مشاركة عبر

استخدام المفاتيح المُدارة من قِبل العميل في Azure Key Vault لخدمة الاستيراد / التصدير

  • مقالة

يحمي Azure Import/Export مفاتيح BitLocker المستخدمة لتأمين محركات الأقراص عبر مفتاح تشفير. بشكل افتراضي، يتم تشفير مفاتيح BitLocker باستخدام مفاتيح تديرها Microsoft. للحصول على تحكم إضافي في مفاتيح التشفير، يمكنك أيضا توفير مفاتيح يديرها العميل.

يجب إنشاء المفاتيح التي يديرها العميل وتخزينها في Azure Key Vault. لمزيد من المعلومات حول Azure Key Vault، راجع ما هو Azure Key Vault؟

توضح هذه المقالة كيفية استخدام المفاتيح التي يديرها العميل مع خدمة الاستيراد/التصدير في مدخل Microsoft Azure.

المتطلبات الأساسية

قبل البدء، تأكَّد مما يلي:

  1. لقد قمت بإنشاء مهمة استيراد أو تصدير وفقا للإرشادات الواردة في:

  2. لديك Azure Key Vault موجود به مفتاح يمكنك استخدامه لحماية مفتاح BitLocker الخاص بك. لمعرفة كيفية إنشاء مخزن مفاتيح باستخدام مدخل Microsoft Azure، راجع بداية سريعة: إنشاء Azure Key Vault باستخدام مدخل Microsoft Azure .

    • يتم تعيين الحذف المبدئي وعدم التطهير على Key Vault الموجود لديك. لا يتم تمكين هذه الخصائص بشكل افتراضي. لتمكين هذه الخصائص، راجع الأقسام المعنونة تمكين الحذف المبدئي وتمكين الحماية من المسح في إحدى المقالات التالية:

    • يجب أن يحتوي مخزن المفاتيح الحالي على مفتاح RSA بحجم 2048 أو أكثر. لمزيد من المعلومات حول المفاتيح، يُرجى مراجعة نُبذة عن المفاتيح.

    • يجب أن يكون Key vault في نفس المنطقة مثل حساب التخزين لبياناتك.

    • إذا لم يكن لديك Azure Key Vault موجود، يمكنك أيضا إنشاؤه مضمنا كما هو موضح في القسم التالي.

تمكين المفاتيح

تكوين المفتاح المدار من قبل العميل لخدمة الاستيراد/التصدير اختياري. بشكل افتراضي، تستخدم خدمة الاستيراد/التصدير مفتاحا مدارا من Microsoft لحماية مفتاح BitLocker. لتمكين المفاتيح المُدارة بواسطة العميل في مدخل Microsoft Azure، اتبع هذه الخطوات.

  1. انتقل إلى جزء نظرة عامة لمهمة الاستيراد الخاصة بك.

  2. في الجزء الأيمن، حدد اختيار كيفية تشفير مفاتيح BitLocker.

    لقطة شاشة لجزء Overview لمهمة Azure Import/Export. يتم تمييز عنصر القائمة نظرة عامة والارتباط الذي يفتح خيارات مفتاح BitLocker.

  3. في جزء التشفير ، يمكنك عرض مفتاح BitLocker للجهاز ونسخه. ضمن نوع التشفير، يمكنك اختيار الطريقة التي تريد بها حماية مفتاح BitLocker. بشكل افتراضي، يتم استخدام مفتاح مدار من Microsoft.

    لقطة شاشة لشفرة التشفير لأمر Azure Import/Export. يتم تمييز عنصر قائمة التشفير.

  4. لديك خيار تحديد مفتاح مدار من قبل العميل. بعد تحديد المفتاح المدار من قبل العميل، حدد key vault ومفتاح.

    لقطة شاشة لشفرة التشفير لمهمة Azure Import/Export. يتم تحديد

  5. في جزء Select key from Azure Key Vault ، يتم ملء الاشتراك تلقائيا. بالنسبة لـ "Key vault"، يمكنك تحديد key vault حالي من القائمة المنسدلة

    لقطة شاشة لشاشة

  6. يمكنك أيضا تحديد إنشاء جديد لإنشاء مخزن مفاتيح جديد. في جزء Create key vault، أدخل مجموعة الموارد واسم key vault. اقبل جميع الإعدادات الافتراضية الأخرى. حدد "استعراض + إنشاء".

    لقطة شاشة لشاشة

  7. راجع المعلومات المقترنة بخزنة المفاتيح وحدد إنشاء. انتظر بضع دقائق حتى يكتمل إنشاء مخزن المفاتيح.

