تشفير مصنع بيانات Azure باستخدام مفاتيح يديرها العملاء

ينطبق على: Azure Data Factory Azure Synapse Analytics

تلميح

جرب Data Factory في Microsoft Fabric، وهو حل تحليلي متكامل للمؤسسات. يغطي Microsoft Fabric كل شيء بدءا من حركة البيانات إلى علم البيانات والتحليلات في الوقت الحقيقي والمعلومات المهنية وإعداد التقارير. تعرف على كيفية بدء إصدار تجريبي جديد مجانا!

يقوم Azure Data Factory بتشفير البيانات الثابتة، بما في ذلك تعريفات الكيانات وأي بيانات تم تخزينها مؤقتًا أثناء التشغيل. بشكل افتراضي، يتم تشفير البيانات باستخدام مفتاح مدار بشكل عشوائي من Microsoft يتم تعيينه بشكل فريد إلى مصنع البيانات. للحصول على ضمانات أمان إضافية، يمكنك الآن تمكين إحضار المفتاح الخاص بك (BYOK) باستخدام ميزة المفاتيح المدارة من قَِبَل العملاء في Azure Data Factory. عندما تحدد مفتاحًا يديره العميل، يستخدم Data Factory كلاً من مفتاح نظام المصنع وCMK لتشفير بيانات العميل. سيؤدي فقدان أي منهما إما إلى رفض الوصول إلى البيانات والمصنع.

مطلوب Azure Key Vault لتخزين المفاتيح التي يديرها العميل. يمكنك إما إنشاء المفاتيح الخاصة بك وتخزينها في قبو المفاتيح، أو يمكنك استخدام واجهات برمجة تطبيقات Azure Key Vault لإنشاء المفاتيح. يجب أن يكون مخزن المفاتيح ومصنع البيانات في نفس مستأجر Microsoft Entra وفي نفس المنطقة، ولكن قد يكونا في اشتراكات مختلفة. لمزيد من المعلومات حول Azure Key Vault، راجع ما هو Azure Key Vault؟

استخدام المفاتيح المُدارة بواسطة العملاء

يوضح الرسم التخطيطي التالي كيفية استخدام Data Factory لمعرف Microsoft Entra وAzure Key Vault لتقديم الطلبات باستخدام المفتاح المدار من قبل العميل:

توضح القائمة التالية الخطوات المرقمة في الرسم التخطيطي:

1. يمنح مسؤول Azure Key Vault أذونات لمفاتيح التشفير للهوية المدارة المقترنة بـ Data Factory
2. مسؤول Data Factory يتيح ميزة المفتاح التي يديرها العملاء في المصنع
3. يستخدم Data Factory الهوية المدارة المقترنة بالمصنع لمصادقة الوصول إلى Azure Key Vault عبر معرف Microsoft Entra
4. يلف Data Factory مفتاح تشفير المصنع مع مفتاح العميل في Azure Key Vault
5. لعمليات القراءة/الكتابة، يرسل Data Factory طلبات إلى Azure Key Vault لفك مفتاح تشفير الحساب لإجراء عمليات التشفير وفك التشفير

هناك طريقتان لإضافة تشفير مفتاح مدار للعميل إلى مصانع البيانات. الأولى هي خلال وقت إنشاء المصنع في مدخل Azure، والأخرى هي آخر إنشاء مصنع، في واجهة المستخدم Data Factory.

المتطلبات الأساسية - تكوين Azure Key Vault وإنشاء مفاتيح

تمكين الحذف الخفيف وعدم الإزالة على Azure Key Vault

يتطلب استخدام المفاتيح التي يديرها العميل مع Data Factory تعيين خاصيتَين في Key Vault، هما Soft Delete وDo Not Purge. يمكن تمكين هاتَين الخاصيتَين باستخدام PowerShell أو Azure CLI على قبو مفتاح جديد أو موجود. لمعرفة كيفية تمكين هذه الخصائص على قبو مفتاح موجود، راجع إدارة استرداد Azure Key Vault باستخدام حماية الحذف والتطهير الناعمة

إذا كنت تقوم بإنشاء Azure Key Vault جديد من خلال مدخل Azure، يمكن تمكين Soft Delete وDo Not Purge كما يلي:

منح وصول Data Factory إلى Azure Key Vault

تأكد من أن Azure Key Vault وAzure Data Factory في نفس مستأجر Microsoft Entra وفي نفس المنطقة. من التحكم في الوصول إلى Azure Key Vault، امنح مصنع البيانات الأذونات التالية: Get، Unwrap Key وWrap Key. هذه الأذونات مطلوبة لتمكين مفاتيح مدارة من قِبَل العملاء في Data Factory.

