النسخ الاحتياطي الكامل والاستعادة واستعادة المفتاح الانتقائي
إشعار
هذه الميزة متاحة فقط لنوع المورد HSM المُدار.
يدعم HSM المُدار إنشاء نسخة احتياطية كاملة لمحتويات HSM بالكامل بما في ذلك جميع المفاتيح والإصدارات والسمات والعلامات وتخصيصات الأدوار. يتم تشفير النسخة الاحتياطية بمفاتيح تشفير مرتبطة بمجال أمان HSM.
النسخ الاحتياطي هو عملية مستوى البيانات. يجب أن يحصل المتصل الذي يبدأ عملية النسخ الاحتياطي على إذن لتنفيذ Microsoft.KeyVault/managedHsm/backup/start/action.
الأدوار المضمنة التالية فقط لديها إذن لإجراء نسخ احتياطي كامل:
- مسؤول HSM المُدار
- النسخ الاحتياطي لوحدة أمان الأجهزة المُدارة
هناك طريقتان لتنفيذ النسخ الاحتياطي/الاستعادة الكاملة:
- تعيين هوية مدارة معينة من قبل المستخدم (UAMI) لخدمة HSM المدارة. يمكنك إجراء نسخ احتياطي واستعادة MHSM باستخدام هوية مدارة معينة من قبل المستخدم بغض النظر عما إذا كان حساب التخزين الخاص بك لديه وصول عام إلى الشبكة أو تمكين الوصول إلى الشبكة الخاصة. إذا كان حساب التخزين خلف نقطة نهاية خاصة، فإن أسلوب UAMI يعمل مع تجاوز الخدمة الموثوق به للسماح بالنسخ الاحتياطي والاستعادة.
- استخدام رمز SAS المميز لحاوية التخزين مع أذونات 'crdw'. يتطلب النسخ الاحتياطي والاستعادة باستخدام رمز SAS المميز لحاوية التخزين تمكين الوصول إلى الشبكة العامة لحساب التخزين الخاص بك.
يجب توفير المعلومات التالية لتنفيذ نسخة احتياطية كاملة:
- اسم HSM أو عنوان URL
- Storage account name
- إنشاء حاوية الكائن الثنائي كبير الحجم لحساب التخزين
- الهوية المدارة المعينة من قبل المستخدم أو رمز SAS المميز لحاوية التخزين مع أذونات 'crdw'
Azure Cloud Shell
Azure يستضيف Azure Cloud Shell، بيئة تفاعلية يمكن استخدامها من خلال المستعرض. يمكنك استخدام Bash أو PowerShell مع Cloud Shell للعمل مع خدمات Azure. يمكنك استخدام أوامر Cloud Shell المثبتة مسبقًا لتشغيل التعليمات البرمجية في هذه المقالة دون الحاجة إلى تثبيت أي شيء على البيئة المحلية.
لبدء Azure Cloud Shell:
| خيار | مثال/ رابط |
|---|---|
| انقر فوق جربه في الزاوية العلوية اليسرى من التعليمة البرمجية أو كتلة الأمر. تحديد جربه لا يقوم بنسخ التعليمة البرمجية أو الأمر تلقائيًا إلى Cloud Shell. |  |
| انتقل إلى https://shell.azure.com، أو حدد زر تشغيل Cloud Shell لفتح Cloud Shell في المتصفح لديك. |  |
| حدد زر Cloud Shell على شريط القوائم في أعلى اليمين في مدخل Microsoft Azure. |  |
لاستخدام Azure Cloud Shell:
ابدأ تشغيل Cloud Shell.
حدد الزر نسخ على كتلة التعليمات البرمجية (أو كتلة الأوامر) لنسخ التعليمات البرمجية أو الأمر.
ألصق التعليمة البرمجية أو الأمر في جلسة Cloud Shell بتحديد Ctrl+Shift+Vعلى Windows وLunix، أو بتحديد Cmd+Shift+Vعلى macOS.
حدد Enter لتشغيل التعليمات البرمجية أو الأمر.
