تشفير البيانات الثابتة في قاعدة بيانات Azure ل PostgreSQL

يتم دائما تشفير جميع البيانات التي تديرها قاعدة بيانات Azure لمثيل الخادم المرن PostgreSQL في حالة الراحة. تتضمن هذه البيانات جميع قواعد بيانات النظام والمستخدم وسجلات الخادم ومقاطع سجل الكتابة المسبقة والنسخ الاحتياطية. تتم معالجة التشفير بواسطة التخزين الأساسي من خلال التشفير من جانب الخادم لتخزين قرص Azure.

التشفير في حالة السكون مع الخدمة (SMK) أو المفاتيح المدارة من قبل العميل (CMK)

تدعم قاعدة بيانات Azure ل PostgreSQL وضعين لتشفير البيانات في حالة الراحة: المفاتيح المدارة للخدمة (SMK)والمفاتيح المدارة للعملاء (CMK). تشفير البيانات باستخدام المفاتيح المدارة للخدمة هو الوضع الافتراضي لقاعدة بيانات Azure لخادم PostgreSQL المرن. في هذا الوضع، تدير الخدمة تلقائيا مفاتيح التشفير المستخدمة لتشفير بياناتك. لا تحتاج إلى اتخاذ أي إجراء لتمكين التشفير أو إدارته في هذا الوضع.

في وضع المفاتيح المدارة للعميل ، يمكنك إحضار مفتاح التشفير الخاص بك لتشفير بياناتك. يمنحك هذا الوضع مزيدا من التحكم في عملية التشفير ، ولكنه يتطلب منك أيضا إدارة مفاتيح التشفير بنفسك. يجب عليك نشر Azure Key Vault أو Azure Key Vault Managed Hardware Security Module (HSM) وتكوينها لتخزين مفاتيح التشفير المستخدمة من قبل قاعدة بيانات Azure لمثيل خادم PostgreSQL المرن.

لا يمكن تحديد الوضع إلا في وقت إنشاء الخادم. لا يمكن تغييره من وضع إلى آخر طوال عمر الخادم.

لتحقيق تشفير بياناتك، تستخدم قاعدة بيانات Azure ل PostgreSQL تشفير Azure Storage للبيانات الثابتة. عند استخدام CMK، يكون العميل مسؤولا عن توفير مفاتيح لتشفير البيانات وفك تشفيرها في خدمات Blob Storage وAzure Files. يجب تخزين هذه المفاتيح في Azure Key Vault أو وحدة أمان الأجهزة المدارة (HSM) في Azure Key Vault. لمزيد من المعلومات، راجع المفاتيح التي يديرها العميل لتشفير Azure Storage.

المزايا التي يوفرها كل وضع (SMK أو CMK)

يوفر تشفير البيانات باستخدام المفاتيح المدارة للخدمة لقاعدة بيانات Azure ل PostgreSQL المزايا التالية:

• تتحكم الخدمة تلقائيا وبشكل كامل في الوصول إلى البيانات.
• تتحكم الخدمة تلقائيا وبشكل كامل في دورة حياة المفتاح، بما في ذلك تدوير المفتاح.
• لا داعي للقلق بشأن إدارة مفاتيح تشفير البيانات.
• لا يؤثر تشفير البيانات استنادا إلى المفاتيح المدارة للخدمة سلبا على أداء أحمال العمل الخاصة بك.
• فهو يبسط إدارة مفاتيح التشفير (بما في ذلك تدويرها العادي)، وإدارة الهويات المستخدمة للوصول إلى تلك المفاتيح.

