تكوين تشفير البيانات في قاعدة بيانات Azure ل PostgreSQL

توفر هذه المقالة إرشادات خطوة بخطوة لتكوين تشفير البيانات لقاعدة بيانات Azure لمثيل خادم PostgreSQL المرن.

Important

النقطة الوحيدة التي يمكنك عندها تحديد ما إذا كنت تريد استخدام مفتاح مدار للنظام أو مفتاح مدار من قبل العميل لتشفير البيانات، هي إنشاء الخادم. بمجرد اتخاذ هذا القرار وإنشاء الخادم ، لا يمكنك التبديل بين الخيارين.

في هذه المقالة، ستتعرف على كيفية إنشاء خادم جديد وتكوين خيارات تشفير البيانات الخاصة به. بالنسبة للخوادم الموجودة، التي تم تكوين تشفير بياناتها لاستخدام مفتاح التشفير المدار من قبل العميل، ستتعرف على:

• كيفية تحديد هوية مدارة معينة لمستخدم مختلف تصل الخدمة من خلالها إلى مفتاح التشفير.
• كيفية تحديد مفتاح تشفير مختلف أو كيفية تدوير مفتاح التشفير المستخدم حاليا لتشفير البيانات.

للتعرف على تشفير البيانات في سياق قاعدة بيانات Azure ل PostgreSQL، راجع تشفير البيانات.

تكوين تشفير البيانات باستخدام المفتاح المدار للنظام أثناء توفير الخادم

بوابة

استخدام المدخل الخاص بـ Microsoft Azure:

1. أثناء توفير قاعدة بيانات Azure جديدة لمثيل خادم PostgreSQL المرن، يتم تكوين تشفير البيانات في علامة التبويب الأمان . بالنسبة إلى مفتاح تشفير البيانات، حدد زر اختيار المفتاح المدار بواسطة الخدمة .

   

2. إذا قمت بتمكين تخزين النسخ الاحتياطي المتكرر جغرافيا ليتم توفيره مع الخادم، يتغير جانب علامة التبويب الأمان قليلا لأن الخادم يستخدم مفتاحي تشفير منفصلين. واحد للمنطقة الأساسية التي تنشر فيها الخادم الخاص بك، وواحد للمنطقة المقترنة التي يتم نسخ النسخ الاحتياطية للخادم إليها بشكل غير متزامن.

   

المبادره القطريه

يمكنك تمكين تشفير البيانات باستخدام مفتاح التشفير المعين للنظام، أثناء توفير خادم جديد، عبر الأمر az postgres flexible-server create .

az postgres flexible-server create \
  --resource-group <resource_group> \
  --name <server> ...

ملاحظة

لا توجد معلمة خاصة في الأمر السابق لتحديد أنه يجب إنشاء الخادم باستخدام المفتاح المعين من قبل النظام لتشفير البيانات. والسبب هو أن تشفير البيانات باستخدام المفتاح المعين للنظام هو الخيار الافتراضي. لاحظ أيضا أنه يجب عليك إكمال الأمر المتوفر مع المعلمات الأخرى التي يختلف وجودها وقيمها اعتمادا على الطريقة التي تريد بها تكوين الميزات الأخرى للخادم المقدم.

تكوين تشفير البيانات باستخدام المفتاح المدار من قبل العميل أثناء توفير الخادم

بوابة

استخدام المدخل الخاص بـ Microsoft Azure:

1. قم بإنشاء هوية مدارة معينة لمستخدم واحد، إذا لم يكن لديك هوية مدارة حتى الآن. إذا تم تمكين النسخ الاحتياطية المتكررة جغرافيا في الخادم الخاص بك، فأنت بحاجة إلى إنشاء هويات مختلفة. يتم استخدام كل من هذه الهويات للوصول إلى كل من مفتاحي تشفير البيانات.

