تكوين التشفير باستخدام المفاتيح المدارة من بواسطة العميل المخزنة في Azure Key Vault HSM المدار

يقوم Azure Storage بتشفير كافة البيانات الثابتة في حساب تخزين. بشكل افتراضي، يتم تشفير البيانات باستخدام المفاتيح المُدارة من قِبل Microsoft. لمزيد من التحكم في مفاتيح التشفير، تستطيع إدارة المفاتيح الخاصة بك. يجب تخزين المفاتيح المدارة من بواسطة العميل في Azure Key Vault أو Key Vault نموذج أمان الأجهزة المدارة (HSM). إن HSM المدار Key Vault Azure هو نظام HSM تم التحقق من صحته من المستوى 3 مطابقًا لمعيار FIPS 140-2.

توضح هذه المقالة كيفية تكوين التشفير باستخدام المفاتيح المدارة من قبل العميل المخزنة في HSM مدار بواسطة Azure CLI. لمعرفة كيفية تكوين التشفير باستخدام المفاتيح المدارة من قبل العميل المخزنة في مخزن مفاتيح، راجع التكوين الخاص بالتشفير باستخدام المفاتيح المدارة من قبل العميل المخزنة في Azure Key Vault.

ملاحظة

يدعم Azure Key Vault وAzure Key Vault Managed HSM نفس واجهات برمجة التطبيقات والواجهات الخاصة بإدارة لتكوين.

تعيين هوية إلى حساب التخزين

أولا، تعيين هوية مدارة معينة من قبل النظام إلى حساب التخزين. ستستخدم هذه الهوية المدارة لمنح أذونات حساب التخزين للوصول إلى HSM المدارة. لمزيد من المعلومات حول الهويات المدارة المعينة من قبل النظام، راجع ما هي الهويات المدارة لموارد Azure؟.

لتعيين هوية مدارة باستخدام Azure CLI، اتصل بتحديث حساب تخزين az. تذكَّر استبدال قيم العناصر النائبة في الأقواس بالقيم الخاصة بك.

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --assign-identity

تعيين دور الخاص بحساب التخزين للوصول إلى HSM المدار

بعد ذلك، قم بتعيين دور مستخدم تشفير خدمة تشفير HSM المدار إلى الهوية المدارة الخاصة بحساب التخزين بحيث يكون لحساب التخزين أذونات ل HSM المدار. تنصح Microsoft بتوسيع نطاق تعيين الدور إلى مستوى المفتاح الفردي من أجل منح أقل عدد ممكن من الامتيازات للهوية المدارة.

لإنشاء تعيين الدور لحساب التخزين، اتصل بإنشاء مفتاح تعيين دور المخزن الرئيسي. تذكَّر استبدال قيم العناصر النائبة في الأقواس بقيمك.

storage_account_principal = $(az storage account show \
    --name <storage-account> \
    --resource-group <resource-group> \
    --query identity.principalId \
    --output tsv)

az keyvault role assignment create \
    --hsm-name <hsm-name> \
    --role "Managed HSM Crypto Service Encryption User" \
    --assignee $storage_account_principal \
    --scope /keys/<key-name>

عملية تكوين التشفير باستخدام مفتاح في HSM المدار

وأخيرا، قم بتكوين تشفير تخزين Azure باستخدام المفاتيح المدارة من بواسطة العميل لاستخدام مفتاح مخزن في HSM المدار. تحتوي أنواع المفاتيح المدعومة مفاتيح RSA-HSM ذات الأحجام 2048 و3072 و4096. لمعرفة كيفية إنشاء مفتاح في HSM مُدار، راجع إنشاء مفتاح HSM .

قم بتثبيت Azure CLI 2.12.0 أو إصدار أحدث لتكوين التشفير لاستخدام المفتاح المدار من قبل العميل في HSM مدار. لمزيد من المعلومات، راجع ⁧⁩تثبيت Azure CLI⁧⁩.

لتحديث إصدار المفتاح لمفتاح مدار من قبل العميل تلقائيا، احذف إصدار المفتاح عند تكوين التشفير باستخدام المفاتيح التي يديرها العميل الخاصة بحساب التخزين. لمزيد من المعلومات حول تكوين التشفير للتناوب التلقائي للمفتاح، راجع تحديث إصدار المفتاح.

بعد هذا، بادر باستدعاء az تحديث حساب التخزين لتحديث إعدادات تشفير حساب التخزين، كما هو موضح في المثال التالي. قم بتضمين --encryption-key-source parameter المفتاح وتعيينه Microsoft.Keyvault لتمكين المفاتيح التي يديرها العميل الخاص بالحساب. تذكَّر استبدال قيم العناصر النائبة في الأقواس بقيمك.

hsmurl = $(az keyvault show \
    --hsm-name <hsm-name> \
    --query properties.hsmUri \
    --output tsv)

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-name <key> \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $hsmurl

لتحديث إصدار مفتاح مدار من قبل العميل يدويا، قم بتضمين إصدار المفتاح عند تكوين التشفير الخاص بحساب التخزين:

az storage account update
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-name <key> \
    --encryption-key-version $key_version \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $hsmurl

عند التحديث إلى الإصدار الرئيسي يدويا، ستحتاج إلى تحديث إعدادات تشفير حساب التخزين لاستخدام الإصدار الجديد. أولاً ، استعلم عن Key vault URI باستدعاء az keyvault show ، وللإصدار الرئيسي عن طريق استدعاء az keyvault key-members . ثم اتصل بـ تحديث حساب التخزين من az لتحديث إعدادات تشفير حساب التخزين لاستخدام الإصدار الجديد من المفتاح ، كما هو موضح في المثال السابق.

الخطوات التالية