تحرير

استخدم مدخل Microsoft Azure لتمكين التشفير من جانب الخادم باستخدام مفاتيح يديرها العميل للأقراص المدارة

  • الكيفية

ينطبق على: ✔️ أجهزة Linux الظاهرية ✔️ أجهزة Windows الظاهرية ✔️

يسمح لك Azure Disk Storage بإدارة المفاتيح الخاصة بك عند استخدام التشفير من جانب الخادم (SSE) للأقراص المدارة، إذا اخترت ذلك. للحصول على معلومات تصورية حول SSE مع المفاتيح المدارة من قبل العميل وأنواع تشفير الأقراص المدارة الأخرى، راجع قسم المفاتيح المدارة من قبل العميل في مقالة تشفير القرص: المفاتيح التي يديرها العميل

المتطلبات الأساسية

بلا

القيود

في الوقت الحالي، تخضع المفاتيح المُدارة بواسطة العميل للقيود التالية:

  • إذا تم تمكين هذه الميزة لقرص مع لقطات تزايدية، فلا يمكن تعطيلها على هذا القرص أو لقطاته. للتغلب على ذلك، انسخ جميع البيانات إلى قرص مدار مختلف تماما لا يستخدم مفاتيح يديرها العميل. يمكنك القيام بذلك إما باستخدام Azure CLI أو الوحدة النمطية Azure PowerShell.
  • يتم دعم برامج ومفاتيح HSM RSA بالأحجام 2048 بت و3072 بت و4096 بت فقط، دون أي مفاتيح أو أحجام أخرى.
    • تتطلب مفاتيح HSMالمستوى المتميز من مخازن Azure Key.
  • بالنسبة لأقراص Ultra وأقراص Premium SSD v2 فقط:
    • يجب تشفير النسخ المطابقة التي تم إنشاؤها من الأقراص المشفرة باستخدام تشفير من جانب الخادم والمفاتيح المُدارة بواسطة العميل بنفس المفاتيح المُدارة من قِبل العميل.
    • الهويات المدارة المعينة من قبل المستخدم غير مدعومة لأقراص Ultra Disks وأقراص Premium SSD v2 المشفرة باستخدام مفاتيح يديرها العميل.
  • يجب أن تكون معظم الموارد المتعلقة بالمفاتيح المُدارة بواسطة العميل (مجموعات تشفير الأقراص والأجهزة الظاهرية والأقراص والنسخ المطابقة) في نفس الاشتراك والمنطقة.
    • يمكن استخدام Azure Key Vaults من اشتراك مختلف ولكن يجب أن تكون في نفس المنطقة مثل مجموعة تشفير القرص. كمعاينة، يمكنك استخدام Azure Key Vaults من مستأجري Microsoft Entra مختلفين.
  • يمكن للأقراص المشفرة باستخدام مفاتيح يديرها العميل الانتقال إلى مجموعة موارد أخرى فقط إذا تم إلغاء تخصيص الجهاز الظاهري المرفق به.
  • لا يمكن نقل الأقراص واللقطات والصور المشفرة باستخدام مفاتيح يديرها العميل بين الاشتراكات.
  • لا يمكن تشفير الأقراص المدارة حاليا أو المشفرة مسبقا باستخدام تشفير قرص Azure باستخدام مفاتيح يديرها العميل.
  • يمكن فقط إنشاء ما يصل إلى 5000 مجموعة تشفير قرص لكل منطقة لكل اشتراك.
  • للحصول على معلومات حول استخدام المفاتيح المُدارة بواسطة العميل مع معارض الصور المشتركة، راجع معاينة: استخدام المفاتيح المُدارة بواسطة العميل لتشفير الصور.

تغطي الأقسام التالية كيفية تمكين المفاتيح المُدارة بواسطة العميل واستخدامها للأقراص المُدارة:

يتطلب إعداد المفاتيح التي يديرها العميل للأقراص إنشاء موارد بترتيب معين، إذا كنت تقوم بذلك للمرة الأولى. أولا، ستحتاج إلى إنشاء Azure Key Vault وإعداده.

إعداد Azure Key Vault الخاص بك

  1. قم بتسجيل الدخول إلى بوابة Azure.

  2. ابحث عن Key Vault وحددها.

    لقطة شاشة لمدخل Azure مع توسيع مربع حوار البحث.