يوفر تشفير البيانات باستخدام المفاتيح المدارة من قبل العميل لقاعدة بيانات Azure ل PostgreSQL المزايا التالية:

• يمكنك التحكم الكامل في الوصول إلى البيانات. يمكنك إزالة مفتاح لجعل قاعدة البيانات غير قابلة للوصول.
• يمكنك التحكم بشكل كامل في دورة حياة المفتاح، بما في ذلك تدوير المفتاح، لتتماشى مع سياسات الشركة.
• يمكنك إدارة جميع مفاتيح التشفير وتنظيمها مركزيا في مثيلاتك الخاصة من Azure Key Vault.
• لا يؤثر تشفير البيانات استنادا إلى المفاتيح المدارة من قبل العميل سلبا على أداء أحمال العمل الخاصة بك.
• يمكنك تنفيذ فصل الواجبات بين مسؤولي الأمان ومسؤولي قاعدة البيانات ومسؤولي النظام.

متطلبات CMK

مع مفتاح التشفير المدار من قبل العميل ، فإنك تتحمل كل المسؤولية. وبالتالي، يجب عليك نشر Azure Key Vault أو Azure Key Vault HSM. يجب إنشاء مفتاحك الخاص أو استيراده. يجب عليك منح الأذونات المطلوبة على Key Vault، بحيث يمكن لمثيل الخادم المرن Azure Database for PostgreSQL تنفيذ الإجراءات اللازمة على المفتاح. يجب أن تهتم بتكوين جميع جوانب الشبكات في Azure Key Vault الذي يتم فيه الاحتفاظ بالمفتاح، بحيث يمكن لقاعدة بيانات Azure لمثيل الخادم المرن PostgreSQL الوصول إلى المفتاح. تدقيق الوصول إلى المفتاح هو أيضا مسؤوليتك. أخيرا، أنت مسؤول عن تدوير المفتاح، وعند الحاجة، تحديث تكوين قاعدة بيانات Azure لمثيل خادم PostgreSQL المرن بحيث يشير إلى الإصدار الذي تم تدويره من المفتاح.

عند تكوين المفاتيح المدارة من قبل العميل لحساب تخزين، يقوم Azure Storage بتغليف مفتاح تشفير البيانات الجذر (DEK) للحساب مع المفتاح المدار من قبل العميل في مخزن المفاتيح المقترن أو HSM المدار. تتغير حماية مفتاح تشفير الجذر، ولكن تظل البيانات الموجودة في حساب Azure Storage مشفرة دائما. لا يوجد أي إجراء إضافي مطلوب من جانبك للتأكد من أن بياناتك تظل مشفرة. تسري الحماية بواسطة المفاتيح المدارة من قبل العميل على الفور.

Azure Key Vault هو نظام إدارة مفاتيح خارجي قائم على السحابة. إنه متوفر بشكل كبير ويوفر تخزينا آمنا وقابلا للتطوير لمفاتيح تشفير RSA ، مدعوما اختياريا بوحدات أمان الأجهزة (HSMs) التي تم التحقق من صحتها وفقا لمعيار FIPS 140 . لا يسمح بالوصول المباشر إلى مفتاح مخزن، ولكنه يوفر خدمات التشفير وفك التشفير للكيانات المعتمدة. يمكن ل Key Vault إنشاء المفتاح أو استيراده أو استلامه المنقول من جهاز HSM محلي.

فيما يلي قائمة بالمتطلبات لتكوين تشفير البيانات لقاعدة بيانات Azure ل PostgreSQL:

