نطاقات التشفير لتخزين كائن ثنائي كبير الحجم
تمكنك نطاقات التشفير من إدارة التشفير باستخدام مفتاح يتم تحديد نطاقه إلى حاوية أو كائن ثنائي كبير الحجم فردي. يمكنك استخدام نطاقات التشفير لإنشاء حدود آمنة بين البيانات الموجودة في حساب التخزين نفسه ولكنها تنتمي إلى عملاء مختلفين.
لمزيد من المعلومات حول العمل مع نطاقات التشفير، راجع إنشاء وإدارة نطاقات التشفير .
كيفية عمل نطاقات التشفير
افتراضياً، يتم تشفير حساب التخزين بمفتاح يتم تحديد نطاقه لحساب التخزين بأكمله. عندما تحدد نطاق تشفير، فإنك تحدد مفتاحًا قد يتم تحديده إلى حاوية أو كائن ثنائي كبير الحجم فردي. عندما يتم تطبيق نطاق التشفير على كائن ثنائي كبير الحجم، يتم تشفير الكائن الثنائي كبير الحجم بهذا المفتاح. عندما يتم تطبيق نطاق التشفير على حاوية، فإنه يعمل كنطاق افتراضي للكائنات الثنائية كبيرة الحجم في تلك الحاوية، بحيث يمكن تشفير جميع الكائنات الثنائية كبيرة الحجم التي يتم تحميلها إلى تلك الحاوية بنفس المفتاح. يمكن تكوين الحاوية لفرض نطاق التشفير الافتراضي لجميع الكائنات الثنائية كبيرة الحجم في الحاوية، أو للسماح بتحميل كائن ثنائي كبير الحجم فردي إلى الحاوية بنطاق تشفير آخر غير الافتراضي.
تحدث عمليات القراءة على كائن ثنائي كبير الحجم تم إنشاؤه باستخدام نطاق تشفير بشفافية، طالما لم يتم تعطيل نطاق التشفير.
إدارة المفاتيح
عند تحديد نطاق تشفير، يمكنك تحديد ما إذا كان النطاق محميًا بمفتاح تديره Microsoft أو بمفتاح يديره العميل يتم تخزينه في Azure Key Vault. يمكن لنطاقات التشفير المختلفة على حساب التخزين نفسه استخدام المفاتيح التي تديرها Microsoft أو يديرها العملاء. يمكنك أيضًا تبديل نوع المفتاح المستخدم لحماية نطاق التشفير من مفتاح يديره العميل إلى مفتاح تديره Microsoft، أو العكس، في أي وقت. لمزيد من المعلومات حول المفاتيح التي يديرها العملاء، راجع المفاتيح التي يديرها العملاء لتشفير Azure Storage . لمزيد من المعلومات حول المفاتيح التي تديرها Microsoft، راجع حول إدارة مفاتيح التشفير .
إذا قمت بتحديد نطاق تشفير باستخدام مفتاح يديره العميل، فيمكنك اختيار تحديث إصدار المفتاح إما تلقائيًا أو يدويًا. إذا اخترت تحديث إصدار المفتاح تلقائيًا، فإن Azure Storage تتحقق من مخزن المفتاح أو HSM المدارة يوميًا للحصول على إصدار جديد من المفتاح الذي يديره العميل وتقوم تلقائيًا بتحديث مفتاح أحدث إصدار. لمزيد من المعلومات حول تحديث الإصدار الرئيسي لمفتاح يديره العميل، راجع تحديث الإصدار الرئيسي .
توفر سياسة Azure سياسة مدمجة تتطلب أن تستخدم نطاقات التشفير المفاتيح التي يديرها العملاء. لمزيد من المعلومات، راجع قسم التخزين المتعلق بـتعريفات النهج المضمنة الخاصة بنهج Azure .
قد يحتوي حساب التخزين على ما يصل إلى 10000 نطاق تشفير محمي بمفاتيح يديرها العملاء ويتم تحديث الإصدار الرئيسي لها تلقائيًا. إذا كان حساب التخزين خاصتك يحتوي بالفعل على 10000 نطاق تشفير محمي بالمفاتيح التي يديرها العملاء والتي يتم تحديثها تلقائيًا، فيجب تحديث إصدار المفتاح يدويًا لأي نطاقات تشفير إضافية محمية بالمفاتيح التي يديرها العملاء.
تشفير البنية الأساسية
يتيح تشفير البنية الأساسية في Azure Storage التشفير المزدوج للبيانات. مع تشفير البنية الأساسية، يتم تشفير البيانات مرتين — مرة واحدة على مستوى الخدمة ومرة واحدة على مستوى البنية التحتية — باستخدام خوارزميتي تشفير مختلفتين ومفتاحين مختلفين.
يتم دعم تشفير البنية الأساسية لنطاق التشفير، وكذلك على مستوى حساب التخزين. إذا تم تمكين تشفير البنية الأساسية لحساب ما، فإن أي نطاق تشفير يتم إنشاؤه على هذا الحساب يستخدم تلقائيًا تشفير البنية التحتية. إذا لم يتم تمكين تشفير البنية الأساسية على مستوى الحساب، فلديك خيار تمكينه لنطاق تشفير في الوقت الذي تقوم فيه بإنشاء النطاق. لا يمكن تغيير إعداد تشفير البنية الأساسية لنطاق التشفير بعد إنشاء النطاق.