ملاحظة

على الرغم من أنه ليس مطلوبا، للحفاظ على المرونة الإقليمية، نوصي بإنشاء الهوية المدارة من قبل المستخدم في نفس المنطقة مثل الخادم الخاص بك. وإذا تم تمكين تكرار النسخ الاحتياطي الجغرافي في الخادم الخاص بك، فإننا نوصي بإنشاء الهوية المدارة الثانية للمستخدم، المستخدمة للوصول إلى مفتاح تشفير البيانات للنسخ الاحتياطية المتكررة جغرافيا، في المنطقة المقترنة من الخادم.

1. قم بإنشاء Azure Key Vault واحد أو قم بإنشاء HSM مدار واحد، إذا لم يكن لديك مخزن مفاتيح واحد تم إنشاؤه بعد. تأكد من تلبية المتطلبات. أيضا، اتبع التوصيات قبل تكوين مخزن المفاتيح، وقبل إنشاء المفتاح وتعيين الأذونات المطلوبة للهوية المدارة المعينة من قبل المستخدم. إذا كان الخادم الخاص بك يحتوي على نسخ احتياطية زائدة عن الحاجة جغرافيا ممكنة، فأنت بحاجة إلى إنشاء مخزن مفاتيح ثان. يتم استخدام مخزن المفاتيح الثاني هذا للاحتفاظ بمفتاح تشفير البيانات الذي يتم من خلاله تشفير النسخ الاحتياطية المنسوخة إلى المنطقة المقترنة من الخادم.

ملاحظة

يجب نشر مخزن المفاتيح المستخدم للاحتفاظ بمفتاح تشفير البيانات في نفس المنطقة مثل الخادم الخاص بك. وإذا تم تمكين تكرار النسخ الاحتياطي الجغرافي في الخادم الخاص بك، فيجب إنشاء مخزن المفاتيح الذي يحتفظ بمفتاح تشفير البيانات للنسخ الاحتياطية الزائدة عن الحاجة جغرافيا في المنطقة المقترنة من الخادم.

1. إنشاء مفتاح واحد في مخزن المفاتيح الخاص بك. إذا كان الخادم الخاص بك يحتوي على نسخ احتياطية زائدة عن الحاجة جغرافيا ممكنة، فأنت بحاجة إلى مفتاح واحد في كل من مخازن المفاتيح. باستخدام أحد هذه المفاتيح، نقوم بتشفير جميع بيانات الخادم الخاص بك (بما في ذلك جميع قواعد بيانات النظام والمستخدم، والملفات المؤقتة، وسجلات الخادم، ومقاطع سجل الكتابة المسبق، والنسخ الاحتياطية). باستخدام المفتاح الثاني ، نقوم بتشفير نسخ النسخ الاحتياطية التي يتم نسخها بشكل غير متزامن عبر المنطقة المقترنة من الخادم الخاص بك.

2. أثناء توفير قاعدة بيانات Azure جديدة لمثيل خادم PostgreSQL المرن، يتم تكوين تشفير البيانات في علامة التبويب الأمان . بالنسبة إلى مفتاح تشفير البيانات، حدد زر اختيار المفتاح المدار من قبل العميل .

   

3. إذا قمت بتمكين تخزين النسخ الاحتياطي المتكرر جغرافيا ليتم توفيره مع الخادم، يتغير جانب علامة التبويب الأمان قليلا لأن الخادم يستخدم مفتاحي تشفير منفصلين. واحد للمنطقة الأساسية التي تنشر فيها الخادم الخاص بك، وواحد للمنطقة المقترنة التي يتم نسخ النسخ الاحتياطية للخادم إليها بشكل غير متزامن.

   

4. في الهوية المدارة المعينة من قبل المستخدم، حدد تغيير الهوية.

   

5. من بين قائمة الهويات المدارة المعينة للمستخدم، حدد الهويات التي تريد أن يستخدمها الخادم للوصول إلى مفتاح تشفير البيانات المخزن في Azure Key Vault.

   

6. حدد إضافة.

   

7. حدد استخدام التحديث التلقائي لإصدار المفتاح، إذا كنت تفضل السماح للخدمة تلقائيا بتحديث المرجع إلى أحدث إصدار من المفتاح المختار، كلما تم تدوير الإصدار الحالي يدويا أو تلقائيا. لفهم فوائد استخدام التحديثات التلقائية لإصدار المفتاح، راجع التحديث التلقائي لإصدار المفتاح.

