Povolení šifrování dat pomocí klíčů spravovaných zákazníkem ve službě Azure Cosmos DB for PostgreSQL

Důležité

Azure Cosmos DB for PostgreSQL se už pro nové projekty nepodporuje. Tuto službu nepoužívejte pro nové projekty. Místo toho použijte jednu z těchto dvou služeb:

• Azure Cosmos DB for NoSQL můžete použít pro distribuované databázové řešení navržené pro vysoce škálovatelné scénáře s 99,999% smlouvou o úrovni služeb (SLA), okamžitým automatickým škálováním a automatickým převzetím služeb při selhání napříč několika oblastmi.

• Použijte funkci Elastic Clusters služby Azure Database for PostgreSQL pro horizontálně dělené PostgreSQL pomocí opensourcového rozšíření Citus.

Požadavky

• Existující účet Azure Cosmos DB pro PostgreSQL.
  • Pokud máte předplatné Azure, vytvořte nový účet.
  • Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

Povolení šifrování dat pomocí klíčů spravovaných zákazníkem

Důležité

Ve stejné oblasti, ve které se nasadí cluster Azure Cosmos DB for PostgreSQL, vytvořte všechny následující prostředky.

1. Vytvořte spravovanou identitu přiřazenou uživatelem. Azure Cosmos DB for PostgreSQL v současné době podporuje pouze spravované identity přiřazené uživatelem.

2. Vytvořte službu Azure Key Vault a přidejte zásadu přístupu k vytvořené uživatelem přiřazené spravované identitě s následujícími oprávněními ke klíči: Získat, Rozbalit klíč a Zabalit klíč.

3. Vygenerujte klíč v trezoru klíčů (podporované typy klíčů: RSA 2048, 3071, 4096).

4. Vyberte možnost šifrování klíče spravovaného zákazníkem během vytváření clusteru Azure Cosmos DB for PostgreSQL a vyberte příslušnou spravovanou identitu přiřazenou uživatelem, trezor klíčů a klíč vytvořený v krocích 1, 2 a 3.

Podrobné kroky

Spravovaná identita přiřazená uživatelem

1. Na globálním vyhledávacím panelu vyhledejte spravované identity.

   

2. Vytvořte novou uživatelsky přiřazenou spravovanou identitu ve stejné oblasti jako váš cluster Azure Cosmos DB for PostgreSQL.

   

Přečtěte si další informace o spravované identitě přiřazené uživatelem.

Key Vault

Použití klíčů spravovaných zákazníkem se službou Azure Cosmos DB for PostgreSQL vyžaduje, abyste nastavili dvě vlastnosti instance služby Azure Key Vault, které chcete použít k hostování šifrovacích klíčů: měkké odstranění a ochrana před vymazáním.

1. Pokud vytvoříte novou instanci služby Azure Key Vault, během vytváření povolte tyto vlastnosti:

   

2. Pokud používáte existující instanci služby Azure Key Vault, můžete ověřit, že jsou tyto vlastnosti povolené, a to v části Vlastnosti na webu Azure Portal. Pokud některé z těchto vlastností nejsou povolené, přečtěte si část "Povolení obnovitelného odstranění" a "Povolení ochrany před vymazáním" v jednom z následujících článků.

   • Jak používat soft-smazání pomocí PowerShellu.
   • Jak používat softwarové odstranění pomocí Azure CLI.

3. Trezor klíčů musí být nastavený na 90 dnů, aby se zachovaly odstraněné trezory. Pokud je existující služba Key Vault nakonfigurovaná s nižším číslem, budete muset po vytvoření vytvořit nový trezor klíčů, protože toto nastavení se po vytvoření nedá změnit.

   Důležité

   Vaše instance služby Azure Key Vault musí umožňovat veřejný přístup ze všech sítí.

Přidání zásad přístupu do služby Key Vault

1. Na webu Azure Portal přejděte do instance služby Azure Key Vault, kterou chcete použít k hostování šifrovacích klíčů. V nabídce vlevo vyberte Konfiguraci accessu. Ujistěte se, že je vybraná zásada přístupu k trezoru v části Model oprávnění, a pak vyberte Přejít k zásadám přístupu.

   

2. Vyberte + Vytvořit.

3. Na kartě Oprávnění v rozevírací nabídce Oprávnění ke klíči vyberte oprávnění Získat, Rozbalit klíč a Zabalit klíč.

   

4. Na kartě Principal vyberte uživatelem přiřazenou spravovanou identitu, kterou jste vytvořili v předchozím kroku.

5. Přejděte na Zkontrolovat a vytvořit, vyberte Vytvořit.

Vytvoření nebo import klíče

1. Na webu Azure Portal přejděte do instance služby Azure Key Vault, kterou chcete použít k hostování šifrovacích klíčů.

2. V nabídce vlevo vyberte Klávesy a pak vyberte +Generovat/Importovat.

   

3. Klíč spravovaný zákazníkem, který se má použít k šifrování klíče DEK, může být pouze asymetrický typ klíče RSA. Podporují se všechny velikosti klíčů RSA 2048, 3072 a 4096.