• يجب أن ينتمي Key Vault وقاعدة بيانات Azure لمثيل الخادم المرن PostgreSQL إلى نفس مستأجر Microsoft Entra. لا يتم دعم تفاعلات Key Vault والخادم عبر المستأجرين. يتطلب نقل مورد Key Vault بعد ذلك إعادة تكوين تشفير البيانات.
• نوصيك بتعيين تكوين الأيام للاحتفاظ بالمخازن المحذوفة ل Key Vault إلى 90 يوما. إذا قمت بتكوين مثيل Key Vault موجود برقم أقل، فيجب أن يظل صالحا. ومع ذلك، إذا كنت ترغب في تعديل هذا الإعداد وزيادة القيمة، فمن الضروري إنشاء مثيل Key Vault جديد. بمجرد إنشاء مثيل، لا يمكن تعديل هذا الإعداد.
• قم بتمكين ميزة الحذف المبدئي في Key Vault لمساعدتك في الحماية من فقدان البيانات، إذا تم حذف مفتاح أو مثيل Key Vault عن طريق الخطأ. يحتفظ Key Vault بالموارد المحذوفة مبدئيا لمدة 90 يوما ما لم يستعيدها المستخدم أو يزيلها في هذه الأثناء. تحتوي إجراءات الاسترداد والإزالة على أذونات خاصة بها مقترنة بمخزن مفاتيح أو دور RBAC أو إذن نهج وصول. تكون الميزة المحذوفة مبدئيا قيد التشغيل بشكل افتراضي. إذا كان لديك بعض Key Vault الذي تم نشره منذ وقت طويل ، فقد لا يزال يتم تعطيل الحذف المبدئي. في هذه الحالة، يمكنك تشغيله باستخدام Azure CLI.
• قم بتمكين الحماية من الإزالة لفرض فترة احتفاظ إلزامية بالمخازن وكائنات المخزن المحذوفة.
• امنح قاعدة بيانات Azure لمثيل الخادم المرن PostgreSQL حق الوصول إلى الهوية المدارة المعينة للمستخدم إلى المفتاح من خلال:
• يفضل: يجب تكوين Azure Key Vault باستخدام نموذج إذن RBAC ويجب تعيين دور مستخدم تشفير خدمة تشفير Key Vault للهوية المدارة
• القديمة: إذا تم تكوين Azure Key Vault باستخدام نموذج إذن نهج الوصول، فامنح الأذونات التالية للهوية المدارة:
• get: لاسترداد الخصائص والجزء العام من المفتاح في Key Vault.
• list: لإدراج المفاتيح المخزنة في Key Vault والتكرار من خلالها.
• wrapKey: لتشفير مفتاح تشفير البيانات.
• unwrapKey: لفك تشفير مفتاح تشفير البيانات.
• يمكن أن يكون المفتاح المستخدم لتشفير مفتاح تشفير البيانات غير متماثل أو RSA أو RSA-HSM فقط. يتم دعم الأحجام الرئيسية من 2048 و3072 و4096. نوصي باستخدام مفتاح 4,096 بت لتحسين الأمان.
• يجب أن يكون تاريخ ووقت تنشيط المفتاح (إذا تم تعيينه) في الماضي. يجب أن يكون تاريخ ووقت انتهاء الصلاحية (إذا تم تعيينه) في المستقبل.
• يجب أن يكون المفتاح في حالة التمكين .
• إذا كنت تقوم باستيراد مفتاح موجود إلى Key Vault، فقم بتوفيره بتنسيقات الملفات المدعومة (.pfx، .byokأو .backup).

تحديثات إصدار مفتاح CMK

يمكن تكوين CMK من خلال تدوير المفاتيح والتحديثات يدويا أو مع تحديثات إصدار المفتاح التلقائية بعد تدوير المفتاح يدويا أو تلقائيا في Key Vault.

للحصول على التفاصيل، راجع تكوين تشفير البيانات باستخدام المفتاح المدار من قبل العميل أثناء توفير الخادم.

Important

عند تدوير المفتاح إلى إصدار جديد ، يجب أن تحتفظ بالمفتاح القديم متاحا حتى تنجح إعادة التشفير. على الرغم من أن معظم عمليات إعادة التشفير يجب أن تحدث في غضون 30 دقيقة، فإننا نوصيك بالانتظار لمدة ساعتين على الأقل قبل تعطيل الوصول إلى إصدار المفتاح القديم.

