إنشاء نطاقات التشفير وإدارتها

تمكنك نطاقات التشفير من إدارة التشفير على مستوى كائن ثنائي كبير الحجم أو حاوية فردية. يمكنك استخدام نطاقات التشفير لإنشاء حدود آمنة بين البيانات الموجودة في حساب التخزين نفسه ولكنها تنتمي إلى عملاء مختلفين. لمزيد من المعلومات حول نطاقات التشفير، يرجى مراجعةنطاقات التشفير لتخزين كائن ثنائي كبير.

توضح هذه المقالة كيفية إنشاء نطاق تشفير. كما يوضح كيفية تحديد نطاق تشفير عند إنشاء كائن ثنائي كبير الحجم أو حاوية.

إنشاء نطاق تشفير

يمكنك إنشاء نطاق تشفير محمي بمفتاح مدار من قبل Microsoft أو بمفتاح مدار من قبل العميل مخزن في Azure Key Vault أو في نموذج أمان الأجهزة المدار من Azure Key Vault (HSM). لإنشاء نطاق تشفير باستخدام مفتاح مدار من قبل العميل، يجب أولا إنشاء مخزن مفاتيح أو HSM مدار وإضافة المفتاح الذي تنوي استخدامه للنطاق. يجب تمكين حماية التطهير في مخزن المفاتيح أو HSM المدار.

يمكن أن يكون حساب التخزين وخزنة المفاتيح في نفس المستأجر، أو في مستأجرين مختلفين. في كلتا الحالتين، يمكن أن يكون حساب التخزين وخزنة المفاتيح في مناطق مختلفة.

يتم تمكين نطاق التشفير تلقائيا عند إنشائه. بعد إنشاء نطاق التشفير، يمكنك تحديده عند إنشاء كائن ثنائي كبير الحجم. يمكنك أيضا تحديد نطاق تشفير افتراضي عند إنشاء حاوية، والتي تنطبق تلقائيا على جميع الكائنات الثنائية كبيرة الحجم في الحاوية.

عند تكوين نطاق تشفير، تتم محاسبتك لمدة شهر واحد على الأقل (30 يوما). بعد الشهر الأول، يتم توزيع رسوم نطاق التشفير على أساس كل ساعة. لمزيد من المعلومات، راجع الفوترة لنطاقات التشفير.

بوابة

لإنشاء نطاق تشفير في مدخل Microsoft Azure، اتبع الخطوات التالية:

1. انتقل إلى حساب التخزين خاصتك في مدخل Microsoft Azure.

2. ضمن Security + networking حدد Encryption.

3. حدد علامة التبويب نطاقات التشفير .

4. انقر فوق الزر Add لإضافة نطاق تشفير جديد.

5. في جزء Create Encryption Scope ، أدخل اسما للنطاق الجديد.

6. حدد النوع المطلوب من دعم مفتاح التشفير، إما المفاتيح التي تديرها Microsoft أو المفاتيح التي يديرها العميل.

   • إذا حددت مفاتيح مدارة من Microsoft، فانقر فوق إنشاء لإنشاء نطاق التشفير.
   • إذا حددت مفاتيح يديرها العميل، فحدد اشتراكا وحدد مخزن مفاتيح ومفتاحا لاستخدامه لنطاق التشفير هذا. إذا كان مخزن المفاتيح المطلوب في منطقة مختلفة، فحدد Enter key URI وحدد مفتاح URI.

7. إذا تم تمكين تشفير البنية الأساسية لحساب التخزين، تمكينه تلقائيا لنطاق التشفير الجديد. وإلا، يمكنك اختيار ما إذا كنت تريد تمكين تشفير البنية الأساسية لنطاق التشفير.

   

بوويرشيل

لإنشاء نطاق تشفير باستخدام PowerShell، قم بتثبيت الوحدة النمطية Az.Storage PowerShell، الإصدار 3.4.0 أو أحدث.

إنشاء نطاق تشفير محمي بواسطة مفاتيح تديرها Microsoft

لإنشاء نطاق تشفير محمي بواسطة مفاتيح تديرها Microsoft، قم باستدعاء الأمر New-AzStorageEncryptionScope باستخدام المعلمة -StorageEncryption .

