حفظ عبارة مرور عامل MARS وإدارتها بأمان في Azure Key Vault

يسمح لك Azure Backup باستخدام عامل خدمات الاسترداد (MARS) بعمل نسخة احتياطية من الملفات/المجلدات وبيانات حالة النظام إلى مخزن Azure Recovery Services. يتم تشفير هذه البيانات باستخدام عبارة مرور توفرها أثناء تثبيت وتسجيل عامل MARS. عبارة المرور هذه مطلوبة لاسترداد بيانات النسخ الاحتياطي واستعادتها ويجب حفظها في موقع خارجي آمن.

هام

إذا فقدت عبارة المرور هذه، فلن تتمكن Microsoft من استرداد بيانات النسخ الاحتياطي المخزنة في مخزن خدمات الاسترداد. نوصي بتخزين عبارة المرور هذه في موقع خارجي آمن، مثل Azure Key Vault.

الآن، يمكنك حفظ عبارة مرور التشفير بشكل آمن في Azure Key Vault كبيانات سرية من وحدة تحكم MARS أثناء تثبيت الأجهزة الجديدة وتغيير عبارة المرور للأجهزة الموجودة. للسماح بحفظ عبارة المرور إلى Azure Key Vault، يجب منح مخزن خدمات الاسترداد الأذونات لإنشاء سر في Azure Key Vault.

قبل أن تبدأ

• إنشاء مخزن خدمات الاسترداد في حالة عدم وجود مخزن.
• يجب عليك استخدام Azure Key Vault واحد لتخزين جميع عبارات المرور الخاصة بك. إنشاء Key Vault في حال لم يكن لديك واحد.
• ينطبق تسعير Azure Key Vault عند إنشاء Azure Key Vault جديد لتخزين عبارة المرور الخاصة بك.
• بعد إنشاء Key Vault، للحماية من الحذف العرضي أو الضار ل عبارة المرور، تأكد من تشغيل الحماية من الحذف المبدئي والإزالة.
• يتم دعم هذه الميزة فقط في مناطق Azure العامة مع إصدار عامل MARS 2.0.9262.0 أو أعلى.

تكوين مخزن خدمات الاسترداد لتخزين عبارة المرور إلى Azure Key Vault

قبل أن تتمكن من حفظ عبارة المرور الخاصة بك إلى Azure Key Vault، قم بتكوين مخزن خدمات الاسترداد وAzure Key Vault،

لتكوين مخزن، اتبع هذه الخطوات في التسلسل المحدد لتحقيق النتائج المقصودة. يُناقش كل إجراء بالتفصيل في الأقسام أدناه:

1. تمكين الهوية المدارة المعينة من قبل النظام لمخزن خدمات الاسترداد.
2. تعيين أذونات إلى مخزن خدمات الاسترداد لحفظ عبارة المرور كبيانات سرية في Azure Key Vault.
3. تمكين الحماية من الحذف المبدئي والإزالة على Azure Key Vault.

إشعار

• بمجرد تمكين هذه الميزة، يجب عدم تعطيل الهوية المدارة (حتى مؤقتا). قد يؤدي تعطيل الهوية المدارة إلى سلوك غير متسق.
• الهوية المدارة المعينة من قبل المستخدم غير مدعومة حاليا لحفظ عبارة المرور في Azure Key Vault.

تمكين الهوية المدارة المعينة من قبل النظام لمخزن خدمات الاسترداد

اختر عميلا:

مدخل Microsoft Azure

اتبع الخطوات التالية:

1. انتقل إلى هوية مخزن>خدمات الاسترداد.

   

2. حدد علامة التبويب System assigned.

3. غير الحالة إلى تشغيل.

4. حدد حفظ لتمكين هوية المخزن.

يتم إنشاء معرف كائن، وهو الهوية المدارة المعينة من قبل النظام للمخزن.

بوويرشيل

لتمكين الهوية المدارة المعينة من قبل النظام لمخزن خدمات الاسترداد، استخدم Update-AzRecoveryServicesVault cmdlet.

