Sdílet prostřednictvím

Šifrování neaktivních uložených dat ve službě Azure Database for PostgreSQL

Všechna data spravovaná instancí flexibilního serveru Azure Database for PostgreSQL se vždy šifrují v klidovém stavu. Tato data zahrnují všechny systémové a uživatelské databáze, protokoly serveru, segmenty protokolů pro zápis a zálohy. Šifrování zpracovává základní úložiště prostřednictvím šifrování na straně serveru služby Azure Disk Storage.

Šifrování neaktivních uložených dat pomocí služby (SMK) nebo klíčů spravovaných zákazníkem (CMK)

Azure Database for PostgreSQL podporuje dva režimy šifrování neaktivních uložených dat: klíče spravované službou (SMK) a klíče spravované zákazníkem (CMK). Šifrování dat pomocí klíčů spravovaných službou je výchozím režimem flexibilního serveru Azure Database for PostgreSQL. V tomto režimu služba automaticky spravuje šifrovací klíče používané k šifrování dat. K povolení ani správě šifrování v tomto režimu nemusíte provádět žádnou akci.

V režimu klíčů spravovaných zákazníkem můžete k šifrování dat použít vlastní šifrovací klíč. Tento režim poskytuje větší kontrolu nad procesem šifrování, ale také vyžaduje, abyste šifrovací klíče spravovat sami. Musíte nasadit vlastní službu Azure Key Vault nebo modul hardwarového zabezpečení (HSM) služby Azure Key Vault a nakonfigurovat ho tak, aby ukládal šifrovací klíče používané vaší instancí flexibilního serveru Azure Database for PostgreSQL.

Režim lze vybrat pouze při vytváření serveru. Po celou dobu životnosti serveru se nedá změnit z jednoho režimu na jiný.

K zajištění šifrování vašich dat používá Azure Database for PostgreSQL šifrování uložených dat Azure Storage. Při používání CMK zodpovídá zákazník za poskytování klíčů pro šifrování a dešifrování dat ve službách Blob Storage a Azure Files. Tyto klíče musí být uložené ve službě Azure Key Vault nebo ve spravovaném modulu hardwarového zabezpečení (HSM) služby Azure Key Vault. Další informace najdete v tématu Klíče spravované zákazníkem pro šifrování služby Azure Storage.

Výhody poskytované jednotlivými režimy (SMK nebo CMK)

Šifrování dat pomocí klíčů spravovaných službou pro Azure Database for PostgreSQL poskytuje následující výhody:

  • Služba automaticky a plně řídí přístup k datům.
  • Služba automaticky a plně řídí životní cyklus klíče, včetně obměně klíče.
  • Nemusíte se starat o správu šifrovacích klíčů dat.
  • Šifrování dat na základě klíčů spravovaných službou nemá negativní vliv na výkon vašich úloh.
  • Zjednodušuje správu šifrovacích klíčů (včetně jejich pravidelné obměně) a správu identit používaných pro přístup k těmto klíčům.

Šifrování dat pomocí klíčů spravovaných zákazníkem pro Azure Database for PostgreSQL poskytuje následující výhody:

  • Plně řídíte přístup k datům. Pokud chcete znepřístupnit databázi, můžete klíč odebrat.
  • Životní cyklus klíče, včetně obměně klíče, plně řídíte tak, aby odpovídal firemním zásadám.
  • Všechny šifrovací klíče můžete centrálně spravovat a organizovat ve vlastních instancích služby Azure Key Vault.
  • Šifrování dat založené na klíčích spravovaných zákazníkem nemá negativní vliv na výkon vašich úloh.
  • Můžete implementovat oddělení povinností mezi bezpečnostními důstojníky, správci databází a správci systému.

Požadavky CMK

S šifrovacím klíčem spravovaným zákazníkem převezmete veškerou odpovědnost. Proto musíte nasadit vlastní službu Azure Key Vault nebo HSM služby Azure Key Vault. Musíte vygenerovat nebo importovat vlastní klíč. Ve službě Key Vault musíte udělit požadovaná oprávnění, aby vaše instance flexibilního serveru Azure Database for PostgreSQL mohl s klíčem provádět nezbytné akce. Musíte se postarat o konfiguraci všech aspektů sítě služby Azure Key Vault, ve které se klíč uchovává, aby vaše instance flexibilního serveru Azure Database for PostgreSQL měla přístup ke klíči. Auditování přístupu ke klíči je také vaší zodpovědností. Nakonec zodpovídáte za obměně klíče a v případě potřeby aktualizujete konfiguraci instance flexibilního serveru Azure Database for PostgreSQL tak, aby odkazovala na obměněnou verzi klíče.

