تكوين المفتاح المدار من قبل العميل (CMK) لتشفير البيانات في حالة السكون لمجموعة Azure DocumentDB

في هذا المقال، تتعلم كيفية تكوين المفتاح المدار من قبل العميل (CMK) لتشفير البيانات في حالة راحة في Azure DocumentDB. الخطوات في هذا الدليل هي تكوين عنقود Azure DocumentDB جديد، أو عنقود نسخ، أو مجموعة مستعادة. يستخدم إعداد CMK المفتاح المدار من قبل العميل المخزن في Azure Key Vault والهوية المدارة المعينة من قبل المستخدم.

Prerequisites

• اشتراك Azure

  • إذا لم يكن لديك اشتراك Azure، فقم بإنشاء حساب مجاني

• استخدم بيئة Bash في Azure Cloud Shell. لمزيد من المعلومات، راجع بدء استخدام Azure Cloud Shell.

  

• إذا كنت تفضل تشغيل أوامر مرجع CLI محلياً قم بتثبيت CLI Azure. إذا كنت تعمل على نظام تشغيل Windows أو macOS، ففكر في تشغيل Azure CLI في حاوية Docker. لمزيد من المعلومات، راجع كيفية تشغيل Azure CLI في حاوية Docker.

  • إذا كنت تستخدم تثبيت محلي، يُرجى تسجيل الدخول إلى Azure CLI مستخدمًا أمر az login. لإنهاء عملية المصادقة، اتبع الخطوات المعروضة في جهازك. للحصول على خيارات تسجيل الدخول الأخرى، راجع المصادقة على Azure باستخدام Azure CLI.

  • عندما يُطلب منك، قم بتثبيت ملحق Azure CLI عند الاستخدام لأول مرة. لمزيد من المعلومات حول الملحقات، راجع استخدام الملحقات وإدارتها باستخدام Azure CLI.

  • يُرجى تشغيل إصدار az للوصول إلى الإصدار والمكتبات التابعة التي تم تثبيتها. للتحديث لآخر إصدار، يُرجى تشغيل تحديث az.

إعداد الهوية المدارة المعينة من قبل المستخدم وAzure Key Vault

لتكوين تشفير المفاتيح المدارة من قبل العميل على مجموعة Azure DocumentDB الخاصة بك ل MonogDB، تحتاج إلى هوية مدارة معينة من قبل المستخدم، ومثيل Azure Key Vault، والأمنات مضبوطة بشكل صحيح.

Important

يجب أن تكون هوية الإدارة المعينة من قبل المستخدم ومثيل Azure Key Vault المستخدم لتكوين CMK في نفس منطقة Azure التي يستضيف فيها عنقود Azure DocumentDB وجميعها تنتمي إلى نفس المستأجر من مايكروسوفت.

استخدام المدخل الخاص بـ Microsoft Azure:

1. قم بإنشاء هوية مدارة واحدة معينة من قبل المستخدم في منطقة نظام المجموعة، إذا لم يكن لديك هوية حتى الآن.

2. قم بإنشاء Azure Key Vault واحد في منطقة نظام المجموعة، إذا لم يكن لديك مخزن مفاتيح واحد تم إنشاؤه بعد. تأكد من تلبية المتطلبات. أيضا، اتبع التوصيات قبل تكوين مخزن المفاتيح، وقبل إنشاء المفتاح وتعيين الأذونات المطلوبة للهوية المدارة المعينة من قبل المستخدم.

3. إنشاء مفتاح واحد في مخزن المفاتيح الخاص بك.

4. امنح أذونات الهوية المدارة المعينة من قبل المستخدم لمثيل Azure Key Vault كما هو موضح في المتطلبات.

تكوين تشفير البيانات باستخدام المفتاح المدار من قبل العميل أثناء توفير نظام المجموعة

Portal

1. أثناء إعداد مجموعة جديدة من Azure DocumentDB، يتم تكوين مفاتيح تديرها الخدمة أو المدارة من قبل العملاء لتشفير بيانات العنقود في تبويب التشفير . اختر المفتاح المدار من قبل العميللتشفير البيانات.

   

2. في قسم الهوية المدارة المعينة من قبل المستخدم ، حدد تغيير الهوية.

   

3. في قائمة الهويات المدارة المعينة من قبل المستخدم، حدد الهويات التي تريد أن تستخدمها نظام المجموعة للوصول إلى مفتاح تشفير البيانات المخزن في Azure Key Vault.

