إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
Azure Key Vault Managed HSM هي خدمة سحابية مدارة بالكامل ومتاحة بشكل كبير ومستأجر واحد ومتوافقة مع المعايير تمكنك من حماية مفاتيح التشفير لتطبيقاتك السحابية باستخدام وحدات HSM التي تم التحقق من صحتها من FIPS 140-2 المستوى 3. إذا كنت ترغب في معرفة المزيد حول Azure Key Vault Managed HSM، فقد تحتاج إلى مراجعة: ما هو HSM المدار من Azure Key Vault؟
توفر @azure/keyvault-admin الحزمة الدعم لمهام Key Vault الإدارية مثل النسخ الاحتياطي الكامل / الاستعادة والتحكم في الوصول المستند إلى الدور على مستوى المفتاح (RBAC).
ملاحظة: تعمل مكتبة الإدارة فقط مع Azure Key Vault Managed HSM - ستفشل الوظائف التي تستهدف Key Vault.
ملاحظة: لا يمكن استخدام هذه الحزمة في المستعرض بسبب قيود خدمة Azure Key Vault، يرجى الرجوع إلى هذا المستند للحصول على إرشادات.
الارتباطات الرئيسية:
- التعليمات البرمجية المصدر
- حزمة
(npm) - الوثائق المرجعية لواجهة برمجة التطبيقات
- وثائق
Product - العينات
الشروع في العمل
تثبيت الحزمة
تثبيت مكتبة عميل إدارة Azure Key Vault ل JavaScript وTypeScript مع NPM:
npm install @azure/keyvault-admin
تكوين TypeScript
يحتاج مستخدمو TypeScript إلى تثبيت تعريفات نوع العقدة:
npm install @types/node
تحتاج أيضا إلى تمكين compilerOptions.allowSyntheticDefaultImports في tsconfig.json. لاحظ أنه إذا قمت بتمكين compilerOptions.esModuleInterop، يتم تمكين allowSyntheticDefaultImports بشكل افتراضي. راجع دليل خيارات المحول البرمجي TypeScript للحصول على مزيد من المعلومات.
البيئات المدعومة حاليا
- إصدارات LTS من Node.js
المتطلبات الأساسية
- اشتراك Azure
- HSM المدارةKey Vault. إذا كنت بحاجة إلى إنشاء HSM مدار، يمكنك القيام بذلك باستخدام Azure CLI باتباع الخطوات الواردة في هذا المستند.
مصادقة العميل
للتفاعل مع خدمة Azure Key Vault، ستحتاج إلى إنشاء مثيل إما لفئة KeyVaultAccessControlClient أو فئة KeyVaultBackupClient، بالإضافة إلى عنوان url لمخزن (والذي قد تراه على أنه "اسم DNS" في مدخل Microsoft Azure) وكائن بيانات اعتماد. تستخدم الأمثلة الموضحة في هذا المستند كائن بيانات اعتماد يسمى DefaultAzureCredential، وهو مناسب لمعظم السيناريوهات، بما في ذلك بيئات التطوير والإنتاج المحلية. بالإضافة إلى ذلك، نوصي باستخدام هوية مدارة للمصادقة في بيئات الإنتاج.
يمكنك العثور على مزيد من المعلومات حول الطرق المختلفة للمصادقة وأنواع بيانات الاعتماد المقابلة لها في وثائق Azure Identity.
إنشاء KeyVaultAccessControlClient
بمجرد المصادقة باستخدام أسلوب المصادقة الذي يناسبك على أفضل، يمكنك إنشاء KeyVaultAccessControlClient على النحو التالي، واستبداله في عنوان URL المدار ل HSM في المنشئ:
import { DefaultAzureCredential } from "@azure/identity";
import { KeyVaultAccessControlClient } from "@azure/keyvault-admin";
const vaultUrl = `https://<MY KEY VAULT HERE>.vault.azure.net`;
const credentials = new DefaultAzureCredential();
const client = new KeyVaultAccessControlClient(vaultUrl, credentials);
إنشاء KeyVaultBackupClient
بمجرد المصادقة باستخدام أسلوب المصادقة الذي يناسبك على أفضل، يمكنك إنشاء KeyVaultBackupClient على النحو التالي، واستبداله في عنوان URL المدار ل HSM في المنشئ:
import { DefaultAzureCredential } from "@azure/identity";
import { KeyVaultBackupClient } from "@azure/keyvault-admin";
const vaultUrl = `https://<MY KEY VAULT HERE>.vault.azure.net`;
const credentials = new DefaultAzureCredential();
const client = new KeyVaultBackupClient(vaultUrl, credentials);
المفاهيم الرئيسية
تعريف KeyVaultRole
تعريف الدور هو مجموعة من الأذونات. يحدد تعريف الدور العمليات التي يمكن تنفيذها، مثل القراءة والكتابة والحذف. يمكنه أيضا تعريف العمليات المستبعدة من العمليات المسموح بها.