Když nakonfigurujete klíče spravované zákazníkem pro účet úložiště, Azure Storage zabalí kořenový šifrovací klíč dat (DEK) pro účet s klíčem spravovaným zákazníkem v přidruženém trezoru klíčů nebo spravovaném HSM. Ochrana kořenového šifrovacího klíče se změní, ale data ve vašem účtu Azure Storage zůstanou zašifrovaná vždy. Na vaší straně není potřeba žádná další akce, která zajistí, že vaše data zůstanou zašifrovaná. Ochrana pomocí klíčů spravovaných zákazníkem se projeví okamžitě.

Azure Key Vault je cloudový externí systém pro správu klíčů. Je vysoce dostupná a poskytuje škálovatelné zabezpečené úložiště pro kryptografické klíče RSA, volitelně zálohované moduly hardwarového zabezpečení (HSM) ověřeným standardem FIPS 140 . Nepovoluje přímý přístup k uloženému klíči, ale poskytuje služby šifrování a dešifrování autorizovaným entitům. Key Vault může klíč vygenerovat, importovat ho nebo ho přijímat z místního zařízení HSM.

Následuje seznam požadavků na konfiguraci šifrování dat pro Službu Azure Database for PostgreSQL:

  • Key Vault a vaše instance flexibilního serveru Azure Database for PostgreSQL musí patřit do stejného tenanta Microsoft Entra. Interakce se službou Key Vault a serverem mezi tenanty se nepodporují. Přesunutí prostředku služby Key Vault poté vyžaduje, abyste překonfigurovat šifrování dat.
  • Doporučujeme nastavit dny pro zachování konfigurace odstraněných trezorů pro službu Key Vault na 90 dnů. Pokud jste nakonfigurovali existující instanci služby Key Vault s nižším číslem, měla by být stále platná. Pokud ale chcete toto nastavení upravit a zvýšit hodnotu, je nutné vytvořit novou instanci služby Key Vault. Po vytvoření instance není možné toto nastavení změnit.
  • Povolte funkci obnovitelného odstranění ve službě Key Vault, která vám pomůže s ochranou před ztrátou dat, pokud dojde k náhodnému odstranění klíče nebo instance služby Key Vault. Služba Key Vault uchovává obnovitelné odstraněné prostředky po dobu 90 dnů, pokud je uživatel mezitím neobnoví nebo vyprázdní. Akce obnovení a vymazání mají svá vlastní oprávnění přidružená k roli RBAC služby Key Vault nebo k oprávnění zásad přístupu. Funkce dočasného odstranění je ve výchozím nastavení zapnutá. Pokud máte službu Key Vault, která byla nasazena už dávno, může mít stále zakázané obnovitelné odstranění. V takovém případě ho můžete zapnout pomocí Azure CLI.
  • Povolením ochrany před vymazáním vynucujte povinnou dobu uchovávání pro odstraněné trezory a objekty trezoru.
  • Udělte spravované identitě přiřazené uživatelem přístup k instanci flexibilního serveru Azure Database for PostgreSQL pro přístup ke klíči:
  • Preferováno: Služba Azure Key Vault by měla být nakonfigurovaná s modelemoprávnění RBAC a spravovaná identita by měla mít přiřazenou roli uživatele šifrování šifrovací služby Key Vault.
  • Starší verze: Pokud je služba Azure Key Vault nakonfigurovaná s modelem oprávnění zásad přístupu, udělte spravované identitě následující oprávnění:
  • get: Načtení vlastností a veřejné části klíče ve službě Key Vault.
  • list: Seznam a iterace prostřednictvím klíčů uložených ve službě Key Vault.
  • wrapKey: Šifrování šifrovacího klíče dat.
  • unwrapKey: Dešifrování šifrovacího klíče dat.
  • Klíč použitý k šifrování šifrovacího klíče dat může být pouze asymetrický, RSA nebo RSA-HSM. Podporují se velikosti klíčů 2 048, 3 072 a 4 096. Pro lepší zabezpečení doporučujeme použít 4 096bitový klíč.
  • Datum a čas aktivace klíče (pokud je nastavená) musí být v minulosti. Datum a čas vypršení platnosti (pokud je nastaveno) musí být v budoucnu.
  • Klíč musí být ve stavu Povoleno .
  • Pokud importujete existující klíč do služby Key Vault, zadejte ho v podporovaných formátech souborů (.pfx.byoknebo.backup).

