تشفير البيانات الثابتة في قاعدة بيانات Azure ل PostgreSQL

يتم دائما تشفير جميع البيانات التي تديرها قاعدة بيانات Azure لمثيل الخادم المرن PostgreSQL في حالة الراحة. تتضمن هذه البيانات جميع قواعد بيانات النظام والمستخدم وسجلات الخادم ومقاطع سجل الكتابة المسبقة والنسخ الاحتياطية. تتم معالجة التشفير بواسطة التخزين الأساسي من خلال التشفير من جانب الخادم لتخزين قرص Azure.

التشفير في حالة السكون مع الخدمة (SMK) أو المفاتيح المدارة من قبل العميل (CMK)

تدعم قاعدة بيانات Azure ل PostgreSQL وضعين لتشفير البيانات في حالة الراحة: المفاتيح المدارة للخدمة (SMK)والمفاتيح المدارة للعملاء (CMK). تشفير البيانات باستخدام المفاتيح المدارة للخدمة هو الوضع الافتراضي لقاعدة بيانات Azure لخادم PostgreSQL المرن. في هذا الوضع، تدير الخدمة تلقائيا مفاتيح التشفير المستخدمة لتشفير بياناتك. لا تحتاج إلى اتخاذ أي إجراء لتمكين التشفير أو إدارته في هذا الوضع.

في وضع المفاتيح المدارة للعميل ، يمكنك إحضار مفتاح التشفير الخاص بك لتشفير بياناتك. يمنحك هذا الوضع مزيدا من التحكم في عملية التشفير ، ولكنه يتطلب منك أيضا إدارة مفاتيح التشفير بنفسك. يجب عليك نشر Azure Key Vault أو Azure Key Vault Managed Hardware Security Module (HSM) وتكوينها لتخزين مفاتيح التشفير المستخدمة من قبل قاعدة بيانات Azure لمثيل خادم PostgreSQL المرن.

لا يمكن تحديد الوضع إلا في وقت إنشاء الخادم. لا يمكن تغييره من وضع إلى آخر طوال عمر الخادم.

لتحقيق تشفير بياناتك، تستخدم قاعدة بيانات Azure ل PostgreSQL تشفير تخزين Azure للبيانات الثابتة. عند استخدام CMK، يكون العميل مسؤولا عن توفير مفاتيح لتشفير البيانات وفك تشفيرها في خدمات مخزن البيانات الثنائية الكبيرة وملفات Azure. يجب تخزين هذه المفاتيح في Azure Key Vault أو وحدة أمان الأجهزة المدارة (HSM) في Azure Key Vault. لمزيد من المعلومات، راجع المفاتيح التي يديرها العميل لتشفير تخزين Azure.

المزايا التي يوفرها كل وضع (SMK أو CMK)

يوفر تشفير البيانات باستخدام المفاتيح المدارة للخدمة لقاعدة بيانات Azure ل PostgreSQL المزايا التالية:

  • تتحكم الخدمة تلقائيا وبشكل كامل في الوصول إلى البيانات.
  • تتحكم الخدمة تلقائيا وبشكل كامل في دورة حياة المفتاح، بما في ذلك تدوير المفتاح.
  • لا داعي للقلق بشأن إدارة مفاتيح تشفير البيانات.
  • لا يؤثر تشفير البيانات استنادا إلى المفاتيح المدارة للخدمة سلبا على أداء أحمال العمل الخاصة بك.
  • فهو يبسط إدارة مفاتيح التشفير (بما في ذلك تدويرها العادي)، وإدارة الهويات المستخدمة للوصول إلى تلك المفاتيح.

يوفر تشفير البيانات باستخدام المفاتيح المدارة من قبل العميل لقاعدة بيانات Azure ل PostgreSQL المزايا التالية:

  • يمكنك التحكم الكامل في الوصول إلى البيانات. يمكنك إزالة مفتاح لجعل قاعدة البيانات غير قابلة للوصول.
  • يمكنك التحكم بشكل كامل في دورة حياة المفتاح، بما في ذلك تدوير المفتاح، لتتماشى مع سياسات الشركة.
  • يمكنك إدارة جميع مفاتيح التشفير وتنظيمها مركزيا في مثيلاتك الخاصة من Azure Key Vault.
  • لا يؤثر تشفير البيانات استنادا إلى المفاتيح المدارة من قبل العميل سلبا على أداء أحمال العمل الخاصة بك.
  • يمكنك تنفيذ فصل الواجبات بين مسؤولي الأمان ومسؤولي قاعدة البيانات ومسؤولي النظام.