إذا تم تمكين تشفير البنية الأساسية لحساب التخزين، تمكينه تلقائيا لنطاق التشفير الجديد. وإلا، يمكنك اختيار ما إذا كنت تريد تمكين تشفير البنية الأساسية لنطاق التشفير. لإنشاء النطاق الجديد مع تمكين تشفير البنية الأساسية، قم بتضمين المعلمة -RequireInfrastructureEncryption .

تذكر استبدال قيم العنصر النائب في المثال بالقيم الخاصة بك:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$scopeName = "<encryption-scope>"

New-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName1 `
    -StorageEncryption

إنشاء نطاق تشفير محمي بواسطة مفاتيح يديرها العميل في نفس المستأجر

لإنشاء نطاق تشفير محمي بواسطة مفاتيح يديرها العميل مخزنة في مخزن مفاتيح أو HSM مدار في نفس المستأجر مثل حساب التخزين، قم أولا بتكوين المفاتيح المدارة من قبل العميل لحساب التخزين. يجب تعيين هوية مدارة لحساب التخزين الذي لديه أذونات للوصول إلى مخزن المفاتيح. يمكن أن تكون الهوية المدارة إما هوية مدارة يعينها المستخدم أو هوية مدارة معينة من قبل النظام. لمعرفة المزيد حول تكوين المفاتيح المدارة من قبل العميل، راجع تكوين المفاتيح المدارة من قبل العميل في نفس المستأجر لحساب تخزين موجود.

لمنح أذونات الهوية المدارة للوصول إلى مخزن المفاتيح، قم بتعيين دور مستخدم تشفير خدمة تشفير Key Vault للهوية المدارة.

لتكوين المفاتيح المدارة من قبل العميل للاستخدام مع نطاق تشفير، يجب تمكين حماية التطهير على مخزن المفاتيح أو HSM المدار.

يوضح المثال التالي كيفية تكوين نطاق تشفير بهوية مدارة معينة من قبل النظام. تذكر استبدال قيم العنصر النائب في المثال بالقيم الخاصة بك:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$keyVaultName = "<key-vault>"
$scopeName = "<encryption-scope>"

# Assign a system-assigned managed identity to the storage account.
$storageAccount = Set-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -AssignIdentity

# Assign the necessary permissions to the managed identity 
# so that it can access the key vault.
$principalId = $storageAccount.Identity.PrincipalId
$keyVault = Get-AzKeyVault $keyVaultName

New-AzRoleAssignment -ObjectId $storageAccount.Identity.PrincipalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

بعد ذلك، قم باستدعاء الأمر New-AzStorageEncryptionScope مع المعلمة -KeyvaultEncryption ، وحدد مفتاح URI. يعد تضمين الإصدار الرئيسي على مفتاح URI اختياريا. إذا حذفت إصدار المفتاح، فسيستخدم نطاق التشفير تلقائيا أحدث إصدار مفتاح. إذا قمت بتضمين إصدار المفتاح، فيجب عليك تحديث إصدار المفتاح يدويا لاستخدام إصدار مختلف.

تنسيق مفتاح URI مشابه للأمثلة التالية ويمكن إنشاؤه من خاصية VaultUri لمخزن المفاتيح واسم المفتاح:

# Without the key version
https://<key-vault>.vault.azure.net/keys/<key>

# With the key version
https://<key-vault>.vault.azure.net/keys/<key>/<version>

إذا تم تمكين تشفير البنية الأساسية لحساب التخزين، تمكينه تلقائيا لنطاق التشفير الجديد. وإلا، يمكنك اختيار ما إذا كنت تريد تمكين تشفير البنية الأساسية لنطاق التشفير. لإنشاء النطاق الجديد مع تمكين تشفير البنية الأساسية، قم بتضمين المعلمة -RequireInfrastructureEncryption .

تذكر استبدال قيم العنصر النائب في المثال بالقيم الخاصة بك:

$keyUri = $keyVault.VaultUri + "keys/" + $keyName

New-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName `
    -KeyUri $keyUri `
    -KeyvaultEncryption

إنشاء نطاق تشفير محمي بواسطة مفاتيح يديرها العميل في مستأجر مختلف

لإنشاء نطاق تشفير محمي بواسطة مفاتيح يديرها العميل مخزنة في مخزن مفاتيح أو HSM مدار في مستأجر مختلف عن حساب التخزين، قم أولا بتكوين المفاتيح المدارة من قبل العميل لحساب التخزين. يجب تكوين هوية مدارة معينة من قبل المستخدم لحساب التخزين الذي لديه أذونات للوصول إلى مخزن المفاتيح في المستأجر الآخر. لمعرفة المزيد حول تكوين المفاتيح المدارة من قبل العملاء عبر المستأجرين، راجع تكوين المفاتيح المدارة من قبل العملاء عبر المستأجرين لحساب تخزين موجود.