Aktualizace verze klíče CMK

CmK lze nakonfigurovat s ruční obměnou klíčem a aktualizacemi nebo s automatickými aktualizacemi verzí klíčů po ruční nebo automatické obměně klíčů ve službě Key Vault.

Podrobnosti najdete v tématu Konfigurace šifrování dat pomocí klíče spravovaného zákazníkem během zřizování serveru.

Důležité

Když klíč otočíte na novou verzi, musíte zachovat starý klíč dostupný pro úspěšné přešifrování. Zatímco většina přešifrování by měla proběhnout během 30 minut, doporučujeme počkat alespoň 2 hodiny před zakázáním přístupu ke staré verzi klíče.

Ruční obměně klíčů a aktualizace

Když konfigurujete CMK s ručními aktualizacemi klíčů, musíte po ruční nebo automatické obměně klíčů ve službě Key Vault ručně aktualizovat verzi klíče v instanci flexibilního serveru Azure Database for PostgreSQL. Server bude nadále používat starou verzi klíče, dokud ji neaktualizujete. Tento režim zřídíte zadáním identifikátoru URI klíče včetně verze GUID v identifikátoru URI. Například: https://<keyvault-name>.vault.azure.net/keys/<key-name>/<key-version>. Donedávna to byla jediná dostupná možnost.

Pokaždé, když klíč ručně otočíte nebo klíč automaticky otočíte na základě zásad obměny, museli jste aktualizovat vlastnost CMK ve vaší instanci PostgreSQL. Tento přístup se ukázal jako náchylný k chybám pro operátory nebo vyžadoval vlastní skript pro zpracování rotace, zejména při použití funkce automatického obměny služby Key Vault.

Automatické aktualizace verze klíče

Pokud chcete povolit automatické aktualizace verzí klíče, použijte identifikátor URI klíče bez verze. To eliminuje potřebu aktualizace vlastnosti verze CMK v instanci PostgreSQL po obměně klíčů. PostgreSQL automaticky vyzvedne novou verzi klíče a znovu zašifruje šifrovací klíč dat. Jedná se o obrovské zjednodušení správy životního cyklu klíčů, zejména v kombinaci s automatickou obměnou službou Key Vault.

Pokud chcete implementovat použití ARM, Bicep, Terraformu, Azure PowerShellu nebo Azure CLI, jednoduše vynecháte verzi GUID z identifikátoru URI klíče.

Na portálu zaškrtněte políčko, kterým uživatelské rozhraní potlačí identifikátory GUID verzí během interaktivního výběru a při ověřování identifikátoru URI.

Recommendations

Při použití klíče spravovaného zákazníkem pro šifrování dat postupujte podle těchto doporučení ke konfiguraci služby Key Vault:

  • Pokud chcete zabránit náhodnému nebo neoprávněnému odstranění tohoto kritického prostředku, nastavte zámek prostředku ve službě Key Vault.
  • Povolte auditování a vytváření sestav u všech šifrovacích klíčů. Key Vault poskytuje protokoly, které se dají snadno vložit do jiných nástrojů pro správu událostí a informací o zabezpečení (SIEM). Protokoly služby Azure Monitor jsou jedním z příkladů služby, která je už integrovaná.
  • Uzamkněte službu Key Vault výběrem možnosti Zakázat veřejný přístup a Povolit důvěryhodným službám Microsoftu obejít tuto bránu firewall.
  • Povolte automatické aktualizace verze klíče.

Poznámka:

Po výběru možnosti Zakázat veřejný přístup a Povolit důvěryhodným služby Microsoft obejít tuto bránu firewall, může se při pokusu o použití veřejného přístupu ke správě služby Key Vault přes portál zobrazit chyba podobná následující: "Povolili jste řízení přístupu k síti. K tomuto trezoru klíčů mají přístup pouze povolené sítě." Tato chyba nebrání možnosti poskytovat klíče během instalace klíče spravovaného zákazníkem nebo načítání klíčů ze služby Key Vault během operací serveru.

