استخدام المفاتيح المُدارة من قِبل العملاء في Azure Key Vault لـ Azure Data Box
يحمي Azure Data Box مفتاح إلغاء قفل الجهاز (المعروف أيضاً باسم كلمة مرور الجهاز)، والذي يُستخدم لتأمين الجهاز، بواسطة مفتاح تشفير. بشكل افتراضي، يكون مفتاح التشفير هذا هو مفتاح Microsoft المُدار. لمزيد من التحكم، يمكنك استخدام مفتاح يديره العميل.
لا يؤثر استخدام المفتاح الذي يديره العميل على كيفية تشفير البيانات الموجودة على الجهاز. إنه يؤثر فقط على كيفية تشفير مفتاح إلغاء قفل الجهاز.
للاحتفاظ بهذا المستوى من التحكم خلال عملية الطلب، استخدم مفتاحاً مداراً من قِبل العميل عند إنشاء طلبك. لمزيد من المعلومات، راجع البرنامج التعليمي: طلب Azure Data Box.
توضح هذه المقالة كيفية تمكين مفتاح يديره العميل لطلب Data Box الموجود في مدخل Microsoft Azure. ستكتشف كيفية تغيير مخزن المفاتيح أو المفتاح أو الإصدار أو الهوية لمفتاحك الحالي المُدار من قِبل العميل، أو التبديل مرة أخرى إلى استخدام مفتاح مُدار من Microsoft.
تُستخدم هذه المقالة مع أجهزة Azure Data Box وAzure Data Box Heavy.
المتطلبات
يجب أن يفي المفتاح المُدار من قِبل العميل لطلب Data Box بالمتطلبات التالية:
- يجب إنشاء المفتاح وتخزينه في Azure Key Vault الذي يتم فيه تمكين الحذف المبدئي وعدم الإزالة. لمزيد من المعلومات، راجع ما هو Azure Key Vault؟. يمكنك إنشاء مخزن مفاتيح ومفتاح أثناء إنشاء طلبك أو تحديثه.
- يجب أن يكون المفتاح هو مفتاح RSA بحجم 2048 أو أكبر.
- يجب تمكين الأذونات
Get
UnwrapKey
و وWrapKey
للمفتاح في Azure Key Vault. يجب أن تظل الأذونات في مكانها طوال مدة الطلب. وإلا، لا يمكن الوصول إلى المفتاح المدار من قبل العميل في بداية مرحلة نسخ البيانات.
تمكين المفتاح
لتمكين مفتاح مُدار من قِبل العميل الخاص بطلب Data Box الموجود في مدخل Microsoft Azure، اتبع الخطوات التالية:
انتقل إلى شاشة نظرة عامة لطلب Data Box.
انتقل إلى Settings > Encryption، وحدد Customer managed key. ثم حدد تحديد مفتاح ومخزن المفتاح.
في شاشة تحديد مفتاح من Azure Key Vault، يتم ملء اشتراكك تلقائياً.
بالنسبة إلى مخزن المفاتيح، يمكنك تحديد مخزن مفاتيح حالي من القائمة المنسدلة أو تحديد إنشاء جديد ثم إنشاء مخزن مفاتيح جديد.
لإنشاء مخزن مفاتيح جديد، أدخل الاشتراك، ومجموعة الموارد واسم مخزن المفاتيح، ومعلومات أخرى على شاشة إنشاء مخزن مفاتيح جديد. في خيارات الاسترداد، تأكد من تمكين حذف مبدئي والحماية من الإزالة. ثم حدد مراجعة + إنشاء.
اطلع على المعلومات التي تخص key vault الخاص بك، وحدد "Create". انتظر لبضع دقائق حتى يكتمل إنشاء key vault.
في شاشة تحديد مفتاح من Azure Key Vault، يمكنك تحديد مفتاح موجود من مخزن المفاتيح أو إنشاء مفتاح جديد.
إذا كنت ترغب في إنشاء مفتاح جديد، حدد إنشاء جديد. يجب استخدام مفتاح RSA. يمكن أن يكون الحجم 2048 أو أكثر.