لمزيد من المعلومات حول تشفير البنية الأساسية، راجع تمكين تشفير البنية الأساسية للحصول على تشفير مزدوج للبيانات.
نطاقات التشفير للحاويات والكائنات الثنائية كبيرة الحجم
عند إنشاء حاوية، يمكنك تحديد نطاق تشفير افتراضي للكائنات الثنائية كبيرة الحجم التي يتم تحميلها لاحقًا إلى تلك الحاوية. عند تحديد نطاق تشفير افتراضي للحاوية، يمكنك تحديد كيفية فرض نطاق التشفير الافتراضي:
- يمكنك أن تطلب من جميع الكائنات الثنائية كبيرة الحجم التي تم تحميلها إلى الحاوية استخدام نطاق التشفير الافتراضي. في هذه الحالة، يتم تشفير كل كائن ثنائي كبير الحجم في الحاوية بنفس المفتاح.
- يمكنك السماح للعميل بمنع نطاق التشفير الافتراضي للحاوية، بحيث يمكن تحميل كائن ثنائي كبير الحجم بنطاق تشفير آخر غير النطاق الافتراضي. في هذه الحالة، قد يتم تشفير الكائنات الثنائية كبيرة الحجم الموجودة في الحاوية بمفاتيح مختلفة.
يلخص الجدول التالي سلوك عملية تحميل كائن ثنائي كبير الحجم، اعتمادًا على كيفية تكوين نطاق التشفير الافتراضي للحاوية:
| نطاق التشفير المحدد على الحاوية هو... | جارٍ تحميل نقطة بنطاق التشفير الافتراضي... | جارٍ تحميل كائن ثنائي كبير الحجم بنطاق تشفير آخر غير النطاق الافتراضي... |
|---|---|---|
| نطاق تشفير افتراضي مع تجاوز مسموح به | ينجح | ينجح |
| نطاق تشفير افتراضي مع حظر التجاوزات | ينجح | يفشل |
يجب تحديد نطاق تشفير افتراضي للحاوية في وقت إنشاء الحاوية.
إذا لم يتم تحديد نطاق تشفير افتراضي للحاوية، فيمكنك تحميل كائن ثنائي كبير الحجم باستخدام أي نطاق تشفير قمت بتحديده لحساب التخزين. يجب تحديد نطاق التشفير في وقت تحميل الكائن الثنائي كبير الحجم.
إشعار
عند تحميل كائن ثنائي كبير الحجم جديد مع نطاق تشفير، لا يمكنك تغيير طبقة الوصول الافتراضية لهذا الكائن الثنائي كبير الحجم. لا يمكنك أيضًا تغيير طبقة التخزين للكائن الثنائي كبير الحجم الموجود الذي يستخدم نطاق تشفير. لمزيد من المعلومات حول طبقات الوصول، راجع طبقات الوصول الساخن والرائع والأرشيف لبيانات البيانات الثنائية الكبيرة .
تعطيل نطاق تشفير
عند تعطيل نطاق التشفير، ستفشل أي عمليات قراءة أو كتابة لاحقة تتم باستخدام نطاق التشفير باستخدام رمز الخطأ HTTP 403 (ممنوع). إذا قمت بإعادة تمكين نطاق التشفير، فستستمر عمليات القراءة والكتابة بشكل طبيعي مرة أخرى.
إذا كان نطاق التشفير خاصتك محميًا بمفتاح يديره العميل، وقمت بإلغاء المفتاح الموجود في مخزن المفتاح، فستصبح البيانات غير قابلة للوصول. تأكد من تعطيل نطاق التشفير قبل إلغاء المفتاح الموجود في مخزن المفاتيح لتجنب فرض رسوم على نطاق التشفير.
ضع في اعتبارك أن المفاتيح التي يديرها العملاء محمية بواسطة الحماية من الحذف والمسح المبدئي في مخزن المفاتيح، ويخضع المفتاح المحذوف للسلوك المحدد من قبل تلك الخصائص. لمزيد من المعلومات، راجع أحد الموضوعات التالية في وثائق Azure Key Vault:
هام
لا يمكن حذف نطاق تشفير.
الفوترة لنطاقات التشفير
عند تمكين نطاق تشفير، تتم محاسبتك لمدة لا تقل عن 30 يوما. بعد 30 يوما، يتم توزيع رسوم نطاق التشفير على أساس كل ساعة.
بعد تمكين نطاق التشفير، إذا قمت بتعطيله في غضون 30 يوما، فلا تزال تتم محاسبتك لمدة 30 يوما. إذا قمت بتعطيل نطاق التشفير بعد 30 يوما، فستتم محاسبتك على تلك الأيام ال 30 بالإضافة إلى عدد الساعات التي كان فيها نطاق التشفير ساري المفعول بعد 30 يوما.
عطل أي نطاقات تشفير غير مطلوبة لتجنب الرسوم غير الضرورية.
للتعرف على أسعار نطاقات التشفير، راجع تسعير Blob Storage.
دعم الميزة
قد يتأثر دعم هذه الميزة بتمكين Data Lake Storage Gen2 أو بروتوكول نظام ملفات الشبكة (NFS) 3.0 أو بروتوكول نقل ملفات SSH (SFTP). إذا قمت بتمكين أي من هذه الإمكانات، فراجع دعم ميزة Blob Storage في حسابات Azure Storage لتقييم الدعم لهذه الميزة.