تدوير المفاتيح يدويا والتحديثات

عند تكوين CMK باستخدام تحديثات المفاتيح اليدوية، يجب عليك تحديث إصدار المفتاح يدويا في قاعدة بيانات Azure لمثيل الخادم المرن PostgreSQL بعد تدوير المفتاح يدويا أو تلقائيا في Key Vault. سيستمر الخادم في استخدام إصدار المفتاح القديم حتى تقوم بتحديثه. يمكنك توفير هذا الوضع عن طريق تحديد عنوان URI رئيسي بما في ذلك الإصدار GUID الموجود في URI. على سبيل المثال، https://<keyvault-name>.vault.azure.net/keys/<key-name>/<key-version> حتى وقت قريب كان هذا هو الخيار الوحيد المتاح.

عندما تقوم بتدوير المفتاح يدويا أو يقوم AKV بتدوير المفتاح تلقائيا بناء على سياسة التدوير الخاصة به، كان عليك تحديث خاصية CMK على مثيل PostgreSQL الخاص بك. أثبت هذا النهج أنه عمل عرضة للخطأ للمشغلين أو يتطلب نصا برمجيا مخصصا للتعامل مع التدوير ، خاصة عند استخدام ميزة التدوير التلقائي في Key Vault.

تحديثات تلقائية لإصدار المفتاح

لتمكين التحديثات التلقائية لإصدار المفتاح، استخدم عنوان URI لمفتاح بدون إصدار. يؤدي هذا إلى التخلص من الحاجة إلى تحديث خاصية إصدار CMK في مثيل PostgreSQL بعد تدوير المفتاح. سيقوم PostgreSQL تلقائيا بالتقاط إصدار المفتاح الجديد وإعادة تشفير مفتاح تشفير البيانات. يعد هذا تبسيطا كبيرا في إدارة دورة حياة المفاتيح، خاصة عند دمجه مع التدوير التلقائي ل Key Vault.

للتنفيذ باستخدام ARM أو Bicep أو Terraform أو Azure PowerShell أو Azure CLI، ما عليك سوى حذف الإصدار GUID من عنوان URI المفتاح.

في المدخل، حدد خانة الاختيار لتوجيه واجهة المستخدم لمنع إصدار GUIDs أثناء التحديد التفاعلي وعند التحقق من صحة URI.

Recommendations

عند استخدام مفتاح مدار من قبل العميل لتشفير البيانات، اتبع هذه التوصيات لتكوين Key Vault:

• لمنع الحذف العرضي أو غير المصرح به لهذا المورد الهام، قم بتعيين تأمين مورد على Key Vault.
• تمكين التدقيق وإعداد التقارير على جميع مفاتيح التشفير. يوفر Key Vault سجلات يسهل إدخالها في معلومات الأمان الأخرى وأدوات إدارة الأحداث (SIEM). تعد سجلات Azure Monitor أحد الأمثلة على الخدمة المدمجة بالفعل.
• قم بتأمين Key Vault عن طريق تحديد تعطيل الوصول العاموالسماح لخدمات Microsoft الموثوقة بتجاوز جدار الحماية هذا.
• تمكين التحديثات التلقائية لإصدار المفتاح.

Note

بعد تحديد تعطيل الوصول العام والسماح خدمات Microsoft الموثوق بها بتجاوز جدار الحماية هذا، قد تحصل على خطأ مشابه لما يلي عند محاولة استخدام الوصول العام لإدارة Key Vault عبر المدخل: "لقد قمت بتمكين التحكم في الوصول إلى الشبكة. فقط الشبكات المسموح بها يمكنها الوصول إلى قبو المفاتيح هذا ". لا يمنع هذا الخطأ القدرة على توفير المفاتيح أثناء إعداد المفتاح المدار من قبل العميل أو جلب المفاتيح من Key Vault أثناء عمليات الخادم.

• احتفظ بنسخة من المفتاح المدار للعميل في مكان آمن، أو قم بضمانه إلى خدمة الضمان.
• إذا قام Key Vault بإنشاء المفتاح، فقم بإنشاء نسخة احتياطية للمفتاح قبل استخدام المفتاح لأول مرة. يمكنك فقط استعادة النسخ الاحتياطي إلى Key Vault.

