Konfigurace šifrování dat ve službě Azure Database for PostgreSQL

Tento článek obsahuje podrobné pokyny ke konfiguraci šifrování dat pro instanci flexibilního serveru Azure Database for PostgreSQL.

Důležité

Jediným bodem, ve kterém se můžete rozhodnout, jestli chcete k šifrování dat použít systémový spravovaný klíč nebo klíč spravovaný zákazníkem, je vytvoření serveru. Jakmile provedete toto rozhodnutí a vytvoříte server, nemůžete mezi těmito dvěma možnostmi přepínat.

V tomto článku se dozvíte, jak vytvořit nový server a nakonfigurovat jeho možnosti šifrování dat. Pro stávající servery, jejichž šifrování dat je nakonfigurované pro použití šifrovacího klíče spravovaného zákazníkem, se naučíte:

• Jak vybrat jinou spravovanou identitu přiřazenou uživatelem, se kterou služba přistupuje k šifrovacímu klíči.
• Určení jiného šifrovacího klíče nebo otočení šifrovacího klíče, který se aktuálně používá pro šifrování dat

Další informace o šifrování dat v kontextu služby Azure Database for PostgreSQL najdete v šifrování dat.

Konfigurace šifrování dat pomocí klíče spravovaného systémem během zřizování serveru

Portal

Použití portálu Azure:

1. Během zřizování nové instance flexibilního serveru Azure Database for PostgreSQL se šifrování dat konfiguruje na kartě Zabezpečení . U šifrovacího klíče dat vyberte přepínač Klíč spravovaný službou .

   

2. Pokud povolíte zřízení geograficky redundantního úložiště zálohování společně se serverem, změní se aspekt karty Zabezpečení mírně, protože server používá dva samostatné šifrovací klíče. Jedna pro primární oblast, ve které nasazujete server, a jednu pro spárovanou oblast, do které se zálohy serveru asynchronně replikují.

   

CLI

Šifrování dat pomocí šifrovacího klíče přiřazeného systémem můžete povolit při zřizování nového serveru pomocí příkazu az postgres flexible-server create .

az postgres flexible-server create \
  --resource-group <resource_group> \
  --name <server> ...

Poznámka:

V předchozím příkazu není k dispozici žádný speciální parametr, který určuje, že server musí být vytvořen pomocí klíče přiřazeného systémem pro šifrování dat. Důvodem je, že šifrování dat pomocí klíče přiřazeného systémem je výchozí možností. Všimněte si také, že musíte dokončit příkaz zadaný s dalšími parametry, jejichž přítomnost a hodnoty se budou lišit v závislosti na tom, jak chcete nakonfigurovat další funkce zřízeného serveru.

Konfigurace šifrování dat pomocí klíče spravovaného zákazníkem během zřizování serveru

Portal

Použití portálu Azure:

1. Vytvořte jednu spravovanou identitu přiřazenou uživatelem, pokud ji ještě nemáte. Pokud má váš server povolené geograficky redundantní zálohy, musíte vytvořit různé identity. Každá z těchto identit se používá pro přístup ke každému ze dvou šifrovacích klíčů dat.

Poznámka:

I když to není nutné, abyste zachovali regionální odolnost, doporučujeme vytvořit identitu spravovanou uživatelem ve stejné oblasti jako váš server. A pokud má váš server povolenou redundanci geografického zálohování, doporučujeme, aby se ve spárované oblasti serveru vytvořila druhá identita spravovaná uživatelem, která se používá pro přístup k šifrovacímu klíči dat pro geograficky redundantní zálohy.

1. Vytvořte jednu službu Azure Key Vault nebo vytvořte jeden spravovaný HSM, pokud ještě nemáte vytvořené úložiště klíčů. Ujistěte se, že splňujete požadavky. Před konfigurací úložiště klíčů a před vytvořením klíče a přiřazením požadovaných oprávnění spravované identitě přiřazené uživatelem také postupujte podle doporučení . Pokud má váš server povolené geograficky redundantní zálohy, musíte vytvořit druhé úložiště klíčů. Druhé úložiště klíčů slouží k zachování šifrovacího klíče dat, pomocí kterého jsou vaše zálohy zkopírovány do spárované oblasti serveru zašifrované.

