استخدام المفاتيح المُدارة من قِبل العملاء في Azure Key Vault لـ Azure Data Box

يحمي Azure Data Box مفتاح إلغاء قفل الجهاز (المعروف أيضاً باسم كلمة مرور الجهاز)، والذي يُستخدم لتأمين الجهاز، بواسطة مفتاح تشفير. بشكل افتراضي، يكون مفتاح التشفير هذا هو مفتاح Microsoft المُدار. لمزيد من التحكم، يمكنك استخدام مفتاح يديره العميل.

لا يؤثر استخدام المفتاح الذي يديره العميل على كيفية تشفير البيانات الموجودة على الجهاز. إنه يؤثر فقط على كيفية تشفير مفتاح إلغاء قفل الجهاز.

للاحتفاظ بهذا المستوى من التحكم خلال عملية الطلب، استخدم مفتاحاً مداراً من قِبل العميل عند إنشاء طلبك. لمزيد من المعلومات، راجع البرنامج التعليمي: طلب Azure Data Box.

توضح هذه المقالة كيفية تمكين مفتاح يديره العميل لطلب Data Box الموجود في مدخل Microsoft Azure. ستكتشف كيفية تغيير مخزن المفاتيح أو المفتاح أو الإصدار أو الهوية لمفتاحك الحالي المُدار من قِبل العميل، أو التبديل مرة أخرى إلى استخدام مفتاح مُدار من Microsoft.

تُستخدم هذه المقالة مع أجهزة Azure Data Box وAzure Data Box Heavy.

المتطلبات

يجب أن يفي المفتاح المُدار من قِبل العميل لطلب Data Box بالمتطلبات التالية:

• يجب إنشاء المفتاح وتخزينه في Azure Key Vault الذي يتم فيه تمكين الحذف المبدئي وعدم الإزالة. لمزيد من المعلومات، راجع ما هو Azure Key Vault؟. يمكنك إنشاء مخزن مفاتيح ومفتاح أثناء إنشاء طلبك أو تحديثه.
• يجب أن يكون المفتاح هو مفتاح RSA بحجم 2048 أو أكبر.
• يجب تمكين الأذونات GetUnwrapKeyو و WrapKey للمفتاح في Azure Key Vault. يجب أن تظل الأذونات في مكانها طوال مدة الطلب. وإلا، لا يمكن الوصول إلى المفتاح المدار من قبل العميل في بداية مرحلة نسخ البيانات.

تمكين المفتاح

لتمكين مفتاح مُدار من قِبل العميل الخاص بطلب Data Box الموجود في مدخل Microsoft Azure، اتبع الخطوات التالية:

1. انتقل إلى شاشة نظرة عامة لطلب Data Box.

   

2. انتقل إلى Settings > Encryption، وحدد Customer managed key. ثم حدد تحديد مفتاح ومخزن المفتاح.

   

   في شاشة تحديد مفتاح من Azure Key Vault، يتم ملء اشتراكك تلقائياً.

3. بالنسبة إلى مخزن المفاتيح، يمكنك تحديد مخزن مفاتيح حالي من القائمة المنسدلة أو تحديد إنشاء جديد ثم إنشاء مخزن مفاتيح جديد.

   

   لإنشاء مخزن مفاتيح جديد، أدخل الاشتراك، ومجموعة الموارد واسم مخزن المفاتيح، ومعلومات أخرى على شاشة إنشاء مخزن مفاتيح جديد. في خيارات الاسترداد، تأكد من تمكين حذف مبدئي والحماية من الإزالة. ثم حدد مراجعة + إنشاء.

   

   اطلع على المعلومات التي تخص key vault الخاص بك، وحدد "Create". انتظر لبضع دقائق حتى يكتمل إنشاء key vault.

   

4. في شاشة تحديد مفتاح من Azure Key Vault، يمكنك تحديد مفتاح موجود من مخزن المفاتيح أو إنشاء مفتاح جديد.

   

   إذا كنت ترغب في إنشاء مفتاح جديد، حدد إنشاء جديد. يجب استخدام مفتاح RSA. يمكن أن يكون الحجم 2048 أو أكثر.

   

   ادخل اسماً لمفتاحك الجديد، أقبل الافتراضات الأخرى، وحدد "Create". سيتم إعلامك عند إنشاء مفتاح في مخزن المفاتيح لديك.

   

5. بالنسبة إلى الإصدار، يمكنك تحديد إصدار مفتاح موجود من القائمة المنسدلة.

   

   إذا كنت ترغب في إنشاء إصدار مفتاح جديد، فحدد إنشاء جديد.

   

   اختار إعدادات لإصدار المفتاح الجديد، وحدد "Create".