   

8. حدد تحديد مفتاح.

   

9. يتم ملء الاشتراك تلقائيا باسم الاشتراك الذي يوشك الخادم على إنشاء عليه. يجب أن يكون مخزن المفاتيح الذي يحتفظ بمفتاح تشفير البيانات موجودا في نفس الاشتراك مثل الخادم.

   

10. في نوع مخزن المفاتيح، حدد زر الاختيار المقابل لنوع مخزن المفاتيح الذي تخطط لتخزين مفتاح تشفير البيانات فيه. في هذا المثال، نختار Key vault، ولكن التجربة متشابهة إذا اخترت HSM المدار.

    

11. قم بتوسيع Key vault (أو HSM المدار، إذا قمت بتحديد نوع التخزين هذا)، وحدد المثيل الذي يوجد به مفتاح تشفير البيانات.

    

    ملاحظة

    عند توسيع مربع القائمة المنسدلة، فإنه يظهر لا توجد عناصر متوفرة. يستغرق الأمر بضع ثوان حتى يسرد جميع مثيلات مخزن المفاتيح التي يتم نشرها في نفس منطقة الخادم.

12. قم بتوسيع المفتاح، وحدد اسم المفتاح الذي تريد استخدامه لتشفير البيانات.

    

13. إذا لم تحدد استخدام التحديث التلقائي لإصدار المفتاح، فيجب عليك أيضا تحديد إصدار معين من المفتاح. للقيام بذلك، قم بتوسيع الإصدار، وحدد معرف إصدار المفتاح الذي تريد استخدامه لتشفير البيانات.

    

14. حدد تحديد.

    

15. قم بتكوين جميع الإعدادات الأخرى للخادم الجديد وحدد مراجعة + إنشاء.

    

المبادره القطريه

يمكنك تمكين تشفير البيانات باستخدام مفتاح التشفير المعين من قبل المستخدم، أثناء توفير خادم جديد، عبر الأمر az postgres flexible-server create .

إذا لم يكن الخادم الخاص بك يحتوي على نسخ احتياطية متكررة جغرافيا ممكنة:

az postgres flexible-server create \
  --resource-group <resource_group> \
  --name <server> \
  --geo-redundant-backup Disabled \
  --identity <managed_identity_to_access_primary_encryption_key> \
  --key <resource_identifier_of_primary_encryption_key> ...

ملاحظة

يجب إكمال الأمر السابق مع معلمات أخرى قد يختلف وجودها وقيمها اعتمادا على الطريقة التي تريد بها تكوين ميزات أخرى للخادم المقدم.

إذا تم تمكين النسخ الاحتياطية المتكررة جغرافيا على الخادم:

az postgres flexible-server create \
  --resource-group <resource_group> \
  --name <server> \
  --geo-redundant-backup Enabled \
  --identity <managed_identity_to_access_primary_encryption_key> \
  --key <resource_identifier_of_primary_encryption_key> \
  --backup-identity <managed_identity_to_access_geo_backups_encryption_key> \
  --backup-key <resource_identifier_of_geo_backups_encryption_key> ...

ملاحظة

يجب إكمال الأمر السابق مع معلمات أخرى قد يختلف وجودها وقيمها اعتمادا على الطريقة التي تريد بها تكوين ميزات أخرى للخادم المقدم.

تكوين تشفير البيانات باستخدام المفتاح المدار للعميل على الخوادم الحالية

النقطة الوحيدة التي يمكنك عندها تحديد ما إذا كنت تريد استخدام مفتاح مدار للنظام أو مفتاح مدار من قبل العميل لتشفير البيانات، هي إنشاء الخادم. بمجرد اتخاذ هذا القرار وإنشاء الخادم ، لا يمكنك التبديل بين الخيارين. البديل الوحيد ، إذا كنت ترغب في التغيير من واحد إلى آخر ، يتطلب استعادة أي من النسخ الاحتياطية المتاحة للخادم على خادم جديد. أثناء تكوين الاستعادة، يسمح لك بتغيير تكوين تشفير البيانات للخادم الجديد.