ادخل اسماً لمفتاحك الجديد، أقبل الافتراضات الأخرى، وحدد "Create". سيتم إعلامك عند إنشاء مفتاح في مخزن المفاتيح لديك.
بالنسبة إلى الإصدار، يمكنك تحديد إصدار مفتاح موجود من القائمة المنسدلة.
إذا كنت ترغب في إنشاء إصدار مفتاح جديد، فحدد إنشاء جديد.
اختار إعدادات لإصدار المفتاح الجديد، وحدد "Create".
عند تحديد مخزن المفاتيح، ومفتاح، وإصدار مفتاح، اختر تحديد.
تعرض إعدادات نوع التشفير مخزن المفاتيح والمفتاح الذي تختاره.
حدد نوع الهوية التي تريد استخدامها لإدارة المفتاح الذي يديره العميل لهذا المورد. يمكنك استخدام هوية تعيين بواسطة المستخدم التي تم إنشاؤها أثناء إنشاء الطلب أو اختيار هوية معيّنة من قِبل المستخدم.
إن الهوية المعيّنة من قِبل المستخدم عبارة عن مورد مستقل يمكنك استخدامه لإدارة الوصول إلى الموارد. لمزيد من المعلومات، راجع " أنواع الهويات المدارة.
لتعيين هوية مستخدم، حدد تعيين بواسطة المستخدم. ثم حدد تحديد هوية مستخدم، وحدد الهوية المُدارة التي تريد استخدامها.
لا يمكنك إنشاء هوية مستخدم جديدة هنا. لمعرفة كيفية إنشاء واحدة، راجع إنشاء، أو إدراج، أو حذف، أو تعيين دور لهوية مُدارة معينة بواسطة المستخدم باستخدام مدخل Microsoft Azure.
تظهر هوية المستخدم في إعدادات نوع التشفير.
حدد حفظ لحفظ إعدادات نوع التشفير المحدّثة.
يتم عرض عنوان URL الرئيسي ضمن نوع التشفير.
هام
يجب تمكين الأذونات Get
UnwrapKey
و و WrapKey
على المفتاح. لتعيين الأذونات في Azure CLI، راجع az keyvault set-policy.
تغيير مفتاح
لتغيير مخزن المفاتيح، والمفتاح، و/أو إصدار المفتاح للمفتاح المُدار من قِبل العميل الذي تستخدمه حالياً، اتبع الخطوات التالية:
في شاشة نظرة عامة لطلب Data Box، انتقل إلى الإعدادات>تشفير، ثم انقر فوق تغيير المفتاح.
اختر تحديد مخزن مفاتيح مختلف والمفتاح.
تعرض شاشة تحديد المفتاح من مخزن المفاتيح الاشتراك ولكن بدون مخزن مفاتيح أو مفتاح أو إصدار مفتاح. يمكنك إجراء أي من التغييرات التالية:
تحديد مفتاح مختلف من نفس مخزن المفاتيح. ستحتاج إلى تحديد مخزن مفاتيح قبل تحديد المفتاح والإصدار.
تحديد مخزن مفاتيح مختلف وتعيين مفتاح جديد.
تغيير إصدار المفتاح الحالي.
عند الانتهاء من التغييرات التي تجريها، اختر تحديد.
حدد حفظ.
هام
يجب تمكين الأذونات Get
UnwrapKey
و و WrapKey
على المفتاح. لتعيين الأذونات في Azure CLI، راجع az keyvault set-policy.
تغيير الهوية
لتغيير الهوية المستخدمة لإدارة الوصول إلى المفتاح المدار من قبل العميل لهذا الطلب، اتبع الخطوات التالية:
في شاشة نظرة عامة لطلب Data Box المكتمل، انتقل إلى الإعدادات>تشفير.
قم بإجراء أي من التغييرات التالية:
للتغيير إلى هوية مستخدم أخرى، انقر فوق تحديد هوية مستخدم مختلفة. ثم حدد هوية مختلفة في اللوحة الموجودة على الجانب الأيمن من الشاشة، واختر تحديد.
للتبديل إلى الهوية المعيّنة من قِبل النظام التي تم إنشاؤها أثناء إنشاء الطلب، حدد تعيين بواسطة النظام من نوع تحديد الهوية.
