إدارة البيانات السرية لـAzure Stack Edge باستخدام Azure Key Vault

ينطبق على: Azure Stack Edge Pro - GPUAzure Stack Edge Pro 2Azure Stack Edge Pro RAzure Stack Edge Mini R

تم دمج Azure Key Vault مع مورد Azure Stack Edge لإدارة البيانات السرية. توفر هذه المقالة تفاصيل حول كيفية إنشاء Azure Key Vault لمورد Azure Stack Edge أثناء تنشيط الجهاز ثم استخدامه لإدارة البيانات السرية.

حول key vault وAzure Stack Edge

يتم استخدام خدمة سحابة Azure Key Vault لتخزين الوصول إلى الرموز المميزة وكلمات المرور والشهادات ومفاتيح API والأسرار الأخرى والتحكم فيها بشكل آمن. كما يسهل Key Vault إنشاء مفاتيح التشفير المستخدمة لتشفير بياناتك والتحكم فيها.

بالنسبة لخدمة Azure Stack Edge، يوفر التكامل مع key vault المزايا التالية:

• يخزن أسرار العملاء. أحد الأسرار المستخدمة لخدمة Azure Stack Edge هو مفتاح تكامل القناة (CIK). يسمح لك هذا المفتاح بتشفير أسرارك ويتم تخزينه بأمان في مخزن المفاتيح. يتم أيضا تخزين أسرار الجهاز مثل مفتاح استرداد BitLocker وكلمة مرور مستخدم وحدة تحكم إدارة Baseboard (BMC) في مخزن المفاتيح.

  لمزيد من المعلومات، راجع تخزين الأسرار والمفاتيح بأمان.

• تمرير أسرار العملاء المشفرة إلى الجهاز.

• يعرض أسرار الجهاز للوصول السهل إذا كان الجهاز معزولا.

إنشاء مفتاح التنشيط وإنشاء key vault

يتم إنشاء مخزن مفاتيح لمورد Azure Stack Edge أثناء عملية إنشاء مفتاح التنشيط. يتم إنشاء مخزن المفاتيح في نفس مجموعة الموارد حيث يوجد مورد Azure Stack Edge. إذن المساهم مطلوب على مخزن المفاتيح.

المتطلبات الأساسية لمخزن المفاتيح

قبل إنشاء مخزن المفاتيح أثناء التنشيط، يجب استيفاء المتطلبات الأساسية التالية:

• سجل موفر موارد Microsoft.KeyVault قبل إنشاء مورد Azure Stack Edge. يتم تسجيل موفر الموارد تلقائيا إذا كان لديك حق وصول المالك أو المساهم إلى الاشتراك. يتم إنشاء key vault في نفس الاشتراك ومجموعة الموارد مثل مورد Azure Stack Edge.

• عند إنشاء مورد Azure Stack Edge، يتم أيضا إنشاء هوية مدارة معينة من قبل النظام تستمر طوال عمر المورد وتتصل بموفر الموارد على السحابة.

  عند تمكين الهوية المدارة، ينشئ Azure هوية موثوق بها لمورد Azure Stack Edge.

إنشاء مخزن المفاتيح

بعد إنشاء المورد، تحتاج إلى تنشيط المورد باستخدام الجهاز. للقيام بذلك، ستقوم بإنشاء مفتاح تنشيط من مدخل Microsoft Azure.

عند إنشاء مفتاح تنشيط، تحدث الأحداث التالية:

• يمكنك طلب مفتاح تنشيط في مدخل Microsoft Azure. ثم يتم إرسال الطلب إلى موفر موارد key vault.
• يتم إنشاء مخزن مفاتيح قياسي من المستوى مع نهج الوصول ويتم تأمينه بشكل افتراضي.

  • يستخدم مخزن المفاتيح هذا الاسم الافتراضي أو اسم مخصص طويل من 3 إلى 24 حرفا حددته. لا يمكنك استخدام مخزن مفاتيح قيد الاستخدام بالفعل.

  • يتم تخزين تفاصيل key vault في الخدمة. يتم استخدام مخزن المفاتيح هذا لإدارة البيانات السرية ويستمر طالما أن مورد Azure Stack Edge موجود.