اعتبارات خاصة

إبطال الوصول إلى المفتاح العرضي من Azure Key Vault

قد يقوم شخص لديه حقوق وصول كافية إلى Key Vault بتعطيل وصول الخادم إلى المفتاح عن طريق الخطأ عن طريق:

• إلغاء تعيين دور RBAC لمستخدم تشفير خدمة تشفير Key Vault أو إبطال الأذونات من الهوية المستخدمة لاسترداد المفتاح في Key Vault.
• حذف المفتاح.
• حذف مثيل Key Vault.
• تغيير قواعد جدار حماية Key Vault.
• حذف الهوية المدارة للخادم في معرف Microsoft Entra.

مراقبة المفاتيح المحفوظة في Azure Key Vault

لمراقبة حالة قاعدة البيانات، ولتشغيل التنبيهات لفقدان الوصول إلى واقي تشفير البيانات، قم بتكوين ميزات Azure التالية:

• صحة المورد: تظهر قاعدة البيانات التي فقدت الوصول إلى CMK على أنها يتعذر الوصول إليها بعد رفض الاتصال الأول بقاعدة البيانات.
• سجل النشاط: عند فشل الوصول إلى CMK في مثيل Key Vault المدار من قبل العميل، تتم إضافة الإدخالات إلى سجل النشاط. يمكنك استعادة الوصول إذا قمت بإنشاء تنبيهات لهذه الأحداث في أقرب وقت ممكن.
• مجموعات الإجراءات: حدد هذه المجموعات لتلقي الإشعارات والتنبيهات بناء على تفضيلاتك.

استعادة النسخ الاحتياطية لخادم تم تكوينه باستخدام مفتاح مدار من قبل العميل

بعد تشفير مثيل الخادم المرن Azure Database for PostgreSQL باستخدام مفتاح مدار للعميل مخزن في Key Vault، يتم أيضا تشفير أي نسخة خادم تم إنشاؤها حديثا. يمكنك إنشاء هذه النسخة الجديدة من خلال عملية استعادة نقطة زمنية (PITR) أو قراءة النسخ المتماثلة.

عند إعداد تشفير البيانات باستخدام المفتاح المدار من قبل العميل، أثناء العملية مثل استعادة نسخة احتياطية أو إنشاء نسخة متماثلة للقراءة، يمكنك تجنب المشكلات باتباع الخطوات التالية على الخوادم الأساسية والمستعادة أو النسخة المتماثلة:

• ابدأ عملية الاستعادة أو عملية إنشاء نسخة متماثلة للقراءة من قاعدة بيانات Azure الأساسية لمثيل الخادم المرن PostgreSQL.
• على الخادم المستعاد أو النسخة المتماثلة، يمكنك تغيير المفتاح المدار للعميل والهوية المدارة المعينة للمستخدم المستخدمة للوصول إلى Key Vault. تأكد من أن الهوية المعينة في الخادم الذي تم إنشاؤه حديثا لها الأذونات المطلوبة على Key Vault.
• لا تقم بإبطال المفتاح الأصلي بعد الاستعادة. في الوقت الحالي، لا ندعم إبطال المفتاح بعد استعادة خادم باستخدام مفتاح مدار من قبل العميل إلى خادم آخر.

HSMs المدارة

وحدات أمان الأجهزة (HSMs) هي أجهزة مقاومة للعبث تساعد في تأمين عمليات التشفير من خلال إنشاء المفاتيح المستخدمة لتشفير البيانات وفك تشفير البيانات وإنشاء التوقيعات الرقمية وإنشاء الشهادات الرقمية. يتم اختبار HSMs والتحقق من صحتها واعتمادها وفقا لأعلى معايير الأمان ، بما في ذلك FIPS 140 والمعايير المشتركة.

Azure Key Vault Managed HSM هي خدمة سحابية مدارة بالكامل ومتوفرة بدرجة عالية ومستأجر واحد ومتوافقة مع المعايير. يمكنك استخدامه لحماية مفاتيح التشفير لتطبيقاتك السحابية من خلال HSMs التي تم التحقق من صحتها وفقا لمعيار FIPS 140-3.