حدد حفظ.
استخدام المفتاح المدار من قِبل Microsoft
للتغيير من استخدام مفتاح مُدار من قِبل العميل إلى المفتاح المُدار من قِبل Microsoft لطلبك، اتبع الخطوات التالية:
في شاشة نظرة عامة لطلب Data Box المكتمل، انتقل إلى الإعدادات>تشفير.
من تحديد النوع، حدد مفتاح مُدار من قِبل Microsoft.
حدد حفظ.
استكشاف الأخطاء وإصلاحها
إذا تلقيت أي أخطاء تتعلق بالمفتاح المُدار من قِبل العميل، استخدم الجدول التالي لاستكشاف الأخطاء وإصلاحها.
رمز الخطأ | تفاصيل الخطأ | هل يمكن الاسترداد؟ |
---|---|---|
SsemUserErrorEncryptionKeyDisabled | تعذر إحضار مفتاح المرور حيث تم تعطيل المفتاح المدار من قبل العميل. | نعم، من خلال تمكين إصدار المفتاح. |
SsemUserErrorEncryptionKeyExpired | تعذر إحضار مفتاح المرور حيث انتهت صلاحية المفتاح المدار من قبل العميل. | نعم، من خلال تمكين إصدار المفتاح. |
SsemUserErrorKeyDetailsNotFound | تعذر إحضار مفتاح المرور حيث تعذر العثور على المفتاح المدار من قبل العميل. | إذا قمت بحذف مخزن المفاتيح، فلن تتمكن من استرداد المفتاح المُدار من قِبل العميل. إذا قمت بترحيل مخزن المفاتيح إلى مستأجر آخر، فراجع تغيير معرّف مستأجر مخزن المفاتيح بعد نقل الاشتراك. إذا قمت بحذف مخزن المفاتيح:
وإلا إذا كان مخزن المفاتيح قد خضع لترحيل مستأجر، نعم، يمكن استرداده باستخدام إحدى الخطوات التالية:
|
SsemUserErrorKeyVaultBadRequestException | تم تطبيق مفتاح مدار من قبل العميل ولكن لم يتم منح الوصول إلى المفتاح أو تم إبطاله، أو تعذر الوصول إلى مخزن المفاتيح بسبب تمكين جدار الحماية. | أضف الهوية المحددة إلى مخزن المفاتيح لتمكين الوصول إلى المفتاح المدار من قبل العميل. إذا تم تمكين جدار الحماية لمخزن المفاتيح، فانتقل إلى هوية معينة من قبل النظام ثم أضف مفتاحا يديره العميل. لمزيد من المعلومات، راجع كيفية تمكين المفتاح. |
SsemUserErrorKeyVaultDetailsNotFound | تعذر إحضار مفتاح المرور حيث تعذر العثور على مخزن المفاتيح المقترن بالمفتاح المدار من قبل العميل. | إذا قمت بحذف مخزن المفاتيح، فلن تتمكن من استرداد المفتاح المُدار من قِبل العميل. إذا قمت بترحيل مخزن المفاتيح إلى مستأجر آخر، فراجع تغيير معرّف مستأجر مخزن المفاتيح بعد نقل الاشتراك. إذا قمت بحذف مخزن المفاتيح:
وإلا إذا كان مخزن المفاتيح قد خضع لترحيل مستأجر، نعم، يمكن استرداده باستخدام إحدى الخطوات التالية:
|
SsemUserErrorSystemAssignedIdentityAbsent | تعذر إحضار مفتاح المرور حيث تعذر العثور على المفتاح المدار من قبل العميل. | نعم، تحقق مما إذا كان:
|
SsemUserErrorUserAssignedLimitReached | فشلت عملية إضافة هوية معيّنة بواسطة المستخدم جديدة حيث وصلت إلى الحد الأقصى لإجمالي عدد الهويات المعيّنة بواسطة المستخدم التي يمكن إضافتها. | أعد محاولة العملية باستخدام هويات مستخدم أقل، أو قم بإزالة بعض الهويات المعينة من قبل المستخدم من المورد قبل إعادة المحاولة. |