متطلبات CMK

مع مفتاح التشفير المدار من قبل العملاء ، تتحمل المسؤولية. وبالتالي، يجب عليك نشر Azure Key Vault أو Azure Key Vault HSM. يجب إنشاء مفتاحك الخاص أو استيراده. يجب عليك منح الأذونات المطلوبة على Key Vault، بحيث يمكن لمثيل الخادم المرن قاعدة بيانات Azure لـ PostgreSQL تنفيذ الإجراءات اللازمة على المفتاح. يجب أن تهتم بتكوين جميع جوانب الشبكات في Azure Key Vault الذي يتم فيه الاحتفاظ بالمفتاح، بحيث يمكن لقاعدة بيانات Azure لمثيل الخادم المرن PostgreSQL الوصول إلى المفتاح. تدقيق الوصول إلى المفتاح هو أيضا مسؤوليتك. أخيرا، أنت مسؤول عن تدوير المفتاح، وعند الحاجة، تحديث تكوين قاعدة بيانات Azure لمثيل خادم PostgreSQL المرن بحيث يشير إلى الإصدار الذي تم تدويره من المفتاح.

عند تكوين المفاتيح المدارة من قبل العميل لحساب تخزين، يقوم تخزين Azure بتغليف مفتاح تشفير البيانات الجذر (DEK) للحساب مع المفتاح المدار من قبل العميل في مخزن المفاتيح المقترن أو HSM المدار. تتغير حماية مفتاح تشفير الجذر، ولكن تظل البيانات الموجودة في حساب تخزين Azure مشفرة دائما. لا يوجد أي إجراء إضافي مطلوب من جانبك للتأكد من أن بياناتك تظل مشفرة. تسري الحماية بواسطة المفاتيح المدارة من قبل العميل على الفور.

Azure Key Vault هو نظام إدارة مفاتيح خارجي قائم على السحابة. إنه متوفر بشكل كبير ويوفر تخزينا آمنا وقابلا للتطوير لمفاتيح تشفير RSA ، مدعوما اختياريا بوحدات أمان الأجهزة (HSMs) التي تم التحقق من صحتها وفقا لمعيار FIPS 140 . لا يسمح بالوصول المباشر إلى مفتاح مخزن، ولكنه يوفر خدمات التشفير وفك التشفير للكيانات المعتمدة. يمكن ل Key Vault إنشاء المفتاح أو استيراده أو استلامه المنقول من جهاز HSM محلي.

فيما يلي قائمة بالمتطلبات لتكوين تشفير البيانات لقاعدة بيانات Azure ل PostgreSQL:

  • بالنسبة لتكوينات CMK بمستأجر واحد، يجب أن يكون Key Vault ومثيل الخادم مرن قاعدة بيانات Azure لـ PostgreSQL الخاص بك ينتميان لنفس مستأجر Microsoft Entra. للسيناريوهات بين المستأجرين، انظر مفاتيح إدارة العميل عبر المستأجرين. يتطلب نقل مورد Key Vault بعد ذلك إعادة تكوين تشفير البيانات.
  • نوصيك بتعيين تكوين الأيام للاحتفاظ بالمخازن المحذوفة ل Key Vault إلى 90 يوما. إذا قمت بتكوين مثيل Key Vault موجود برقم أقل، فيجب أن يظل صالحا. ومع ذلك، إذا كنت ترغب في تعديل هذا الإعداد وزيادة القيمة، فمن الضروري إنشاء مثيل Key Vault جديد. بمجرد إنشاء مثيل، لا يمكن تعديل هذا الإعداد.
  • قم بتمكين ميزة الحذف المبدئي في Key Vault لمساعدتك في الحماية من فقدان البيانات، إذا تم حذف مفتاح أو مثيل Key Vault عن طريق الخطأ. يحتفظ Key Vault بالموارد المحذوفة مبدئيا لمدة 90 يوما ما لم يستعيدها المستخدم أو يزيلها في هذه الأثناء. تحتوي إجراءات الاسترداد والإزالة على أذونات خاصة بها مقترنة بمخزن مفاتيح أو دور RBAC أو إذن نهج وصول. تكون الميزة المحذوفة مبدئيا قيد التشغيل بشكل افتراضي. إذا كان لديك Key Vault تم نشره منذ زمن بعيد، فقد يكون الحذف الناعم معطلا أيضا. في هذه الحالة، يمكنك تشغيله باستخدام Azure CLI.
  • قم بتمكين الحماية من الإزالة لفرض فترة احتفاظ إلزامية بالمخازن وكائنات المخزن المحذوفة.
  • امنح قاعدة بيانات Azure لمثيل الخادم المرن PostgreSQL حق الوصول إلى الهوية المدارة المعينة للمستخدم إلى المفتاح من خلال:
  • يفضل: يجب تكوين Azure Key Vault باستخدام نموذج إذن RBAC ويجب تعيين دور مستخدم تشفير خدمة تشفير Key Vault للهوية المدارة
  • القديمة: إذا تم تكوين Azure Key Vault باستخدام نموذج إذن نهج الوصول، فامنح الأذونات التالية للهوية المدارة:
  • get: لاسترداد الخصائص والجزء العام من المفتاح في Key Vault.
  • list: لإدراج المفاتيح المخزنة في Key Vault والتكرار من خلالها.
  • wrapKey: لتشفير مفتاح تشفير البيانات.
  • unwrapKey: لفك تشفير مفتاح تشفير البيانات.
  • يمكن أن يكون المفتاح المستخدم لتشفير مفتاح تشفير البيانات غير متماثل أو RSA أو RSA-HSM فقط. يتم دعم الأحجام الرئيسية من 2048 و3072 و4096. نوصي باستخدام مفتاح 4,096 بت لتحسين الأمان.
  • يجب أن يكون تاريخ ووقت تنشيط المفتاح (إذا تم تعيينه) في الماضي. يجب أن يكون تاريخ ووقت انتهاء الصلاحية (إذا تم تعيينه) في المستقبل.
  • يجب أن يكون المفتاح في حالة التمكين .
  • إذا كنت تقوم باستيراد مفتاح موجود إلى Key Vault، فقم بتوفيره بتنسيقات الملفات المدعومة (.pfx، .byokأو .backup).