    

• يتم تمكين تأمين المورد على خزنة المفاتيح لمنع الحذف العرضي. يتم أيضا تمكين الحذف المبدئي على خزنة المفاتيح التي تسمح باستعادة خزنة المفاتيح في غضون 90 يوما إذا كان هناك حذف عرضي. لمزيد من المعلومات حول الحذف المبدئي، راجع نظرة عامة حول الحذف المبدئي في Azure Key Vault.
• يتم الآن تمكين هوية مدارة معينة من قبل النظام تم إنشاؤها عند إنشاء مورد Azure Stack Edge.
• يتم إنشاء مفتاح تكامل القناة (CIK) ووضعه في مخزن المفاتيح. يتم عرض تفاصيل CIK في الخدمة.
• يتم أيضا إنشاء حساب تخزين متكرر للمنطقة (ZRS) في نفس نطاق مورد Azure Stack Edge ويتم وضع تأمين على الحساب.
  • يستخدم هذا الحساب لتخزين سجلات التدقيق.
  • إنشاء حساب التخزين عملية طويلة الأمد وتستغرق بضع دقائق.
  • يتم وضع علامة على حساب التخزين باسم key vault.
• تتم إضافة إعداد تشخيص إلى مخزن المفاتيح ويتم تمكين التسجيل.
• تتم إضافة الهوية المدارة إلى نهج الوصول إلى مخزن المفاتيح للسماح بالوصول إلى خزنة المفاتيح حيث يستخدم الجهاز مخزن المفاتيح لتخزين الأسرار واستردادها.
• يصادق مخزن المفاتيح الطلب بهوية مدارة لإنشاء مفتاح التنشيط. يتم إرجاع مفتاح التنشيط إلى مدخل Microsoft Azure. يمكنك بعد ذلك نسخ هذا المفتاح واستخدامه في واجهة المستخدم المحلية لتنشيط جهازك.

إشعار

• إذا كان لديك مورد Azure Stack Edge موجود قبل دمج Azure Key Vault مع مورد Azure Stack Edge، فلن تتأثر. يمكنك الاستمرار في استخدام مورد Azure Stack Edge الحالي.
• إنشاء مخزن المفاتيح وحساب التخزين يضيف إلى التكلفة الإجمالية للموارد. لمزيد من المعلومات حول المعاملات المسموح بها والرسوم المقابلة، راجع تسعير Azure Key Vault وتسعير حساب التخزين.

إذا واجهت أي مشكلات تتعلق بخزنة المفاتيح وتنشيط الجهاز، فراجع استكشاف مشكلات تنشيط الجهاز وإصلاحها.

عرض خصائص key vault

بعد إنشاء مفتاح التنشيط وإنشاء مخزن المفاتيح، قد تحتاج إلى الوصول إلى مخزن المفاتيح لعرض الأسرار ونهج الوصول والتشخيصات والرؤى. يصف الإجراء التالي كل عملية من هذه العمليات.

عرض البيانات السرية

بعد إنشاء مفتاح التنشيط وإنشاء key vault، قد تحتاج إلى الوصول إلى key vault.

للوصول إلى key vault وعرض الأسرار، اتبع الخطوات التالية:

1. في مدخل Microsoft Azure لمورد Azure Stack Edge، انتقل إلى الأمان.

2. في الجزء الأيمن، ضمن Security، يمكنك عرض Secrets.

3. يمكنك أيضا الانتقال إلى key vault المقترن بمورد Azure Stack Edge. حدد Key vault name.

   

4. لعرض الأسرار المخزنة في خزنة المفاتيح الخاصة بك، انتقل إلى Secrets. يتم تخزين مفتاح تكامل القناة ومفتاح استرداد BitLocker وكلمات مرور المستخدم لوحدة تحكم إدارة Baseboard (BMC) في مخزن المفاتيح. إذا تعطل الجهاز، يوفر المدخل وصولا سهلا إلى مفتاح استرداد BitLocker وكلمة مرور مستخدم BMC.

   

عرض نهج الوصول إلى الهوية المدارة

للوصول إلى نهج الوصول لمخزن المفاتيح والهوية المدارة، اتبع الخطوات التالية:

1. في مدخل Microsoft Azure لمورد Azure Stack Edge، انتقل إلى الأمان.

2. حدد الارتباط المطابق لاسم Key vault للانتقال إلى مخزن المفاتيح المقترن بمورد Azure Stack Edge.

   

3. لعرض نهج الوصول المقترنة بخزنة المفاتيح الخاصة بك، انتقل إلى نهج الوصول. يمكنك أن ترى أنه تم منح الهوية المدارة حق الوصول. حدد Secret permissions. يمكنك أن ترى أن الوصول إلى الهوية المدارة مقيد فقط ب Get و Set للسر.

   

عرض سجلات التدقيق

للوصول إلى مخزن المفاتيح وعرض إعدادات التشخيص وسجلات التدقيق، اتبع الخطوات التالية:

1. في مدخل Microsoft Azure لمورد Azure Stack Edge، انتقل إلى الأمان.

2. حدد الارتباط المطابق لاسم Key vault للانتقال إلى مخزن المفاتيح المقترن بمورد Azure Stack Edge.