   

4. حدد إضافة.

   

5. في طريقة تحديد المفتاح، اختر تحديد مفتاح .

6. في قسم المفتاح ، حدد تغيير المفتاح .

   

7. في جزء تحديد مفتاح ، حدد Azure Key Vault في Key vault ومفتاح التشفير في المفتاح، وقم بتأكيد اختياراتك عن طريق تحديد تحديد.

   

   Important

   يجب أن يكون مثيل Azure Key Vault المختار في نفس منطقة Azure التي سيتم استضافة عنقود Azure DocumentDB فيها.

8. قم بتأكيد الهوية المدارة المعينة من قبل المستخدم ومفتاح التشفير في علامة التبويب التشفير وحدد مراجعة + إنشاء لإنشاء نظام مجموعة.

   

واجهات برمجة تطبيقات REST

يمكنك تمكين تشفير البيانات باستخدام مفتاح التشفير المعين من قبل المستخدم، أثناء توفير مجموعة جديدة، عبر أمر az rest .

1. قم بإنشاء ملف JSON بالمحتوى التالي. استبدل العناصر النائبة التي تبدأ بالتوقيع $ بالقيم الفعلية واحفظ الملف.

   {
       "identity": {
           "type": "UserAssigned",
           "userAssignedIdentities": {
             "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName": {}
           }
         },
     "location": "$regionName",
         "properties": {
           "administrator": {
             "userName": "$adminName",
             "password": "$complexPassword"
           },
           "serverVersion": "8.0",
           "storage": {
             "sizeGb": 32
           },
           "compute": {
             "tier": "M40"
           },
           "sharding": {
             "shardCount": 1
           },
           "highAvailability": {
             "targetMode": "ZoneRedundantPreferred"
           },
         "encryption": {
             "customerManagedKeyEncryption": {
               "keyEncryptionKeyIdentity": {
                 "identityType": "UserAssignedIdentity",
                 "userAssignedIdentityResourceId": "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName"
               },
               "keyEncryptionKeyUrl": "$encryptionKeyUrl"
             }
           }
         }
   }
   

   إشعار

   keyEncryptionKeyUrl يجب أن يحتوي على اسم المفتاح ولكن يجب ألا يحتوي على إصدار مفتاح معين.

2. شغل أمر Azure CLI التالي لإجراء استدعاء REST API لإنشاء عنقود Azure DocumentDB. استبدل العناصر النائبة في قسم المتغيرات واسم الملف للمعلمة --body في az rest سطر الأوامر بالقيم الفعلية.

   # Define your variables
   $randomIdentifier = (New-Guid).ToString().Substring(0,8)
   $subscriptionId="00000000-0000-0000-0000-000000000000"
   $resourceGroup="DocumentDB"
   $mongoClustersName="msdocscr$randomIdentifier"
   
   # Execute the az rest command to make REST API call
   az rest --method "PUT" --url https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DocumentDB/mongoClusters/${mongoClustersName}?api-version=2025-09-01 --body  @jsonFileFromThePreviousStep.json
   

تحديث إعدادات تشفير البيانات على نظام المجموعة مع تمكين CMK

بالنسبة للمجموعات الموجودة التي تم نشرها باستخدام تشفير البيانات باستخدام مفتاح مدار من قبل العميل، يمكنك إجراء العديد من تغييرات التكوين. يمكنك تغيير مخزن المفاتيح حيث يتم تخزين مفتاح التشفير ومفتاح التشفير المستخدم كمفتاح مدار من قبل العميل. يمكنك أيضا تغيير الهوية المدارة المعينة من قبل المستخدم التي تستخدمها الخدمة للوصول إلى مفتاح التشفير المحفوظ في مخزن المفاتيح.

Portal

1. في الشريط الجانبي لنظام المجموعة، ضمن الإعدادات، حدد تشفير البيانات.

2. في قسم الهوية المدارة المعينة من قبل المستخدم ، حدد تغيير الهوية.

   

3. في قائمة الهويات المدارة المعينة من قبل المستخدم، حدد الهويات التي تريد أن تستخدمها نظام المجموعة للوصول إلى مفتاح تشفير البيانات المخزن في Azure Key Vault.

   

4. حدد إضافة.

5. في طريقة تحديد المفتاح، اختر تحديد مفتاح .