المتطلبات الأساسية إذا كان النسخ الاحتياطي والاستعادة باستخدام الهوية المدارة المعينة من قبل المستخدم:
- تأكد من أن لديك الإصدار 2.56.0 من Azure CLI أو أحدث. قم بتشغيل
az --versionللعثور على الإصدار. إذا كنت بحاجة إلى التثبيت أو الترقية، فراجع تثبيت Azure CLI. - إنشاء هوية مُدارة يعينها المستخدم.
- إنشاء حساب تخزين (أو استخدام حساب تخزين موجود).
- إذا تم تعطيل الوصول إلى الشبكة العامة على حساب التخزين الخاص بك، فمكن تجاوز الخدمة الموثوق بها على حساب التخزين في علامة التبويب "Networking"، ضمن "Exceptions".
- قم بتوفير الوصول إلى دور "مساهم بيانات كائن ثنائي كبير الحجم للتخزين" إلى الهوية المدارة المعينة للمستخدم التي تم إنشاؤها في الخطوة رقم 2 عن طريق الانتقال إلى علامة التبويب "التحكم في الوصول" على المدخل -> إضافة تعيين الدور. ثم حدد "الهوية المدارة" وحدد الهوية المدارة التي تم إنشاؤها في الخطوة #2 -> مراجعة + تعيين
- إنشاء HSM المدارة وربط الهوية المدارة بالأمر أدناه.
az keyvault create --hsm-name mhsmdemo2 –l mhsmlocation -- retention-days 7 --administrators "initialadmin" --mi-user-assigned "/subscriptions/subid/resourcegroups/mhsmrgname/providers/Microsoft.ManagedIdentity/userAssignedIdentities/userassignedidentitynamefromstep2"
إذا كان لديك HSM مدار موجود، فربط الهوية المدارة عن طريق تحديث MHSM بالأمر أدناه.
az keyvault update-hsm --hsm-name mhsmdemo2 --mi-user-assigned "/subscriptions/subid/resourcegroups/mhsmrgname/providers/Microsoft.ManagedIdentity/userAssignedIdentities/userassignedidentitynamefromstep2"
نسخة احتياطية كاملة
النسخ الاحتياطي هو عملية طويلة الأمد ولكن على الفور إرجاع معرف الوظيفة. يمكنك التحقق من حالة عملية النسخ الاحتياطي باستخدام معرف الوظيفة هذا. تنشئ عملية النسخ الاحتياطي مجلداً داخل الحاوية المخصصة بنمط التسمية التالي mhsm-{HSM_NAME}-{YYYY}{MM}{DD}{HH}{mm}{SS}، حيث HSM_NAME هو اسم HSM المُدار الذي يتم نسخه احتياطياً وYYYY, MM, DD, HH, MM, mm, SS هي السنة والشهر والتاريخ والساعة والدقائق والثواني من التاريخ / الوقت بالتوقيت العالمي المنسق عند استلام أمر النسخ الاحتياطي.
أثناء عمل النسخ الاحتياطي، قد لا يعمل HSM بمعدل نقل كامل لأن بعض أقسام HSM ستكون مشغولة في تنفيذ عملية النسخ الاحتياطي.
النسخ الاحتياطي ل HSM باستخدام الهوية المدارة المعينة من قبل المستخدم
az keyvault backup start --use-managed-identity true --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer
النسخ الاحتياطي ل HSM باستخدام رمز SAS المميز
# time for 500 minutes later for SAS token expiry
end=$(date -u -d "500 minutes" '+%Y-%m-%dT%H:%MZ')
# Get storage account key
skey=$(az storage account keys list --query '[0].value' -o tsv --account-name mhsmdemobackup --subscription {subscription-id})
# Create a container
az storage container create --account-name mhsmdemobackup --name mhsmdemobackupcontainer --account-key $skey
# Generate a container sas token
sas=$(az storage container generate-sas -n mhsmdemobackupcontainer --account-name mhsmdemobackup --permissions crdw --expiry $end --account-key $skey -o tsv --subscription {subscription-id})
# Backup HSM
az keyvault backup start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --storage-container-SAS-token $sas --subscription {subscription-id}
استعادة كاملة
تتيح لك الاستعادة الكاملة استعادة محتويات HSM بالكامل بنسخة احتياطية سابقة، بما في ذلك جميع المفاتيح والإصدارات والسمات والعلامات وتخصيصات الأدوار. سيتم مسح كل شيء مخزّن حالياً في HSM، وسيعود إلى نفس الحالة التي كان عليها عندما تم إنشاء النسخة الاحتياطية المصدر.