مثال

$vault=Get-AzRecoveryServicesVault -ResourceGroupName "testrg" -Name "testvault"
Update-AzRecoveryServicesVault -IdentityType SystemAssigned -ResourceGroupName TestRG -Name TestVault
$vault.Identity | fl

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : SystemAssigned

المبادره القطريه

لتمكين الهوية المدارة المعينة من قبل النظام لمخزن خدمات الاسترداد، استخدم az backup vault identity assign الأمر .

مثال

az backup vault identity assign --system-assigned --resource-group MyResourceGroup --name MyVault

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : SystemAssigned

تعيين أذونات لحفظ عبارة المرور في Azure Key Vault

استنادا إلى نموذج إذن Key Vault (إما أذونات الوصول المستندة إلى الدور أو نموذج الأذونات المستند إلى نهج الوصول) الذي تم تكوينه ل Key Vault، راجع الأقسام التالية.

تمكين الأذونات باستخدام نموذج إذن الوصول المستند إلى الدور ل Key Vault

اختر عميلا:

مدخل Microsoft Azure

لتعيين الأذونات، اتبع الخطوات التالية:

1. انتقل إلى تكوين الوصول إلى إعدادات>Azure Key Vault>للتأكد من أن نموذج الإذن هو RBAC.

   

2. حدد Access control (IAM)>+Add لإضافة تعيين الدور.

3. تتطلب هوية مخزن خدمات الاسترداد إذن تعيين على البيانات السرية لإنشاء عبارة المرور وإضافتها كبيانات سرية إلى Key Vault.

   يمكنك تحديد دور مضمن مثل Key Vault Secrets Officer الذي لديه الإذن (جنبا إلى جنب مع أذونات أخرى غير مطلوبة لهذه الميزة) أو إنشاء دور مخصص مع تعيين إذن على البيانات السرية فقط.

   ضمن التفاصيل، حدد عرض لعرض الأذونات الممنوحة من قبل الدور والتأكد من توفر تعيين الإذن على البيانات السرية .

   

   

4. حدد التالي للمتابعة لتحديد الأعضاء للتعيين.

5. حدد Managed identity ثم + Select members. اختر اشتراك مخزن خدمات الاسترداد الهدف، وحدد مخزن خدمات الاسترداد ضمن الهوية المدارة المعينة من قبل النظام.

   ابحث عن اسم مخزن خدمات الاسترداد وحدده.

   

6. حدد Next، وراجع الواجب، وحدد Review + assign.

   

7. انتقل إلى Access control (IAM) في Key Vault، وحدد Role assignments وتأكد من إدراج مخزن خدمات الاسترداد.

   

بوويرشيل

لتعيين الأذونات، قم بتشغيل الأمر cmdlet التالي:

#Find the application id for your recovery services vault
Get-AzADServicePrincipal -SearchString <principalName>
#Identify a role with Set permission on Secret, like Key Vault Secret Office
Get-AzRoleDefinition | Format-Table -Property Name, IsCustom, Id
#Assign role to Recovery Services Vault identity 
Get-AzRoleDefinition -Name <roleName>
#Assign by Service Principal ApplicationId
New-AzRoleAssignment -RoleDefinitionName 'Key Vault Secrets Officer' -ApplicationId {i.e 8ee5237a-816b-4a72-b605-446970e5f156} -Scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}

المبادره القطريه

لتعيين الأذونات، قم بتشغيل الأمر التالي:

#Find the application id for your recovery services vault
az ad sp list --all --filter "displayname eq '<my recovery vault name>' and servicePrincipalType eq 'ManagedIdentity'"
#Identify a role with Set permission on Secret, like Key Vault Secret Office
az role definition list --query "[].{name:name, roleType:roleType, roleName:roleName}" --output tsv
az role definition list --name "{roleName}"
#Assign role to Recovery Services Vault identity 
az role assignment create --role "Key Vault Secrets Officer" --assignee "<application id>" {i.e "55555555-5555-5555-5555-555555555555"} --scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}

تمكين الأذونات باستخدام نموذج إذن نهج الوصول ل Key Vault

اختر عميلا:

مدخل Microsoft Azure

اتبع الخطوات التالية:

1. انتقل إلى نهج الوصول إلى نهج الوصول إلى >Azure Key Vault>، ثم حدد + إنشاء.