   

3. لعرض إعدادات التشخيص المقترنة بخزنة المفاتيح الخاصة بك، انتقل إلى إعدادات التشخيص. يتيح لك هذا الإعداد مراقبة كيفية ووقت الوصول إلى خزائن المفاتيح الخاصة بك، ومن قبل من. يمكنك أن ترى أنه تم إنشاء إعداد تشخيص. تتدفق السجلات إلى حساب التخزين الذي تم إنشاؤه أيضا. يتم أيضا إنشاء أحداث التدقيق في key vault.

   

إذا قمت بتكوين هدف تخزين مختلف للسجلات على مخزن المفاتيح، فيمكنك عرض السجلات مباشرة في حساب التخزين هذا.

عرض الرؤى

للوصول إلى نتائج تحليلات خزنة المفاتيح بما في ذلك العمليات التي تم إجراؤها على خزنة المفاتيح، اتبع الخطوات التالية:

1. في مدخل Microsoft Azure لمورد Azure Stack Edge، انتقل إلى الأمان.

2. حدد الارتباط المطابق لتشخيصات Key vault.

   

3. يقدم جزء Insights نظرة عامة على العمليات التي يتم إجراؤها على مخزن المفاتيح.

   

عرض حالة الهوية المدارة

لعرض حالة الهوية المدارة المعينة من قبل النظام المقترنة بمورد Azure Stack Edge، اتبع الخطوات التالية:

1. في مدخل Microsoft Azure لمورد Azure Stack Edge، انتقل إلى الأمان.

2. في الجزء الأيمن، انتقل إلى الهوية المدارة المعينة من قبل النظام لعرض ما إذا تم تمكين الهوية المدارة المعينة من قبل النظام أو تعطيلها.

   

عرض تأمين خزنة المفاتيح

للوصول إلى key vault وعرض الأقفال، اتبع الخطوات التالية:

1. في مدخل Microsoft Azure لمورد Azure Stack Edge، انتقل إلى الأمان.

2. حدد الارتباط المطابق لاسم Key vault للانتقال إلى مخزن المفاتيح المقترن بمورد Azure Stack Edge.

   

3. لعرض الأقفال على خزنة المفاتيح الخاصة بك، انتقل إلى Locks. لمنع الحذف العرضي، يتم تمكين تأمين المورد على مخزن المفاتيح.

   

إعادة إنشاء مفتاح التنشيط

في بعض الحالات، قد تحتاج إلى إعادة إنشاء مفتاح التنشيط. عند إعادة إنشاء مفتاح تنشيط، تحدث الأحداث التالية:

1. تطلب إعادة إنشاء مفتاح تنشيط في مدخل Microsoft Azure.
2. يتم إرجاع مفتاح التنشيط إلى مدخل Microsoft Azure. يمكنك بعد ذلك نسخ هذا المفتاح واستخدامه.

لا يتم الوصول إلى مخزن المفاتيح عند إعادة إنشاء مفتاح التنشيط.

استرداد أسرار الجهاز

إذا تم حذف CIK عن طريق الخطأ أو أصبحت الأسرار (على سبيل المثال، كلمة مرور مستخدم BMC) قديمة في مخزن المفاتيح، فستحتاج إلى دفع الأسرار من الجهاز لتحديث أسرار خزنة المفاتيح.

اتبع هذه الخطوات لمزامنة أسرار الجهاز:

1. في مدخل Microsoft Azure، انتقل إلى مورد Azure Stack Edge ثم انتقل إلى الأمان.

2. في الجزء الأيمن، من شريط الأوامر العلوي، حدد مزامنة أسرار الجهاز.

3. يتم دفع أسرار الجهاز إلى خزنة المفاتيح لاستعادة الأسرار أو تحديثها في خزنة المفاتيح. سترى إعلاما عند اكتمال المزامنة.

   

حذف مفتاح الخزنة

هناك طريقتان لحذف خزنة المفاتيح المقترنة بمورد Azure Stack Edge:

• احذف مورد Azure Stack Edge واختر حذف مخزن المفاتيح المقترن في نفس الوقت.
• حذف خزنة المفاتيح عن طريق الخطأ مباشرة.

عند حذف مورد Azure Stack Edge، يتم حذف مخزن المفاتيح أيضا مع المورد. تتم مطالبتك بالتأكيد. إذا كنت تقوم بتخزين مفاتيح أخرى في مخزن المفاتيح هذا ولا تنوي حذف مخزن المفاتيح هذا، يمكنك اختيار عدم تقديم الموافقة. يتم حذف مورد Azure Stack Edge فقط تاركا مخزن المفاتيح سليما.