Poznámka:

Úložiště klíčů použité k zachování šifrovacího klíče dat musí být nasazené ve stejné oblasti jako váš server. Pokud má váš server povolenou redundanci geografického zálohování, úložiště klíčů, které uchovává šifrovací klíč dat pro geograficky redundantní zálohy, se musí vytvořit ve spárované oblasti serveru.

1. Vytvořte v úložišti klíčů jeden klíč. Pokud má váš server povolené geograficky redundantní zálohy, potřebujete na každém úložišti klíčů jeden klíč. Pomocí jednoho z těchto klíčů zašifrujeme všechna data vašeho serveru (včetně všech systémových a uživatelských databází, dočasných souborů, protokolů serveru, segmentů protokolů pro zápis a záloh). Pomocí druhého klíče zašifrujeme kopie záloh, které se asynchronně kopírují přes spárovanou oblast vašeho serveru.

2. Během zřizování nové instance flexibilního serveru Azure Database for PostgreSQL se šifrování dat konfiguruje na kartě Zabezpečení . U šifrovacího klíče dat vyberte přepínač Klíč spravovaný zákazníkem .

   

3. Pokud povolíte zřízení geograficky redundantního úložiště zálohování společně se serverem, změní se aspekt karty Zabezpečení mírně, protože server používá dva samostatné šifrovací klíče. Jedna pro primární oblast, ve které nasazujete server, a jednu pro spárovanou oblast, do které se zálohy serveru asynchronně replikují.

   

4. Ve spravované identitě přiřazené uživatelem vyberte Změnit identitu.

   

5. V seznamu spravovaných identit přiřazených uživatelem vyberte ten, který má váš server použít pro přístup k šifrovacímu klíči dat uloženému ve službě Azure Key Vault.

   

6. Vyberte Přidat.

   

7. Pokud chcete, aby služba automaticky aktualizovala odkaz na nejaktuálnější verzi vybraného klíče, vyberte možnost Použít automatickou aktualizaci verze klíče, kdykoli se aktuální verze otočí ručně nebo automaticky. Informace o výhodách používání automatických aktualizací verzí klíčů najdete v tématu Automatická aktualizace verze klíče.

   

8. Vyberte klávesu.

   

9. Předplatné se automaticky vyplní názvem předplatného, na kterém se má váš server vytvořit. Úložiště klíčů, které uchovává šifrovací klíč dat, musí existovat ve stejném předplatném jako server.

   

10. V části Typ úložiště klíčů vyberte přepínač odpovídající typu úložiště klíčů, do kterého chcete šifrovací klíč dat uložit. V tomto příkladu zvolíme trezor klíčů, ale prostředí je podobné, pokud zvolíte Managed HSM.

    

11. Rozbalte trezor klíčů (nebo spravovaný HSM, pokud jste vybrali tento typ úložiště) a vyberte instanci, ve které existuje šifrovací klíč dat.

    

    Poznámka:

    Když rozbalíte rozevírací seznam, zobrazí se žádné dostupné položky. Trvá několik sekund, než vypíše všechny instance trezoru klíčů, které jsou nasazené ve stejné oblasti jako server.

12. Rozbalte klíč a vyberte název klíče, který chcete použít pro šifrování dat.

    

13. Pokud jste nevybrali možnost Použít automatickou aktualizaci verze klíče, musíte také vybrat konkrétní verzi klíče. Uděláte to tak, že rozbalíte verzi a vyberete identifikátor verze klíče, který chcete použít pro šifrování dat.

    

14. Vyberte Vybrat.

    

15. Nakonfigurujte všechna ostatní nastavení nového serveru a vyberte Zkontrolovat a vytvořit.

    

CLI

Šifrování dat pomocí šifrovacího klíče přiřazeného uživatelem můžete povolit při zřizování nového serveru pomocí příkazu az postgres flexible-server create .