لتكوين المفاتيح المدارة من قبل العميل للاستخدام مع نطاق تشفير، يجب تمكين حماية التطهير على مخزن المفاتيح أو HSM المدار.

بعد تكوين مفاتيح مدارة من قبل العملاء عبر المستأجرين لحساب التخزين، يمكنك إنشاء نطاق تشفير على حساب التخزين في مستأجر واحد يتم تحديد نطاقه إلى مفتاح في مخزن مفاتيح في المستأجر الآخر. ستحتاج إلى مفتاح URI لإنشاء نطاق التشفير عبر المستأجرين.

تذكر استبدال قيم العنصر النائب في المثال بالقيم الخاصة بك:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$scopeName = "<encryption-scope>"

# Construct the key URI from the key vault URI and key name.
$keyUri = $kvUri + "keys/" + $keyName

New-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName `
    -KeyUri $keyUri `
    -KeyvaultEncryption

لإنشاء نطاق تشفير باستخدام Azure CLI، قم أولا بتثبيت الإصدار 2.20.0 من Azure CLI أو أحدث.

إنشاء نطاق تشفير محمي بواسطة مفاتيح تديرها Microsoft

لإنشاء نطاق تشفير محمي بواسطة مفاتيح تديرها Microsoft، قم باستدعاء الأمر az storage account encryption-scope create ، مع تحديد المعلمة --key-source على أنها Microsoft.Storage.

إذا تم تمكين تشفير البنية الأساسية لحساب التخزين، تمكينه تلقائيا لنطاق التشفير الجديد. وإلا، يمكنك اختيار ما إذا كنت تريد تمكين تشفير البنية الأساسية لنطاق التشفير. لإنشاء النطاق الجديد مع تمكين تشفير البنية الأساسية، قم بتضمين المعلمة --require-infrastructure-encryption وتعيين قيمتها إلى true.

تذكر أن تستبدل قيم العنصر النائب بقيمك الخاصة:

az storage account encryption-scope create \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.Storage

إنشاء نطاق تشفير محمي بواسطة مفاتيح يديرها العميل في نفس المستأجر

لإنشاء نطاق تشفير محمي بواسطة مفاتيح يديرها العميل مخزنة في مخزن مفاتيح أو HSM مدار في نفس المستأجر مثل حساب التخزين، قم أولا بتكوين المفاتيح المدارة من قبل العميل لحساب التخزين. يجب تعيين هوية مدارة لحساب التخزين الذي لديه أذونات للوصول إلى مخزن المفاتيح. يمكن أن تكون الهوية المدارة إما هوية مدارة يعينها المستخدم أو هوية مدارة معينة من قبل النظام. لمعرفة المزيد حول تكوين المفاتيح المدارة من قبل العميل، راجع تكوين المفاتيح المدارة من قبل العميل في نفس المستأجر لحساب تخزين موجود.

لمنح أذونات الهوية المدارة للوصول إلى مخزن المفاتيح، قم بتعيين دور مستخدم تشفير خدمة تشفير Key Vault للهوية المدارة.

لتكوين المفاتيح المدارة من قبل العميل للاستخدام مع نطاق تشفير، يجب تمكين حماية التطهير على مخزن المفاتيح أو HSM المدار.

يوضح المثال التالي كيفية تكوين نطاق تشفير بهوية مدارة معينة من قبل النظام. تذكر استبدال قيم العنصر النائب في المثال بالقيم الخاصة بك:

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --assign-identity

principalId=$(az storage account show --name <storage-account> \
    --resource-group <resource_group> \
    --query identity.principalId \
    --output tsv)

$kvResourceId=$(az keyvault show \
    --resource-group <resource-group> \
    --name <key-vault> \
    --query id \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId

بعد ذلك، قم باستدعاء الأمر az storage account encryption-scope مع المعلمة --key-uri ، وحدد مفتاح URI. يعد تضمين الإصدار الرئيسي على مفتاح URI اختياريا. إذا حذفت إصدار المفتاح، فسيستخدم نطاق التشفير تلقائيا أحدث إصدار مفتاح. إذا قمت بتضمين إصدار المفتاح، فيجب عليك تحديث إصدار المفتاح يدويا لاستخدام إصدار مختلف.