   

6. عند تحديد مخزن المفاتيح، ومفتاح، وإصدار مفتاح، اختر تحديد.

   

   تعرض إعدادات نوع التشفير مخزن المفاتيح والمفتاح الذي تختاره.

   

7. حدد نوع الهوية التي تريد استخدامها لإدارة المفتاح الذي يديره العميل لهذا المورد. يمكنك استخدام هوية تعيين بواسطة المستخدم التي تم إنشاؤها أثناء إنشاء الطلب أو اختيار هوية معيّنة من قِبل المستخدم.

   إن الهوية المعيّنة من قِبل المستخدم عبارة عن مورد مستقل يمكنك استخدامه لإدارة الوصول إلى الموارد. لمزيد من المعلومات، راجع " أنواع الهويات المدارة.

   

   لتعيين هوية مستخدم، حدد تعيين بواسطة المستخدم. ثم حدد تحديد هوية مستخدم، وحدد الهوية المُدارة التي تريد استخدامها.

   

   لا يمكنك إنشاء هوية مستخدم جديدة هنا. لمعرفة كيفية إنشاء واحدة، راجع إنشاء، أو إدراج، أو حذف، أو تعيين دور لهوية مُدارة معينة بواسطة المستخدم باستخدام مدخل Microsoft Azure.

   تظهر هوية المستخدم في إعدادات نوع التشفير.

   

8. حدد حفظ لحفظ إعدادات نوع التشفير المحدّثة.

   

   يتم عرض عنوان URL الرئيسي ضمن نوع التشفير.

   

هام

يجب تمكين الأذونات GetUnwrapKeyو و WrapKey على المفتاح. لتعيين الأذونات في Azure CLI، راجع az keyvault set-policy.

تغيير مفتاح

لتغيير مخزن المفاتيح، والمفتاح، و/أو إصدار المفتاح للمفتاح المُدار من قِبل العميل الذي تستخدمه حالياً، اتبع الخطوات التالية:

1. في شاشة نظرة عامة لطلب Data Box، انتقل إلى الإعدادات>تشفير، ثم انقر فوق تغيير المفتاح.

   

2. اختر تحديد مخزن مفاتيح مختلف والمفتاح.

   

3. تعرض شاشة تحديد المفتاح من مخزن المفاتيح الاشتراك ولكن بدون مخزن مفاتيح أو مفتاح أو إصدار مفتاح. يمكنك إجراء أي من التغييرات التالية:

   • تحديد مفتاح مختلف من نفس مخزن المفاتيح. ستحتاج إلى تحديد مخزن مفاتيح قبل تحديد المفتاح والإصدار.

   • تحديد مخزن مفاتيح مختلف وتعيين مفتاح جديد.

   • تغيير إصدار المفتاح الحالي.

   عند الانتهاء من التغييرات التي تجريها، اختر تحديد.

   

4. حدد حفظ.

   

هام

يجب تمكين الأذونات GetUnwrapKeyو و WrapKey على المفتاح. لتعيين الأذونات في Azure CLI، راجع az keyvault set-policy.

تغيير الهوية

لتغيير الهوية المستخدمة لإدارة الوصول إلى المفتاح المدار من قبل العميل لهذا الطلب، اتبع الخطوات التالية:

1. في شاشة نظرة عامة لطلب Data Box المكتمل، انتقل إلى الإعدادات>تشفير.

2. قم بإجراء أي من التغييرات التالية:

   • للتغيير إلى هوية مستخدم أخرى، انقر فوق تحديد هوية مستخدم مختلفة. ثم حدد هوية مختلفة في اللوحة الموجودة على الجانب الأيمن من الشاشة، واختر تحديد.

     

   • للتبديل إلى الهوية المعيّنة من قِبل النظام التي تم إنشاؤها أثناء إنشاء الطلب، حدد تعيين بواسطة النظام من نوع تحديد الهوية.

     

3. حدد حفظ.

   

استخدام المفتاح المدار من قِبل Microsoft

للتغيير من استخدام مفتاح مُدار من قِبل العميل إلى المفتاح المُدار من قِبل Microsoft لطلبك، اتبع الخطوات التالية:

1. في شاشة نظرة عامة لطلب Data Box المكتمل، انتقل إلى الإعدادات>تشفير.

2. من تحديد النوع، حدد مفتاح مُدار من قِبل Microsoft.

   

3. حدد حفظ.

   

استكشاف الأخطاء وإصلاحها

إذا تلقيت أي أخطاء تتعلق بالمفتاح المُدار من قِبل العميل، استخدم الجدول التالي لاستكشاف الأخطاء وإصلاحها.

