Sdílet prostřednictvím

Šifrování dat pro Službu Azure Database for MySQL pomocí webu Azure Portal

V tomto článku se dozvíte, jak nastavit a spravovat šifrování dat pro službu Azure Database for MySQL, která se zaměřuje na šifrování neaktivních uložených dat, která chrání data uložená v databázi.

V tomto článku se naučíte:

  • Nastavení šifrování dat pro Službu Azure Database for MySQL
  • Nakonfigurujte šifrování dat pro obnovení.
  • Nakonfigurujte šifrování dat pro servery replik.

Konfigurace přístupu ke službě Azure Key Vault teď podporuje dva typy modelů oprávnění – řízení přístupu na základě role v Azure a zásady přístupu trezoru. Tento článek popisuje, jak nakonfigurovat šifrování dat pro Službu Azure Database for MySQL pomocí zásad přístupu trezoru.

K udělení přístupu ke službě Azure Key Vault můžete použít Azure RBAC jako model oprávnění. K tomu potřebujete integrovanou nebo vlastní roli, která má následující tři oprávnění, a přiřaďte ji pomocí karty Řízení přístupu (IAM) v přehledu klíčů:

  • KeyVault/vaults/keys/wrap/action
  • KeyVault/vaults/keys/unwrap/action
  • KeyVault/vaults/keys/read. Pro HSM spravovaný službou Azure Key Vault budete také muset přiřadit roli "Managed HSM Crypto Service Encryption User" v RBAC.

Typy šifrování

Azure Database for MySQL podporuje dva primární typy šifrování, které pomáhají chránit vaše data. Šifrování neaktivních uložených dat zajišťuje, aby všechna data uložená v databázi, včetně záloh a protokolů, byla chráněna před neoprávněným přístupem zašifrováním na disku. Šifrování během přenosu (označované také jako šifrování komunikace) zabezpečuje data při přesouvání mezi klientskými aplikacemi a databázovým serverem, obvykle pomocí protokolů TLS/SSL. Tyto typy šifrování společně poskytují komplexní ochranu vašich dat, když jsou uložená a přenášená.

  • Šifrování neaktivních uložených dat: Chrání data uložená v databázi, zálohách a protokolech. Toto je primárním cílem tohoto článku.
  • Šifrování komunikace (šifrování během přenosu):: Chrání data při přenosu mezi klientem a serverem, obvykle pomocí protokolů TLS/SSL.

Požadavky

  • Účet Azure s aktivním předplatným.
  • Pokud ještě nemáte předplatné Azure, vytvořte si bezplatný účet Azure, než začnete.

    > [! POZNÁMKA] > S bezplatným účtem Azure teď můžete vyzkoušet flexibilní server Azure Database for MySQL zdarma po dobu 12 měsíců. Další informace najdete v tématu Použití bezplatného účtu Azure k vyzkoušení flexibilního serveru Azure Database for MySQL zdarma.

Nastavení správných oprávnění pro operace s klíči

  1. Ve službě Key Vault vyberte zásady přístupu a pak vyberte Vytvořit.

Snímek obrazovky se zásadami přístupu ke službě Key Vault na webu Azure Portal

  1. Na kartě Oprávnění vyberte následující oprávnění ke klíči – Získat, Seznam, Zalamovat klíč, Rozbalit klíč.

  2. Na kartě Objekt zabezpečení vyberte spravovanou identitu přiřazenou uživatelem.

Snímek obrazovky s kartou objektu zabezpečení na webu Azure Portal

  1. Vyberte Vytvořit.

Konfigurace klíče spravovaného zákazníkem

Pokud chcete nastavit klíč spravovaný zákazníkem, postupujte podle těchto kroků.

  1. Na portálu přejděte do instance flexibilního serveru Azure Database for MySQL a pak v části Zabezpečení vyberte Šifrování dat.

Snímek obrazovky se stránkou šifrování dat

  1. Na stránce Šifrování dat v části Žádná identita není přiřazena možnost Změnit identitu

  2. V dialogovém okně Vybrat spravovanou identitu přiřazenou uživatelem* vyberte ukázkovou identitu umi a pak vyberte Přidat**.

Snímek obrazovky s výběrem demo-umi ze stránky přiřazené spravované identity

  1. Napravo od metody výběru klíče vyberte klíč a zadejte trezor klíčů a pár klíčů nebo vyberte Zadat identifikátor klíče.

Snímek obrazovky s metodou výběru klíče k zobrazení uživatele

  1. Zvolte Uložit.

Použití šifrování dat k obnovení

Pokud chcete v rámci operace obnovení použít šifrování dat, postupujte takto.

  1. Na webu Azure Portal přejděte na stránku Přehled vašeho serveru a vyberte Obnovit.     1. Na kartě Zabezpečení zadáte identitu a klíč.

Snímek obrazovky se stránkou přehledu

  1. Vyberte Změnit identitu a vyberte spravovanou identitu přiřazenou uživatelem a vyberte Přidat klíč . Můžete vybrat trezor klíčů a pár klíčů nebo zadat identifikátor klíče.

SCreenshot stránky pro změnu identity

Použití šifrování dat pro servery replik

Po zašifrování instance flexibilního serveru Azure Database for MySQL pomocí spravovaného klíče zákazníka uloženého ve službě Key Vault se zašifrují také všechny nově vytvořené kopie serveru.

  1. Chcete-li nakonfigurovat replikaci, v části Nastavení vyberte Replikace a pak vyberte Přidat repliku.

Snímek obrazovky se stránkou Replikace

  1. V dialogovém okně Přidat server repliky do služby Azure Database for MySQL vyberte příslušnou možnost Compute + storage a pak vyberte OK.

Snímek obrazovky se stránkou Compute + Storage

    > [! DŮLEŽITÉ] Při pokusu o šifrování flexibilního serveru Azure Database for MySQL pomocí klíče spravovaného zákazníkem, který už má repliky, doporučujeme nakonfigurovat jednu nebo více replik přidáním spravované identity a klíče.

Související obsah

  • Last updated on