بالنسبة للخوادم الحالية التي تم نشرها باستخدام تشفير البيانات باستخدام مفتاح مدار من قبل العميل، يسمح لك بإجراء العديد من تغييرات التكوين. الأشياء التي يمكن تغييرها هي المراجع إلى المفاتيح المستخدمة للتشفير ، والإشارات إلى الهويات المدارة المعينة للمستخدم التي تستخدمها الخدمة للوصول إلى المفاتيح المحفوظة في مخازن المفاتيح.

يجب تحديث المراجع التي يمتلكها مثيل الخادم المرن Azure Database for PostgreSQL إلى مفتاح:

• عندما يتم تدوير المفتاح المخزن في مخزن المفاتيح، إما يدويا أو تلقائيا، ويشير مثيل الخادم المرن Azure Database for PostgreSQL إلى إصدار معين من المفتاح. إذا كنت تشير إلى مفتاح، ولكن ليس إلى إصدار معين من المفتاح (عندها يكون لديك استخدام التحديث التلقائي لإصدار المفتاح ممكنا)، فستهتم الخدمة بالرجوع تلقائيا إلى أحدث إصدار من المفتاح، كلما تم تدوير المفتاح يدويا أو تلقائيا.
• عندما تريد استخدام نفس المفتاح أو مفتاح مختلف مخزن في مخزن مفاتيح مختلف.

يجب عليك تحديث الهويات المدارة المعينة للمستخدم والتي يستخدمها Azure Database لمثيل الخادم المرن PostgreSQL للوصول إلى مفاتيح التشفير متى أردت استخدام هوية مختلفة.

بوابة

استخدام المدخل الخاص بـ Microsoft Azure:

1. حدد قاعدة بيانات Azure لمثيل خادم PostgreSQL المرن.

2. في قائمة الموارد، ضمن الأمان، حدد تشفير البيانات.

   

3. لتغيير الهوية المدارة المعينة للمستخدم والتي يصل بها الخادم إلى مخزن المفاتيح الذي يتم الاحتفاظ به بالمفتاح ، قم بتوسيع القائمة المنسدلة الهوية المدارة المعينة من قبل المستخدم ، وحدد أيا من الهويات المتاحة.

   

   ملاحظة

   الهويات المعروضة في مربع التحرير والسرد هي فقط تلك التي تم تعيين مثيل خادم Azure Database for PostgreSQL المرن. على الرغم من أنه ليس مطلوبا، للحفاظ على المرونة الإقليمية، نوصي بتحديد الهويات المدارة من قبل المستخدم في نفس المنطقة مثل الخادم الخاص بك. وإذا تم تمكين تكرار النسخ الاحتياطي الجغرافي في الخادم الخاص بك، فإننا نوصي بأن تكون الهوية المدارة الثانية للمستخدم، المستخدمة للوصول إلى مفتاح تشفير البيانات للنسخ الاحتياطية المتكررة جغرافيا، موجودة في المنطقة المقترنة من الخادم.

4. إذا لم يتم تعيين الهوية المدارة التي تم تعيين المستخدم التي تريد استخدامها للوصول إلى مفتاح تشفير البيانات إلى قاعدة بيانات Azure لمثيل الخادم المرن PostgreSQL، ولم يكن موجودا حتى كمورد Azure مع العنصر المقابل له في معرف Microsoft Entra، فيمكنك إنشاؤه عن طريق تحديد إنشاء.

   

5. في لوحة إنشاء هوية مدارة معينة من قبل المستخدم ، أكمل تفاصيل الهوية المدارة المعينة للمستخدم والتي تريد إنشاؤها، وقم بتعيينها تلقائيا إلى قاعدة بيانات Azure لمثيل خادم PostgreSQL المرن للوصول إلى مفتاح تشفير البيانات.