    هام

    يجب أن يكون كل من مجموعة تشفير القرص والجهاز الظاهري والأقراص واللقطات في نفس المنطقة والاشتراك حتى نجاح عملية التوزيع. يمكن استخدام مخازن Azure Key من اشتراك مختلف ولكن يجب أن يكون في نفس المنطقة والمستأجر مثل مجموعة تشفير القرص.

  3. حدد +إنشاء لإنشاء Key Vault جديد.

  4. إنشاء مجموعة موارد جديدة.

  5. أدخل اسم Key Vault، وحدد منطقة، وحدد طبقة تسعير.

    إشعار

    عند إنشاء مثيل Key Vault، يجب تمكين الحماية من الحذف المبدئي والمسح. يضمن الحذف المبدئي أن Key Vault يحتوي على مفتاح محذوف لفترة استبقاء معينة (بشكل افتراضي لمدة 90 يوماً). تضمن الحماية من المسح عدم إمكانية حذف مفتاح محذوف نهائيًا حتى انقضاء فترة الاستبقاء. تحميك هذه الإعدادات من فقدان البيانات بسبب الحذف غير المقصود. هذه الإعدادات إلزامية عند استخدام Key Vault لتشفير الأقراص المُدارة.

  6. حدد مراجعة + إنشاء، وتحقق من اختياراتك، ثم حدد إنشاء.

    لقطة شاشة لتجربة إنشاء Azure Key Vault، تظهر القيم المعينة التي تقوم بإنشائها.

  7. بعد انتهاء المخزن الرئيسي من عملية التوزيع، حدده.

  8. حدد Keys ضمن Objects.

  9. حدد إنشاء/استيراد.

    لقطة شاشة لجزء إعدادات موارد Key Vault، تعرض زر الإنشاء/الاستيراد داخل الإعدادات.

  10. اترك كل من نوع المفتاح مضبوطاً على RSA وحجم مفتاح RSA مضبوطاً على 2048.

  11. املأ التحديدات المتبقية كما تريد، ثم حدد إنشاء.

    لقطة شاشة لجزء إنشاء مفتاح يظهر بمجرد تحديد زر الإنشاء/الاستيراد.

إضافة دور Azure RBAC

الآن بعد أن أنشأت المخزن الرئيسي Azure ومفتاح، يجب عليك إضافة دور Azure RBAC، حتى تتمكن من استخدام المخزن الرئيسي لـ Azure مع مجموعة تشفير القرص.

  1. حدد التحكم بالوصول وأضف دوراً.
  2. أضف إما أدوار مسؤول المخزن الرئيسي أو مالك أو مساهم.

إعداد مجموعة تشفير القرص

  1. ابحث عن مجموعات تشفير القرص وحددها.

  2. في جزء مجموعات تشفير القرص، حدد +إنشاء.

  3. حدد مجموعة الموارد الخاصة بك، واطلق اسم على مجموعة التشفير، وحدد نفس المنطقة مثل المخزن الرئيسي الخاص بك.

  4. بالنسبة إلى Encryption type، حدد Encryption at-rest with a customer-managed key.

    إشعار

    بعد إنشاء مجموعة تشفير قرص بنوع تشفير معين، لا يمكن تغييره. إذا كنت تريد استخدام نوع تشفير مختلف، فيجب عليك إنشاء مجموعة تشفير قرص جديدة.

  5. تأكد من تحديد Azure key vault والمفتاح المحدد.

  6. حدد المخزن الرئيسي والمفتاح الذي أنشأته مسبقا والإصدار.

  7. إذا كنت تريد تمكين التدوير التلقائي للمفاتيح المُدارة بواسطة العميل، فحدد التدوير التلقائي للمفاتيح.

  8. حدد Review + Create ثم Create.

    لقطة شاشة من جزء إنشاء تشفير القرص. توضح الاشتراك ومجموعة الموارد واسم مجموعة تشفير القرص والمنطقة والمخزن الرئيسي + محدد المفاتيح.

  9. انتقل إلى مجموعة تشفير القرص بمجرد نشرها، وحدد التنبيه المعروض.

    لقطة شاشة لمستخدم يحدد التنبيه

  10. سيؤدي ذلك إلى منح أذونات المخزن الرئيسي لمجموعة تشفير القرص.