تنسيق مفتاح URI مشابه للأمثلة التالية ويمكن إنشاؤه من خاصية vaultUri لمخزن المفاتيح واسم المفتاح:

# Without the key version
https://<key-vault>.vault.azure.net/keys/<key>

# With the key version
https://<key-vault>.vault.azure.net/keys/<key>/<version>

إذا تم تمكين تشفير البنية الأساسية لحساب التخزين، تمكينه تلقائيا لنطاق التشفير الجديد. وإلا، يمكنك اختيار ما إذا كنت تريد تمكين تشفير البنية الأساسية لنطاق التشفير. لإنشاء النطاق الجديد مع تمكين تشفير البنية الأساسية، قم بتضمين المعلمة --require-infrastructure-encryption وتعيين قيمتها إلى true.

تذكر استبدال قيم العنصر النائب في المثال بالقيم الخاصة بك:

az storage account encryption-scope create \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.KeyVault \
    --key-uri <key-uri>

إنشاء نطاق تشفير محمي بواسطة مفاتيح يديرها العميل في مستأجر مختلف

لإنشاء نطاق تشفير محمي بواسطة مفاتيح يديرها العميل مخزنة في مخزن مفاتيح أو HSM مدار في مستأجر مختلف عن حساب التخزين، قم أولا بتكوين المفاتيح المدارة من قبل العميل لحساب التخزين. يجب تكوين هوية مدارة معينة من قبل المستخدم لحساب التخزين الذي لديه أذونات للوصول إلى مخزن المفاتيح في المستأجر الآخر. لمعرفة المزيد حول تكوين المفاتيح المدارة من قبل العملاء عبر المستأجرين، راجع تكوين المفاتيح المدارة من قبل العملاء عبر المستأجرين لحساب تخزين موجود.

لتكوين المفاتيح المدارة من قبل العميل للاستخدام مع نطاق تشفير، يجب تمكين حماية التطهير على مخزن المفاتيح أو HSM المدار.

بعد تكوين مفاتيح مدارة من قبل العملاء عبر المستأجرين لحساب التخزين، يمكنك إنشاء نطاق تشفير على حساب التخزين في مستأجر واحد يتم تحديد نطاقه إلى مفتاح في مخزن مفاتيح في المستأجر الآخر. ستحتاج إلى مفتاح URI لإنشاء نطاق التشفير عبر المستأجرين.

تذكر استبدال قيم العنصر النائب في المثال بالقيم الخاصة بك:

az storage account encryption-scope create \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.KeyVault \
    --key-uri <key-uri>

سرد نطاقات التشفير لحساب التخزين

بوابة

لعرض نطاقات التشفير لحساب تخزين في مدخل Microsoft Azure، انتقل إلى إعداد نطاقات التشفير لحساب التخزين. من هذا الجزء، يمكنك تمكين نطاق تشفير أو تعطيله أو تغيير المفتاح لنطاق تشفير.

لعرض تفاصيل مفتاح مدار من قبل العميل، بما في ذلك مفتاح URI والإصدار وما إذا كان يتم تحديث إصدار المفتاح تلقائيا، اتبع الارتباط الموجود في عمود المفتاح .

بوويرشيل

لسرد نطاقات التشفير المتوفرة لحساب تخزين باستخدام PowerShell، قم باستدعاء الأمر Get-AzStorageEncryptionScope . تذكر استبدال قيم العنصر النائب في المثال بالقيم الخاصة بك:

Get-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName

لسرد كافة نطاقات التشفير في مجموعة موارد حسب حساب التخزين، استخدم بناء جملة البنية الأساسية لبرنامج ربط العمليات التجارية:

Get-AzStorageAccount -ResourceGroupName $rgName | Get-AzStorageEncryptionScope

لسرد نطاقات التشفير المتوفرة لحساب تخزين باستخدام Azure CLI، قم باستدعاء الأمر az storage account encryption-scope list . تذكر استبدال قيم العنصر النائب في المثال بالقيم الخاصة بك:

az storage account encryption-scope list \
    --account-name <storage-account> \
    --resource-group <resource-group>

إنشاء حاوية ذات نطاق تشفير افتراضي

عند إنشاء حاوية، يمكنك تحديد نطاق تشفير افتراضي. ستستخدم الكائنات الثنائية كبيرة الحجم في تلك الحاوية هذا النطاق بشكل افتراضي.