تحديثات إصدار مفتاح CMK

يمكن تكوين CMK من خلال تدوير المفاتيح والتحديثات يدويا أو مع تحديثات إصدار المفتاح التلقائية بعد تدوير المفتاح يدويا أو تلقائيا في Key Vault.

للحصول على التفاصيل، راجع تكوين تشفير البيانات باستخدام المفتاح المدار من قبل العميل أثناء توفير الخادم.

Important

عندما تدور المفتاح إلى نسخة جديدة، يجب أن تبقي المفتاح القديم متاحا لكي تنجح عملية إعادة التشفير. على الرغم من أن معظم عمليات إعادة التشفير يجب أن تحدث في غضون 30 دقيقة، فإننا نوصيك بالانتظار لمدة ساعتين على الأقل قبل تعطيل الوصول إلى إصدار المفتاح القديم.

تدوير المفاتيح يدويا والتحديثات

عند تكوين CMK باستخدام تحديثات المفاتيح اليدوية، يجب عليك تحديث إصدار المفتاح يدويا في قاعدة بيانات Azure لمثيل الخادم المرن PostgreSQL بعد تدوير المفتاح يدويا أو تلقائيا في Key Vault. يستمر الخادم في استخدام النسخة القديمة حتى تقوم بتحديثها. يمكنك توفير هذا الوضع عن طريق تحديد عنوان URI رئيسي بما في ذلك الإصدار GUID الموجود في URI. على سبيل المثال، https://<keyvault-name>.vault.azure.net/keys/<key-name>/<key-version> حتى وقت قريب كان هذا هو الخيار الوحيد المتاح.

كلما قمت بتدوير المفتاح يدويا أو يقوم AKV بتدوير المفتاح تلقائيا بناء على سياسة التدوير الخاصة به، كان عليك تحديث خاصية CMK في نسخة PostgreSQL الخاصة بك. أثبت هذا النهج أنه عمل عرضة للخطأ للمشغلين أو يتطلب نصا برمجيا مخصصا للتعامل مع التدوير ، خاصة عند استخدام ميزة التدوير التلقائي في Key Vault.

تحديثات تلقائية لإصدار المفتاح

لتمكين تحديثات إصدار المفاتيح تلقائيا، استخدم رابط مستخدم بدون إصدار للمفاتيح. هذا النهج يلغي الحاجة لتحديث خاصية إصدار CMK في نسخة PostgreSQL الخاصة بك بعد تدوير المفاتيح. يقوم PostgreSQL تلقائيا بالتقاط نسخة المفتاح الجديدة ويعيد تشفير مفتاح تشفير البيانات. هذا يبسط إدارة دورة حياة المفتاح بشكل كبير، خاصة عند دمجه مع التدوير التلقائي في Key Vault.

لتنفيذ استخدام Azure Resource Manager أو Bicep أو Terraform أو Azure PowerShell أو Azure CLI، احذف النسخة GUID من رابط المستخدمين المفتاح.

في البوابة، اختر مربع الاختيار لتوجيه واجهة المستخدم لقمع واجهات المستخدم الرسومية أثناء الاختيار التفاعلي وعند التحقق من URI.

التوصيات

عند استخدام مفتاح مدار من قبل العميل لتشفير البيانات، اتبع هذه التوصيات لتكوين Key Vault:

  • لمنع الحذف العرضي أو غير المصرح به لهذا المورد الهام، قم بتعيين تأمين مورد على Key Vault.
  • تمكين التدقيق وإعداد التقارير على جميع مفاتيح التشفير. يوفر Key Vault سجلات يسهل إدخالها في معلومات الأمان الأخرى وأدوات إدارة الأحداث (SIEM). تعد سجلات Azure Monitor أحد الأمثلة على الخدمة المدمجة بالفعل.
  • قم بتأمين Key Vault عن طريق تحديد تعطيل الوصول العاموالسماح لخدمات Microsoft الموثوقة بتجاوز جدار الحماية هذا.
  • تمكين التحديثات التلقائية لإصدار المفتاح.