يمكن سرد تعريفات الأدوار وتحديدها كجزء من KeyVaultRoleAssignment.
تعيين KeyVaultRole
تعيين الدور هو اقتران تعريف الدور بكيان خدمة. يمكن إنشاؤها وإدراجها وإحضارها بشكل فردي وحذفها.
KeyVaultAccessControlClient
يوفر KeyVaultAccessControlClient عمليات تسمح بإدارة تعريفات الأدوار (مثيلات KeyVaultRoleDefinition) وتعيينات الأدوار (مثيلات KeyVaultRoleAssignment).
KeyVaultBackupClient
يوفر KeyVaultBackupClient عمليات لإجراء النسخ الاحتياطية الكاملة للمفتاح واستعادة المفتاح الكامل واستعادة المفاتيح الانتقائية.
عمليات تشغيل طويلة الأمد
قد تستغرق العمليات التي يقوم بها KeyVaultBackupClient أكبر قدر من الوقت حسب الحاجة من قبل موارد Azure، مما يتطلب من طبقة العميل تعقب العمليات وتسلسلها واستئنافها خلال دورة حياة البرامج التي تنتظر انتهاءها. ويتم ذلك عن طريق تجريد مشترك من خلال حزمة @azure /core-lro.
يقدم KeyVaultBackupClient ثلاث طرق تنفذ عمليات طويلة الأمد:
-
beginBackup، يبدأ في إنشاء نسخة احتياطية من Azure Key Vault Managed HSM على حساب Storage Blob المحدد. -
beginRestore، يبدأ في استعادة جميع المواد الرئيسية باستخدام رمز SAS المميز الذي يشير إلى مجلد النسخ الاحتياطي لتخزين Azure Blob المخزن مسبقا. -
beginSelectiveRestore، يبدأ في استعادة جميع الإصدارات الرئيسية لمفتاح معين باستخدام رمز SAS المميز الذي يوفره المستخدم يشير إلى مجلد النسخ الاحتياطي لتخزين Azure Blob المخزن مسبقا.
الأساليب التي تبدأ عمليات طويلة الأمد ترجع الاستقصاء الذي يسمح لك بالانتظار إلى أجل غير مسمى حتى تكتمل العملية. تتوفر المزيد من المعلومات في الأمثلة أدناه.
امثله
لدينا عينات في كل من JavaScript وTypeScript تظهر ميزات التحكم في الوصول والنسخ الاحتياطي/الاستعادة في هذه الحزمة. يرجى اتباع readmes المقابلة للحصول على خطوات مفصلة لتشغيل العينات.
استكشاف الأخطاء وإصلاحها
راجع دليل استكشاف الأخطاء وإصلاحها للحصول على تفاصيل حول كيفية تشخيص سيناريوهات الفشل المختلفة.
قد يساعد تمكين التسجيل في الكشف عن معلومات مفيدة حول حالات الفشل. لمشاهدة سجل طلبات واستجابات HTTP، قم بتعيين متغير البيئة AZURE_LOG_LEVEL إلى info. بدلا من ذلك، يمكن تمكين التسجيل في وقت التشغيل عن طريق استدعاء setLogLevel في @azure/logger:
import { setLogLevel } from "@azure/logger";
setLogLevel("info");
الخطوات التالية
يمكنك العثور على المزيد من نماذج التعليمات البرمجية من خلال الارتباطات التالية:
المساهمه
إذا كنت ترغب في المساهمة في هذه المكتبة، فيرجى قراءة دليل المساهمة لمعرفة المزيد حول كيفية إنشاء التعليمات البرمجية واختبارها.
التعاون معنا على GitHub
يمكن العثور على مصدر هذا المحتوى على GitHub حيث يمكنك أيضاً إضافة مشاكل وطلبات سحب ومراجعتها. للحصول على معلومات إضافية، اطلع على دليل المساهم لدينا.
Azure SDK for JavaScript