  • Uchovávejte kopii klíče spravovaného zákazníkem na bezpečném místě nebo ji uložte do služby escrow.
  • Pokud Key Vault tento klíč vygeneruje, vytvořte zálohu klíče před prvním použitím klíče. Zálohu můžete obnovit jenom do služby Key Vault.

Zvláštní aspekty

Náhodné odvolání přístupu ke klíči ze služby Azure Key Vault

Někdo s dostatečnými přístupovými právy ke službě Key Vault může omylem zakázat přístup serveru ke klíči:

  • Zrušení přiřazení role RBAC šifrovací služby Key Vault - Uživatel šifrování nebo odvolání oprávnění z identity, která se používá k načtení klíče v Key Vault.
  • Odstranění klíče
  • Odstranění instance služby Key Vault
  • Změna pravidel brány firewall služby Key Vault
  • Odstranění spravované identity serveru v Microsoft Entra ID

Monitorování klíčů uložených ve službě Azure Key Vault

Pokud chcete monitorovat stav databáze a zapnout výstrahy pro ztrátu přístupu k ochraně šifrování dat, nakonfigurujte následující funkce Azure:

  • Stav prostředku: Po odepření prvního připojení k databázi se zobrazí databáze, která ztratila přístup k cmk, jako nepřístupná .
  • Protokol aktivit: Pokud přístup k klíči CMK v instanci služby Key Vault spravované zákazníkem selže, položky se přidají do protokolu aktivit. Pokud vytvoříte upozornění na tyto události co nejdříve, můžete přístup obnovit.
  • Skupiny akcí: Definujte tyto skupiny pro příjem oznámení a upozornění na základě vašich preferencí.

Obnovení záloh serveru nakonfigurovaného pomocí klíče spravovaného zákazníkem

Po zašifrování instance flexibilního serveru Azure Database for PostgreSQL pomocí klíče spravovaného zákazníkem uloženým ve službě Key Vault se zašifruje také všechna nově vytvořená kopie serveru. Tuto novou kopii můžete vytvořit prostřednictvím operace obnovení k určitému bodu v čase (PITR) nebo replik pro čtení.

Když nastavujete šifrování dat pomocí klíče spravovaného zákazníkem, během operace, jako je obnovení zálohy nebo vytvoření repliky pro čtení, můžete se vyhnout problémům pomocí těchto kroků na primárních a obnovených serverech nebo serverech replik:

  • Zahajte proces obnovení nebo proces vytvoření repliky pro čtení z primární instance flexibilního serveru Azure Database for PostgreSQL.
  • Na obnoveného serveru nebo serveru repliky můžete změnit klíč spravovaný zákazníkem a spravovanou identitu přiřazenou uživatelem, která se používá pro přístup ke službě Key Vault. Ujistěte se, že identita přiřazená na nově vytvořeném serveru má požadovaná oprávnění ke službě Key Vault.
  • Po obnovení neodvolejte původní klíč. V tuto chvíli nepodporujeme odvolání klíčů po obnovení serveru s klíčem spravovaným zákazníkem na jiný server.

Spravované hsmy

Moduly hardwarového zabezpečení (HSM) jsou hardwarová zařízení odolná proti manipulaci, která pomáhají zabezpečit kryptografické procesy generováním, ochranou a správou klíčů používaných k šifrování dat, dešifrování dat, vytváření digitálních podpisů a vytváření digitálních certifikátů. Moduly HSM se testují, ověřují a certifikují podle nejvyšších standardů zabezpečení, včetně standardu FIPS 140 a společných kritérií.

Spravovaný HSM služby Azure Key Vault je plně spravovaná, vysoce dostupná cloudová služba vyhovující standardům s jedním tenantem. Můžete ho použít k ochraně kryptografických klíčů pro cloudové aplikace prostřednictvím ověření HSM FIPS 140-3.

Při vytváření nových instancí flexibilního serveru Azure Database for PostgreSQL na webu Azure Portal pomocí klíče spravovaného zákazníkem můžete jako úložiště klíčů zvolit spravovaný HSM služby Azure Key Vault jako alternativu ke službě Azure Key Vault. Požadavky, pokud jde o uživatelsky definovanou identitu a oprávnění, jsou stejné jako u služby Azure Key Vault (jak je uvedeno výše v tomto článku). Další informace o tom, jak vytvořit spravovanou instanci HSM, její výhody a rozdíly od sdíleného úložiště certifikátů založeného na službě Key Vault a jak importovat klíče do spravovaného HSM, najdete v tématu Co je spravovaný HSM služby Azure Key Vault?.