   

6. إذا لم يتم تعيين الهوية المدارة التي تم تعيين المستخدم التي تريد استخدامها للوصول إلى مفتاح تشفير البيانات إلى قاعدة بيانات Azure لمثيل الخادم المرن PostgreSQL، ولكنه موجود كمورد Azure مع العنصر المقابل له في معرف Microsoft Entra، فيمكنك تعيينه عن طريق تحديد تحديد.

   

7. من بين قائمة الهويات المدارة المعينة للمستخدم، حدد الهويات التي تريد أن يستخدمها الخادم للوصول إلى مفتاح تشفير البيانات المخزن في Azure Key Vault.

   

8. حدد إضافة.

   

9. حدد استخدام التحديث التلقائي لإصدار المفتاح، إذا كنت تفضل السماح للخدمة تلقائيا بتحديث المرجع إلى أحدث إصدار من المفتاح المختار، كلما تم تدوير الإصدار الحالي يدويا أو تلقائيا. لفهم فوائد استخدام تحديثات إصدار المفاتيح التلقائية، راجع [تحديث إصدار المفتاح التلقائي](.. /security/security-data-encryption.md##CMK تحديثات الإصدارات الرئيسية).

   

10. إذا قمت بتدوير المفتاح ولم يتم تمكين استخدام التحديث التلقائي لإصدار المفتاح . أو إذا كنت تريد استخدام مفتاح مختلف، فيجب عليك تحديث قاعدة بيانات Azure لمثيل خادم PostgreSQL المرن، بحيث يشير إلى إصدار المفتاح الجديد أو المفتاح الجديد. للقيام بذلك، يمكنك نسخ معرف المورد الخاص بالمفتاح ولصقه في مربع معرف المفتاح .

    

11. إذا كان لدى المستخدم الذي يصل إلى مدخل Microsoft Azure أذونات للوصول إلى المفتاح المخزن في مخزن المفاتيح، فيمكنك استخدام طريقة بديلة لاختيار المفتاح الجديد أو إصدار المفتاح الجديد. للقيام بذلك ، في طريقة تحديد المفتاح ، حدد زر الاختيار تحديد مفتاح .

    

12. حدد تحديد المفتاح.

    

13. يتم ملء الاشتراك تلقائيا باسم الاشتراك الذي يوشك الخادم على إنشاء عليه. يجب أن يكون مخزن المفاتيح الذي يحتفظ بمفتاح تشفير البيانات موجودا في نفس الاشتراك مثل الخادم.

    

14. في نوع مخزن المفاتيح، حدد زر الاختيار المقابل لنوع مخزن المفاتيح الذي تخطط لتخزين مفتاح تشفير البيانات فيه. في هذا المثال، نختار Key vault، ولكن التجربة متشابهة إذا اخترت HSM المدار.

    

15. قم بتوسيع Key vault (أو HSM المدار، إذا قمت بتحديد نوع التخزين هذا)، وحدد المثيل الذي يوجد به مفتاح تشفير البيانات.

    

    ملاحظة

    عند توسيع مربع القائمة المنسدلة، فإنه يظهر لا توجد عناصر متوفرة. يستغرق الأمر بضع ثوان حتى يسرد جميع مثيلات مخزن المفاتيح التي يتم نشرها في نفس منطقة الخادم.

16. قم بتوسيع المفتاح، وحدد اسم المفتاح الذي تريد استخدامه لتشفير البيانات.

    

17. إذا لم تحدد استخدام التحديث التلقائي لإصدار المفتاح، فيجب عليك أيضا تحديد إصدار معين من المفتاح. للقيام بذلك، قم بتوسيع الإصدار، وحدد معرف إصدار المفتاح الذي تريد استخدامه لتشفير البيانات.

    

18. حدد تحديد.

    

19. بمجرد الرضا عن التغييرات التي تم إجراؤها، حدد حفظ.

    

المبادره القطريه

يمكنك تكوين تشفير البيانات باستخدام مفتاح التشفير المعين من قبل المستخدم، لخادم موجود، عبر الأمر az postgres flexible-server update .

az postgres flexible-server update \
  --resource-group <resource_group> \
  --name <server> \
  --identity <managed_identity_to_access_primary_encryption_key> \
  --key <resource_identifier_of_primary_encryption_key> ...