4. Jako datum aktivace klíče (pokud ho nastavíte) je potřeba nastavit minulé datum a čas. Datum vypršení platnosti (pokud je nastavené) musí být budoucí datum a čas.

5. Klíč musí být povolený.

6. Pokud importujete existující klíč do trezoru klíčů, nezapomeňte ho zadat v podporovaných formátech souborů (.pfx, .byok, .backup).

7. Pokud klíčem ručně otáčíte, starší verzi klíče byste neměli odstranit po dobu alespoň 24 hodin.

Povolení šifrování CMK během zřizování nového clusteru

Portal

1. Během zřizování nového clusteru Azure Cosmos DB for PostgreSQL po poskytnutí potřebných informací na kartách Základy a Sítě přejděte na kartu Šifrování .

2. V části Šifrovací klíč dat vyberte klíč spravovaný zákazníkem.

3. Vyberte uživatelsky přiřazenou spravovanou identitu vytvořenou v předchozí části.

4. Vyberte trezor klíčů vytvořený v předchozím kroku, který má zásadu přístupu k identitě spravované uživatelem vybranou v předchozím kroku.

5. Vyberte klíč vytvořený v předchozím kroku a pak vyberte Zkontrolovat a vytvořit.

6. Po vytvoření clusteru ověřte, že je šifrování CMK povolené, a to tak, že přejdete do okna Šifrování dat clusteru Azure Cosmos DB for PostgreSQL na webu Azure Portal.

Poznámka:

Šifrování dat je možné nakonfigurovat pouze při vytváření nového clusteru a nedá se aktualizovat v existujícím clusteru. Alternativním řešením pro aktualizaci konfigurace šifrování v existujícím clusteru je provést obnovení clusteru a nakonfigurovat šifrování dat při vytváření nově obnoveného clusteru.

Šablona ARM

   {
       "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "serverGroupName": {
               "type": "string"
           },
           "location": {
               "type": "string"
           },
           "administratorLoginPassword": {
               "type": "secureString"
           },
           "previewFeatures": {
               "type": "bool"
           },
           "postgresqlVersion": {
               "type": "string"
           },
           "coordinatorVcores": {
               "type": "int"
           },
           "coordinatorStorageSizeMB": {
               "type": "int"
           },
           "numWorkers": {
               "type": "int"
           },
           "workerVcores": {
               "type": "int"
           },
           "workerStorageSizeMB": {
               "type": "int"
           },
           "enableHa": {
               "type": "bool"
           },
           "enablePublicIpAccess": {
               "type": "bool"
           },
           "serverGroupTags": {
               "type": "object"
           },
           "userAssignedIdentityUrl": {
               "type": "string"
           },
           "encryptionKeyUrl": {
               "type": "string"
           }
       },
       "variables": {},
       "resources": [
           {
               "name": "[parameters('serverGroupName')]",
               "type": "Microsoft.DBforPostgreSQL/serverGroupsv2",
               "kind": "CosmosDBForPostgreSQL",
               "apiVersion": "2020-10-05-privatepreview",
               "identity":
               {
                   "type": "UserAssigned",
                   "userAssignedIdentities":
                   {
                       "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/yogkuleuapcmkmarlintest/providers/Microsoft.ManagedIdentity/userAssignedIdentities/marlincmktesteus2euapuai1": {}
                   }
               },
               "location": "[parameters('location')]",
               "tags": "[parameters('serverGroupTags')]",
               "properties": {
                   "createMode": "Default",
                   "administratorLogin": "citus",
                   "administratorLoginPassword": "[parameters('administratorLoginPassword')]",
                   "backupRetentionDays": 35,
                   "enableMx": false,
                   "enableZfs": false,
                   "previewFeatures": "[parameters('previewFeatures')]",
                   "postgresqlVersion": "[parameters('postgresqlVersion')]",
                   "dataencryption":
                   {
                       "primaryKeyUri": "[parameters('encryptionKeyUrl')]",
                       "primaryUserAssignedIdentityId": "[parameters('userAssignedIdentityUrl')]",
                       "type": "AzureKeyVault"
                   },
                   "serverRoleGroups": [
                       {
                           "name": "",
                           "role": "Coordinator",
                           "serverCount": 1,
                           "serverEdition": "GeneralPurpose",
                           "vCores": "[parameters('coordinatorVcores')]",
                           "storageQuotaInMb": "[parameters('coordinatorStorageSizeMB')]",
                           "enableHa": "[parameters('enableHa')]"
                       },
                       {
                           "name": "",
                           "role": "Worker",
                           "serverCount": "[parameters('numWorkers')]",
                           "serverEdition": "MemoryOptimized",
                           "vCores": "[parameters('workerVcores')]",
                           "storageQuotaInMb": "[parameters('workerStorageSizeMB')]",
                           "enableHa": "[parameters('enableHa')]",
                           "enablePublicIpAccess": "[parameters('enablePublicIpAccess')]"
                       }
                   ]
               },
               "dependsOn": []
           }
       ],
       "outputs": {}
   }