عند إنشاء قاعدة بيانات Azure جديدة لمثيلات الخادم المرنة PostgreSQL في مدخل Microsoft Azure باستخدام المفتاح المدار للعميل، يمكنك اختيار Azure Key Vault Managed HSM كمخزن مفاتيح، كبديل ل Azure Key Vault. المتطلبات الأساسية، من حيث الهوية والأذونات المعرفة من قبل المستخدم، هي نفسها كما هو الحال مع Azure Key Vault (كما هو موضح سابقا في هذه المقالة). لمزيد من المعلومات حول كيفية إنشاء مثيل HSM مدار، ومزاياه واختلافاته عن مخزن شهادات مشترك يستند إلى Key Vault، وكيفية استيراد المفاتيح إلى HSM المدار، راجع ما هو Azure Key Vault Managed HSM؟.

حالة المفتاح المدار من قبل العميل يتعذر الوصول إليه

عند تكوين تشفير البيانات باستخدام مفتاح مدار من قبل العميل مخزن في Key Vault، يلزم الوصول المستمر إلى هذا المفتاح للخادم للبقاء متصلا بالإنترنت. إذا لم يكن الأمر كذلك ، فإن الخادم يغير حالته إلى يتعذر الوصول إليه ويبدأ في رفض جميع الاتصالات.

بعض الأسباب المحتملة التي قد تجعل حالة الخادم يتعذر الوصول إليها هي:

السبب	نوع الحل
تم تكوين تاريخ ووقت أي من مفاتيح التشفير التي أشار إليها الخادم ، ويتم الوصول إلى هذا التاريخ والوقت.	يجب تمديد تاريخ انتهاء صلاحية المفتاح. ثم يجب عليك الانتظار حتى تقوم الخدمة بإعادة التحقق من صحة المفتاح ونقل حالة الخادم تلقائيا إلى جاهز. فقط عندما يعود الخادم إلى حالة الجاهزية ، يمكنك تدوير المفتاح إلى إصدار أحدث أو إنشاء مفتاح جديد، وتحديث الخادم بحيث يشير إلى هذا الإصدار الجديد من نفس المفتاح أو إلى المفتاح الجديد.
تقوم بتدوير المفتاح ونسيان تحديث مثيل قاعدة بيانات Azure لخادم PostgreSQL المرن بحيث يشير إلى الإصدار الجديد من المفتاح. تنتهي صلاحية المفتاح القديم ، الذي يشير إليه الخادم ، ويحول حالة الخادم إلى يتعذر الوصول إليها.	لتجنب هذا الموقف ، في كل مرة تقوم فيها بتدوير المفتاح ، تأكد أيضا من تحديث مثيل الخادم الخاص بك للإشارة إلى الإصدار الجديد. للقيام بذلك ، يمكنك استخدام az postgres flexible-server update، على سبيل المثال الذي يصف "تغيير المفتاح / الهوية لتشفير البيانات. لا يمكن تمكين تشفير البيانات بعد إنشاء الخادم ، سيؤدي ذلك إلى تحديث المفتاح / الهوية فقط. إذا كنت تفضل تحديثه باستخدام واجهة برمجة التطبيقات، فيمكنك استدعاء نقطة نهاية الخوادم - تحديث الخدمة.
عند حذف مثيل Key Vault، لا يمكن لمثيل الخادم المرن لقاعدة بيانات Azure ل PostgreSQL الوصول إلى المفتاح وينتقل إلى حالة يتعذر الوصول إليها.	استرجع مثيل Key Vault وانتظر حتى تقوم الخدمة بتشغيل إعادة التحقق الدورية من المفتاح، وقم بنقل حالة الخادم تلقائيا إلى جاهز.
يمكنك حذف، من معرف Microsoft Entra، هوية مدارة تستخدم لاسترداد أي من مفاتيح التشفير المخزنة في Key Vault.	استرجع الهوية وانتظر حتى تقوم الخدمة بتشغيل إعادة التحقق الدورية من المفتاح، ونقل حالة الخادم تلقائيا إلى جاهز.
تم تكوين نموذج إذن Key Vault الخاص بك لاستخدام التحكم في الوصول المستند إلى الدور. يمكنك إزالة تعيين دور التحكم في الوصول استنادا إلى الدور لمستخدم تشفير خدمة تشفير Key Vault من الهويات المدارة التي تم تكوينها لاسترداد أي من المفاتيح.	امنح دور RBAC مرة أخرى للهوية المدارة وانتظر حتى تقوم الخدمة بتشغيل إعادة التحقق الدورية من المفتاح، ونقل حالة الخادم تلقائيا إلى جاهز. يتكون النهج البديل من منح الدور على Key Vault إلى هوية مدارة مختلفة، وتحديث الخادم بحيث يستخدم هذه الهوية المدارة الأخرى للوصول إلى المفتاح.
تم تكوين نموذج أذونات Key Vault لاستخدام نهج الوصول. يمكنك إبطال سياسات الوصول إلى القائمة أو الحصول عليها أو wrapKey أو إلغاء التفاف المفتاح من الهويات المدارة التي تم تكوينها لاسترداد أي من المفاتيح.	امنح دور RBAC مرة أخرى للهوية المدارة وانتظر حتى تقوم الخدمة بتشغيل إعادة التحقق الدورية من المفتاح، ونقل حالة الخادم تلقائيا إلى جاهز. يتكون النهج البديل من منح نهج الوصول المطلوبة على Key Vault إلى هوية مدارة مختلفة، وتحديث الخادم بحيث يستخدم هذه الهوية المدارة الأخرى للوصول إلى المفتاح.
يمكنك إعداد قواعد جدار حماية Key Vault شديدة التقييد، بحيث لا يمكن لمثيل الخادم المرن Azure Database for PostgreSQL الاتصال ب Key Vault لاسترداد مفاتيحك.	عند تكوين جدار حماية Key Vault، تأكد من تحديد خيار السماح بخدمات Microsoft الموثوقة بحيث يمكن لمثيل الخادم المرن Azure Database for PostgreSQL تجاوز جدار الحماية.