ملاحظة

قد يحتاج الأمر السابق إلى إكماله مع معلمات أخرى يختلف وجودها وقيمها اعتمادا على الطريقة التي تريد بها تكوين الميزات الأخرى للخادم الحالي.

سواء كنت ترغب فقط في تغيير الهوية المدارة المعينة للمستخدم المستخدمة للوصول إلى المفتاح، أو كنت تريد تغيير المفتاح المستخدم لتشفير البيانات فقط، أو كنت تريد تغيير كليهما في نفس الوقت، فأنت مطالب بتوفير كل من المعلمات --identity و --key (أو --backup-identity للنسخ --backup-key الاحتياطية المتكررة جغرافيا). إذا قدمت أيا منهما وليس كليهما، فستحصل على أي من الأخطاء التالية:

User assigned identity and keyvault key need to be provided together. Please provide --identity and --key together.

User assigned identity and keyvault key need to be provided together. Please provide --backup-identity and --backup-key together.

إذا كان المفتاح الذي أشار إليه بالقيمة التي تم تمريرها إلى المعلمة --key (أو --backup-key للنسخ الاحتياطية المتكررة جغرافيا) غير موجود، أو إذا لم يكن لدى المستخدم الذي تم تمرير معرف المورد الخاص به إلى المعلمة --identity (خام --backup-identity للنسخ الاحتياطية المكررة جغرافيا) الأذونات المطلوبة للوصول إلى المفتاح، فستحصل على الخطأ التالي:

Code: AzureKeyVaultKeyNameNotFound
Message: The operation could not be completed because the Azure Key Vault Key name '<key_vault_resource>' does not exist or User Assigned Identity does not have Get access to the Key (/azure/postgresql/flexible-server/concepts-data-encryption#requirements-for-configuring-data-encryption-for-azure-database-for-postgresql-flexible-server).

إذا تم تمكين النسخ الاحتياطية المتكررة جغرافيا في الخادم الخاص بك، فيمكنك تكوين المفتاح المستخدم لتشفير النسخ الاحتياطية الزائدة جغرافيا، والهوية المستخدمة للوصول إلى هذا المفتاح. للقيام بذلك ، يمكنك استخدام --backup-identity المعلمات و --backup-key .

az postgres flexible-server update \
  --resource-group <resource_group> \
  --name <server> \
  --backup-identity <managed_identity_to_access_georedundant_encryption_key> \
  --backup-key <resource_identifier_of_georedundant_encryption_key> ...

إذا قمت بتمرير المعلمات --backup-identity وإلى --backup-keyaz postgres flexible server update الأمر، وأشرت إلى خادم موجود لم يتم تمكين النسخ الاحتياطي المتكرر جغرافيا، فستحصل على الخطأ التالي:

Geo-redundant backup is not enabled. You cannot provide Geo-location user assigned identity and keyvault key.

تتم إضافة الهويات التي تم تمريرها إلى معلمات --identity و --backup-identity ، إذا كانت موجودة وصالحة، تلقائيا إلى قائمة الهويات المدارة المعينة من قبل المستخدم المقترنة بقاعدة بيانات Azure لمثيل الخادم المرن PostgreSQL. هذا هو الحال حتى إذا فشل الأمر لاحقا مع وجود خطأ آخر. في مثل هذه الحالات، قد ترغب في استخدام أوامر az postgres flexible-server identity لإدراج الهويات المدارة المعينة من قبل المستخدم المعينة إلى قاعدة بيانات Azure لمثيل الخادم المرن PostgreSQL أو تعيينها أو إزالتها. لمعرفة المزيد حول تكوين الهويات المدارة المعينة من قبل المستخدم في قاعدة بيانات Azure لمثيل الخادم المرن PostgreSQL، ارجع إلى إقران الهويات المدارة المعينة من قبل المستخدم بالخوادم الموجودة، وفصل الهويات المدارة المعينة من قبل المستخدم إلى الخوادم الموجودة، وإظهار الهويات المدارة المعينة للمستخدم المقترن.

المحتوى ذو الصلة

• تشفير البيانات