Vysoká dostupnost

Pokud je v primárním clusteru povolené šifrování CMK, všechny pohotovostní uzly vysoké dostupnosti se automaticky šifrují klíčem primárního clusteru.

Změna konfigurace šifrování provedením obnovení k určitému bodu v čase

Konfiguraci šifrování je možné změnit z šifrování spravovaného službou na šifrování spravované zákazníkem nebo naopak při provádění operace obnovení clusteru (PITR – obnovení k určitému bodu v čase).

Portal

1. Přejděte do okna Šifrování dat a vyberte Zahájit operaci obnovení. Případně můžete provést PITR výběrem možnosti Obnovit v panelu Přehled.

2. Šifrování dat můžete změnit nebo nakonfigurovat na kartě Šifrování na stránce obnovení clusteru.

Šablona ARM

   {
       "$schema": "http://schema.management.azure.com/schemas/2014-04-01-preview/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "location": {
               "type": "string"
           },
           "sourceLocation": {
               "type": "string"
           },
           "subscriptionId": {
               "type": "string"
           },
           "resourceGroupName": {
               "type": "string"
           },
           "serverGroupName": {
               "type": "string"
           },
           "sourceServerGroupName": {
               "type": "string"
           },
           "restorePointInTime": {
               "type": "string"
           },
           "encryptionKeyUrl": {
               "type": "string"
           },
           "userAssignedIdentityUrl": {
               "type": "string"
           }
       },
       "variables": {
           "api": "2020-02-14-privatepreview"
       },
       "resources": [
           {
               "apiVersion": "2020-10-05-privatepreview",
               "location": "[parameters('location')]",
               "name": "[parameters('serverGroupName')]",
               "identity":
               {
                   "type": "UserAssigned",
                   "userAssignedIdentities":
                   {
                       "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/yogkuleuapcmkmarlintest/providers/Microsoft.ManagedIdentity/userAssignedIdentities/marlincmktesteus2euapuai1": {}
                   }
               },
               "properties": {
                   "createMode": "PointInTimeRestore",
                   "sourceServerGroupName": "[parameters('sourceServerGroupName')]",
                   "pointInTimeUTC": "[parameters('restorePointInTime')]",
                   "sourceLocation": "[parameters('location')]",
                   "sourceSubscriptionId": "[parameters('subscriptionId')]",
                   "sourceResourceGroupName": "[parameters('resourceGroupName')]",
                   "enableMx": false,
                   "enableZfs": false,
                   "dataencryption":
                   {
                       "primaryKeyUri": "[parameters('encryptionKeyUrl')]",
                       "primaryUserAssignedIdentityId": "[parameters('userAssignedIdentityUrl')]",
                       "type": "AzureKeyVault"
                   },
               }
               "type": "Microsoft.DBforPostgreSQL/serverGroupsv2"
           }
       ]
   }

Monitorování klíče spravovaného zákazníkem ve službě Key Vault

Pokud chcete monitorovat stav databáze a povolit upozorňování na ztrátu přístupu k ochraně transparentního šifrování dat, nakonfigurujte následující funkce Azure:

• Azure Resource Health: Nepřístupná databáze, která ztratila přístup ke klíči zákazníka, se po odepření prvního připojení k databázi zobrazuje jako nepřístupná.

• Protokol aktivit: Pokud přístup k klíči zákazníka ve službě Key Vault spravované zákazníkem selže, položky se přidají do protokolu aktivit. Pokud pro tyto události vytvoříte výstrahy, můžete co nejdříve obnovit přístup.

• Skupiny akcí: Definujte tyto skupiny, které vám budou posílat oznámení a výstrahy na základě vašich preferencí.

Další kroky

• Informace o šifrování dat pomocí klíčů spravovaných zákazníkem
• Projděte si limity a omezení CMK ve službě Azure Cosmos DB for PostgreSQL.