Note

عندما يتم تعطيل مفتاح أو حذفه أو انتهاء صلاحيته أو تعذر الوصول إليه ، يصبح الخادم الذي يحتوي على بيانات مشفرة باستخدام هذا المفتاح غير قابل للوصول ، كما هو مذكور سابقا. لا تتغير حالة الخادم إلى جاهز مرة أخرى حتى تتمكن من إعادة التحقق من صحة مفاتيح التشفير.

بشكل عام، يتعذر الوصول إلى الخادم في غضون 60 دقيقة بعد تعطيل المفتاح أو حذفه أو انتهاء صلاحيته أو عدم إمكانية الوصول إليه. بعد توفر المفتاح، قد يستغرق الخادم ما يصل إلى 60 دقيقة ليصبح جاهزا مرة أخرى.

الاسترداد من حذف الهوية المدارة

إذا تم حذف الهوية المدارة التي عينها المستخدم المستخدم للوصول إلى مفتاح التشفير المخزن في Key Vault في معرف Microsoft Entra، فيجب عليك اتباع الخطوات التالية للاسترداد:

1. إما استرداد الهوية أو إنشاء هوية معرف Entra مدارة جديدة.
2. إذا قمت بإنشاء هوية جديدة، حتى إذا كان لها نفس الاسم الذي كان عليها بالضبط قبل حذفها، فقم بتحديث قاعدة بيانات Azure لخصائص مثيل الخادم المرن بحيث تعرف أنه يجب عليها استخدام هذه الهوية الجديدة للوصول إلى مفتاح التشفير.
3. تأكد من أن هذه الهوية لديها أذونات مناسبة للعمليات على المفتاح في Azure Key Vault (AKV).
4. انتظر لمدة ساعة تقريبا حتى يعيد الخادم التحقق من صحة المفتاح.

