تكوين المفاتيح المدارة من قبل العميل لتشفير البيانات في Azure الذكاء الاصطناعي Search

يقوم Azure الذكاء الاصطناعي Search تلقائيا بتشفير البيانات الثابتة باستخدام المفاتيح التي تديرها Microsoft. إذا كنت بحاجة إلى طبقة أخرى من التشفير أو القدرة على إبطال المفاتيح وإيقاف الوصول إلى المحتوى، يمكنك استخدام المفاتيح التي تقوم بإنشائها وإدارتها في Azure Key Vault. تشرح هذه المقالة كيفية إعداد تشفير المفتاح المدار بواسطة العميل (CMK).

يمكنك تخزين المفاتيح باستخدام إما Azure Key Vault أو Azure Key Vault Managed HSM (وحدة أمان الأجهزة). إن HSM المدار Key Vault Azure هو نظام HSM تم التحقق من صحته من المستوى 3 مطابقًا لمعيار FIPS 140-2. دعم HSM جديد في Azure الذكاء الاصطناعي Search. للترحيل إلى HSM، قم بتدوير المفاتيح واختر HSM المدار للتخزين.

هام

تشفير CMK لا رجعة فيه. يمكنك تدوير المفاتيح وتغيير تكوين CMK، ولكن يستمر تشفير الفهرس لمدة بقاء الفهرس. تشفير ما بعد CMK، لا يمكن الوصول إلى الفهرس إلا إذا كانت خدمة البحث لديها حق الوصول إلى المفتاح. إذا قمت بإبطال الوصول إلى المفتاح عن طريق حذف تعيين الدور أو تغييره، فإن الفهرس غير قابل للاستخدام ولا يمكن تحجيم الخدمة حتى يتم حذف الفهرس أو استعادة الوصول إلى المفتاح. إذا قمت بحذف المفاتيح أو تدويرها، يتم تخزين أحدث مفتاح مؤقتا لمدة تصل إلى 60 دقيقة.

كائنات CMK المشفرة

ينطبق تشفير CMK على الكائنات الفردية عند إنشائها. وهذا يعني أنه لا يمكنك تشفير الكائنات الموجودة بالفعل. يحدث تشفير CMK في كل مرة يتم فيها حفظ عنصر على القرص، لكل من البيانات الثابتة (التخزين طويل المدى) أو البيانات المؤقتة المخزنة مؤقتا (تخزين قصير الأجل). باستخدام CMK، لا يرى القرص أبدا بيانات غير مشفرة.

تتضمن الكائنات التي يمكن تشفيرها الفهارس وقوائم المرادفات والمفهرسات ومصادر البيانات ومجموعات المهارات. التشفير مكلف حسابيا لفك التشفير بحيث يتم تشفير المحتوى الحساس فقط.

يتم تنفيذ التشفير عبر المحتوى التالي:

• كافة المحتويات داخل الفهارس وقوائم المرادفات.

• المحتوى الحساس في المفهرسات ومصادر البيانات ومجموعات المهارات والموجهات. يشير المحتوى الحساس إلى سلاسل الاتصال والأوصاف والهويات والمفاتيح ومدخلات المستخدم. على سبيل المثال، تحتوي مجموعات المهارات على مفاتيح خدمات Azure الذكاء الاصطناعي، وبعض المهارات تقبل مدخلات المستخدم، مثل الكيانات المخصصة. في كلتا الحالتين، يتم تشفير المفاتيح ومدخلات المستخدم. يتم أيضا تشفير أي مراجع للموارد الخارجية (مثل مصادر بيانات Azure أو نماذج Azure OpenAI).

إذا كنت بحاجة إلى CMK عبر خدمة البحث، فقم بتعيين نهج فرض.

المتطلبات الأساسية

• Azure الذكاء الاصطناعي البحث على طبقة قابلة للفوترة (أساسي أو أعلى، في أي منطقة).

• Azure Key Vault وخزنة مفاتيح مع تمكين الحماية من الحذف المبدئيوالإزالة . أو HSM المدار من Azure Key Vault. يمكن أن يكون هذا المورد في أي اشتراك، ولكن يجب أن يكون في نفس المستأجر مثل Azure الذكاء الاصطناعي Search.

• القدرة على إعداد أذونات الوصول إلى المفتاح وتعيين الأدوار. لإنشاء مفاتيح، يجب أن تكون مسؤول تشفير Key Vault في Azure Key Vault أو مسؤول تشفير HSM المدار في HSM المدار في Azure Key Vault.