هام
الاستعادة الكاملة هي عملية مدمرة للغاية. لذلك من الضروري أن تكون قد أكملت نسخة احتياطية كاملة من HSM الذي تقوم باستعادة إلى ما لا يقل عن 30 دقيقة قبل restore إجراء العملية.
الاستعادة هي عملية مستوى بيانات. يجب أن يحصل المتصل الذي يبدأ عملية الاستعادة على إذن لتنفيذ Microsoft.KeyVault/managedHsm/restore/start/action. يجب أن يكون لمصدر HSM حيث تم إنشاء النسخة الاحتياطية وHSM الوجهة حيث سيتم إجراء الاستعادة نفس مجال الأمان. اطلع على المزيد حول مجال أمان HSM المُدار .
هناك طريقتان لتنفيذ استعادة كاملة. يجب عليك تقديم المعلومات التالية لتنفيذ استعادة كاملة:
- اسم HSM أو عنوان URL
- Storage account name
- حاوية تخزين البيانات الثنائية الكبيرة الخاصة بحساب التخزين
- الهوية المدارة المعينة من قبل المستخدم أو رمز SAS المميز لحاوية التخزين مع أذونات
rl - اسم مجلد حاوية التخزين حيث يتم تخزين النسخ الاحتياطي المصدر
الاستعادة هي عملية طويلة الأمد ولكنها ستعيد على الفور معرف المهمة. يمكنك التحقق من حالة عملية الاستعادة باستخدام معرف الوظيفة هذا. عندما تكون عملية الاستعادة قيد التقدم، يدخل HSM في وضع الاستعادة ويتم تعطيل كل أوامر مستوى البيانات (باستثناء فحص حالة الاستعادة).
استعادة HSM باستخدام الهوية المدارة المعينة من قبل المستخدم
az keyvault restore start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --backup-folder mhsm-backup-foldername --use-managed-identity true
استعادة HSM باستخدام رمز SAS المميز
# time for 500 minutes later for SAS token expiry
end=$(date -u -d "500 minutes" '+%Y-%m-%dT%H:%MZ')
# Get storage account key
skey=$(az storage account keys list --query '[0].value' -o tsv --account-name mhsmdemobackup --subscription {subscription-id})
# Generate a container sas token
sas=$(az storage container generate-sas -n mhsmdemobackupcontainer --account-name mhsmdemobackup --permissions rl --expiry $end --account-key $skey -o tsv --subscription {subscription-id})
# Restore HSM
az keyvault restore start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --storage-container-SAS-token $sas --backup-folder mhsm-mhsmdemo-2020083120161860
استعادة المفتاح الانتقائي
تسمح لك استعادة المفتاح الانتقائي باستعادة مفتاح فردي واحد مع جميع إصدارات المفتاح الخاصة به من نسخة احتياطية سابقة إلى HSM. يجب إزالة المفتاح لكي تعمل استعادة المفتاح الانتقائية. إذا كنت تحاول استرداد مفتاح محذوف مبدئيا، فاستخدم استرداد المفتاح. تعرف على المزيد حول استرداد المفتاح.
استعادة المفتاح الانتقائي باستخدام الهوية المدارة المعينة من قبل المستخدم
az keyvault restore start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --backup-folder mhsm-backup-foldername --use-managed-identity true --key-name rsa-key2
استعادة المفتاح الانتقائي باستخدام رمز SAS المميز
az keyvault restore start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --storage-container-SAS-token $sas --backup-folder mhsm-mhsmdemo-2020083120161860 -–key-name rsa-key2
الخطوات التالية
- راجع إدارة HSM المُدار باستخدام Azure CLI.
- اطلع على المزيد حول مجال أمان HSM المُدار
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