يمكن إنشاء كائن ثنائي كبير الحجم فردي مع نطاق التشفير الخاص به، ما لم يتم تكوين الحاوية لمطالبة جميع الكائنات الثنائية كبيرة الحجم باستخدام النطاق الافتراضي. لمزيد من المعلومات، راجع نطاقات التشفير للحاويات والكائنات الثنائية كبيرة الحجم.

بوابة

لإنشاء حاوية ذات نطاق تشفير افتراضي في مدخل Microsoft Azure، قم أولا بإنشاء نطاق التشفير كما هو موضح في إنشاء نطاق تشفير. بعد ذلك، اتبع هذه الخطوات لإنشاء الحاوية:

1. انتقل إلى قائمة الحاويات في حساب التخزين الخاص بك، وحدد الزر Add لإنشاء حاوية.

2. قم بتوسيع الإعدادات المتقدمة في جزء حاوية جديدة .

3. في القائمة المنسدلة نطاق التشفير ، حدد نطاق التشفير الافتراضي للحاوية.

4. لمطالبة كافة الكائنات الثنائية كبيرة الحجم في الحاوية باستخدام نطاق التشفير الافتراضي، حدد خانة الاختيار لاستخدام نطاق التشفير هذا لجميع الكائنات الثنائية كبيرة الحجم في الحاوية. إذا تم تحديد خانة الاختيار هذه، فلن يتمكن كائن ثنائي كبير الحجم فردي في الحاوية من تجاوز نطاق التشفير الافتراضي.

   

بوويرشيل

لإنشاء حاوية ذات نطاق تشفير افتراضي باستخدام PowerShell، قم باستدعاء الأمر New-AzStorageContainer ، مع تحديد نطاق المعلمة -DefaultEncryptionScope . لفرض كافة الكائنات الثنائية كبيرة الحجم في حاوية لاستخدام النطاق الافتراضي للحاوية، قم بتعيين المعلمة -PreventEncryptionScopeOverride إلى true.

$containerName1 = "container1"
$ctx = New-AzStorageContext -StorageAccountName $accountName -UseConnectedAccount

# Create a container with a default encryption scope that cannot be overridden.
New-AzStorageContainer -Name $containerName1 `
    -Context $ctx `
    -DefaultEncryptionScope $scopeName1 `
    -PreventEncryptionScopeOverride $true

لإنشاء حاوية ذات نطاق تشفير افتراضي باستخدام Azure CLI، قم باستدعاء الأمر az storage container create ، مع تحديد نطاق المعلمة --default-encryption-scope . لفرض كافة الكائنات الثنائية كبيرة الحجم في حاوية لاستخدام النطاق الافتراضي للحاوية، قم بتعيين المعلمة --prevent-encryption-scope-override إلى true.

يستخدم المثال التالي حساب Microsoft Entra الخاص بك لتخويل العملية لإنشاء الحاوية. يمكنك أيضا استخدام مفتاح الوصول إلى الحساب. لمزيد من المعلومات، راجع تخويل الوصول إلى بيانات النقطة أو قائمة الانتظار باستخدام Azure CLI.

az storage container create \
    --account-name <storage-account> \
    --resource-group <resource-group> \
    --name <container> \
    --default-encryption-scope <encryption-scope> \
    --prevent-encryption-scope-override true \
    --auth-mode login

إذا حاول عميل تحديد نطاق عند تحميل كائن ثنائي كبير الحجم إلى حاوية تحتوي على نطاق تشفير افتراضي وتم تكوين الحاوية لمنع الكائنات الثنائية كبيرة الحجم من تجاوز النطاق الافتراضي، فستفشل العملية مع ظهور رسالة تشير إلى أن الطلب محظور بواسطة نهج تشفير الحاوية.

