Sdílet prostřednictvím


Šifrování dat pro Službu Azure Database for MySQL pomocí webu Azure Portal

PLATÍ PRO: Jednoúčelový server Azure Database for MySQL

Důležité

Jednoúčelový server Azure Database for MySQL je na cestě vyřazení. Důrazně doporučujeme upgradovat na flexibilní server Azure Database for MySQL. Další informace o migraci na flexibilní server Azure Database for MySQL najdete v tématu Co se děje s jednoúčelovým serverem Azure Database for MySQL?

Zjistěte, jak pomocí webu Azure Portal nastavit a spravovat šifrování dat pro službu Azure Database for MySQL.

Požadavky pro Azure CLI

  • Musíte mít předplatné Azure a být správcem daného předplatného.

  • Ve službě Azure Key Vault vytvořte trezor klíčů a klíč, který se použije pro klíč spravovaný zákazníkem.

  • Trezor klíčů musí mít následující vlastnosti, které se mají použít jako klíč spravovaný zákazníkem:

    • Obnovitelné odstranění

      az resource update --id $(az keyvault show --name \ <key_vault_name> -o tsv | awk '{print $1}') --set \ properties.enableSoftDelete=true
      
    • Vyprázdnění chráněné

      az keyvault update --name <key_vault_name> --resource-group <resource_group_name>  --enable-purge-protection true
      
    • Dny uchovávání nastavené na 90 dnů

      az keyvault update --name <key_vault_name> --resource-group <resource_group_name>  --retention-days 90
      
  • Aby bylo možné klíč použít jako klíč spravovaný zákazníkem, musí mít následující atributy:

    • Nesmí mít žádné datum ukončení platnosti.
    • Nesmí být zakázaný.
    • Provádění operací get, wrap, unraprap
    • atribut recoverylevel nastavený na Obnovitelný (vyžaduje povolené obnovitelné odstranění s dobou uchovávání nastavenou na 90 dnů).
    • Musí mít povolenou ochranu před vymazáním.

    Výše uvedené atributy klíče můžete ověřit pomocí následujícího příkazu:

    az keyvault key show --vault-name <key_vault_name> -n <key_name>
    
  • Jednoúčelový server Azure Database for MySQL by měl být na cenové úrovni Pro obecné účely nebo Optimalizováno pro paměť a v úložišti pro obecné účely verze 2. Než budete pokračovat, projděte si omezení šifrování dat pomocí klíčů spravovaných zákazníkem.

Nastavení správných oprávnění pro operace s klíči

  1. Ve službě Key Vault vyberte Zásady přístupu Přidat zásady> přístupu.

  2. Vyberte Oprávnění ke klíči a vyberte Get, Wrap, Unwrap a Principal, což je název serveru MySQL. Pokud se váš objekt zabezpečení serveru nedá najít v seznamu existujících objektů zabezpečení, musíte ho zaregistrovat. Při prvním pokusu o nastavení šifrování dat se zobrazí výzva k registraci objektu zabezpečení serveru a nezdaří se.

  3. Zvolte Uložit.

Nastavení šifrování dat pro Službu Azure Database for MySQL

  1. Ve službě Azure Database for MySQL vyberte šifrování dat a nastavte klíč spravovaný zákazníkem.

  2. Můžete vybrat trezor klíčů a pár klíčů nebo zadat identifikátor klíče.

  3. Zvolte Uložit.

  4. Pokud chcete zajistit, aby všechny soubory (včetně dočasných souborů) byly plně zašifrované, restartujte server.

Použití šifrování dat pro servery obnovení nebo repliky

Po zašifrování Azure Database for MySQL pomocí spravovaného klíče zákazníka uloženého ve službě Key Vault se zašifrují také všechny nově vytvořené kopie serveru. Tuto novou kopii můžete vytvořit buď prostřednictvím operace místního nebo geografického obnovení, nebo prostřednictvím operace repliky (místní/mezi oblastmi). Pro šifrovaný server MySQL tedy můžete pomocí následujícího postupu vytvořit šifrovaný obnovený server.

  1. Na serveru vyberte Obnovit přehled>.

    Nebo pro server s podporou replikace vyberte v části Nastavení možnost Replikace.

  2. Po dokončení operace obnovení se nový vytvořený server zašifruje klíčem primárního serveru. Funkce a možnosti na serveru jsou však zakázané a server je nepřístupný. Tím zabráníte jakékoli manipulaci s daty, protože identita nového serveru ještě nebyla udělena oprávnění pro přístup k trezoru klíčů.

  3. Aby byl server přístupný, obnovte klíč na obnoveného serveru. Vyberte klíč Pro opětovné ověření šifrování>dat.

    Poznámka:

    První pokus o opětovné ověření se nezdaří, protože instančnímu objektu nového serveru musí být udělen přístup k trezoru klíčů. Pokud chcete vygenerovat instanční objekt, vyberte Klíč Znovuvalidate, který zobrazí chybu, ale vygeneruje instanční objekt. Potom si projděte tyto kroky uvedené výše v tomto článku.

    Trezor klíčů budete muset udělit přístup k novému serveru. Další informace najdete v tématu Přiřazení zásad přístupu ke službě Key Vault.

  4. Po registraci instančního objektu znovu obnovte klíč a server obnoví svoji normální funkčnost.

Další kroky