   

2. ضمن Secret Permissions، حدد Set operation.

   يحدد هذا الإجراءات المسموح بها على البيانات السرية.

   

3. انتقل إلى Select Principal وابحث عن المخزن الخاص بك في مربع البحث باستخدام اسمه أو هويته المدارة.

   حدد المخزن من نتيجة البحث واختر تحديد.

   

4. انتقل إلى Review + create، وتأكد من أن Set permission متاح وأن Principal هو مخزن خدمات الاسترداد الصحيح، ثم حدد Create.

   

   

بوويرشيل

للحصول على المعرف الأساسي لمخزن خدمات الاسترداد، استخدم Get-AzADServicePrincipal cmdlet. ثم استخدم هذا المعرف في Get-AzADServicePrincipal cmdlet لتعيين نهج وصول ل Key vault.

مثال

$sp = Get-AzADServicePrincipal -DisplayName MyVault
$Set-AzKeyVaultAccessPolicy -VaultName myKeyVault -ObjectId $sp.Id -PermissionsToSecrets set

المبادره القطريه

للحصول على المعرف الأساسي لمخزن خدمات الاسترداد، استخدم az ad sp list الأمر . ثم استخدم هذا المعرف في az keyvault set-policy الأمر لتعيين نهج وصول ل Key vault.

مثال

az ad sp list --display-name MyVault
az keyvault set-policy --name myKeyVault --object-id <object-id> --secret-permissions set

تمكين الحماية من الحذف المبدئي والمسح في Azure Key Vault

تحتاج إلى تمكين الحماية من الحذف المبدئي والإزالة على Azure Key Vault الذي يخزن مفتاح التشفير الخاص بك.

اختيار عميل*

مدخل Microsoft Azure

يمكنك تمكين الحماية من الحذف المبدئي والإزالة من Azure Key Vault.

بدلاً من ذلك، يمكنك تعيين هذه الخصائص أثناء إنشاء Key Vault. تعرف على المزيد حول خصائص Key Vault هذه.

بوويرشيل

1. سجّل الدخول إلى حساب Azure.

   Login-AzAccount
   

2. حدد الاشتراك الذي يحتوي على المخزن الخاص بك.

   Set-AzContext -SubscriptionId SubscriptionId
   

3. تمكين الحذف المبدئي.

   ($resource = Get-AzResource -ResourceId (Get-AzKeyVault -VaultName "AzureKeyVaultName").ResourceId).Properties | Add-Member -MemberType "NoteProperty" -Name "enableSoftDelete" -Value "true"
   Set-AzResource -resourceid $resource.ResourceId -Properties $resource.Properties
   

4. تمكين الحماية من التطهير.

   ($resource = Get-AzResource -ResourceId (Get-AzKeyVault -VaultName "AzureKeyVaultName").ResourceId).Properties | Add-Member -MemberType "NoteProperty" -Name "enablePurgeProtection" -Value "true"
   Set-AzResource -resourceid $resource.ResourceId -Properties $resource.Properties
   
   

المبادره القطريه

1. قم بتسجيل الدخول إلى حساب Azure الخاص بك.

   az login
   

2. تحديد الدليل الذي يحتوي على الاشتراك.

   az account set --subscription "Subscription1"
   

3. تمكين الحذف المبدئي

   az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-soft-delete true
   

4. تمكين حماية التطهير

   az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-purge-protection true 
   

حفظ عبارة المرور إلى Azure Key Vault لتثبيت MARS جديد

قبل المتابعة لتثبيت عامل MARS، تأكد من تكوين مخزن خدمات الاسترداد لتخزين عبارة المرور إلى Azure Key Vault وأنك نجحت:

1. إنشاء مخزن خدمات الاسترداد الخاص بك.

2. تمكين الهوية المدارة المعينة من قبل النظام لمخزن خدمات الاسترداد.

3. الأذونات المعينة إلى مخزن خدمات الاسترداد لإنشاء بيانات سرية في Key Vault الخاص بك.

4. تمكين الحماية من الحذف المبدئي والإزالة ل Key Vault الخاص بك.