  لتعيين الأدوار، يجب أن تكون مالك الاشتراك أو مسؤول وصول المستخدم أو مسؤول التحكم في الوصول المستند إلى الدور أو أن يتم تعيينك إلى دور مخصص باستخدام أذونات Microsoft.Authorization/roleAssignments/write .

الخطوة 1: إنشاء مفتاح تشفير

استخدم إما Azure Key Vault أو Azure Key Vault Managed HSM لإنشاء مفتاح. يدعم تشفير Azure الذكاء الاصطناعي Search مفاتيح RSA من الأحجام 2048 و3072 و4096. لمزيد من المعلومات حول أنواع المفاتيح المدعومة، راجع حول المفاتيح.

نوصي بمراجعة هذه التلميحات قبل البدء.

العمليات المطلوبة هي Wrap و Unwrap و Encrypt و Decrypt.

Azure Key Vault

يمكنك إنشاء مخزن مفاتيح باستخدام مدخل Azure أو Azure CLI أو Azure PowerShell.

1. سجل الدخول إلى مدخل Microsoft Azure وافتح صفحة نظرة عامة على key vault.

2. حدد Objects>Keys على اليسار، ثم حدد Generate/Import.

3. في جزء Create a key ، من قائمة Options، اختر Generate لإنشاء مفتاح جديد.

4. أدخل اسما للمفتاح الخاص بك، واقبل الإعدادات الافتراضية لخصائص المفتاح الأخرى.

5. اختياريا، قم بتعيين نهج تدوير المفتاح لتمكين التدوير التلقائي.

6. حدد إنشاء لبدء التوزيع.

7. بعد إنشاء المفتاح، احصل على معرف المفتاح الخاص به. حدد المفتاح، وحدد الإصدار الحالي، ثم انسخ معرف المفتاح. يتكون من قيمة المفتاح Uri واسم المفتاح وإصدار المفتاح. تحتاج إلى المعرف لتعريف فهرس مشفر في Azure الذكاء الاصطناعي Search. تذكر أن العمليات المطلوبة هي Wrap و Unwrap و Encrypt و Decrypt.

   

HSM المدار

يمكنك إنشاء HSM مدار وتنشيطه في مدخل Microsoft Azure أو Azure CLI أو Azure PowerShell.

لإنشاء مفتاح أو استيراده، استخدم Azure CLI.

الخطوة 2: إنشاء أساس أمان

إنشاء أساس أمان تستخدمه خدمة البحث للوصول إلى مفتاح التشفير. يمكنك استخدام هوية مدارة وتعيين دور، أو يمكنك تسجيل تطبيق واطلب من خدمة البحث توفير معرف التطبيق عند الطلبات.

نوصي باستخدام هوية وأدوار مدارة. يمكنك استخدام هوية مدارة من قبل النظام أو هوية مدارة من قبل المستخدم. تمكن الهوية المدارة خدمة البحث من المصادقة من خلال معرف Microsoft Entra، دون تخزين بيانات الاعتماد (ApplicationID أو ApplicationSecret) في التعليمات البرمجية. ترتبط دورة حياة هذا النوع من الهوية المدارة لدورة حياة خدمة البحث الخاصة بك، والتي يمكن أن يكون لها هوية مدارة معينة لنظام واحد فقط. لمزيد من المعلومات حول كيفية عمل الهويات المدارة، راجع ما هي الهويات المدارة لموارد Azure.

الهوية المدارة من قبل النظام

تمكين الهوية المدارة المعينة من قبل النظام لخدمة البحث. إنها عملية بنقرتين، قم بتمكينها وحفظها.

الهوية المدارة من قبل المستخدم (معاينة)

هام

يتوفر دعم الهوية المدارة من قبل المستخدم ل CMK في المعاينة العامة بموجب شروط الاستخدام التكميلية.

2021-04-01-معاينة Management REST API قدمت هذه الميزة.

1. سجل الدخول إلى مدخل Azure.

2. حدد إنشاء مورد جديد.

3. في شريط البحث "خدمة البحث والسوق"، ابحث عن "الهوية المدارة المعينة من قبل المستخدم" ثم حدد إنشاء.

4. امنح الهوية اسما وصفيا.

5. بعد ذلك، قم بتعيين الهوية المدارة من قبل المستخدم إلى خدمة البحث. يمكن القيام بذلك باستخدام أحدث واجهة برمجة تطبيقات لإدارة المعاينة 2025-05-01 أو المعاينة السابقة.