SsemUserErrorCrossTenantIdentityAccessForbidden | فشلت عملية الوصول إلى الهوية المُدارة. ملاحظة: يمكن أن يحدث هذا الخطأ عند نقل اشتراك إلى مستأجر مختلف. يجب على العميل نقل الهوية يدويا إلى المستأجر الجديد. |
حاول إضافة هوية مختلفة يعينها المستخدم إلى مخزن المفاتيح لتمكين الوصول إلى المفتاح المدار من قبل العميل. أو انقل الهوية إلى المستأجر الجديد الذي يوجد بموجبه الاشتراك. لمزيد من المعلومات، راجع كيفية تمكين المفتاح. |
SsemUserErrorKekUserIdentityNotFound | تم تطبيق مفتاح مدار من قبل العميل ولكن لم يتم العثور على الهوية المعينة للمستخدم التي لديها حق الوصول إلى المفتاح في الدليل النشط. ملاحظة: يمكن أن يحدث هذا الخطأ عند حذف هوية مستخدم من Azure. |
حاول إضافة هوية مختلفة يعينها المستخدم إلى مخزن المفاتيح لتمكين الوصول إلى المفتاح المدار من قبل العميل. لمزيد من المعلومات، راجع كيفية تمكين المفتاح. |
SsemUserErrorUserAssignedIdentityAbsent | تعذر إحضار مفتاح المرور حيث تعذر العثور على المفتاح المدار من قبل العميل. | تعذر الوصول إلى المفتاح المدار من قبل العميل. إما أنه تم حذف الهوية المعيّنة بواسطة المستخدم (UAI) والمقترنة بالمفتاح أو تم تغيير نوع UAI. |
SsemUserErrorKeyVaultBadRequestException | تم تطبيق مفتاح مدار من قبل العميل، ولكن لم يتم منح الوصول إلى المفتاح أو تم إلغاؤه، أو تعذر الوصول إلى مخزن المفاتيح بسبب تمكين جدار الحماية. | أضف الهوية المحددة إلى مخزن المفاتيح لتمكين الوصول إلى المفتاح المدار من قبل العميل. إذا كان مخزن المفاتيح يحتوي على جدار حماية ممكن، قم بالتبديل إلى هوية معينة من قبل النظام ثم أضف مفتاحا يديره العميل. لمزيد من المعلومات، راجع كيفية تمكين المفتاح. |
SsemUserErrorEncryptionKeyTypeNotSupported | نوع مفتاح التشفير غير مدعوم للعملية. | تمكين نوع تشفير مدعوم على المفتاح - على سبيل المثال، RSA أو RSA-HSM. لمزيد من المعلومات، راجع أنواع المفاتيح والخوارزميات والعمليات. |
SsemUserErrorSoftDeleteAndPurgeProtectionNotEnabled | لا يحتوي Key vault على تمكين الحماية من الحذف المبدئي أو الإزالة. | تأكد من تمكين كل من الحماية من الحذف المبدئي والمسح على مخزن المفاتيح. |
SsemUserErrorInvalidKeyVaultUrl (سطر الأوامر فقط) |
تم استخدام URI مخزن مفاتيح غير صالح. | احصل على عنوان URI الصحيح لمخزن المفاتيح. للحصول على URI لمخزن المفاتيح، استخدم Get-AzKeyVault في PowerShell. |
SsemUserErrorKeyVaultUrlWithInvalidScheme | يتم دعم HTTPS فقط لتمرير URI لمخزن المفاتيح. | مرر URI لمخزن المفاتيح عبر HTTPS. |
SsemUserErrorKeyVaultUrlInvalidHost | مضيف URI لمخزن المفاتيح ليس مضيفا مسموحا به في المنطقة الجغرافية. | في السحابة العامة، يجب أن ينتهي URI لمخزن المفاتيح ب vault.azure.net . في سحابة Azure Government، يجب أن ينتهي URI لمخزن المفاتيح ب vault.usgovcloudapi.net . |
خطأ عام | تعذر إحضار مفتاح المرور. | هذا الخطأ هو خطأ عام. اتصل بدعم Microsoft لاستكشاف الخطأ وتحديد الخطوات التالية. |