اتبع هذه الخطوات لحذف مورد Azure Stack Edge وخزنة المفاتيح المقترنة:

1. في مدخل Microsoft Azure، انتقل إلى مورد Azure Stack Edge ثم انتقل إلى نظرة عامة.

2. في الجزء الأيسر، حدد Delete. سيؤدي هذا الإجراء إلى حذف مورد Azure Stack Edge.

   

3. سترى شفرة تأكيد. اكتب اسم مورد Azure Stack Edge. لتأكيد حذف خزنة المفاتيح المقترنة، اكتب نعم.

   

4. حدد حذف.

يتم حذف مورد Azure Stack Edge وخزنة المفاتيح.

قد يتم حذف مخزن المفاتيح عن طريق الخطأ عندما يكون مورد Azure Stack Edge قيد الاستخدام. إذا حدث ذلك، يتم رفع تنبيه هام في صفحة الأمان لمورد Azure Stack Edge. يمكنك الانتقال إلى هذه الصفحة لاسترداد خزنة المفاتيح الخاصة بك.

استرداد key vault

يمكنك استرداد مخزن المفاتيح المقترن بمورد Azure Stack Edge إذا تم حذفه عن طريق الخطأ أو إزالته. إذا تم استخدام مخزن المفاتيح هذا لتخزين مفاتيح أخرى، فستحتاج إلى استرداد هذه المفاتيح عن طريق استعادة مخزن المفاتيح.

• في غضون 90 يوما من الحذف، يمكنك استعادة مخزن المفاتيح الذي تم حذفه.
• إذا انقضت فترة الحماية من التطهير التي تبلغ 90 يوما بالفعل، فلا يمكنك استعادة مخزن المفاتيح. بدلا من ذلك، ستحتاج إلى إنشاء مخزن مفاتيح جديد.

في غضون 90 يوما من الحذف، اتبع هذه الخطوات لاسترداد مخزن المفاتيح الخاص بك:

• في مدخل Microsoft Azure، انتقل إلى صفحة الأمان لمورد Azure Stack Edge. سترى إعلاما يفيد بأنه تم حذف مخزن المفاتيح المقترن بموردك. يمكنك تحديد الإعلام أو تحديد إعادة التكوين مقابل اسم خزنة المفاتيح ضمن تفضيلات الأمان لاسترداد مخزن المفاتيح الخاص بك.

  

• في جزء Recover key vault ، حدد Configure. يتم تنفيذ العمليات التالية كجزء من الاسترداد:

  

  • يتم استرداد key vault بنفس الاسم ويتم وضع تأمين على مورد key vault.

    إشعار

    إذا تم حذف خزنة المفاتيح الخاصة بك، ولم تنقضي فترة الحماية من التطهير التي تبلغ 90 يوما، فلا يمكن استخدام اسم مخزن المفاتيح في تلك الفترة الزمنية لإنشاء مخزن مفاتيح جديد.

  • يتم إنشاء حساب تخزين لتخزين سجلات التدقيق.

  • يتم منح الهوية المدارة المعينة من قبل النظام حق الوصول إلى مخزن المفاتيح.

  • يتم دفع أسرار الجهاز إلى خزنة المفاتيح.

  حدد تكوين.

  

  يتم استرداد خزنة المفاتيح وعند اكتمال الاسترداد، يتم عرض إعلام بهذا التأثير.

إذا تم حذف مخزن المفاتيح وانقضت فترة الحماية من التطهير التي تبلغ 90 يوما، فسيكون لديك خيار إنشاء مخزن مفاتيح جديد من خلال إجراء مفتاح الاسترداد الموضح أعلاه. في هذه الحالة، ستوفر اسما جديدا لمخزن المفاتيح الخاص بك. يتم إنشاء حساب تخزين جديد، ويتم منح الهوية المدارة حق الوصول إلى مخزن المفاتيح هذا، ويتم دفع أسرار الجهاز إلى مخزن المفاتيح هذا.

استرداد الوصول إلى الهوية المدارة

إذا تم حذف نهج الوصول إلى الهوية المدارة المعينة من قبل النظام، يتم رفع تنبيه عندما يكون الجهاز غير قادر على إعادة مزامنة أسرار مخزن المفاتيح. إذا لم يكن للهوية المدارة حق الوصول إلى مخزن المفاتيح، يتم رفع تنبيه الجهاز مرة أخرى. حدد التنبيه في كل حالة لفتح جزء Recover key vault وإعادة التكوين. يجب أن تستعيد هذه العملية الوصول إلى الهوية المدارة.

الخطوات التالية

• تعرف على المزيد حول كيفية إنشاء مفتاح التنشيط.
• استكشاف أخطاء خزنة المفاتيح وإصلاحها على جهاز Azure Stack Edge.