ملاحظة

بعد تحديد تعطيل الوصول العام والسماح خدمات Microsoft الموثوق بها بتجاوز جدار الحماية هذا، قد تحصل على خطأ مشابه لما يلي عند محاولة استخدام الوصول العام لإدارة Key Vault عبر المدخل: "لقد قمت بتمكين التحكم في الوصول إلى الشبكة. فقط الشبكات المسموح بها يمكنها الوصول إلى قبو المفاتيح هذا ". لا يمنع هذا الخطأ القدرة على توفير المفاتيح أثناء إعداد المفتاح المدار من قبل العميل أو جلب المفاتيح من Key Vault أثناء عمليات الخادم.

  • احتفظ بنسخة من المفتاح المدار للعميل في مكان آمن، أو قم بضمانه إلى خدمة الضمان.
  • إذا قام Key Vault بإنشاء المفتاح، فقم بإنشاء نسخة احتياطية للمفتاح قبل استخدام المفتاح لأول مرة. يمكنك فقط استعادة النسخ الاحتياطي إلى Key Vault.

اعتبارات خاصة

إبطال الوصول إلى المفتاح العرضي من Azure Key Vault

قد يقوم شخص لديه حقوق وصول كافية إلى Key Vault بتعطيل وصول الخادم إلى المفتاح عن طريق الخطأ عن طريق:

  • إلغاء تعيين دور RBAC لمستخدم تشفير خدمة تشفير Key Vault أو إبطال الأذونات من الهوية المستخدمة لاسترداد المفتاح في Key Vault.
  • حذف المفتاح.
  • حذف مثيل Key Vault.
  • تغيير قواعد جدار حماية Key Vault.
  • حذف الهوية المدارة للخادم في معرف Microsoft Entra.

مراقبة المفاتيح المحفوظة في Azure Key Vault

لمراقبة حالة قاعدة البيانات، ولتشغيل التنبيهات لفقدان الوصول إلى واقي تشفير البيانات، قم بتكوين ميزات Azure التالية:

  • صحة المورد: تظهر قاعدة البيانات التي فقدت الوصول إلى CMK على أنها يتعذر الوصول إليها بعد رفض الاتصال الأول بقاعدة البيانات.
  • سجل النشاط: عند فشل الوصول إلى CMK في مثيل Key Vault المدار من قبل العميل، تتم إضافة الإدخالات إلى سجل النشاط. يمكنك استعادة الوصول إذا قمت بإنشاء تنبيهات لهذه الأحداث في أقرب وقت ممكن.
  • مجموعات الإجراءات: حدد هذه المجموعات لتلقي الإشعارات والتنبيهات بناء على تفضيلاتك.

استعادة النسخ الاحتياطية لخادم تم تكوينه بمفتاح مدار من قبل العميل

بعد تشفير مثيل الخادم المرن قاعدة بيانات Azure لـ PostgreSQL باستخدام مفتاح مدار للعميل مخزن في Key Vault، يتم أيضا تشفير أي نسخة خادم تم إنشاؤها حديثا. يمكنك إنشاء هذه النسخة الجديدة من خلال عملية استعادة نقطة زمنية (PITR) أو قراءة النسخ المتماثلة.

عند إعداد تشفير البيانات باستخدام المفتاح المدار من قبل العميل، أثناء العملية مثل استعادة نسخة احتياطية أو إنشاء نسخة متماثلة للقراءة، يمكنك تجنب المشكلات باتباع الخطوات التالية على الخوادم الأساسية والمستعادة أو النسخة المتماثلة:

  • ابدأ عملية الاستعادة أو عملية إنشاء نسخة متماثلة للقراءة من قاعدة بيانات Azure الأساسية لمثيل الخادم المرن PostgreSQL.
  • على الخادم المستعاد أو النسخة المتماثلة، يمكنك تغيير المفتاح المدار للعميل والهوية المدارة المعينة للمستخدم المستخدمة للوصول إلى Key Vault. تأكد من أن الهوية المعينة في الخادم الذي تم إنشاؤه حديثا لها الأذونات المطلوبة على Key Vault.
  • لا تقم بإبطال المفتاح الأصلي بعد الاستعادة. في الوقت الحالي، لا ندعم إبطال المفتاح بعد استعادة خادم باستخدام مفتاح مدار من قبل العميل إلى خادم آخر.

HSMs المدارة

وحدات أمان الأجهزة (HSMs) هي أجهزة مقاومة للعبث تساعد في تأمين عمليات التشفير من خلال إنشاء المفاتيح المستخدمة لتشفير البيانات وفك تشفير البيانات وإنشاء التوقيعات الرقمية وإنشاء الشهادات الرقمية. يتم اختبار HSMs والتحقق من صحتها واعتمادها وفقا لأعلى معايير الأمان ، بما في ذلك FIPS 140 والمعايير المشتركة.