5. لتثبيت عامل MARS على جهاز، قم بتنزيل مثبت MARS من مدخل Microsoft Azure، ثم استخدم معالج التثبيت.

6. بعد توفير بيانات اعتماد مخزن خدمات الاسترداد أثناء التسجيل، في إعداد التشفير، حدد خيار حفظ عبارة المرور إلى Azure Key Vault.

   

7. أدخل عبارة المرور الخاصة بك أو حدد إنشاء عبارة مرور.

8. في مدخل Microsoft Azure، افتح Key Vault، وانسخ Key Vault URI.

   

9. الصق Key Vault URI في وحدة تحكم MARS، ثم حدد Register.

   إذا واجهت خطأ، فتحقق من قسم استكشاف الأخطاء وإصلاحها لمزيد من المعلومات.

10. بمجرد نجاح التسجيل، يتم إنشاء خيار نسخ المعرف إلى البيانات السرية ولا يتم حفظ عبارة المرور في ملف محليا.

    

    إذا قمت بتغيير عبارة المرور في المستقبل لعامل MARS هذا، فستتم إضافة إصدار جديد من Secret مع أحدث عبارة مرور.

يمكنك أتمتة هذه العملية باستخدام خيار KeyVaultUri الجديد في Set-OBMachineSetting command البرنامج النصي للتثبيت.

حفظ عبارة المرور إلى Azure Key Vault لتثبيت MARS موجود

إذا كان لديك تثبيت عامل MARS موجود وتريد حفظ عبارة المرور الخاصة بك إلى Azure Key Vault، فقم بتحديث العامل إلى الإصدار 2.0.9262.0 أو أعلى وقم بإجراء عملية تغيير عبارة المرور.

بعد تحديث عامل MARS الخاص بك، تأكد من تكوين مخزن خدمات الاسترداد لتخزين عبارة المرور إلى Azure Key Vault وأنك نجحت في:

1. إنشاء مخزن خدمات الاسترداد الخاص بك.
2. تمكين الهوية المدارة المعينة من قبل النظام لمخزن خدمات الاسترداد.
3. الأذونات المعينة إلى مخزن خدمات الاسترداد لإنشاء بيانات سرية في Key Vault الخاص بك.
4. تمكين الحماية من الحذف المبدئي والمسح لمخزن المفتاح الخاص بك

لحفظ عبارة المرور إلى Key Vault:

1. افتح وحدة تحكم عامل MARS.

   يجب أن تشاهد شعارا يطلب منك تحديد ارتباط لحفظ عبارة المرور إلى Azure Key Vault.

   بدلا من ذلك، حدد تغيير خصائص>تغيير عبارة المرور للمتابعة.

   

2. في مربع الحوار تغيير الخصائص ، يظهر خيار حفظ عبارة المرور إلى Key Vault عن طريق توفير Key Vault URI .

   إشعار

   إذا تم تكوين الجهاز بالفعل لحفظ عبارة المرور إلى Key Vault، ملء Key Vault URI في مربع النص تلقائيا.

   

3. افتح مدخل Microsoft Azure، وافتح Key Vault، ثم انسخ Key Vault URI.

   

4. الصق Key Vault URI في وحدة تحكم MARS، ثم حدد OK.

   إذا واجهت خطأ، فتحقق من قسم استكشاف الأخطاء وإصلاحها لمزيد من المعلومات.

5. بمجرد نجاح عملية عبارة مرور التغيير، يتم إنشاء خيار لنسخ المعرف إلى البيانات السرية ولا يتم حفظ عبارة المرور في ملف محليا.

   

   إذا قمت بتغيير عبارة المرور في المستقبل لعامل MARS هذا، فستتم إضافة إصدار جديد من Secret مع أحدث عبارة مرور.

يمكنك أتمتة هذه الخطوة باستخدام خيار KeyVaultUri الجديد في Set-OBMachineSetting cmdlet.

استرداد عبارة المرور من Azure Key Vault لجهاز

إذا أصبح جهازك غير متوفر وتحتاج إلى استعادة بيانات النسخ الاحتياطي من مخزن خدمات الاسترداد عبر استعادة موقع بديل، فأنت بحاجة إلى عبارة مرور الجهاز للمتابعة.