    لقطة شاشة لشاشة Review Plus Create لمخزن مفاتيح Azure جديد. يتم تمييز الزر إنشاء.

  8. في Select key from Azure Key Vault، يمكنك تحديد مفتاح في مخزن المفاتيح الموجود.

  9. إذا قمت بإنشاء مخزن مفاتيح جديد، فحدد Create new لإنشاء مفتاح. يمكن أن يكون حجم مفتاح RSA 2048 أو أكبر.

    لقطة شاشة لشاشة

    إذا لم يتم تمكين الحماية من الحذف المبدئي والإزالة عند إنشاء مخزن المفاتيح، تحديث مخزن المفاتيح لتمكين الحماية من الحذف والإزالة المبدئية.

  10. أدخل اسم المفتاح الخاص بك، واقبل الإعدادات الافتراضية الأخرى، وحدد إنشاء.

    لقطة شاشة لشاشة

  11. حدد الإصدار ثم اختر تحديد. يتم إعلامك بإنشاء مفتاح في مخزن المفاتيح الخاص بك.

    لقطة شاشة لشاشة

في جزء التشفير ، يمكنك مشاهدة مخزن المفاتيح والمفتاح المحدد للمفتاح المدار من قبل العميل.

هام

يمكنك فقط تعطيل المفاتيح المدارة من Microsoft والانتقال إلى المفاتيح المدارة من قبل العميل في أي مرحلة من مهام الاستيراد/التصدير. ومع ذلك، لا يمكنك تعطيل المفتاح المدار من قبل العميل بمجرد إنشائه.

استكشاف أخطاء المفاتيح المدارة من قبل العميل وإصلاحها

إذا تلقيت أي أخطاء تتعلق بالمفتاح المدار من قبل العميل، فاستخدم الجدول التالي لاستكشاف الأخطاء وإصلاحها:

رمز الخطأ التفاصيل هل يمكن الاسترداد؟
CmkErrorAccessRevoked يتم إبطال الوصول إلى المفتاح المدار للعميل. نعم، تحقق مما إذا كان:
  1. مخزن المفاتيح لا يزال يحتوي على MSI في نهج الوصول.
  2. تم تمكين أذونات "الحصول" و"الالتفاف" و"إلغاء الالتفاف" في نهج الوصول.
  3. إذا كان key vault في VNet خلف جدار الحماية، فتحقق مما إذا كان السماح بخدمات Microsoft الموثوق بها ممكنا.
  4. تحقق مما إذا تم إعادة تعيين MSI لمورد الوظيفة إلى None استخدام واجهات برمجة التطبيقات.
    إذا كانت الإجابة بنعم، فقم بتعيين القيمة مرة أخرى إلى Identity = SystemAssigned. يؤدي هذا إلى إعادة إنشاء هوية مورد الوظيفة.
    بمجرد إنشاء الهوية الجديدة، قم بتمكين GetWrapو وأذونات Unwrap للهوية الجديدة في نهج الوصول إلى key vault
CmkErrorKeyDisabled تم تعطيل المفتاح المدار من قبل العميل. نعم، عن طريق تمكين إصدار المفتاح
CmkErrorKeyNotFound يتعذر العثور على المفتاح المدار من قبل العميل. نعم، إذا تم حذف المفتاح ولكنه لا يزال ضمن مدة الإزالة، باستخدام التراجع عن إزالة مفتاح Key vault.
اخر
  1. نعم، إذا كان لدى العميل المفتاح نسخة احتياطية واستعادته.
  2. لا، خلاف ذلك.
CmkErrorVaultNotFound لا يمكن العثور على مخزن المفاتيح الخاص بالمفتاح المدار من قبل العميل. إذا تم حذف مخزن المفاتيح:
  1. نعم، إذا كان ضمن فترة الحماية من الإزالة، وذلك باستخدام الخطوات الواردة في استرداد مخزن المفاتيح.
  2. لا، إذا كان ذلك بعد فترة الحماية من الإزالة.

وإلا إذا تم ترحيل مخزن المفاتيح إلى مستأجر مختلف، نعم، يمكن استرداده باستخدام إحدى الخطوات التالية:
  1. إعادة مستأجر المفاتيح إلى المستأجر القديم مرة أخرى.
  2. تعيين Identity = None ثم تعيين القيمة مرة أخرى إلى Identity = SystemAssigned. يؤدي ذلك إلى حذف الهوية وإعادة إنشائها بمجرد إنشاء الهوية الجديدة. تمكين أذونات Get، وWrap، وUnwrap إلى الهوية الجديدة في نهج "الوصول" لمخزن المفاتيح.

الخطوات التالية