• إذا كنت ترغب في إضافة تشفير المفتاح المُدار بواسطة العميل بعد إنشاء المصنع في Data Factory UI، فتأكد من أن هوية الخدمة المُدارة لمصنع البيانات (MSI) لديها الأذونات الثلاثة لـ Key Vault

• إذا كنت ترغب في إضافة تشفير مفتاح مدار للعميل أثناء وقت إنشاء المصنع في بوابة Azure، فتأكد من أن الهوية المدارة المعينة من قِبَل المستخدم (UA-MI) لديها الأذونات الثلاثة إلى قبو المفتاح

  

إنشاء مفتاح مدار بواسطة العميل أو تحميله إلى Azure Key Vault

يمكنك إما إنشاء المفاتيح الخاصة بك وتخزينها في قبو المفاتيح، أو يمكنك استخدام واجهات برمجة التطبيقات Azure Key Vault لإنشاء مفاتيح. يتم دعم مفاتيح RSA فقط مع تشفير Data Factory. يتم دعم RSA-HSM أيضا. لمزيد من المعلومات، راجع حول المفاتيح، والأسرار، والشهادات.

استخدام المفاتيح المُدارة بواسطة العملاء

إنشاء مصنع آخر في واجهة مستخدم Data Factory

يستعرض هذا القسم عملية إضافة تشفير المفتاح المُدار بواسطة العميل في واجهة مستخدم Data Factory، بعد إنشاء المصنع.

إشعار

يمكن تكوين مفتاح مدار من قِبَل العميل فقط على مصنع بيانات فارغ. لا يمكن لمصنع البيانات أن يحتوي على أي موارد مثل الخدمات المرتبطة، وخطوط الأنابيب، وتدفق البيانات. من المستحسن تمكين المفتاح المدار من قِبَل العميل مباشرةً بعد إنشاء المصنع.

هام

لا يعمل هذا الأسلوب مع المصانع المُدارة التي تدعم الشبكة الافتراضية. يرجى النظر في الطريق البديل، إذا كنت تريد تشفير مثل هذه المصانع.

1. تأكد من أن هوية الخدمة المُدارة (MSI) الخاصة بمصنع البيانات لديها أذونات الحصول وإلغاء التفاف المفتاح والتفاف المفتاح إلى Key Vault.

2. تأكد من أن مصنع البيانات فارغ. لا يمكن لمصنع البيانات احتواء أي موارد مثل الخدمات المرتبطة، وخطوط الأنابيب، وتدفق البيانات. في الوقت الحالي، سيؤدي نشر المفتاح المدار من قِبَل العميل إلى مصنع غير فارغ إلى حدوث خطأ.

3. لتحديد موقع مفتاح URI في مدخل Azure، انتقل إلىAzure Key Vault، وحدد إعداد المفاتيح. حدد المفتاح المطلوب، ثم حدد المفتاح لعرض إصداراته. تحديد إصدار مفتاح لعرض الإعدادات

4. انسخ قيمة حقل معرف المفتاح، الذي يوفر URI

5. إطلاق بوابة Azure Data Factory، واستخدام شريط التنقل على اليسار، انتقل إلى بوابة إدارة مصنع البيانات

6. انقر فوق أيقونة المفتاح المدار من قبل العميل

7. أدخل URI للمفتاح المدار من قِبَل العميل الذي قمت بنسخه من قبلُ

8. انقر Save وتم تمكين تشفير المفتاح المُدار بواسطة العميل لـData Factory

أثناء إنشاء مصنع في بوابة Azure

يقدم هذا المقطع خطوات لإضافة تشفير المفتاح المدار من قِبَل العملاء في بوابة Azure، أثناء نشر المصنع.