   تأخذ خاصية الهوية نوعا وهوية واحدة أو أكثر مؤهلة بالكامل يعينها المستخدم:

   • النوع هو نوع الهوية المستخدمة للمورد. يتضمن النوع "SystemAssigned, UserAssigned" كلا من الهوية التي أنشأها النظام ومجموعة من الهويات المعينة من قبل المستخدم. يقوم النوع "بلا" بإزالة كافة الهويات من الخدمة.
   • تتضمن userAssignedIdentities تفاصيل الهوية التي يديرها المستخدم.
     • تنسيق الهوية المدارة من قبل المستخدم:
       • /subscriptions/subscription ID/resourcegroups/resource group name/providers/Microsoft.ManagedIdentity/userAssignedIdentities/managed identity name

   مثال على كيفية تعيين هوية يديرها المستخدم لخدمة بحث:

   PUT https://management.azure.com/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Search/searchServices/[search service name]?api-version=2025-05-01-preview
   Content-Type: application/json
   
   {
     "location": "<your-region>",
     "sku": {
       "name": "<your-sku>"
     },
     "properties": {
       "replicaCount": <your-replica-count>,
       "partitionCount": <your-partition count>,
       "hostingMode": "default"
     },
     "identity": {
       "type": "UserAssigned",
       "userAssignedIdentities": {
         "/subscriptions/<your-subscription-ID>/resourcegroups/<your-resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<your-managed-identity-name>": {}
       }
     }
   } 
   

تسجيل تطبيق

اتبع هذه الإرشادات إذا لم تتمكن من استخدام تعيينات الأدوار للوصول إلى خدمة البحث إلى مفاتيح التشفير.

1. في مدخل Microsoft Azure، ابحث عن مورد Microsoft Entra لاشتراكك.

2. على اليسار، ضمن Manage، حدد App registrations، ثم حدد New registration.

3. امنح التسجيل اسما، ربما اسما مشابها لاسم تطبيق البحث. حدد تسجيل.

4. بمجرد إنشاء تسجيل التطبيق، انسخ معرف التطبيق. تحتاج إلى توفير هذه السلسلة للتطبيق الخاص بك.

   إذا كنت تتنقل عبر DotNetHowToEncryptionUsingCMK، فلصق هذه القيمة في ملف appsettings.json .

   

5. بعد ذلك، حدد Certificates & secrets.

6. حدد سر عميل جَديد. أدخل اسم عرض للبيانات السرية وحدد إضافة.

7. انسخ سر التطبيق. إذا كنت تتنقل عبر العينة، فلصق هذه القيمة في ملف appsettings.json .

   

الخطوة 3: منح الأذونات

إذا قمت بتكوين خدمة البحث لاستخدام هوية مدارة، فعين الأدوار التي تمنحها حق الوصول إلى مفتاح التشفير.

يوصى بالتحكم في الوصول المستند إلى الدور عبر نموذج إذن نهج الوصول. لمزيد من المعلومات أو خطوات الترحيل، ابدأ بالتحكم في الوصول المستند إلى دور Azure (Azure RBAC) مقابل نهج الوصول (القديمة) .

1. سجل الدخول إلى مدخل Microsoft Azure وابحث عن key vault الخاص بك.

2. حدد Access control (IAM) وحدد Add role assignment.

3. حدد دورا:

   • في Azure Key Vault، حدد Key Vault Crypto Service Encryption User.
   • في HSM المدار، حدد Managed HSM Crypto Service Encryption User.

4. حدد الهويات المدارة، وحدد الأعضاء، ثم حدد الهوية المدارة لخدمة البحث. إذا كنت تختبر محليا، فعين هذا الدور لنفسك أيضا.

5. حدد Review + Assign.

انتظر بضع دقائق حتى يصبح تعيين الدور قيد التشغيل.

الخطوة 4: تشفير المحتوى

يحدث التشفير عند إنشاء كائن أو تحديثه. يمكنك استخدام مدخل Microsoft Azure للكائنات المحددة. لأي كائن، استخدم Search REST API أو Azure SDK. راجع مثال Python في هذه المقالة لمعرفة كيفية تشفير المحتوى برمجيا.

مدخل Microsoft Azure

عند إنشاء كائن جديد في مدخل Microsoft Azure، يمكنك تحديد مفتاح محدد مسبقا يديره العميل في مخزن مفاتيح. يتيح لك مدخل Azure تمكين تشفير CMK من أجل:

• الفهارس
• مصادر البيانات
• المفهرسات

متطلبات استخدام مدخل Microsoft Azure هي أن مخزن المفاتيح والمفتاح يجب أن يكونا موجودين، وأنك أكملت الخطوات السابقة للوصول المصرح به إلى المفتاح.