Pokud váš server nemá povolené geograficky redundantní zálohy:

az postgres flexible-server create \
  --resource-group <resource_group> \
  --name <server> \
  --geo-redundant-backup Disabled \
  --identity <managed_identity_to_access_primary_encryption_key> \
  --key <resource_identifier_of_primary_encryption_key> ...

Poznámka:

Předchozí příkaz musí být dokončen s dalšími parametry, jejichž přítomnost a hodnoty se budou lišit v závislosti na tom, jak chcete nakonfigurovat další funkce zřízeného serveru.

Pokud má váš server povolené geograficky redundantní zálohy:

az postgres flexible-server create \
  --resource-group <resource_group> \
  --name <server> \
  --geo-redundant-backup Enabled \
  --identity <managed_identity_to_access_primary_encryption_key> \
  --key <resource_identifier_of_primary_encryption_key> \
  --backup-identity <managed_identity_to_access_geo_backups_encryption_key> \
  --backup-key <resource_identifier_of_geo_backups_encryption_key> ...

Poznámka:

Předchozí příkaz musí být dokončen s dalšími parametry, jejichž přítomnost a hodnoty se budou lišit v závislosti na tom, jak chcete nakonfigurovat další funkce zřízeného serveru.

Konfigurace šifrování dat pomocí klíče spravovaného zákazníkem na existujících serverech

Jediným bodem, ve kterém se můžete rozhodnout, jestli chcete k šifrování dat použít systémový spravovaný klíč nebo klíč spravovaný zákazníkem, je vytvoření serveru. Jakmile provedete toto rozhodnutí a vytvoříte server, nemůžete mezi těmito dvěma možnostmi přepínat. Jedinou alternativou, pokud chcete přejít z jedné na druhou, je nutné obnovit všechny zálohy, které jsou k dispozici na nový server. Při konfiguraci obnovení můžete změnit konfiguraci šifrování dat nového serveru.

U stávajících serverů nasazených s šifrováním dat pomocí klíče spravovaného zákazníkem můžete provést několik změn konfigurace. Věci, které je možné změnit, jsou odkazy na klíče používané k šifrování a odkazy na spravované identity přiřazené uživatelem, které služba používá pro přístup ke klíčům uloženým v úložištích klíčů.

Musíte aktualizovat odkazy na klíč, které má vaše instance flexibilního serveru Azure Database for PostgreSQL.

• Když se klíč uložený v úložišti klíčů otočí ručně nebo automaticky a instance flexibilního serveru Azure Database for PostgreSQL ukazuje na konkrétní verzi klíče. Pokud odkazujete na klíč, ale ne na konkrétní verzi klíče (to znamená, že máte povolenou automatickou aktualizaci verze klíče ), služba se postará o automatické odkazování na nejnovější verzi klíče, kdykoli je klíč ručně nebo automaticky otočený.
• Pokud chcete použít stejný nebo jiný klíč uložený v jiném úložišti klíčů.

Pokud chcete použít jinou identitu, musíte aktualizovat spravované identity přiřazené uživatelem, které používá vaše instance flexibilního serveru Azure Database for PostgreSQL, abyste měli přístup k šifrovacím klíčům.

Portal

Použití portálu Azure:

1. Vyberte instanci flexibilního serveru Azure Database for PostgreSQL.

2. V nabídce prostředků v části Zabezpečení vyberte Šifrování dat.

   

3. Pokud chcete změnit spravovanou identitu přiřazenou uživatelem, se kterou server přistupuje k úložišti klíčů, ve kterém se klíč uchovává, rozbalte rozevírací seznam Spravovaná identita přiřazená uživatelem a vyberte některou z dostupných identit.

   

   Poznámka:

   Identita zobrazená v rozbalovacím seznamu jsou pouze ty, které byla přiřazena instance serveru flexibilního Azure Database for PostgreSQL. I když to není nutné, abyste zachovali regionální odolnost, doporučujeme vybrat identity spravované uživatelem ve stejné oblasti jako váš server. A pokud má váš server povolenou redundanci geografického zálohování, doporučujeme, aby ve spárované oblasti serveru existovala druhá identita spravovaná uživatelem, která se používá pro přístup k šifrovacímu klíči dat pro geograficky redundantní zálohy.