Important

ببساطة لا يسترد إنشاء هوية معرف إنترا جديدة بنفس اسم الهوية المحذوفة من حذف الهوية المدارة.

استخدام تشفير البيانات مع المفاتيح المدارة من قبل العملاء وميزات استمرارية الأعمال المتكررة جغرافيا

تدعم قاعدة بيانات Azure ل PostgreSQL ميزات استعادة البيانات المتقدمة، مثل النسخ المتماثلةوالنسخ الاحتياطي المتكرر جغرافيا. فيما يلي متطلبات إعداد تشفير البيانات باستخدام CMKs وهذه الميزات، بالإضافة إلى المتطلبات الأساسية لتشفير البيانات باستخدام CMKs:

• يجب إنشاء مفتاح تشفير النسخ الاحتياطي المتكرر جغرافيا في مثيل Key Vault الذي يجب أن يكون موجودا في المنطقة التي يتم فيها تخزين النسخة الاحتياطية المتكررة جغرافيا.
• إصدار واجهة برمجة تطبيقات REST ل Azure Resource Manager لدعم خوادم CMK الممكنة للنسخ الاحتياطي المكررة جغرافيا هو معاينة 2022-11-01. إذا كنت ترغب في استخدام قوالب Azure Resource Manager لأتمتة إنشاء الخوادم التي تستخدم كلا من التشفير مع CMKs وميزات النسخ الاحتياطي المتكررة جغرافيا، فاستخدم إصدار واجهة برمجة التطبيقات هذا.
• لا يمكنك استخدام نفس الهوية المدارة من قبل المستخدم للمصادقة لمثيل Key Vault لقاعدة البيانات الأساسية ومثيل Key Vault الذي يحتوي على مفتاح التشفير للنسخ الاحتياطي المتكرر جغرافيا. للحفاظ على المرونة الإقليمية، نوصي بإنشاء الهوية المدارة من قبل المستخدم في نفس المنطقة مثل النسخ الاحتياطية الزائدة عن الحاجة جغرافيا.
• إذا قمت بإعداد قاعدة بيانات النسخ المتماثلة للقراءة ليتم تشفيرها باستخدام CMKs أثناء الإنشاء، فيجب أن يكون مفتاح التشفير الخاص بها في مثيل Key Vault في المنطقة التي توجد بها قاعدة بيانات النسخة المتماثلة للقراءة. يجب إنشاء الهوية المعينة من قبل المستخدم للمصادقة مقابل مثيل Key Vault هذا في نفس المنطقة.

Limitations

هذه هي القيود الحالية لتكوين المفتاح المدار للعميل في قاعدة بيانات Azure لمثيل خادم PostgreSQL المرن:

• يمكنك تكوين تشفير المفتاح المدار من قبل العميل فقط أثناء إنشاء خادم جديد، وليس كتحديث لقاعدة بيانات Azure موجودة لمثيل خادم مرن PostgreSQL. يمكنك استعادة نسخة احتياطية PITR إلى خادم جديد باستخدام تشفير CMK بدلا من ذلك.
• بعد تكوين تشفير المفتاح المدار من قبل العميل، لا يمكنك الرجوع إلى المفتاح المدار للنظام. إذا كنت تريد العودة، فيجب عليك استعادة الخادم إلى خادم جديد باستخدام تشفير البيانات الذي تم تكوينه باستخدام المفتاح المدار للنظام.
• يجب أن يكون مثيل Azure Key Vault Managed HSM أو مثيل Azure Key Vault الذي تخطط لتخزين مفتاح التشفير عليه، موجودا في نفس المنطقة التي يتم فيها إنشاء مثيل قاعدة بيانات Azure للخادم المرن.

المحتوى ذو الصلة

• تكوين تشفير البيانات