في مدخل Microsoft Azure، يتم تعريف مجموعات المهارات في طريقة عرض JSON. استخدم JSON الموضح في أمثلة REST API لتوفير مفتاح مدار من قبل العميل على مجموعة المهارات.

1. سجل الدخول إلى مدخل Microsoft Azure وافتح صفحة خدمة البحث.

2. ضمن إدارة البحث، حدد الفهارس أو المفهرسات أو مصادر البيانات.

3. إضافة كائن جديد. في تعريف الكائن، حدد التشفير المدار من قبل Microsoft.

4. حدد المفاتيح المدارة بواسطة العميل واختر اشتراكك وخزنتك ومفتاحك وإصدارك.

واجهات برمجة تطبيقات REST

1. استدعاء واجهات برمجة التطبيقات لإنشاء لتحديد خاصية encryptionKey :

   • إنشاء فهرس
   • إنشاء خريطة المرادفات
   • إنشاء مفهرس
   • إنشاء مصدر بيانات
   • إنشاء مجموعة المهارات

2. إدراج بنية encryptionKey في تعريف الكائن. هذه الخاصية هي خاصية من المستوى الأول، على نفس مستوى الاسم والوصف. إذا كنت تستخدم نفس المخزن والمفتاح والإصدار، يمكنك اللصق في نفس بنية encryptionKey في كل تعريف عنصر.

   إذا كان معرف المفتاح الخاص بك هو https://contoso-keyvault.vault.azure.net/keys/contoso-cmk/aaaaaaaa-0b0b-1c1c-2d2d-333333333333، فإن URI هو https://contoso-keyvault.vault.azure.net، واسم المفتاح هو contoso-cmk، والإصدار هو aaaaaaaa-0b0b-1c1c-2d2d-333333333333.

   {
     "encryptionKey": {
       "keyVaultUri": "<YOUR-KEY-VAULT-URI>",
       "keyVaultKeyName": "<YOUR-ENCRYPTION-KEY-NAME>",
       "keyVaultKeyVersion": "<YOUR-ENCRYPTION-KEY-VERSION>",
       "identity" : { 
           "@odata.type": "#Microsoft.Azure.Search.DataUserAssignedIdentity",
           "userAssignedIdentity" : "/subscriptions/<your-subscription-ID>/resourceGroups/<your-resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<your-managed-identity-name>"
       }
     }
   }
   

   يوضح المثال الأول encryptionKey لخدمة بحث تتصل باستخدام هوية مدارة:

   {
     "encryptionKey": {
       "keyVaultUri": "<YOUR-KEY-VAULT-URI>",
       "keyVaultKeyName": "<YOUR-ENCRYPTION-KEY-NAME>",
       "keyVaultKeyVersion": "<YOUR-ENCRYPTION-KEY-VERSION>"
     }
   }
   

   يتضمن المثال الثاني accessCredentials، الضروري إذا قمت بتسجيل تطبيق في معرف Microsoft Entra:

   {
     "encryptionKey": {
       "keyVaultUri": "<YOUR-KEY-VAULT-URI>",
       "keyVaultKeyName": "<YOUR-ENCRYPTION-KEY-NAME>",
       "keyVaultKeyVersion": "<YOUR-ENCRYPTION-KEY-VERSION>",
       "accessCredentials": {
         "applicationId": "<YOUR-APPLICATION-ID>",
         "applicationSecret": "<YOUR-APPLICATION-SECRET>"
       }
     }
   }
   

3. تحقق من وجود مفتاح التشفير عن طريق إصدار GET على الكائن.

   • GET Index
   • GET Synonym Map
   • GET Indexer
   • GET Data Source
   • GET Skillset

4. تحقق من تشغيل الكائن عن طريق تنفيذ مهمة، مثل الاستعلام عن فهرس مشفر.

بمجرد إنشاء الكائن المشفر على خدمة البحث، يمكنك استخدامه كما تفعل مع أي عنصر آخر من نوعه. التشفير شفاف للمستخدم والمطور.

لا تعتبر أي من تفاصيل خزنة المفاتيح هذه سرية ويمكن استردادها بسهولة عن طريق التصفح إلى صفحة Azure Key Vault ذات الصلة في مدخل Microsoft Azure.