Azure Key Vault Managed HSM هي خدمة سحابية مدارة بالكامل ومتوفرة بدرجة عالية ومستأجر واحد ومتوافقة مع المعايير. يمكنك استخدامه لحماية مفاتيح التشفير لتطبيقاتك السحابية من خلال HSMs التي تم التحقق من صحتها وفقا لمعيار FIPS 140-3.

عند إنشاء قاعدة بيانات Azure جديدة لمثيلات الخادم المرنة PostgreSQL في مدخل Microsoft Azure باستخدام المفتاح المدار للعميل، يمكنك اختيار Azure Key Vault Managed HSM كمخزن مفاتيح، كبديل ل Azure Key Vault. المتطلبات الأساسية، من حيث الهوية والأذونات المعرفة من قبل المستخدم، هي نفسها كما هو الحال مع Azure Key Vault (كما هو موضح سابقا في هذه المقالة). لمزيد من المعلومات حول كيفية إنشاء مثيل HSM مدار، ومزاياه واختلافاته عن مخزن شهادات مشترك يستند إلى Key Vault، وكيفية استيراد المفاتيح إلى HSM المدار، راجع ما هو Azure Key Vault Managed HSM؟.

حالة المفتاح المدار من قبل العميل يتعذر الوصول إليه

عند تكوين تشفير البيانات باستخدام مفتاح مدار من قبل العميل مخزن في Key Vault، يلزم الوصول المستمر إلى هذا المفتاح للخادم للبقاء متصلا بالإنترنت. إذا لم يكن الأمر كذلك ، فإن الخادم يغير حالته إلى يتعذر الوصول إليه ويبدأ في رفض جميع الاتصالات.

بعض الأسباب المحتملة التي قد تجعل حالة الخادم يتعذر الوصول إليها هي:

السبب نوع الحل
تم تكوين تاريخ ووقت أي من مفاتيح التشفير التي أشار إليها الخادم ، ويتم الوصول إلى هذا التاريخ والوقت. يجب تمديد تاريخ انتهاء صلاحية المفتاح. ثم يجب عليك الانتظار حتى تقوم الخدمة بإعادة التحقق من صحة المفتاح ونقل حالة الخادم تلقائيا إلى جاهز. فقط عندما يعود الخادم إلى حالة الجاهزية ، يمكنك تدوير المفتاح إلى إصدار أحدث أو إنشاء مفتاح جديد، وتحديث الخادم بحيث يشير إلى هذا الإصدار الجديد من نفس المفتاح أو إلى المفتاح الجديد.
تقوم بتدوير المفتاح ونسيان تحديث مثيل قاعدة بيانات Azure لخادم PostgreSQL المرن بحيث يشير إلى الإصدار الجديد من المفتاح. تنتهي صلاحية المفتاح القديم ، الذي يشير إليه الخادم ، ويحول حالة الخادم إلى يتعذر الوصول إليها. لتجنب هذا الموقف ، في كل مرة تقوم فيها بتدوير المفتاح ، تأكد أيضا من تحديث مثيل الخادم الخاص بك للإشارة إلى الإصدار الجديد. للقيام بذلك، استخدم az postgres flexible-server update، باتباع المثال الذي يصف "تغيير المفتاح/الهوية لتشفير البيانات. لا يمكن تفعيل تشفير البيانات بعد إنشاء الخادم، فهذا يحدث فقط المفتاح/الهوية.". إذا كنت تفضل تحديثه باستخدام واجهة برمجة التطبيقات، فيمكنك استدعاء نقطة نهاية الخوادم - تحديث الخدمة.
عند حذف مثيل Key Vault، لا يمكن لمثيل الخادم المرن لقاعدة بيانات Azure ل PostgreSQL الوصول إلى المفتاح وينتقل إلى حالة يتعذر الوصول إليها. استرجع مثيل Key Vault وانتظر حتى تقوم الخدمة بتشغيل إعادة التحقق الدورية من المفتاح، وقم بنقل حالة الخادم تلقائيا إلى جاهز.
يمكنك حذف، من معرف Microsoft Entra، هوية مدارة تستخدم لاسترداد أي من مفاتيح التشفير المخزنة في Key Vault. استرجع الهوية وانتظر حتى تقوم الخدمة بتشغيل إعادة التحقق الدورية من المفتاح، ونقل حالة الخادم تلقائيا إلى جاهز.
تم تكوين نموذج إذن Key Vault الخاص بك لاستخدام التحكم في الوصول المستند إلى الدور. يمكنك إزالة تعيين دور التحكم في الوصول استنادا إلى الدور لمستخدم تشفير خدمة تشفير Key Vault من الهويات المدارة التي تم تكوينها لاسترداد أي من المفاتيح. امنح دور RBAC مرة أخرى للهوية المدارة وانتظر حتى تقوم الخدمة بتشغيل إعادة التحقق الدورية من المفتاح، ونقل حالة الخادم تلقائيا إلى جاهز. يتكون النهج البديل من منح الدور على Key Vault إلى هوية مدارة مختلفة، وتحديث الخادم بحيث يستخدم هذه الهوية المدارة الأخرى للوصول إلى المفتاح.
تم تكوين نموذج أذونات Key Vault لاستخدام نهج الوصول. يمكنك إبطال سياسات الوصول إلى القائمة أو الحصول عليها أو wrapKey أو إلغاء التفاف المفتاح من الهويات المدارة التي تم تكوينها لاسترداد أي من المفاتيح. امنح دور RBAC مرة أخرى للهوية المدارة وانتظر حتى تقوم الخدمة بتشغيل إعادة التحقق الدورية من المفتاح، ونقل حالة الخادم تلقائيا إلى جاهز. يتكون النهج البديل من منح نهج الوصول المطلوبة على Key Vault إلى هوية مدارة مختلفة، وتحديث الخادم بحيث يستخدم هذه الهوية المدارة الأخرى للوصول إلى المفتاح.
يمكنك إعداد قواعد جدار حماية Key Vault شديدة التقييد، بحيث لا يمكن لمثيل الخادم المرن قاعدة بيانات Azure لـ PostgreSQL الاتصال ب Key Vault لاسترداد مفاتيحك. عند تكوين جدار حماية Key Vault، تأكد من تحديد خيار السماح بخدمات Microsoft الموثوقة بحيث يمكن لمثيل الخادم المرن قاعدة بيانات Azure لـ PostgreSQL تجاوز جدار الحماية.