4. Pokud spravovaná identita přiřazená uživatelem, kterou chcete použít pro přístup k šifrovacímu klíči dat, není přiřazená k instanci flexibilního serveru Azure Database for PostgreSQL a neexistuje ani jako prostředek Azure s odpovídajícím objektem v Microsoft Entra ID, můžete ho vytvořit výběrem možnosti Vytvořit.

   

5. Na panelu Vytvořit spravovanou identitu přiřazenou uživatelem vyplňte podrobnosti o spravované identitě přiřazené uživatelem, kterou chcete vytvořit, a automaticky přiřaďte instanci flexibilního serveru Azure Database for PostgreSQL pro přístup k šifrovacímu klíči dat.

   

6. Pokud spravovaná identita přiřazená uživatelem, kterou chcete použít pro přístup k šifrovacímu klíči dat, není přiřazená k instanci flexibilního serveru Azure Database for PostgreSQL, ale existuje jako prostředek Azure s odpovídajícím objektem v MICROSOFT Entra ID, můžete ji přiřadit výběrem možnosti Vybrat.

   

7. V seznamu spravovaných identit přiřazených uživatelem vyberte ten, který má váš server použít pro přístup k šifrovacímu klíči dat uloženému ve službě Azure Key Vault.

   

8. Vyberte Přidat.

   

9. Pokud chcete, aby služba automaticky aktualizovala odkaz na nejaktuálnější verzi vybraného klíče, vyberte možnost Použít automatickou aktualizaci verze klíče, kdykoli se aktuální verze otočí ručně nebo automaticky. Informace o výhodách používání automatických aktualizací verzí klíčů najdete v tématu [automatická aktualizace verze klíče](concepts-data-encryption.md##CMK aktualizace verze klíče).

   

10. Pokud klíč otočíte a nemáte povolenou automatickou aktualizaci verze klíče . Nebo pokud chcete použít jiný klíč, musíte aktualizovat instanci flexibilního serveru Azure Database for PostgreSQL tak, aby odkazovala na novou verzi klíče nebo nový klíč. Uděláte to tak, že zkopírujete identifikátor prostředku klíče a vložíte ho do pole Identifikátor klíče .

    

11. Pokud má uživatel, který přistupuje k webu Azure Portal, oprávnění pro přístup ke klíči uloženému v úložišti klíčů, můžete použít alternativní přístup k výběru nového klíče nebo nové verze klíče. Uděláte to tak, že v metodě výběru klíče vyberete přepínač Vybrat klíč .

    

12. Vyberte klávesu Vybrat.

    

13. Předplatné se automaticky vyplní názvem předplatného, na kterém se má váš server vytvořit. Úložiště klíčů, které uchovává šifrovací klíč dat, musí existovat ve stejném předplatném jako server.

    

14. V části Typ úložiště klíčů vyberte přepínač odpovídající typu úložiště klíčů, do kterého chcete šifrovací klíč dat uložit. V tomto příkladu zvolíme trezor klíčů, ale prostředí je podobné, pokud zvolíte Managed HSM.

    

15. Rozbalte trezor klíčů (nebo spravovaný HSM, pokud jste vybrali tento typ úložiště) a vyberte instanci, ve které existuje šifrovací klíč dat.

    

    Poznámka:

    Když rozbalíte rozevírací seznam, zobrazí se žádné dostupné položky. Trvá několik sekund, než vypíše všechny instance trezoru klíčů, které jsou nasazené ve stejné oblasti jako server.

16. Rozbalte klíč a vyberte název klíče, který chcete použít pro šifrování dat.

    

17. Pokud jste nevybrali možnost Použít automatickou aktualizaci verze klíče, musíte také vybrat konkrétní verzi klíče. Uděláte to tak, že rozbalíte verzi a vyberete identifikátor verze klíče, který chcete použít pro šifrování dat.