Nepřístupná podmínka klíče spravovaného zákazníkem

Když nakonfigurujete šifrování dat pomocí klíče spravovaného zákazníkem uloženým ve službě Key Vault, vyžaduje se nepřetržitý přístup k tomuto klíči, aby server zůstal online. Pokud tomu tak není, server změní svůj stav na Nepřístupný a začne odepřít všechna připojení.

Mezi možné důvody, proč může být stav serveru nepřístupný , patří:

Příčina Řešení
Každý šifrovací klíč, na který odkazuje server, měl nakonfigurované datum a čas vypršení platnosti a bylo dosaženo tohoto data a času. Je nutné prodloužit datum vypršení platnosti klíče. Pak musíte počkat, než služba znovu aktualizuje klíč a automaticky převést stav serveru na Připraveno. Pouze když je server zpět ve stavu Připraveno , můžete klíč otočit na novější verzi nebo vytvořit nový klíč a aktualizovat server tak, aby odkazovat na tuto novou verzi stejného klíče nebo na nový klíč.
Klíč otočíte a zapomenete aktualizovat instanci flexibilního serveru Azure Database for PostgreSQL tak, aby odkazovat na novou verzi klíče. Starý klíč, na který server odkazuje, vyprší a změní stav serveru na Nepřístupný. Abyste se této situaci vyhnuli, nezapomeňte při každé obměně klíče aktualizovat instanci serveru tak, aby odkazovat na novou verzi. K tomu můžete použít následující az postgres flexible-server updatepříklad, který popisuje "Změnit klíč/identitu pro šifrování dat. Šifrování dat není možné povolit po vytvoření serveru, tím se aktualizuje pouze klíč nebo identita.". Pokud ho chcete aktualizovat pomocí rozhraní API, můžete vyvolat servery – aktualizovat koncový bod služby.
Instanci služby Key Vault odstraníte, instance flexibilního serveru Azure Database for PostgreSQL nemá přístup k klíči a přesune se do nepřístupného stavu. Obnovte instanci služby Key Vault a počkejte, až služba spustí pravidelnou revalidaci klíče, a automaticky převést stav serveru na připraveno.
Odstraníte spravovanou identitu z Microsoft Entra ID, která se používá k načtení libovolného šifrovacího klíče uloženého ve službě Key Vault. Obnovte identitu a počkejte, až služba spustí pravidelnou revalidaci klíče, a automaticky převést stav serveru na Připraveno.
Model oprávnění služby Key Vault je nakonfigurovaný tak, aby používal řízení přístupu na základě role. Odeberete přiřazení role RBAC uživatele šifrovací služby Key Vault ze spravovaných identit, které jsou nakonfigurované pro načítání libovolného klíče. Udělte roli RBAC spravované identitě znovu a počkejte, až služba spustí pravidelnou revalidaci klíče, a automaticky převést stav serveru na Připraveno. Alternativní přístup spočívá v udělení role ve službě Key Vault jiné spravované identitě a aktualizaci serveru tak, aby pro přístup k klíči používal tuto jinou spravovanou identitu .
Váš model oprávnění služby Key Vault je nakonfigurovaný tak, aby používal zásady přístupu. Odvoláváte zásady přístupu list, get, wrapKey nebo unwrapKey od spravovaných identit, které jsou nakonfigurovány k načítání kteréhokoli z klíčů. Udělte roli RBAC spravované identitě znovu a počkejte, až služba spustí pravidelnou revalidaci klíče, a automaticky převést stav serveru na Připraveno. Alternativním přístupem je udělení požadovaných zásad přístupu ve službě Key Vault jiné spravované identitě a aktualizace serveru tak, aby používala tuto druhou spravovanou identitu pro přístup ke klíči.
Nastavili jste příliš omezující pravidla brány firewall služby Key Vault, aby vaše instance flexibilního serveru Azure Database for PostgreSQL nemohla komunikovat se službou Key Vault za účelem načtení vašich klíčů. Při konfiguraci brány firewall služby Key Vault nezapomeňte vybrat možnost povolit důvěryhodné služby Microsoftu , aby instance flexibilního serveru Azure Database for PostgreSQL mohla bránu firewall obejít.