    لقطة شاشة للتأكيد على منح الأذونات.

توزيع جهاز ظاهري

الآن بعد أن قمت بإنشاء وإعداد key vault ومجموعة تشفير القرص، يمكنك نشر جهاز ظاهري باستخدام التشفير. تشبه عملية توزيع الأجهزة الظاهرية عملية التوزيع القياسية، والاختلافات الوحيدة هي أنك تحتاج إلى توزيع الأجهزة الظاهرية في نفس المنطقة مثل مواردك الأخرى وتختار استخدام مفتاح مُدار بواسطة العميل.

  1. ابحث عن Virtual Machines وحدد + Create لإنشاء جهاز ظاهري.

  2. في الجزء Basic ، حدد نفس المنطقة مثل مجموعة تشفير القرص وAzure Key Vault.

  3. املأ القيم الأخرى في الجزء Basic كما تريد.

    لقطة شاشة لتجربة إنشاء الجهاز الظاهري، مع تمييز قيمة المنطقة.

  4. في جزء الأقراص، لإدارة المفاتيح، حدد مجموعة تشفير القرص وخزنة المفاتيح والمفتاح في القائمة المنسدلة.

  5. قم بإجراء التحديدات المتبقية كما تريد.

    لقطة شاشة لتجربة إنشاء الجهاز الظاهري وجزء الأقراص والمفتاح المدار من قبل العميل المحدد.

تمكين على قرص موجود

تنبيه

يتطلب تمكين تشفير القرص على أي أقراص متصلة بجهاز ظاهري إيقاف الجهاز الظاهري.

  1. انتقل إلى جهاز ظاهري في نفس المنطقة مثل إحدى مجموعات تشفير القرص.

  2. افتح الجهاز الظاهري وحدد إيقاف.

لقطة شاشة للتراكب الرئيسي لمثال الجهاز الظاهري، مع تمييز زر الإيقاف.

  1. بعد انتهاء إيقاف الجهاز الظاهري، حدد Disks، ثم حدد القرص الذي تريد تشفيره.

لقطة شاشة لمثال الجهاز الظاهري، مع فتح جزء الأقراص، يتم تمييز قرص نظام التشغيل، كقرص مثال يمكنك تحديده.

  1. حدد التشفير وضمن إدارة المفاتيح، حدد مخزن المفاتيح والمفتاح في القائمة المنسدلة، ضمن المفتاح المدار من قبل العميل.

  2. حدد حفظ.

لقطة شاشة لقرص نظام التشغيل المثال، جزء التشفير مفتوح، ويتم تحديد التشفير في حالة الثبات باستخدام مفتاح مدار من قبل العميل، بالإضافة إلى مثال Azure Key Vault.

  1. كرر هذه العملية لأي أقراص أخرى متصلة بالجهاز الظاهري الذي ترغب في تشفيره.

  2. عندما تنتهي الأقراص من التبديل إلى المفاتيح التي يديرها العميل، إذا لم تكن هناك أقراص مرفقة أخرى ترغب في تشفيرها، فابدأ تشغيل الجهاز الظاهري.

هام

تعتمد المفاتيح التي يديرها العميل على الهويات المدارة لموارد Azure، وهي ميزة من ميزات معرف Microsoft Entra. عندما تقوم بتكوين المفاتيح المُدارة بواسطة العميل، يتم تعيين هوية مُدارة تلقائياً لمواردك ضمن الأغلفة. إذا قمت بعد ذلك بنقل الاشتراك أو مجموعة الموارد أو القرص المدار من دليل Microsoft Entra إلى دليل آخر، فلن يتم نقل الهوية المدارة المقترنة بالأقراص المدارة إلى المستأجر الجديد، لذلك قد لا تعمل المفاتيح التي يديرها العميل. لمزيد من المعلومات، راجع نقل اشتراك بين دلائل Microsoft Entra.

تمكين التدوير التلقائي للمفاتيح على مجموعة تشفير قرص حالية

  1. انتقل إلى مجموعة تشفير القرص التي تريد تمكين التدوير التلقائي للمفاتيح عليها.

  2. ضمن الإعدادات، حددالأمان.

  3. حدد التدوير التلقائي للمفتاح وحدد حفظ.

المحتوى ذو الصلة