ملاحظة

عندما يتم تعطيل مفتاح أو حذفه أو انتهاء صلاحيته أو تعذر الوصول إليه ، يصبح الخادم الذي يحتوي على بيانات مشفرة باستخدام هذا المفتاح غير قابل للوصول ، كما هو مذكور سابقا. لا تتغير حالة الخادم إلى جاهز مرة أخرى حتى تتمكن من إعادة التحقق من صحة مفاتيح التشفير.

بشكل عام، يتعذر الوصول إلى الخادم في غضون 60 دقيقة بعد تعطيل المفتاح أو حذفه أو انتهاء صلاحيته أو عدم إمكانية الوصول إليه. بعد توفر المفتاح، قد يستغرق الخادم ما يصل إلى 60 دقيقة ليصبح جاهزا مرة أخرى.

استعادة من حذف الهوية المدارة

إذا تم حذف الهوية المدارة التي عينها المستخدم المستخدم للوصول إلى مفتاح التشفير المخزن في Key Vault في معرف Microsoft Entra، فيجب عليك اتباع الخطوات التالية للاسترداد:

  1. إما استرداد الهوية أو إنشاء هوية معرف Entra مدارة جديدة.
  2. إذا قمت بإنشاء هوية جديدة، حتى إذا كان لها نفس الاسم الذي كان عليها بالضبط قبل حذفها، فقم بتحديث قاعدة بيانات Azure لخصائص مثيل الخادم المرن بحيث تعرف أنه يجب عليها استخدام هذه الهوية الجديدة للوصول إلى مفتاح التشفير.
  3. تأكد من أن هذه الهوية لديها أذونات مناسبة للعمليات على المفتاح في Azure Key Vault (AKV).
  4. انتظر لمدة ساعة تقريبا حتى يعيد الخادم التحقق من صحة المفتاح.

Important

ببساطة لا يسترد إنشاء هوية معرف إنترا جديدة بنفس اسم الهوية المحذوفة من حذف الهوية المدارة.

استخدم تشفير البيانات مع المفاتيح المدارة من العملاء وميزات استمرارية الأعمال المتكررة جغرافيا

تدعم قاعدة بيانات Azure ل PostgreSQL ميزات استعادة البيانات المتقدمة، مثل النسخ المتماثلةوالنسخ الاحتياطي المتكرر جغرافيا. فيما يلي متطلبات إعداد تشفير البيانات باستخدام CMKs وهذه الميزات، بالإضافة إلى المتطلبات الأساسية لتشفير البيانات باستخدام CMKs:

  • يجب إنشاء مفتاح تشفير النسخ الاحتياطي المتكرر جغرافيا في مثيل Key Vault الذي يجب أن يكون موجودا في المنطقة التي يتم فيها تخزين النسخة الاحتياطية المتكررة جغرافيا.
  • إصدار واجهة برمجة تطبيقات REST ل Azure Resource Manager لدعم خوادم CMK الممكنة للنسخ الاحتياطي المكررة جغرافيا هو معاينة 2022-11-01. إذا كنت ترغب في استخدام قوالب Azure Resource Manager لأتمتة إنشاء الخوادم التي تستخدم كلا من التشفير مع CMKs وميزات النسخ الاحتياطي المتكررة جغرافيا، فاستخدم إصدار واجهة برمجة التطبيقات هذا.
  • لا يمكنك استخدام نفس الهوية المدارة من قبل المستخدم للمصادقة لمثيل Key Vault لقاعدة البيانات الأساسية ومثيل Key Vault الذي يحتوي على مفتاح التشفير للنسخ الاحتياطي المتكرر جغرافيا. للحفاظ على المرونة الإقليمية، نوصي بإنشاء الهوية المدارة من قبل المستخدم في نفس المنطقة مثل النسخ الاحتياطية الزائدة عن الحاجة جغرافيا.
  • إذا قمت بإعداد قاعدة بيانات النسخ المتماثلة للقراءة ليتم تشفيرها باستخدام CMKs أثناء الإنشاء، فيجب أن يكون مفتاح التشفير الخاص بها في مثيل Key Vault في المنطقة التي توجد بها قاعدة بيانات النسخة المتماثلة للقراءة. يجب إنشاء الهوية المعينة من قبل المستخدم للمصادقة مقابل مثيل Key Vault هذا في نفس المنطقة.

مفاتيح إدارة العملاء عبر المستأجرين (CMK) (معاينة)

تسمح لك مفاتيح إدارة العملاء عبر المستأجرين باستخدام مفاتيح تشفير مخزنة في Key Vault أو Managed HSM ينتمي إلى معرف Microsoft Entra ID مختلف عن نسخة الخادم المرنة قاعدة بيانات Azure لـ PostgreSQL. يتطلب إعداد CMK عبر المستأجرين تكوين وتنسيق إضافي بين المستأجرين. في سيناريو التبديل بين المستأجرين، توجد مورد قاعدة بيانات Azure لقاعدة بيانات PostgreSQL في مستأجر يديره بائع برمجيات مستقل (ISV) يشار إليه بمزود الخدمة. المفتاح المستخدم لتشفير مورد قاعدة بيانات Azure لـ PostgreSQL موجود في خزنة مفاتيح في مستأجر مختلف يديرها العميل.

نظرة عامة على الإعداد

على مستأجر ISV

حول المستأجر العميل

  1. تثبيت تطبيق المستأجر المتعدد

  2. إنشاء أو استخدام خزنة مفاتيح موجودة أو إدارة HSM ومنح صلاحيات المفتاح لتطبيق المستأجر متعدد المستأجرين

    1. أنشئ مفتاحا جديدا أو استخدم مفتاحا موجودا

    2. استرجاع المفتاح من Azure Key Vault أو Azure إدارة HSM وسجل <معرف المفتاح 1>

على مستأجر ISV

حتى هذه النقطة، قمت بتكوين التطبيق متعدد المستأجرين على مستأجر موفر الخدمة. كما قمت بتثبيت التطبيق على مستأجر العميل وتكوين key vault والمفتاح على مستأجر العميل. بعد ذلك يمكنك إنشاء قاعدة بيانات قاعدة بيانات Azure لـ PostgreSQL instance على مستأجر مزود الخدمة وتكوين مفاتيح يديرها العميل باستخدام المفتاح من مستأجر العميل.

عندما تنشئ قاعدة بيانات Azure لـ PostgreSQL نسخة باستخدام مفاتيح يديرها العميل، يجب عليك التأكد من أن لديها وصول إلى المفاتيح التي استخدمها العميل. في سيناريوهات المستأجر الواحد، تمنح الوصول المباشر إلى خزنة المفاتيح مباشرة إلى هوية قاعدة بيانات Azure لـ PostgreSQL التي يديرها المستخدم. في سيناريو بين المستأجرين المشتركين، لم يعد بإمكانك الاعتماد على الوصول المباشر إلى خزنة المفاتيح لأنها في مستأجر آخر يديره العميل. هذا القيد هو السبب في إنشاء تطبيق عبر المستأجرين وتسجيل هوية مدارة داخل التطبيق لمنحه الوصول إلى خزنة مفاتيح العميل في الأقسام السابقة. هذه الهوية المدارة، مع معرف التطبيق عبر المستأجرين، هي ما تستخدمه عند إنشاء CMK عبر المستأجرين لقاعدة بيانات قاعدة بيانات Azure لـ PostgreSQL مثيل.

كلما توفر نسخة جديدة من المفتاح في خزنة المفاتيح، تلتقط نسخة قاعدة بيانات Azure لـ PostgreSQL النسخة الجديدة تلقائيا.

استخدام مدخل Azure

لتكوين مفاتيح تدار من قبل العملاء عبر المستأجرين لمثيل جديد من قاعدة بيانات Azure لـ PostgreSQL في بوابة Azure، اتبع هذه الخطوات:

  1. في قاعدة بيانات Azure لـ PostgreSQL إنشاء المورد، اختر تبويب Security في بوابة Azure، ثم اختر Customer-Managed key.