6. في المفتاح، اختر مفتاح التغيير.

   

7. في جزء تحديد مفتاح ، حدد Azure Key Vault في Key vault ومفتاح التشفير في المفتاح، وقم بتأكيد اختياراتك عن طريق تحديد تحديد.

   

   Important

   يجب أن يكون مثيل Azure Key Vault المختار في نفس منطقة Azure التي يستضيف فيها عنقود Azure DocumentDB.

8. قم بتأكيد الهوية المدارة المحددة ومفتاح التشفير المعين من قبل المستخدم في صفحة تشفير البيانات وحدد حفظ لتأكيد تحديداتك وإنشاء مجموعة النسخ المتماثلة.

   

واجهات برمجة تطبيقات REST

يمكنك تغيير الهوية المدارة المعينة من قبل المستخدم ومفتاح التشفير لتشفير البيانات على مجموعة موجودة عبر استدعاء واجهة برمجة تطبيقات REST.

1. قم بإنشاء ملف JSON بالمحتوى التالي. استبدل العناصر النائبة التي تبدأ بالتوقيع $ بالقيم الفعلية واحفظ الملف.

   {
       "identity": {
           "type": "UserAssigned",
           "userAssignedIdentities": {
             "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName": {}
           }
         },
     "location": "$regionName",
         "properties": {
           "encryption": {
             "customerManagedKeyEncryption": {
               "keyEncryptionKeyIdentity": {
                 "identityType": "UserAssignedIdentity",
                 "userAssignedIdentityResourceId": "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName"
               },
               "keyEncryptionKeyUrl": "$encryptionKeyUrl"
             }
           }
         }
   }
   

   إشعار

   keyEncryptionKeyUrl يجب أن يحتوي على اسم المفتاح ولكن يجب ألا يحتوي على إصدار مفتاح معين.

2. شغل أمر Azure CLI التالي لإجراء استدعاء REST API لإنشاء عنقود Azure DocumentDB. استبدل العناصر النائبة في قسم المتغيرات واسم الملف للمعلمة --body في az rest سطر الأوامر بالقيم الفعلية.

   # Define your variables
   $subscriptionId="00000000-0000-0000-0000-000000000000"
   $resourceGroup="resourceGroupName"
   $mongoClustersName="clusterName"
   
   # Execute the az rest command to make REST API call
   az rest --method "PUT" --url https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DocumentDB/mongoClusters/${mongoClustersName}?api-version=2025-09-01 --body  @jsonFileFromThePreviousStep.json
   

سواء كنت ترغب فقط في تغيير الهوية المدارة المعينة من قبل المستخدم المستخدمة للوصول إلى المفتاح، أو كنت تريد تغيير المفتاح المستخدم لتشفير البيانات فقط، أو تريد تغيير كليهما في نفس الوقت، فأنت مطالب بتوفير جميع المعلمات المدرجة في ملف JSON.

إذا لم يكن المفتاح أو الهوية المدارة المحددة من قبل المستخدم موجودة، فستظهر لك الخطأ.

الهويات التي تمرر كمعلمات، إذا كانت موجودة وصحيحة، تضاف تلقائيا إلى قائمة الهويات المدارة المعينة من قبل المستخدم المرتبطة بمجموعة Azure DocumentDB الخاصة بك. هذا هو الحال حتى إذا فشل الأمر لاحقا مع وجود خطأ آخر.

تغيير وضع تشفير البيانات على المجموعات الموجودة

النقطة الوحيدة التي يمكنك عندها تحديد ما إذا كنت تريد استخدام مفتاح مدار من قبل الخدمة أو مفتاح مدار من قبل العميل (CMK) لتشفير البيانات، هي في وقت إنشاء نظام المجموعة. بمجرد اتخاذ هذا القرار وإنشاء نظام المجموعة، لا يمكنك التبديل بين الخيارين. لإنشاء نسخة من عنقود Azure DocumentDB الخاص بك مع خيار تشفير مختلف، يمكنك إما إنشاء مجموعة نسخ أو إجراء استعادة للعنقود واختيار وضع التشفير الجديد أثناء إنشاء العنقود أو إنشاء العنقود المستعاد.