Poznámka:

Pokud je klíč zakázaný, odstraněný, prošlý nebo nedostupný, stane se server, který má data zašifrovaná tímto klíčem, nedostupný, jak je uvedeno dříve. Stav serveru se znovu nezmění na Připraveno , dokud nebude moct znovu obnovit šifrovací klíče.

Obecně platí, že server je do 60 minut od zakázání , odstranění, vypršení platnosti nebo nedostupný server. Jakmile bude klíč k dispozici, může trvat až 60 minut, než se server znovu připraví .

Obnovení po odstranění spravované identity

Pokud se spravovaná identita přiřazená uživatelem, která se používá pro přístup k šifrovacímu klíči uloženému ve službě Key Vault, odstraní se v Microsoft Entra ID, měli byste provést následující kroky k obnovení:

  1. Buď obnovte identitu , nebo vytvořte novou spravovanou identitu Entra ID.
  2. Pokud jste vytvořili novou identitu, i když má stejný název, jaký měl před odstraněním, aktualizujte azure Database pro vlastnosti instance flexibilního serveru, aby věděla, že má tuto novou identitu použít pro přístup k šifrovacímu klíči.
  3. Ujistěte se, že tato identita má správná oprávnění pro operace s klíčem ve službě Azure Key Vault (AKV).
  4. Počkejte přibližně jednu hodinu, dokud server klíč nepředplatí.

Důležité

Jednoduché vytvoření nové identity Entra ID se stejným názvem jako odstraněná identita neobnoví spravovanou identitu po jejím odstranění.

Použití šifrování dat s klíči spravovanými zákazníkem a geograficky redundantními funkcemi provozní kontinuity

Azure Database for PostgreSQL podporuje pokročilé funkce obnovení dat , jako jsou repliky a geograficky redundantní zálohování. Dále jsou uvedené požadavky pro nastavení šifrování dat pomocí sad CMK a těchto funkcí kromě základních požadavků na šifrování dat pomocí sad CMK:

  • Geograficky redundantní šifrovací klíč zálohy je potřeba vytvořit v instanci služby Key Vault, která musí existovat v oblasti, ve které je uložená geograficky redundantní záloha.
  • Verze rozhraní REST API Azure Resource Manageru pro podporu geograficky redundantních serverů CMK s podporou geograficky redundantního zálohování je 2022-11-01-preview. Pokud chcete použít šablony Azure Resource Manageru k automatizaci vytváření serverů, které používají šifrování pomocí sad CMK i geograficky redundantních funkcí zálohování, použijte tuto verzi rozhraní API.
  • Stejnou identitu spravovanou uživatelem nemůžete použít k ověření pro instanci služby Key Vault primární databáze a instanci služby Key Vault, která obsahuje šifrovací klíč pro geograficky redundantní zálohování. Pokud chcete zachovat regionální odolnost, doporučujeme vytvořit identitu spravovanou uživatelem ve stejné oblasti jako geograficky redundantní zálohy.
  • Pokud jste během vytváření nastavili databázi repliky pro čtení , která se má během vytváření šifrovat pomocí sad CMK, musí být jeho šifrovací klíč v instanci služby Key Vault v oblasti, ve které se nachází databáze repliky pro čtení. Identitu přiřazenou uživatelem, která se má ověřit v této instanci služby Key Vault, musí být vytvořena ve stejné oblasti.

Omezení

Toto jsou aktuální omezení konfigurace klíče spravovaného zákazníkem v instanci flexibilního serveru Azure Database for PostgreSQL:

  • Šifrování klíče spravovaného zákazníkem můžete nakonfigurovat pouze při vytváření nového serveru, ne jako aktualizace existující instance flexibilního serveru Azure Database for PostgreSQL. Zálohování obnovení k určitému bodu v čase můžete obnovit na nový server s šifrováním CMK .
  • Jakmile nakonfigurujete šifrování klíčů spravovaných zákazníkem, nemůžete se vrátit zpět k systémovému spravovanému klíči. Pokud se chcete vrátit zpět, musíte server obnovit na nový s šifrováním dat nakonfigurovaným pomocí systémového spravovaného klíče.
  • Instance spravovaného HSM služby Azure Key Vault nebo instance služby Azure Key Vault, na které chcete šifrovací klíč uložit, musí existovat ve stejné oblasti, ve které se vytváří instance služby Azure Database pro flexibilní server.

Související obsah

  • Last updated on