هام

تم تكوين المحتوى المشفر في Azure الذكاء الاصطناعي Search لاستخدام مفتاح معين مع إصدار معين. إذا قمت بتغيير المفتاح أو الإصدار، يجب تحديث الكائن لاستخدامه قبل حذف المفتاح السابق. يؤدي الفشل في القيام بذلك إلى جعل الكائن غير قابل للاستخدام. لن تتمكن من فك تشفير المحتوى إذا تم فقدان المفتاح.

الخطوة 5: اختبار التشفير

للتحقق من عمل التشفير، قم بإبطال مفتاح التشفير، والاستعلام عن الفهرس (يجب أن يكون غير قابل للاستخدام)، ثم إعادة مفتاح التشفير.

استخدم مدخل Azure لهذه المهمة. تأكد من أن لديك تعيين دور يمنح حق الوصول للقراءة إلى المفتاح.

1. في صفحة Azure Key Vault، حدد Objects>Keys.

2. حدد المفتاح الذي أنشأته، ثم حدد حذف.

3. في صفحة Azure الذكاء الاصطناعي Search، حدد Search management>Indexes.

4. حدد الفهرس واستخدم Search Explorer لتشغيل استعلام. يجب أن تحصل على خطأ.

5. ارجع إلى صفحةAzure Key Vault Objects> Keys.

6. حدد إدارة المفاتيح المحذوفة.

7. حدد مفتاحك، ثم حدد استرداد.

8. ارجع إلى الفهرس في Azure الذكاء الاصطناعي البحث وأعد تشغيل الاستعلام. يجب أن تشاهد نتائج البحث. إذا لم تشاهد نتائج فورية، فانتظر دقيقة وحاول مرة أخرى.

إعداد نهج لفرض توافق CMK

تساعد نهج Azure على فرض المعايير التنظيمية وتقييم التوافق على نطاق واسع. يحتوي Azure الذكاء الاصطناعي Search على نهجين مضمنين اختياريين متعلقين ب CMK. تنطبق هذه النهج على خدمات البحث الجديدة والحالية.

التأثير	التأثير إذا تم تمكينه
AuditIfNotExists	التحقق من التوافق مع النهج: هل تحتوي الكائنات على مفتاح مدار من قبل العميل معرف، وهو المحتوى المشفر. ينطبق هذا التأثير على الخدمات الموجودة ذات المحتوى. يتم تقييمه في كل مرة يتم فيها إنشاء عنصر أو تحديثه، أو وفقا لجدول التقييم. تعرَّف على المزيد....
أنكر	التحقق من فرض النهج: هل تم تعيين SearchEncryptionWithCmk لخدمة البحث على Enabled. ينطبق هذا التأثير على الخدمات الجديدة فقط، والتي يجب إنشاؤها مع تمكين التشفير. تظل الخدمات الحالية قيد التشغيل ولكن لا يمكنك تحديثها إلا إذا قمت بتصحيح الخدمة. لا تعرض أي من الأدوات المستخدمة لتوفير الخدمات هذه الخاصية، لذا كن على دراية بأن تعيين النهج يحدك من الإعداد البرمجي.

تعيين نهج

1. في مدخل Microsoft Azure، انتقل إلى نهج مضمن ثم حدد تعيين.

   • AuditIfExists

   • رفض

   فيما يلي مثال على نهج AuditIfExists في مدخل Microsoft Azure:

   

2. تعيين نطاق النهج عن طريق تحديد الاشتراك ومجموعة الموارد. استبعاد أي خدمات بحث لا يجب تطبيق النهج عليها.

3. قبول الإعدادات الافتراضية أو تعديلها. حدد Review +create، متبوعا ب Create.

تمكين تنفيذ نهج CMK

النهج الذي تم تعيينه لمجموعة موارد في اشتراكك فعال على الفور. تحدد نهج التدقيق الموارد غير المتوافقة، ولكن تمنع نهج الرفض إنشاء وتحديث خدمات البحث غير المتوافقة. يشرح هذا القسم كيفية إنشاء خدمة بحث متوافقة أو تحديث خدمة لجعلها متوافقة. لجلب العناصر إلى التوافق، ابدأ في الخطوة الأولى من هذه المقالة.

إنشاء خدمة بحث متوافقة

لخدمات البحث الجديدة، قم بإنشائها مع تعيين SearchEncryptionWithCmk إلى Enabled.

لا يوفر مدخل Azure ولا أدوات سطر الأوامر (Azure CLI وAzure PowerShell) هذه الخاصية في الأصل، ولكن يمكنك استخدام Management REST API لتوفير خدمة بحث مع تعريف نهج CMK.