رمز الخطأ	تفاصيل الخطأ	هل يمكن الاسترداد؟
SsemUserErrorEncryptionKeyDisabled	تعذر إحضار مفتاح المرور حيث تم تعطيل المفتاح المدار من قبل العميل.	نعم، من خلال تمكين إصدار المفتاح.
SsemUserErrorEncryptionKeyExpired	تعذر إحضار مفتاح المرور حيث انتهت صلاحية المفتاح المدار من قبل العميل.	نعم، من خلال تمكين إصدار المفتاح.
SsemUserErrorKeyDetailsNotFound	تعذر إحضار مفتاح المرور حيث تعذر العثور على المفتاح المدار من قبل العميل.	إذا قمت بحذف مخزن المفاتيح، فلن تتمكن من استرداد المفتاح المُدار من قِبل العميل. إذا قمت بترحيل مخزن المفاتيح إلى مستأجر آخر، فراجع تغيير معرّف مستأجر مخزن المفاتيح بعد نقل الاشتراك. إذا قمت بحذف مخزن المفاتيح: نعم، إذا كان ضمن فترة الحماية من الإزالة، وذلك باستخدام الخطوات الواردة في استرداد مخزن المفاتيح. لا، إذا كان ذلك بعد فترة الحماية من الإزالة. وإلا إذا كان مخزن المفاتيح قد خضع لترحيل مستأجر، نعم، يمكن استرداده باستخدام إحدى الخطوات التالية: إعادة مستأجر المفاتيح إلى المستأجر القديم مرة أخرى. تعيين Identity = None ثم تعيين القيمة مرة أخرى إلى Identity = SystemAssigned. يؤدي ذلك إلى حذف الهوية وإعادة إنشائها بمجرد إنشاء الهوية الجديدة. تمكين أذونات Get، وWrapKey، وUnwrapKey إلى الهوية الجديدة في نهج "الوصول" لمخزن المفاتيح.
SsemUserErrorKeyVaultBadRequestException	تم تطبيق مفتاح مدار من قبل العميل ولكن لم يتم منح الوصول إلى المفتاح أو تم إبطاله، أو تعذر الوصول إلى مخزن المفاتيح بسبب تمكين جدار الحماية.	أضف الهوية المحددة إلى مخزن المفاتيح لتمكين الوصول إلى المفتاح المدار من قبل العميل. إذا تم تمكين جدار الحماية لمخزن المفاتيح، فانتقل إلى هوية معينة من قبل النظام ثم أضف مفتاحا يديره العميل. لمزيد من المعلومات، راجع كيفية تمكين المفتاح.
SsemUserErrorKeyVaultDetailsNotFound	تعذر إحضار مفتاح المرور حيث تعذر العثور على مخزن المفاتيح المقترن بالمفتاح المدار من قبل العميل.	إذا قمت بحذف مخزن المفاتيح، فلن تتمكن من استرداد المفتاح المُدار من قِبل العميل. إذا قمت بترحيل مخزن المفاتيح إلى مستأجر آخر، فراجع تغيير معرّف مستأجر مخزن المفاتيح بعد نقل الاشتراك. إذا قمت بحذف مخزن المفاتيح: نعم، إذا كان ضمن فترة الحماية من الإزالة، وذلك باستخدام الخطوات الواردة في استرداد مخزن المفاتيح. لا، إذا كان ذلك بعد فترة الحماية من الإزالة. وإلا إذا كان مخزن المفاتيح قد خضع لترحيل مستأجر، نعم، يمكن استرداده باستخدام إحدى الخطوات التالية: إعادة مستأجر المفاتيح إلى المستأجر القديم مرة أخرى. تعيين Identity = None ثم تعيين القيمة مرة أخرى إلى Identity = SystemAssigned. يؤدي ذلك إلى حذف الهوية وإعادة إنشائها بمجرد إنشاء الهوية الجديدة. تمكين أذونات Get، وWrapKey، وUnwrapKey إلى الهوية الجديدة في نهج "الوصول" لمخزن المفاتيح.
SsemUserErrorSystemAssignedIdentityAbsent	تعذر إحضار مفتاح المرور حيث تعذر العثور على المفتاح المدار من قبل العميل.	نعم، تحقق مما إذا كان: مخزن المفاتيح لا يزال يحتوي على MSI في نهج الوصول. نوع الهوية هو "معيّن بواسطة النظام". تمكين Getالأذونات WrapKeyو و UnwrapKey للهوية في نهج الوصول إلى key vault. يجب أن تظل هذه الأذونات طوال مدة الطلب. يتم استخدامها أثناء إنشاء الطلب وفي بداية مرحلة نسخ البيانات.