تمكين تشفير بيانات المفتاح المدار من قبل العميل (CMK) أو تعطيله أثناء إنشاء نظام مجموعة النسخ المتماثلة

اتبع هذه الخطوات لإنشاء نظام مجموعة نسخة متماثلة باستخدام تشفير بيانات CMK أو SMK لتمكين CMK أو تعطيله على نظام مجموعة نسخة متماثلة.

Portal

1. على الشريط الجانبي لنظام المجموعة، ضمن Settings، حدد Global distribution.

2. حدد إضافة نسخة متماثلة جديدة للقراءة.

   

3. قم بتوفير اسم نظام مجموعة نسخة متماثلة في حقل قراءة اسم النسخة المتماثلة .

4. حدد منطقة في منطقة قراءة النسخة المتماثلة. تتم استضافة مجموعة النسخ المتماثلة في منطقة Azure المحددة.

   إشعار

   يتم دائما إنشاء نظام مجموعة النسخ المتماثلة في نفس اشتراك Azure ومجموعة الموارد مثل نظام المجموعة الأساسي (القراءة والكتابة).

   

5. في قسم تشفير البيانات ، حدد المفتاح المدار من قبل العميل لتمكين CMK أو المفتاح المدار بواسطة الخدمة لتعطيل CMK على مجموعة النسخ المتماثلة.

   

6. في قسم الهوية المدارة المعينة من قبل المستخدم ، حدد تغيير الهوية.

   

7. في قائمة الهويات المدارة المعينة من قبل المستخدم، حدد الهويات التي تريد أن تستخدمها نظام المجموعة للوصول إلى مفتاح تشفير البيانات المخزن في Azure Key Vault.

   

8. حدد إضافة.

9. في طريقة تحديد المفتاح، اختر تحديد مفتاح .

10. في المفتاح، اختر مفتاح التغيير.

    

11. في جزء تحديد مفتاح ، حدد Azure Key Vault في Key vault ومفتاح التشفير في المفتاح، وقم بتأكيد اختياراتك عن طريق تحديد تحديد.

    

12. قم بتأكيد الهوية المدارة المحددة من قبل المستخدم ومفتاح التشفير في صفحة التوزيع العمومي وحدد حفظ لتأكيد تحديداتك وإنشاء نظام مجموعة النسخ المتماثل.

    

واجهات برمجة تطبيقات REST

لإنشاء نظام مجموعة نسخة متماثلة مع تمكين CMK في نفس المنطقة، اتبع الخطوات التالية.

1. قم بإنشاء ملف JSON بالمحتوى التالي. استبدل العناصر النائبة التي تبدأ بالتوقيع $ بالقيم الفعلية واحفظ الملف.

   {
           "identity": {
               "type": "UserAssigned",
               "userAssignedIdentities": {
                 "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName": {}
               }
             },
         "location": "$targetRegionName",
             "properties": {
             	"createMode": "GeoReplica",
                   "replicaParameters": {
                     "sourceResourceId": "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DocumentDB/mongoClusters/$sourceClusterName",
                     "sourceLocation": "sourceRegionName"
                   },
                   "encryption": {
                     "customerManagedKeyEncryption": {
                       "keyEncryptionKeyIdentity": {
                         "identityType": "UserAssignedIdentity",
                         "userAssignedIdentityResourceId": "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName"
                       },
                       "keyEncryptionKeyUrl": "$encryptionKeyUrl"
                     }
                   }
             }
       }
   

   إشعار

   keyEncryptionKeyUrl يجب أن يحتوي على اسم المفتاح ولكن يجب ألا يحتوي على إصدار مفتاح معين.

2. شغل أمر Azure CLI التالي لإجراء استدعاء REST API لإنشاء عنقود Azure DocumentDB. استبدل العناصر النائبة في قسم المتغيرات واسم الملف للمعلمة --body في az rest سطر الأوامر بالقيم الفعلية.

   # Define your variables
   $subscriptionId="00000000-0000-0000-0000-000000000000"
   $resourceGroup="resourceGroupName"
   $mongoClustersName="clusterName"
   
   # Execute the az rest command to make REST API call
   az rest --method "PUT" --url https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DocumentDB/mongoClusters/${mongoClustersName}?api-version=2025-09-01 --body  @jsonFileFromThePreviousStep.json
   

تمكين تشفير بيانات المفتاح المدار من قبل العميل (CMK) أو تعطيله أثناء استعادة نظام المجموعة

تنشئ عملية الاستعادة مجموعة جديدة بنفس التكوين في نفس منطقة Azure والاشتراك ومجموعة الموارد مثل الأصل. اتبع هذه الخطوات لإنشاء نظام مجموعة مستعاد مع تمكين CMK أو SMK.