  2. تعيين الهوية المدارة المعينة من قبل المستخدم التي تم إنشاؤها كهوية مدارة مخصصة للمستخدم.

  3. تعيين تطبيق متعدد المستأجرين باستخدام اسم التطبيق.

  4. أدخل معرف المفتاح في طريقة اختيار المفتاح باستخدام معرف المفتاح الخاص بالعميل الذي تم الحصول عليه من المستأجر العميل.

استخدم قوالب Azure Resource Manager JSON وواجهة برمجة تطبيقات REST

نشر قالب ARM مع المعلمات المحددة التالية:

ملاحظة

إذا كنت تعيد إنشاء هذه العينة في أحد قوالب Azure Resource Manager الخاصة بك، استخدم apiVersion من 2025-03-15-privatepreview أو الإصدارات الأحدث.

البارامتر الوصف قيمه المثال
primaryKeyUri معرف المفتاح المدار من قبل العميل الموجود في مخزن مفاتيح موفر الخدمة. https://my-vault.vault.azure.com/keys/my-key
primaryUserAssignedIdentity كائن يحدد أن الهوية المدارة يجب أن تعين لقاعدة بيانات قاعدة بيانات Azure لـ PostgreSQL instance. "identity":{"type":"UserAssigned","userAssignedIdentities":{"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/my-resource-group/providers/Microsoft.ManagedIdentity/userAssignedIdentities/my-identity":{}}}
primaryFederatedIdentityClientId معرف العميل لتطبيق Microsoft Entra متعدد المستأجرين. application-client-id

إليك مثالا على واجهة برمجة تطبيقات REST مع إعدادات المعلمات الثلاثة:

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.DBforPostgreSQL/flexibleServers/{serverName}?api-version=2025-03-15-privatepreview

مثال على جسم الطلب:

{
"location": "eastus2",
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
        "/subscriptions/<subId>/resourceGroups/<rg>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<umi-name>": {}
        }
    },
    "sku": {
        "name": "Standard_D2s_v3",
        "tier": "GeneralPurpose"
    },
    "properties": {
        "createMode": "Create",
        "version": "16",
        "minorVersion": "5",
        "storage": {
        "storageSizeGB": 32
        },
        "network": {
        "publicNetworkAccess": "Enabled"
        },
        "backup": {
        "backupRetentionDays": 7,
        "geoRedundantBackup": "Disabled"
        },
        "dataEncryption": {
        "type": "AzureKeyVault",
        "primaryUserAssignedIdentityId": "/subscriptions/<subId>/resourceGroups/<rg>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<umi-name>",
        "primaryKeyUri": "https://<customer-keyvault>.vault.azure.net/keys/<key-name>/<key-version>",
        "primaryFederatedIdentityClientId": "<application-client-id>"
        }
    }
}

إليك مثال على واجهة برمجة تطبيقات REST لتدوير المفاتيح. مثال PATCH يقوم فقط بتحديث URI مفتاح CMK لتدوير مفتاح التشفير دون إعادة إنشاء الخادم.

PATCH https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.DBforPostgreSQL/flexibleServers/{serverName}?api-version=2025-03-15-privatepreview

جسم الطلب (مثال تدوير المفتاح):

{
    "properties": {
        "dataEncryption": {
        "type": "AzureKeyVault",
        "primaryUserAssignedIdentityId": "/subscriptions/<subId>/resourceGroups/<rg>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<umi-name>",
        "primaryKeyUri": "https://<customer-keyvault>.vault.azure.net/keys/<key-name>/<new-key-version>",
        "primaryFederatedIdentityClientId": "<application-client-id>"
        }
    }
}

Important

حتى لو قمت فقط بتحديث primaryKeyUri، يجب عليك تحديد جميع خصائص تشفير البيانات في جسم الطلب. إذا لم تقدم معرف التعريف الأساسي FederatedIdentityClientId في جسم الطلب، يتم التعامل مع الطلب كتكوين CMK غير عابر للمستأجرين.

قيود معاينة مفاتيح إدارة العملاء عبر المستأجرين (CMK)

  • هذه الميزة غير مدعومة بعد في Azure PowerShell أو Azure CLI.
  • إنشاء خادم يحتوي على نسخ احتياطية جغرافية مكررة وتمكين عمليات النسخ الاحتياطي طويلة الأمد غير مدعوم حاليا.
  • المعاينة حاليا مدعومة فقط في هذه المناطق:
    • شرق الولايات المتحدة 2
    • غرب الولايات المتحدة 2
    • وسط الولايات المتحدة
    • Australia Southeast
    • شرق أستراليا
    • North Europe

قيود المفاتيح التي يديرها العميل (CMK)

هذه هي القيود الحالية لتكوين المفتاح المدار للعميل في قاعدة بيانات Azure لمثيل خادم PostgreSQL المرن:

المحتوى ذو الصلة

  • Last updated on