    

18. Vyberte Vybrat.

    

19. Jakmile budete spokojeni s provedenými změnami, vyberte Uložit.

    

CLI

Pomocí příkazu az postgres flexible-server update můžete nakonfigurovat šifrování dat pomocí šifrovacího klíče přiřazeného uživatelem pro existující server.

az postgres flexible-server update \
  --resource-group <resource_group> \
  --name <server> \
  --identity <managed_identity_to_access_primary_encryption_key> \
  --key <resource_identifier_of_primary_encryption_key> ...

Poznámka:

Předchozí příkaz může být potřeba dokončit s dalšími parametry, jejichž přítomnost a hodnoty se budou lišit v závislosti na tom, jak chcete nakonfigurovat další funkce existujícího serveru.

Ať už chcete změnit jenom spravovanou identitu přiřazenou uživatelem, která se používá pro přístup ke klíči, nebo chcete změnit jenom klíč použitý pro šifrování dat, nebo chcete změnit obojí najednou, musíte zadat parametry i --identity--key (nebo --backup-identity i --backup-key pro geograficky redundantní zálohy). Pokud zadáte jednu, ale ne obojí, zobrazí se některá z následujících chyb:

User assigned identity and keyvault key need to be provided together. Please provide --identity and --key together.

User assigned identity and keyvault key need to be provided together. Please provide --backup-identity and --backup-key together.

Pokud klíč odkazovaný hodnotou předanou parametru --key (nebo --backup-key pro geograficky redundantní zálohy) neexistuje nebo pokud spravovaná identita přiřazená uživatelem, jejíž identifikátor prostředku se předá parametru --identity (ore --backup-identity pro geograficky redundantní zálohy), nemá požadovaná oprávnění pro přístup ke klíči, zobrazí se následující chyba:

Code: AzureKeyVaultKeyNameNotFound
Message: The operation could not be completed because the Azure Key Vault Key name '<key_vault_resource>' does not exist or User Assigned Identity does not have Get access to the Key (/azure/postgresql/flexible-server/concepts-data-encryption#requirements-for-configuring-data-encryption-for-azure-database-for-postgresql-flexible-server).

Pokud má váš server povolené geograficky redundantní zálohy, můžete nakonfigurovat klíč použitý pro šifrování geograficky redundantních záloh a identitu použitou pro přístup k housku. K tomu můžete použít --backup-identity parametry a --backup-key parametry.

az postgres flexible-server update \
  --resource-group <resource_group> \
  --name <server> \
  --backup-identity <managed_identity_to_access_georedundant_encryption_key> \
  --backup-key <resource_identifier_of_georedundant_encryption_key> ...

Pokud předáte parametry --backup-identity a --backup-keyaz postgres flexible server update příkaz a odkazujete na existující server, který nemá povolené geograficky redundantní zálohování, zobrazí se následující chyba:

Geo-redundant backup is not enabled. You cannot provide Geo-location user assigned identity and keyvault key.

Identity předané do --identity a --backup-identity parametrů, pokud existují a jsou platné, se automaticky přidají do seznamu spravovaných identit přiřazených uživatelem přidružených k vaší instanci flexibilního serveru Azure Database for PostgreSQL. To platí i v případě, že příkaz později selže s jinou chybou. V takových případech můžete chtít použít příkazy az postgres flexible-server identity k výpisu, přiřazení nebo odebrání spravovaných identit přiřazených uživatelem přiřazeným k instanci flexibilního serveru Azure Database for PostgreSQL. Další informace o konfiguraci spravovaných identit přiřazených uživatelem v instanci flexibilního serveru Azure Database for PostgreSQL najdete v tématu Přidružení spravovaných identit přiřazených uživatelem k existujícím serverům, zrušení přidružení spravovaných identit přiřazených uživatelem k existujícím serverům a zobrazení přidružených spravovaných identit přiřazených uživatelem.

Související obsah

• Šifrování dat