تكوين التشفير باستخدام المفاتيح التي يديرها العميل المُخزنة في Azure Key Vault Managed HSM
يقوم Azure Storage بتشفير كافة البيانات الثابتة في حساب تخزين. بشكل افتراضي، يتم تشفير البيانات باستخدام المفاتيح المُدارة من قِبل Microsoft. لمزيد من التحكم في مفاتيح التشفير، يمكنك إدارة المفاتيح الخاصة بك. يجب تخزين المفاتيح المدارة من بواسطة العميل في Azure Key Vault أو Key Vault نموذج أمان الأجهزة المدارة (HSM). إن HSM المدار Key Vault Azure هو نظام HSM تم التحقق من صحته من المستوى 3 مطابقًا لمعيار FIPS 140-2.
توضح هذه المقالة كيفية تكوين التشفير باستخدام المفاتيح المدارة من قبل العميل المخزنة في HSM مدار بواسطة Azure CLI. لمعرفة كيفية تكوين التشفير باستخدام المفاتيح المدارة من قبل العميل المخزنة في مخزن مفاتيح، راجع التكوين الخاص بالتشفير باستخدام المفاتيح المدارة من قبل العميل المخزنة في Azure Key Vault.
إشعار
يدعم Azure Key Vault وAzure Key Vault Managed HSM نفس واجهات برمجة التطبيقات والواجهات الخاصة بإدارة لتكوين.
تعيين هوية إلى حساب التخزين
أولا، تعيين هوية مدارة معينة من قبل النظام إلى حساب التخزين. ستستخدم هذه الهوية المدارة لمنح أذونات حساب التخزين للوصول إلى HSM المدارة. لمزيد من المعلومات حول الهويات المدارة المعينة من قبل النظام، راجع ما هي الهويات المدارة لموارد Azure؟.
لتعيين هوية مدارة باستخدام Azure CLI، اتصل بتحديث حساب تخزين az. تذكَّر استبدال قيم العناصر النائبة في الأقواس بالقيم الخاصة بك:
az storage account update \
--name <storage-account> \
--resource-group <resource_group> \
--assign-identity
تعيين دور الخاص بحساب التخزين للوصول إلى HSM المدار
بعد ذلك، قم بتعيين دور مستخدم تشفير خدمة تشفير HSM المدار إلى الهوية المدارة الخاصة بحساب التخزين بحيث يكون لحساب التخزين أذونات ل HSM المدار. تنصح Microsoft بتوسيع نطاق تعيين الدور إلى مستوى المفتاح الفردي من أجل منح أقل عدد ممكن من الامتيازات للهوية المدارة.
لإنشاء تعيين الدور لحساب التخزين، اتصل بإنشاء مفتاح تعيين دور المخزن الرئيسي. تذكَّر استبدال قيم العناصر النائبة في الأقواس بقيمك.
storage_account_principal = $(az storage account show \
--name <storage-account> \
--resource-group <resource-group> \
--query identity.principalId \
--output tsv)
az keyvault role assignment create \
--hsm-name <hsm-name> \
--role "Managed HSM Crypto Service Encryption User" \
--assignee $storage_account_principal \
--scope /keys/<key-name>
عملية تكوين التشفير باستخدام مفتاح في HSM المدار
وأخيرا، قم بتكوين تشفير تخزين Azure باستخدام المفاتيح المدارة من بواسطة العميل لاستخدام مفتاح مخزن في HSM المدار. تحتوي أنواع المفاتيح المدعومة مفاتيح RSA-HSM ذات الأحجام 2048 و3072 و4096. لمعرفة كيفية إنشاء مفتاح في HSM مُدار، راجع إنشاء مفتاح HSM .
قم بتثبيت Azure CLI 2.12.0 أو إصدار أحدث لتكوين التشفير لاستخدام المفتاح المدار من قبل العميل في HSM مدار. لمزيد من المعلومات، اطلع على تثبيت Azure CLI.
لتحديث إصدار المفتاح لمفتاح مدار من قبل العميل تلقائيا، احذف إصدار المفتاح عند تكوين التشفير باستخدام المفاتيح التي يديرها العميل الخاصة بحساب التخزين. لمزيد من المعلومات حول تكوين التشفير للتناوب التلقائي للمفتاح، راجع تحديث إصدار المفتاح.
بعد هذا، بادر باستدعاء az تحديث حساب التخزين لتحديث إعدادات تشفير حساب التخزين، كما هو موضح في المثال التالي. قم بتضمين --encryption-key-source parameter المفتاح وتعيينه Microsoft.Keyvault لتمكين المفاتيح التي يديرها العميل الخاص بالحساب. تذكَّر استبدال قيم العناصر النائبة في الأقواس بقيمك.
hsmurl = $(az keyvault show \
--hsm-name <hsm-name> \
--query properties.hsmUri \
--output tsv)
az storage account update \
--name <storage-account> \
--resource-group <resource_group> \
--encryption-key-name <key> \
--encryption-key-source Microsoft.Keyvault \
--encryption-key-vault $hsmurl
لتحديث إصدار مفتاح مدار من قبل العميل يدويا، قم بتضمين إصدار المفتاح عند تكوين التشفير الخاص بحساب التخزين:
az storage account update
--name <storage-account> \
--resource-group <resource_group> \
--encryption-key-name <key> \
--encryption-key-version $key_version \
--encryption-key-source Microsoft.Keyvault \
--encryption-key-vault $hsmurl
عند التحديث إلى الإصدار الرئيسي يدويا، ستحتاج إلى تحديث إعدادات تشفير حساب التخزين لاستخدام الإصدار الجديد. أولاً، استعلم عن عنوان URI لمخزن المفاتيح باستدعاء az keyvault show، ولإصدار المفتاح عن طريق استدعاء az keyvault key list-versions. ثم اتصل بـ تحديث حساب التخزين من az لتحديث إعدادات تشفير حساب التخزين لاستخدام الإصدار الجديد من المفتاح ، كما هو موضح في المثال السابق.