تشفير البيانات لـ Azure Database for MySQL باستخدام مدخل Azure
تُطبق على: قاعدة بيانات Azure للخادم الوحيد الخاص بـ MySQL
هام
قاعدة بيانات Azure لخادم MySQL الفردي على مسار الإيقاف. نوصي بشدة بالترقية إلى قاعدة بيانات Azure لخادم MySQL المرن. لمزيد من المعلومات حول الترحيل إلى خادم Azure Database for MySQL المرن، راجع ما الذي يحدث لقاعدة بيانات Azure لخادم MySQL الفردي؟
تعرّف على كيفية استخدام مدخل Azure لإعداد وإدارة تشفير البيانات لـ Azure Database for MySQL.
المتطلبات الأساسية ل Azure CLI
يجب أن يكون لديك اشتراك Azure وأن تكون مسؤولاً في هذا الاشتراك.
في Azure Key Vault، قم بإنشاء مخزن مفاتيح ومفتاح لاستخدامه لمفتاح يديره العميل.
يجب أن يكون لمخزن المفاتيح الخصائص التالية لاستخدامها كمفتاح يديره العميل:
-
az resource update --id $(az keyvault show --name \ <key_vault_name> -o tsv | awk '{print $1}') --set \ properties.enableSoftDelete=true
-
az keyvault update --name <key_vault_name> --resource-group <resource_group_name> --enable-purge-protection true
تعيين أيام الاستبقاء إلى 90 يومًا
az keyvault update --name <key_vault_name> --resource-group <resource_group_name> --retention-days 90
-
ينبغي أن يحتوي المفتاح على السمات التالية لاستخدامها كمفتاح يديره العميل:
- لا تاريخ لانتهاء الصلاحية
- لا المعاقين
- تنفيذ عمليات get و wrap و unwrap
- تم تعيين سمة recoveryylevel على Recoverable (يتطلب هذا تمكين الحذف المبدئي مع تعيين فترة الاحتفاظ على 90 يوماً)
- تمكين الحماية من المسح
بإمكانك التحقق من السمات أعلاه للمفتاح باستخدام الأمر التالي:
az keyvault key show --vault-name <key_vault_name> -n <key_name>
يجب أن تكون قاعدة بيانات Azure لـ MySQL - خادم فردي في فئة تسعير للأغراض العامة أو الذاكرة المحسّنة وعلى تخزين للأغراض العامة v2.0. قبل المُتابعة، راجع قيود تشفير البيانات باستخدام المفاتيح التي يديرها العميل.
تعيين الأذونات المناسبة للعمليات الرئيسية
في Key Vault، حدد نُهج الوصول>إضافة نهج الوصول.
حدد أذونات المفاتيح، وحدد Get وWrap وUnwrap والكيان، وهو اسم خادم MySQL. إذا تعذر العثور على كيان الخادم الخاص بك في قائمة الكيانات الموجودة، فستحتاج إلى تسجيله. ستتم مطالبتك بتسجيل كيان الخادم عند محاولة إعداد تشفير البيانات للمرة الأولى، وتم الفشل.
حدد حفظ.
عيّن تشفير البيانات لـ Azure Database for MySQL
في Azure Database for MySQL، حدد تشفير البيانات لإعداد المفتاح الذي يديره العميل.
يمكنك إما تحديد مخزن مفاتيح وزوج مفاتيح، أو إدخال معرف مفتاح.
حدد حفظ.
لضمان تشفير جميع الملفات (بما في ذلك الملفات المؤقتة) بشكل كامل، أعد تشغيل الخادم.
استخدام تشفير البيانات للاستعادة أو لخوادم النسخ المتماثل
بعد تشفير Azure Database for MySQL باستخدام المفتاح الذي يديره العميل المخزن في Key Vault، يتم أيضاً تشفير أي نسخة تم إنشاؤها حديثاً من الخادم. يمكنك عمل هذه النسخة الجديدة إما من خلال عملية محلية أو عملية استعادة جغرافية، أو من خلال عملية نسخة متماثلة (محلية / عبر منطقة). لذلك بالنسبة لخادم MySQL المشفر، بإمكانك استخدام الخطوات التالية لإنشاء خادم مشفر تم استعادته.
على الخادم الخاص بك، حدد نظرة عامة>استعادة.
أو بالنسبة للخادم الذي تم تمكين النسخ المتماثل عليه، ضمن العنوان الإعدادات، حدد النسخ المتماثل.
بعد اكتمال عملية الاستعادة، يتم تشفير الخادم الجديد الذي تم إنشاؤه باستخدام مفتاح الخادم الأساسي. ولكن يتم تعطيل الميزات والخيارات الموجودة على الخادم، ولا يمكن الوصول إلى الخادم. ويمنع ذلك أي معالجة للبيانات، لأن هوية الخادم الجديدة لم يتم منحها الإذن بعد للوصول إلى مخزن المفاتيح.
لتسهيل الوصول إلى الخادم، أعد التحقق من صحة المفتاح على الخادم المستعاد. حدد تشفير البيانات>إعادة التحقق من المفتاح.
إشعار
ستفشل المحاولة الأولى لإعادة التحقق، لأن كيان خدمة الخادم الجديد يحتاج إلى منح حق الوصول إلى مخزن المفاتيح. لإنشاء كيان الخدمة، حدد إعادة التحقق من المفتاح، والذي سيعرض خطأ ولكنه ينشئ كيان الخدمة. بعد ذلك، راجع هذه الخطوات المذكورة سابقاً في هذه المقالة.
سيتعين عليك منح مخزن المفاتيح حق الوصول إلى الخادم الجديد. لمزيد من المعلومات، راجع تعيين نهج وصول Key Vault.
بعد تسجيل كيان الخدمة، أعد التحقق من صحة المفتاح مرة أخرى، وسيستأنف الخادم وظائفه الطبيعية.