسجيل الحالة قبل المتابعة.

يمكنك أيضا استخدام أوامر az feature register az feature show Azure CLI وتسجيل الميزة وعرض حالة التسجيل.

وحدات تخزين الانتقال

إشعار

عند نقل وحدات التخزين لاستخدام مفاتيح يديرها العميل، يجب إجراء الانتقال لكل شبكة ظاهرية حيث يحتوي حساب Azure NetApp Files على وحدات تخزين.

1. تأكد من تكوين حساب Azure NetApp Files لاستخدام المفاتيح التي يديرها العميل.
2. في مدخل Microsoft Azure، انتقل إلى Encryption.
3. حدد علامة التبويب ترحيل CMK.
4. من القائمة المنسدلة، حدد الشبكة الظاهرية ونقطة النهاية الخاصة لمخزن المفاتيح التي تريد استخدامها.
5. ينشئ Azure قائمة وحدات التخزين المراد تشفيرها بواسطة المفتاح الذي يديره العميل.
6. حدد تأكيد لبدء الترحيل.

إعادة مفتاح جميع وحدات التخزين ضمن حساب NetApp

إذا قمت بالفعل بتكوين حساب NetApp الخاص بك للمفاتيح التي يديرها العميل ولديك وحدة تخزين واحدة أو أكثر مشفرة باستخدام مفاتيح يديرها العميل، يمكنك تغيير المفتاح المستخدم لتشفير جميع وحدات التخزين ضمن حساب NetApp. يمكنك تحديد أي مفتاح موجود في نفس مخزن المفاتيح. تغيير خزائن المفاتيح غير مدعوم.

1. ضمن حساب NetApp الخاص بك، انتقل إلى قائمة التشفير . ضمن حقل إدخال المفتاح الحالي، حدد الارتباط Rekey.

2. في القائمة Rekey ، حدد أحد المفاتيح المتوفرة من القائمة المنسدلة. يجب أن يكون المفتاح المختار مختلفا عن المفتاح الحالي.

3. حدد موافق للحفظ. قد تستغرق عملية إعادة المفتاح عدة دقائق.

التبديل من النظام المعين إلى الهوية المعينة من قبل المستخدم

للتبديل من النظام المعين إلى الهوية المعينة من قبل المستخدم، يجب منح الهوية الهدف حق الوصول إلى خزنة المفاتيح المستخدمة مع أذونات القراءة/الحصول والتشفير وفك التشفير.

1. تحديث حساب NetApp عن طريق إرسال طلب PATCH باستخدام az rest الأمر :

   az rest -m PATCH -u <netapp-account-resource-id>?api-versions=2022-09-01 -b @path/to/payload.json
   

   يجب أن تستخدم الحمولة البنية التالية:

   {
     "identity": {
       "type": "UserAssigned",
       "userAssignedIdentities": {
        "<identity-resource-id>": {}
       }
     },
     "properties": {
       "encryption": {
         "identity": {
           "userAssignedIdentity": "<identity-resource-id>"
         }
       }
     }
   }
   

2. تأكد من اكتمال العملية بنجاح باستخدام az netappfiles account show الأمر . يتضمن الإخراج الحقول التالية:

       "id": "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.NetApp/netAppAccounts/account",
       "identity": {
           "principalId": null,
           "tenantId": null,
           "type": "UserAssigned",
           "userAssignedIdentities": {
               "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity>": {
                   "clientId": "<client-id>",
                   "principalId": "<principalId>",
                   "tenantId": <tenantId>"
               }
           }
       },
   

   تأكد من:

   • encryption.identity.principalId يطابق القيمة في identity.userAssignedIdentities.principalId
   • encryption.identity.userAssignedIdentity يطابق القيمة في identity.userAssignedIdentities[]

   "encryption": {
       "identity": {
           "principalId": "<principal-id>",
           "userAssignedIdentity": "/subscriptions/<subscriptionId>/resourceGroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity>"
       },
       "KeySource": "Microsoft.KeyVault",
   },
   

رسائل الخطأ واستكشاف الأخطاء وإصلاحها

يسرد هذا القسم رسائل الخطأ والحلول المحتملة عندما تفشل Azure NetApp Files في تكوين تشفير المفتاح المدار من قبل العميل أو إنشاء وحدة تخزين باستخدام مفتاح مدار من قبل العميل.

أخطاء تكوين تشفير المفتاح المدار من قبل العميل على حساب NetApp

حالة الخطأ	نوع الحل
The operation failed because the specified key vault key was not found	عند إدخال مفتاح URI يدويا، تأكد من صحة URI.
Azure Key Vault key is not a valid RSA key	تأكد من أن المفتاح المحدد من نوع RSA.
Azure Key Vault key is not enabled	تأكد من تمكين المفتاح المحدد.
Azure Key Vault key is expired	تأكد من عدم انتهاء صلاحية المفتاح المحدد.
Azure Key Vault key has not been activated	تأكد من أن المفتاح المحدد نشط.
Key Vault URI is invalid	عند إدخال مفتاح URI يدويا، تأكد من صحة URI.
Azure Key Vault is not recoverable. Make sure that Soft-delete and Purge protection are both enabled on the Azure Key Vault	تحديث مستوى استرداد مخزن المفاتيح إلى: “Recoverable/Recoverable+ProtectedSubscription/CustomizedRecoverable/CustomizedRecoverable+ProtectedSubscription”
Account must be in the same region as the Vault	تأكد من أن مخزن المفاتيح في نفس المنطقة مثل حساب NetApp.

أخطاء في إنشاء وحدة تخزين مشفرة باستخدام مفاتيح يديرها العميل

حالة الخطأ	نوع الحل
Volume cannot be encrypted with Microsoft.KeyVault, NetAppAccount has not been configured with KeyVault encryption	لا يحتوي حساب NetApp الخاص بك على تشفير مفتاح مدار من قبل العميل ممكن. تكوين حساب NetApp لاستخدام المفتاح المدار من قبل العميل.
EncryptionKeySource cannot be changed	لا يوجد حل. EncryptionKeySource لا يمكن تغيير خاصية وحدة التخزين.
Unable to use the configured encryption key, please check if key is active	تحقق مما يلي: -هل جميع نهج الوصول صحيحة على خزنة المفاتيح: Get، Encrypt، Decrypt؟ -هل توجد نقطة نهاية خاصة لخزنة المفاتيح؟ -هل هناك شبكة ظاهرية NAT في VNet، مع تمكين الشبكة الفرعية Azure NetApp Files المفوضة؟
Could not connect to the KeyVault	تأكد من إعداد نقطة النهاية الخاصة بشكل صحيح وأن جدران الحماية لا تمنع الاتصال من الشبكة الظاهرية إلى KeyVault.

الخطوات التالية

• واجهة برمجة تطبيقات ملفات Azure NetApp
• تكوين المفاتيح المدارة من قبل العميل باستخدام وحدة أمان الأجهزة المدارة