لتشفير المصنع، يحتاج Data Factory إلى استرداد المفتاح المدار من قِبَل العميل أولاً من Key Vault. نظرًا لأن نشر المصنع لا يزال قيد التقدم، فإن هوية الخدمة المدارة (MSI) غير متوفرة بعدُ للمصادقة باستخدام Key Vault. على هذا النحو، لاستخدام هذا الأسلوب، يحتاج العميل إلى تعيين هوية مدارة معينة من قِبَل المستخدم (UA-MI) إلى مصنع البيانات. سنتولى الأدوار المحددة في UA-MI ونصادق عليها بـ Key Vault.

لمعرفة المزيد حول الهوية المدارة المعينة من قِبَل المستخدم، راجع أنواع الهوية المدارةوتعيين الدور للهوية المدارة المعينة للمستخدم.

1. تأكد من أن الهوية المُدارة المعينة من قِبَل المستخدم (UA-MI) لديها أذونات الحصول وإلغاء التفاف المفتاح والتفاف المفتاح إلى Key Vault

2. ضمن علامة التبويب خيارات متقدمة ، حدد خانة الاختيار تمكين التشفير باستخدام مفتاح مدار من قبل العميل

3. توفير عنوان URL للمفتاح المدار للعميل المخزن في Key Vault

4. تحديد مستخدم مناسب تم تعيينه لهوية مدارة للمصادقة باستخدام Key Vault.

5. متابعة نشر المصنع

تحديث إصدار المفتاح

عند إنشاء إصدار جديد من مفتاح، حدِّث مصنع البيانات لاستخدام الإصدار الجديد. اتبع خطوات مشابهة كما هو موضح في المقطع واجهة مستخدم مصنع البيانات، بما في ذلك:

1. تحديد موقع URI لإصدار المفتاح الجديد من خلال بوابة Azure Key Vault

2. الانتقال إلى إعداد المفتاح المدار من قِبَل العميل

3. استبدال ولصق في URI للمفتاح الجديد

4. انقر فوق حفظ وسيتم تشفير مصنع البيانات الآن مع إصدار المفتاح الجديد

استخدام ‏مفتاح مختلف

لتغيير المفتاح المستخدم لتشفير مصنع البيانات، يجب عليك تحديث الإعدادات يدويًّا في Data Factory. اتبع خطوات مشابهة كما هو موضح في المقطع واجهة مستخدم مصنع البيانات، بما في ذلك:

1. تحديد موقع URI للمفتاح الجديد من خلال بوابة Azure Key Vault

2. الانتقال إلى إعداد المفتاح المدار من قِبَل العميل

3. استبدال ولصق في URI للمفتاح الجديد

4. انقر فوق حفظ وسيتم تشفير مصنع البيانات الآن مع إصدار المفتاح الجديد

استخدام المفاتيح المُدارة بواسطة العملاء

حسب التصميم، بمجرد تمكين ميزة المفتاح المدارة من قِبَل العميل، لا يمكنك إزالة خطوة الأمان الإضافية. ونحن نتوقع دائمًا من العميل توفير مفتاح لتشفير المصنع والبيانات.

مفتاح مدار للعميل والتكامل المستمر والنشر المستمر

بشكل افتراضي، لا يتم تضمين تكوين CMK في قالبAzure Resource Manager (ARM). لتضمين إعدادات تشفير المفتاح المدارة للعميل في قالب ARM للتكامل المستمر (CI/CD):

1. تأكد من أن المصنع في وضع Git
2. انتقل إلى مدخل الإدارة - قسم المفاتيح المدارة من قبل العملاء
3. انظر خيار Include in ARM template

ستتم إضافة الإعدادات التالية في قالب ARM. يمكن أن تكون هذه الخصائص ذات معلمات في خطوط أنابيب التكامل والتسليم المستمر عن طريق تحرير تكوين معلمات Azure Resource Manager

إشعار

إضافة إعداد التشفير إلى قوالب ARM يضيف إعداد مستوى المصنع الذي سيتجاوز إعدادات مستوى المصنع الأخرى، مثل تكوينات git، في بيئات أخرى. إذا تم تمكين هذه الإعدادات في بيئة مرتفعة مثل UAT أو PROD، يرجى الرجوع إلى المعلمات العمومية في CI/CD.

المحتوى ذو الصلة

انتقل إلىtutorials للتعرف على استخدام Data Factory في المزيد من السيناريوهات.