تحميل كائن ثنائي كبير الحجم مع نطاق تشفير

عند تحميل كائن ثنائي كبير الحجم، يمكنك تحديد نطاق تشفير لهذا الكائن الثنائي كبير الحجم، أو استخدام نطاق التشفير الافتراضي للحاوية، إذا تم تحديد واحد.

إشعار

عند تحميل كائن ثنائي كبير الحجم جديد مع نطاق تشفير، لا يمكنك تغيير طبقة الوصول الافتراضية لهذا الكائن الثنائي كبير الحجم. لا يمكنك أيضًا تغيير طبقة التخزين للكائن الثنائي كبير الحجم الموجود الذي يستخدم نطاق تشفير. لمزيد من المعلومات حول طبقات الوصول، راجع طبقات الوصول الساخن والرائع والأرشيف لبيانات البيانات الثنائية الكبيرة .

بوابة

لتحميل كائن ثنائي كبير الحجم مع نطاق تشفير عبر مدخل Microsoft Azure، قم أولا بإنشاء نطاق التشفير كما هو موضح في إنشاء نطاق تشفير. بعد ذلك، اتبع هذه الخطوات لإنشاء الكائن الثنائي كبير الحجم:

1. انتقل إلى الحاوية التي تريد تحميل الكائن الثنائي كبير الحجم إليها.

2. حدد الزر Upload ، وحدد موقع الكائن الثنائي كبير الحجم لتحميله.

3. قم بتوسيع الإعدادات المتقدمة في جزء Upload blob .

4. حدد موقع القسم المنسدلة نطاق التشفير . بشكل افتراضي، يتم إنشاء الكائن الثنائي كبير الحجم مع نطاق التشفير الافتراضي للحاوية، إذا تم تحديد واحد. إذا كانت الحاوية تتطلب استخدام الكائنات الثنائية كبيرة الحجم لنطاق التشفير الافتراضي، يتم تعطيل هذا القسم.

5. لتحديد نطاق مختلف للكائن الثنائي كبير الحجم الذي تقوم بتحميله، حدد اختيار نطاق موجود، ثم حدد النطاق المطلوب من القائمة المنسدلة.

   

بوويرشيل

لتحميل كائن ثنائي كبير الحجم مع نطاق تشفير عبر PowerShell، قم باستدعاء الأمر Set-AzStorageBlobContent وتوفير نطاق التشفير للكائن الثنائي كبير الحجم.

$containerName2 = "container2"
$localSrcFile = "C:\temp\helloworld.txt"
$ctx = New-AzStorageContext -StorageAccountName $accountName -UseConnectedAccount

# Create a container with no default scope defined.
New-AzStorageContainer -Name $containerName2 -Context $ctx

# Upload a block upload with an encryption scope specified.
Set-AzStorageBlobContent -Context $ctx `
    -Container $containerName2 `
    -File $localSrcFile `
    -Blob "helloworld.txt" `
    -BlobType Block `
    -EncryptionScope $scopeName2

لتحميل كائن ثنائي كبير الحجم مع نطاق تشفير عبر Azure CLI، قم باستدعاء الأمر az storage blob upload وتوفير نطاق التشفير للكائن الثنائي كبير الحجم.

إذا كنت تستخدم Azure Cloud Shell، فاتبع الخطوات الموضحة في تحميل كائن ثنائي كبير الحجم لإنشاء ملف في الدليل الجذر. يمكنك بعد ذلك تحميل هذا الملف إلى كائن ثنائي كبير الحجم باستخدام النموذج التالي.

az storage blob upload \
    --account-name <storage-account> \
    --container-name <container> \
    --file <file> \
    --name <file> \
    --encryption-scope <encryption-scope>

تغيير مفتاح التشفير لنطاق

لتغيير المفتاح الذي يحمي نطاق التشفير من مفتاح تديره Microsoft إلى مفتاح مدار من قبل العميل، تأكد أولا من تمكين المفاتيح المدارة من قبل العميل باستخدام Azure Key Vault أو Key Vault HSM لحساب التخزين. لمزيد من المعلومات، راجع تكوين التشفير باستخدام المفاتيح التي يديرها العميل المخزنة في Azure Key Vault أو تكوين التشفير باستخدام المفاتيح التي يديرها العميل المخزنة في Azure Key Vault.