Portal

1. اختر مجموعة Azure DocumentDB موجودة.

2. في الشريط الجانبي لنظام المجموعة، ضمن الإعدادات، حدد استعادة نقطة في الوقت.

3. حدد تاريخا وقدم وقتا (بالمنطقة الزمنية UTC) في حقلي التاريخ والوقت.

   

4. أدخل اسم نظام مجموعة في حقل استعادة اسم نظام المجموعة الهدف .

   

5. أدخل اسم مسؤول نظام المجموعة لنظام المجموعة المستعاد في حقل اسم مستخدم المسؤول .

6. أدخل كلمة مرور لدور المسؤول في حقلي كلمة المروروتأكيد كلمة المرور .

   

7. في قسم تشفير البيانات ، حدد المفتاح المدار من قبل العميل لتمكين CMK. إذا كنت بحاجة إلى تعطيل CMK على نظام المجموعة المستعادة، فحدد المفتاح المدار بواسطة الخدمة.

   

8. في قسم الهوية المدارة المعينة من قبل المستخدم ، حدد تغيير الهوية.

   

9. في قائمة الهويات المدارة المعينة من قبل المستخدم، حدد الهويات التي تريد أن تستخدمها نظام المجموعة للوصول إلى مفتاح تشفير البيانات المخزن في Azure Key Vault.

   

10. حدد إضافة.

11. في طريقة تحديد المفتاح، اختر تحديد مفتاح .

12. في المفتاح، اختر مفتاح التغيير.

    

13. في جزء تحديد مفتاح ، حدد Azure Key Vault في Key vault ومفتاح التشفير في المفتاح، وقم بتأكيد اختياراتك عن طريق تحديد تحديد.

    

14. حدد إرسال لبدء استعادة نظام المجموعة.

واجهات برمجة تطبيقات REST

لاستعادة نظام مجموعة مع تمكين CMK، اتبع الخطوات التالية.

1. قم بإنشاء ملف JSON بالمحتوى التالي. استبدل العناصر النائبة التي تبدأ بالتوقيع $ بالقيم الفعلية واحفظ الملف.

   {
       "identity": {
           "type": "UserAssigned",
           "userAssignedIdentities": {
             "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName": {}
           }
         },
     "location": "$regionName",
         "properties": {
               "administrator": {
                 "userName": "$adminName"
               },
         	"createMode": "PointInTimeRestore",
               "restoreParameters": {
                 "pointInTimeUTC": "yyyy-mm-ddThh:mm:ssZ",
                 "sourceResourceId": "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DocumentDB/mongoClusters/$restoredClusterName"
               },
               "encryption": {
                 "customerManagedKeyEncryption": {
                   "keyEncryptionKeyIdentity": {
                     "identityType": "UserAssignedIdentity",
                     "userAssignedIdentityResourceId": "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName"
                   },
                   "keyEncryptionKeyUrl": "$encryptionKeyUrl"
                 }
               }
         }
   }
   

   إشعار

   keyEncryptionKeyUrl يجب أن يحتوي على اسم المفتاح ولكن يجب ألا يحتوي على إصدار مفتاح معين.

2. شغل أمر Azure CLI التالي لإجراء استدعاء REST API لإنشاء عنقود Azure DocumentDB. استبدل العناصر النائبة في قسم المتغيرات واسم الملف للمعلمة --body في az rest سطر الأوامر بالقيم الفعلية.

   # Define your variables
   $subscriptionId="00000000-0000-0000-0000-000000000000"
   $resourceGroup="resourceGroupName"
   $mongoClustersName="clusterName"
   
   # Execute the az rest command to make REST API call
   az rest --method "PUT" --url https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DocumentDB/mongoClusters/${mongoClustersName}?api-version=2025-09-01 --body  @jsonFileFromThePreviousStep.json
   

بمجرد إنشاء نظام المجموعة المستعادة، راجع قائمة مهام ما بعد الاستعادة.

محتوى ذو صلة

• تعلم حول تشفير البيانات في حالة راحة في Azure DocumentDB
• أستكشاف أخطاء إعداد CMK وإصلاحها
• تحقق من قيود CMK
• Migrate data to Azure DocumentDB