SsemUserErrorUserAssignedLimitReached	فشلت عملية إضافة هوية معيّنة بواسطة المستخدم جديدة حيث وصلت إلى الحد الأقصى لإجمالي عدد الهويات المعيّنة بواسطة المستخدم التي يمكن إضافتها.	أعد محاولة العملية باستخدام هويات مستخدم أقل، أو قم بإزالة بعض الهويات المعينة من قبل المستخدم من المورد قبل إعادة المحاولة.
SsemUserErrorCrossTenantIdentityAccessForbidden	فشلت عملية الوصول إلى الهوية المُدارة. ملاحظة: يمكن أن يحدث هذا الخطأ عند نقل اشتراك إلى مستأجر مختلف. يجب على العميل نقل الهوية يدويا إلى المستأجر الجديد.	حاول إضافة هوية مختلفة يعينها المستخدم إلى مخزن المفاتيح لتمكين الوصول إلى المفتاح المدار من قبل العميل. أو انقل الهوية إلى المستأجر الجديد الذي يوجد بموجبه الاشتراك. لمزيد من المعلومات، راجع كيفية تمكين المفتاح.
SsemUserErrorKekUserIdentityNotFound	تم تطبيق مفتاح مدار من قبل العميل ولكن لم يتم العثور على الهوية المعينة للمستخدم التي لديها حق الوصول إلى المفتاح في الدليل النشط. ملاحظة: يمكن أن يحدث هذا الخطأ عند حذف هوية مستخدم من Azure.	حاول إضافة هوية مختلفة يعينها المستخدم إلى مخزن المفاتيح لتمكين الوصول إلى المفتاح المدار من قبل العميل. لمزيد من المعلومات، راجع كيفية تمكين المفتاح.
SsemUserErrorUserAssignedIdentityAbsent	تعذر إحضار مفتاح المرور حيث تعذر العثور على المفتاح المدار من قبل العميل.	تعذر الوصول إلى المفتاح المدار من قبل العميل. إما أنه تم حذف الهوية المعيّنة بواسطة المستخدم (UAI) والمقترنة بالمفتاح أو تم تغيير نوع UAI.
SsemUserErrorKeyVaultBadRequestException	تم تطبيق مفتاح مدار من قبل العميل، ولكن لم يتم منح الوصول إلى المفتاح أو تم إلغاؤه، أو تعذر الوصول إلى مخزن المفاتيح بسبب تمكين جدار الحماية.	أضف الهوية المحددة إلى مخزن المفاتيح لتمكين الوصول إلى المفتاح المدار من قبل العميل. إذا كان مخزن المفاتيح يحتوي على جدار حماية ممكن، قم بالتبديل إلى هوية معينة من قبل النظام ثم أضف مفتاحا يديره العميل. لمزيد من المعلومات، راجع كيفية تمكين المفتاح.
SsemUserErrorEncryptionKeyTypeNotSupported	نوع مفتاح التشفير غير مدعوم للعملية.	تمكين نوع تشفير مدعوم على المفتاح - على سبيل المثال، RSA أو RSA-HSM. لمزيد من المعلومات، راجع أنواع المفاتيح والخوارزميات والعمليات.
SsemUserErrorSoftDeleteAndPurgeProtectionNotEnabled	لا يحتوي Key vault على تمكين الحماية من الحذف المبدئي أو الإزالة.	تأكد من تمكين كل من الحماية من الحذف المبدئي والمسح على مخزن المفاتيح.
SsemUserErrorInvalidKeyVaultUrl (سطر الأوامر فقط)	تم استخدام URI مخزن مفاتيح غير صالح.	احصل على عنوان URI الصحيح لمخزن المفاتيح. للحصول على URI لمخزن المفاتيح، استخدم Get-AzKeyVault في PowerShell.
SsemUserErrorKeyVaultUrlWithInvalidScheme	يتم دعم HTTPS فقط لتمرير URI لمخزن المفاتيح.	مرر URI لمخزن المفاتيح عبر HTTPS.
SsemUserErrorKeyVaultUrlInvalidHost	مضيف URI لمخزن المفاتيح ليس مضيفا مسموحا به في المنطقة الجغرافية.	في السحابة العامة، يجب أن ينتهي URI لمخزن المفاتيح ب vault.azure.net. في سحابة Azure Government، يجب أن ينتهي URI لمخزن المفاتيح ب vault.usgovcloudapi.net.
خطأ عام	تعذر إحضار مفتاح المرور.	هذا الخطأ هو خطأ عام. اتصل بدعم Microsoft لاستكشاف الخطأ وتحديد الخطوات التالية.

الخطوات التالية

• ما هو Azure Key Vault؟
• التشغيل السريع: تعيين بيانات سرية واستردادها من Azure Key Vault باستخدام مدخل Microsoft Azure