يتم حفظ عبارة المرور في Azure Key Vault كبيانات سرية. يتم إنشاء سر واحد لكل جهاز وإضافة إصدار جديد إلى Secret عند تغيير عبارة المرور للجهاز. يتم تسمية السر باسم AzBackup-machine fully qualified name-vault name.

لتحديد موقع عبارة مرور الجهاز:

1. في مدخل Microsoft Azure، افتح Key Vault المستخدم لحفظ عبارة المرور للجهاز.

   نوصيك باستخدام Key Vault واحد لحفظ جميع عبارات المرور الخاصة بك.

2. حدد Secrets وابحث عن السر المسمى AzBackup-<machine name>-<vaultname>.

   

3. حدد Secret، وافتح أحدث إصدار وانسخ قيمة Secret.

   هذه عبارة مرور الجهاز التي سيتم استخدامها أثناء الاسترداد.

   

   إذا كان لديك عدد كبير من الأسرار في Key Vault، فاستخدم Key Vault CLI لسرد البيانات السرية والبحث فيها.

az keyvault secret list --vault-name 'myvaultname’ | jq '.[] | select(.name|test("AzBackup-<myvmname>"))'

استكشاف أخطاء السيناريوهات الشائعة وإصلاحها

يسرد هذا القسم الأخطاء التي تواجهها عادة عند حفظ عبارة المرور إلى Azure Key Vault.

لم يتم تكوين هوية النظام - 391224

السبب: يحدث هذا الخطأ إذا لم يكن لدى مخزن خدمات الاسترداد هوية مدارة معينة من قبل النظام تم تكوينها.

الإجراء الموصى به: تأكد من تكوين الهوية المدارة المعينة من قبل النظام بشكل صحيح لمخزن خدمات الاسترداد وفقا للمتطلبات الأساسية.

لم يتم تكوين الأذونات - 391225

السبب: يحتوي مخزن خدمات الاسترداد على هوية مدارة معينة من قبل النظام، ولكن ليس لديه إذن تعيين لإنشاء سر في Key Vault الهدف.

الإجراء الموصى به:

1. تأكد من أن بيانات اعتماد المخزن المستخدمة تتوافق مع مخزن خدمات الاسترداد المقصود.
2. تأكد من أن Key Vault URI يتوافق مع Key Vault المقصود.
3. تأكد من إدراج اسم مخزن خدمات الاسترداد ضمن Key Vault -> نهج الوصول -> التطبيق، مع تعيين الأذونات السرية.

إذا لم يكن مدرجا، فكون الإذن مرة أخرى.

URI Azure Key Vault غير صحيح - 100272

السبب: URI Key Vault الذي تم إدخاله ليس بالتنسيق الصحيح.

الإجراء الموصى به: تأكد من إدخال Key Vault URI تم نسخه من مدخل Microsoft Azure. على سبيل المثال، https://myvault.vault.azure.net/

 

UserErrorSecretExistsSoftDeleted (391282)

السبب: يوجد بالفعل سر بالتنسيق المتوقع في Key Vault، ولكنه في حالة حذف مبدئي. ما لم تتم استعادة السر، لا يمكن ل MARS حفظ عبارة المرور لهذا الجهاز إلى Key Vault المتوفر.

الإجراء الموصى به: تحقق مما إذا كان هناك سر موجود في المخزن بالاسم AzBackup-<machine name>-<vaultname> وما إذا كان في حالة حذف مبدئي. استرداد البيانات السرية المحذوفة مبدئيا لحفظ عبارة المرور إليها.

UserErrorKeyVaultSoftDeleted (391283)

السبب: Key Vault المقدم إلى MARS في حالة حذف مبدئي.

الإجراء الموصى به: استرداد Key Vault أو توفير Key Vault جديد.

التسجيل غير مكتمل

السبب: لم تكمل تسجيل MARS عن طريق تسجيل عبارة المرور. لذلك، لن تتمكن من تكوين النسخ الاحتياطية حتى تقوم بالتسجيل.

الإجراء الموصى به: حدد رسالة التحذير وأكمل التسجيل.