إدارة واجهة برمجة تطبيقات REST

هذا المثال من إدارة خدمة Azure الذكاء الاصطناعي Search باستخدام واجهات برمجة تطبيقات REST، التي تم تعديلها لتضمين الخاصية SearchEncryptionWithCmk .

### Create a search service (provide an existing resource group)
@resource-group = my-rg
@search-service-name = my-search
PUT https://management.azure.com/subscriptions/{{subscriptionId}}/resourceGroups/{{resource-group}}/providers/Microsoft.Search/searchServices/{{search-service-name}}?api-version=2023-11-01 HTTP/1.1
     Content-type: application/json
     Authorization: Bearer {{token}}

    {
        "location": "North Central US",
        "sku": {
            "name": "basic"
        },
        "properties": {
            "replicaCount": 1,
            "partitionCount": 1,
            "hostingMode": "default",
            "encryptionWithCmk": {
                "enforcement": "Enabled"
        }
      }
    }

تحديث خدمة بحث موجودة

بالنسبة لخدمات البحث الموجودة التي أصبحت الآن غير متوافقة، قم بتصحيحها باستخدام الخدمات - تحديث واجهة برمجة التطبيقات أو الأمر Azure CLI az resource update . يؤدي تصحيح الخدمات إلى استعادة القدرة على تحديث خصائص خدمة البحث.

إدارة واجهة برمجة تطبيقات REST

PATCH https://management.azure.com/subscriptions/<your-subscription-Id>/resourceGroups/<your-resource-group-name>/providers/Microsoft.Search/searchServices/<your-search-service-name>?api-version=2023-11-01

{
  "properties": {
      "encryptionWithCmk": {
          "enforcement": "Enabled"
      }
  }
}

Azure CLI

قم بتشغيل الأمر التالي، واستبدال القيم الصالحة لخدمة البحث ومجموعة الموارد.

az resource update --name SEARCH-SERVICE-PLACEHOLDER --resource-group RESOURCE-GROUP-PLACEHOLDER --resource-type searchServices --namespace Microsoft.Search --set properties.encryptionWithCmk.enforcement=Enabled

يجب أن تتضمن الاستجابة العبارة التالية:

"encryptionWithCmk": {
      "encryptionComplianceStatus": "NonCompliant",
      "enforcement": "Enabled"
    }
...

تعني كلمة "غير متوافقة" أن خدمة البحث تحتوي على كائنات موجودة غير مشفرة بواسطة CMK. لتحقيق التوافق، أعد إنشاء كل كائن، مع تحديد مفتاح تشفير.

تدوير مفاتيح التشفير أو تحديثها

استخدم الإرشادات التالية لتدوير المفاتيح أو للترحيل من Azure Key Vault إلى نموذج أمان الأجهزة (HSM).

بالنسبة إلى تدوير المفتاح، نوصي باستخدام قدرات التشغيل التلقائي ل Azure Key Vault. إذا كنت تستخدم autorotation، فاحذف إصدار المفتاح في تعريفات الكائنات. يتم استخدام أحدث مفتاح، بدلا من إصدار معين.

عند تغيير مفتاح أو إصداره، يجب أولا تحديث أي كائن يستخدم المفتاح لاستخدام القيم الجديدة قبل حذف القيم القديمة. وإلا، يصبح الكائن غير قابل للاستخدام لأنه لا يمكن فك تشفيره.

تذكر أن المفاتيح مخزنة مؤقتا لمدة 60 دقيقة. تذكر هذا عند اختبار المفاتيح وتدويرها.

1. حدد المفتاح المستخدم بواسطة مخطط فهرس أو مرادف.

2. أنشئ مفتاحا جديدا في key vault، ولكن اترك المفتاح الأصلي متاحا. في هذه الخطوة، يمكنك التبديل من key vault إلى HSM.

3. تحديث خصائص encryptionKey على مخطط فهرس أو مرادف لاستخدام القيم الجديدة. يمكن تحديث الكائنات التي تم إنشاؤها في الأصل باستخدام هذه الخاصية فقط لاستخدام قيمة مختلفة.

4. تعطيل أو حذف المفتاح السابق في مخزن المفاتيح. مراقبة الوصول إلى المفتاح للتحقق من استخدام المفتاح الجديد.