بوابة

لتغيير المفتاح الذي يحمي نطاق في مدخل Microsoft Azure، اتبع الخطوات التالية:

1. انتقل إلى علامة التبويب نطاقات التشفير لعرض قائمة نطاقات التشفير لحساب التخزين.
2. حدد الزر المزيد بجوار النطاق الذي ترغب في تعديله.
3. في جزء تحرير نطاق التشفير ، يمكنك تغيير نوع التشفير من المفتاح المدار من Microsoft إلى المفتاح المدار بواسطة العميل أو العكس.
4. لتحديد مفتاح جديد يديره العميل، حدد استخدام مفتاح جديد وحدد مخزن المفاتيح والمفتاح وإصدار المفتاح.

بوويرشيل

لتغيير المفتاح الذي يحمي نطاق تشفير من مفتاح مدار من قبل العميل إلى مفتاح مدار من قبل Microsoft باستخدام PowerShell، قم باستدعاء الأمر Update-AzStorageEncryptionScope ومرر المعلمة -StorageEncryption :

Update-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName2 `
    -StorageEncryption

بعد ذلك، قم باستدعاء الأمر Update-AzStorageEncryptionScope ومرر -KeyUri المعلمات و -KeyvaultEncryption :

Update-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName1 `
    -KeyUri $keyUri `
    -KeyvaultEncryption

لتغيير المفتاح الذي يحمي نطاق تشفير من مفتاح مدار من قبل العميل إلى مفتاح مدار من قبل Microsoft باستخدام Azure CLI، قم باستدعاء الأمر az storage account encryption-scope update وقم بتمرير المعلمة --key-source بالقيمة Microsoft.Storage:

az storage account encryption-scope update \
    --account-name <storage-account> \
    --resource-group <resource-group>
    --name <encryption-scope> \
    --key-source Microsoft.Storage

بعد ذلك، قم باستدعاء الأمر az storage account encryption-scope update ، ومرر المعلمة --key-uri ، ومرر المعلمة --key-source بالقيمة Microsoft.KeyVault:

az storage account encryption-scope update \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --name <encryption-scope> \
    --key-source Microsoft.KeyVault \
    --key-uri <key-uri>

تعطيل نطاق التشفير

عطل أي نطاقات تشفير غير مطلوبة لتجنب الرسوم غير الضرورية. لمزيد من المعلومات، راجع الفوترة لنطاقات التشفير.

بوابة

لتعطيل نطاق تشفير في مدخل Microsoft Azure، انتقل إلى إعداد نطاقات التشفير لحساب التخزين، وحدد نطاق التشفير المطلوب، وحدد تعطيل.

بوويرشيل

لتعطيل نطاق تشفير باستخدام PowerShell، قم باستدعاء الأمر Update-AzStorageEncryptionScope وقم بتضمين المعلمة -State بقيمة disabled، كما هو موضح في المثال التالي. لإعادة تمكين نطاق تشفير، قم باستدعاء نفس الأمر مع تعيين المعلمة -State إلى enabled. تذكر استبدال قيم العنصر النائب في المثال بالقيم الخاصة بك:

Update-AzStorageEncryptionScope -ResourceGroupName $rgName `
    -StorageAccountName $accountName `
    -EncryptionScopeName $scopeName1 `
    -State disabled

لتعطيل نطاق تشفير باستخدام Azure CLI، قم باستدعاء الأمر az storage account encryption-scope update وقم بتضمين المعلمة --state بقيمة Disabled، كما هو موضح في المثال التالي. لإعادة تمكين نطاق تشفير، قم باستدعاء نفس الأمر مع تعيين المعلمة --state إلى Enabled. تذكر استبدال قيم العنصر النائب في المثال بالقيم الخاصة بك:

az storage account encryption-scope update \
    --account-name <storage-account> \
    --resource-group <resource-group> \
    --name <encryption-scope> \
    --state Disabled

هام

لا يمكن حذف نطاق تشفير. لتجنب التكاليف غير المتوقعة، تأكد من تعطيل أي نطاقات تشفير لا تحتاج إليها حاليا.

الخطوات التالية

• تشفير Azure Storage للبيانات الثابتة
• نطاقات التشفير لتخزين كائن ثنائي كبير الحجم
• المفاتيح التي يديرها العميل لتشفير Azure Storage
• تمكين تشفير البنية الأساسية للتشفير المزدوج للبيانات