لأسباب تتعلق بالأداء، تخزن خدمة البحث المفتاح مؤقتا لمدة تصل إلى عدة ساعات. إذا قمت بتعطيل المفتاح أو حذفه دون توفير مفتاح جديد، تستمر الاستعلامات في العمل بشكل مؤقت حتى تنتهي صلاحية ذاكرة التخزين المؤقت. ومع ذلك، بمجرد أن لا تتمكن خدمة البحث من فك تشفير المحتوى، ستتلقى هذه الرسالة: "Access forbidden. The query key used might have been revoked - please retry."

تلميحات Key Vault

• إذا كنت مستخدما جديدا ل Azure Key Vault، فراجع هذا التشغيل السريع للتعرف على المهام الأساسية: تعيين سر واسترداده من Azure Key Vault باستخدام PowerShell.

• استخدم العديد من خزائن المفاتيح كما تحتاج. يمكن أن تكون المفاتيح المدارة في خزائن مفاتيح مختلفة. يمكن أن تحتوي خدمة البحث على كائنات مشفرة متعددة، كل منها مشفر بمفتاح تشفير مختلف يديره العميل، مخزن في خزائن مفاتيح مختلفة.

• استخدم نفس مستأجر Azure بحيث يمكنك استرداد المفتاح المدار من خلال تعيينات الأدوار وعن طريق الاتصال من خلال نظام أو هوية مدارة من قبل المستخدم. لمزيد من المعلومات حول إنشاء مستأجر، راجع إعداد مستأجر جديد.

• تمكين الحماية من المسحوالحذف المبدئي على خزنة المفاتيح. نظرا لطبيعة التشفير باستخدام المفاتيح التي يديرها العميل، لا يمكن لأحد استرداد بياناتك إذا تم حذف مفتاح Azure Key Vault. لمنع فقدان البيانات الناجم عن حذف مفتاح Key Vault العرضي، يجب تمكين الحماية من الحذف المبدئي والإزالة على مخزن المفاتيح. يتم تمكين الحذف المبدئي بشكل افتراضي، لذلك لن تواجه مشكلات إلا إذا قمت بتعطيله عن قصد. لا يتم تمكين الحماية من الإزالة بشكل افتراضي، ولكنها مطلوبة لتشفير CMK في Azure الذكاء الاصطناعي Search.

• تمكين تسجيل الدخول إلى خزنة المفاتيح بحيث يمكنك مراقبة استخدام المفتاح.

• تمكين التشغيل التلقائي للمفاتيح أو اتباع إجراءات صارمة أثناء التدوير الروتيني لمفاتيح خزنة المفاتيح وأسرار التطبيق والتسجيل. قم دائما بتحديث جميع المحتويات المشفرة لاستخدام أسرار ومفاتيح جديدة قبل حذف البيانات القديمة. إذا فاتتك هذه الخطوة، فلا يمكن فك تشفير المحتوى الخاص بك.

استخدام المحتوى المشفر

باستخدام تشفير CMK، قد تلاحظ زمن انتقال لكل من الفهرسة والاستعلامات بسبب عمل التشفير/فك التشفير الإضافي. لا يقوم Azure الذكاء الاصطناعي Search بتسجيل نشاط التشفير، ولكن يمكنك مراقبة الوصول إلى المفتاح من خلال تسجيل مخزن المفاتيح.

نوصي بتمكين التسجيل كجزء من تكوين key vault.

1. إنشاء مساحة عمل تحليلات السجل.

2. أضف إعداد تشخيص في key vault يستخدم مساحة العمل للاحتفاظ بالبيانات.

3. حدد audit أو allLogs للفئة، وامنح إعداد التشخيص اسما، ثم احفظه.

مثال Python لتكوين مفتاح التشفير

يعرض هذا القسم تمثيل Python ل encryptionKey في تعريف كائن. ينطبق نفس التعريف على الفهارس ومصادر البيانات ومجموعات المهارات والمفهرسات وخرائط المرادفات. لتجربة هذا المثال على خدمة البحث وخزنة المفاتيح، قم بتنزيل دفتر الملاحظات من نماذج azure-search-python.

تثبيت بعض الحزم.

! pip install python-dotenv
! pip install azure-core
! pip install azure-search-documents==11.5.1
! pip install azure-identity

إنشاء فهرس يحتوي على مفتاح تشفير.

from azure.search.documents.indexes import SearchIndexClient
from azure.search.documents.indexes.models import (
    SimpleField,
    SearchFieldDataType,
    SearchableField,
    SearchIndex,
    SearchResourceEncryptionKey
)
from azure.identity import DefaultAzureCredential

endpoint="<PUT YOUR AZURE SEARCH SERVICE ENDPOINT HERE>"
credential = DefaultAzureCredential()

index_name = "test-cmk-index"
index_client = SearchIndexClient(endpoint=endpoint, credential=credential)  
fields = [
        SimpleField(name="Id", type=SearchFieldDataType.String, key=True),
        SearchableField(name="Description", type=SearchFieldDataType.String)
    ]

scoring_profiles = []
suggester = []
encryption_key = SearchResourceEncryptionKey(
    key_name="<PUT YOUR KEY VAULT NAME HERE>",
    key_version="<PUT YOUR ALPHANUMERIC KEY VERSION HERE>",
    vault_uri="<PUT YOUR KEY VAULT ENDPOINT HERE>"
)

index = SearchIndex(name=index_name, fields=fields, encryption_key=encryption_key)
result = index_client.create_or_update_index(index)
print(f' {result.name} created')

احصل على تعريف الفهرس للتحقق من وجود تكوين مفتاح التشفير.

index_name = "test-cmk-index-qs"
index_client = SearchIndexClient(endpoint=AZURE_SEARCH_SERVICE, credential=credential)  

result = index_client.get_index(index_name)  
print(f"{result}")  

تحميل الفهرس مع بعض المستندات. يعتبر كل محتوى الحقل حساسا ويتم تشفيره على القرص باستخدام المفتاح المدار بواسطة العميل.

from azure.search.documents import SearchClient

# Create a documents payload
documents = [
    {
    "@search.action": "upload",
    "Id": "1",
    "Description": "The hotel is ideally located on the main commercial artery of the city in the heart of New York. A few minutes away is Time's Square and the historic centre of the city, as well as other places of interest that make New York one of America's most attractive and cosmopolitan cities."
    },
    {
    "@search.action": "upload",
    "Id": "2",
    "Description": "The hotel is situated in a  nineteenth century plaza, which has been expanded and renovated to the highest architectural standards to create a modern, functional and first-class hotel in which art and unique historical elements coexist with the most modern comforts."
    },
    {
    "@search.action": "upload",
    "Id": "3",
    "Description": "The hotel stands out for its gastronomic excellence under the management of William Dough, who advises on and oversees all of the Hotel's restaurant services."
    },
    {
    "@search.action": "upload",
    "Id": "4",
    "Description": "The hotel is located in the heart of the historic center of Sublime in an extremely vibrant and lively area within short walking distance to the sites and landmarks of the city and is surrounded by the extraordinary beauty of churches, buildings, shops and monuments. Sublime Palace is part of a lovingly restored 1800 palace."
    }
]

search_client = SearchClient(endpoint=AZURE_SEARCH_SERVICE, index_name=index_name, credential=credential)
try:
    result = search_client.upload_documents(documents=documents)
    print("Upload of new document succeeded: {}".format(result[0].succeeded))
except Exception as ex:
    print (ex.message)

    index_client = SearchClient(endpoint=AZURE_SEARCH_SERVICE, credential=credential)

قم بتشغيل استعلام للتأكد من تشغيل الفهرس.

from azure.search.documents import SearchClient

query = "historic"  

search_client = SearchClient(endpoint=AZURE_SEARCH_SERVICE, credential=credential, index_name=index_name)
  
results = search_client.search(  
    query_type='simple',
    search_text=query, 
    select=["Id", "Description"],
    include_total_count=True
    )
  
for result in results:  
    print(f"Score: {result['@search.score']}")
    print(f"Id: {result['Id']}")
    print(f"Description: {result['Description']}")

يجب أن ينتج عن الإخراج من الاستعلام نتائج مشابهة للمثال التالي.

Score: 0.6130029
Id: 4
Description: The hotel is located in the heart of the historic center of Sublime in an extremely vibrant and lively area within short walking distance to the sites and landmarks of the city and is surrounded by the extraordinary beauty of churches, buildings, shops and monuments. Sublime Palace is part of a lovingly restored 1800 palace.
Score: 0.26286605
Id: 1
Description: The hotel is ideally located on the main commercial artery of the city in the heart of New York. A few minutes away is Time's Square and the historic centre of the city, as well as other places of interest that make New York one of America's most attractive and cosmopolitan cities.

نظرا لأنه يتم فك تشفير المحتوى المشفر قبل تحديث البيانات أو الاستعلامات، فلن ترى أدلة مرئية على التشفير. للتحقق من عمل التشفير، تحقق من سجلات الموارد.

الخطوات التالية

إذا لم تكن معتادا على بنية أمان Azure، فراجع وثائق أمان Azure، وعلى وجه الخصوص، هذه المقالة:

تشفير البيانات الثابتة