Teilen über

Datenverschlüsselung für Azure Database for MySQL – Flexibler Server über das Azure-Portal

  • Artikel

GILT FÜR: Azure Database for MySQL – Flexibler Server

In diesem Tutorial erfahren Sie, wie Sie die Datenverschlüsselung für Azure Database for MySQL – Flexibler Server einrichten und verwalten.

In diesem Tutorial lernen Sie Folgendes:

  • Festlegen der Datenverschlüsselung für Azure Database for MySQL – Flexibler Server

  • Konfigurieren der Datenverschlüsselung für die Wiederherstellung

  • Konfigurieren der Datenverschlüsselung für Replikatserver.

    Hinweis

    Die Azure Key Vault-Zugriffskonfiguration unterstützt jetzt zwei Arten von Berechtigungsmodellen: 0rollenbasierte Zugriffssteuerung in Azure und Tresorzugriffsrichtlinie. In diesem Tutorial wird beschrieben, wie Sie die Datenverschlüsselung für Azure Database for MySQL – Flexibler Server mithilfe einer Tresorzugriffsrichtlinie konfigurieren. Sie können jedoch Azure RBAC als Berechtigungsmodell verwenden, um Zugriff auf Azure Key Vault zu gewähren. Dazu benötigen Sie eine integrierte oder benutzerdefinierte Rolle, die über die folgenden drei Berechtigungen verfügt. Außerdem müssen Sie sie über „Rollenzuweisungen“ auf der Registerkarte „Zugriffssteuerung (IAM)“ im Schlüsseltresor zuweisen: a) KeyVault/vaults/keys/wrap/action b) KeyVault/vaults/keys/unwrap/action c) KeyVault/vaults/keys/read. Für Azure Key Vault oder ein verwaltetes HSM müssen Sie auch die Rolle „Benutzer der Kryptografiedienstverschlüsselung für verwaltete HSMs“ in RBAC zuweisen.

Voraussetzungen

Festlegen der geeigneten Berechtigungen für Schlüsselvorgänge

  1. Wählen Sie in Key Vault Zugriffsrichtlinien aus, und wählen Sie dann Erstellen aus.

    Screenshot der Key Vault-Zugriffsrichtlinie im Azure-Portal.

  2. Wählen Sie auf der Registerkarte Berechtigungen die folgenden Schlüsselberechtigungen aus: Abrufen, Liste, Schlüssel packen, Schlüssel entpacken.

  3. Wählen Sie auf der Registerkarte Prinzipal die benutzerseitig zugewiesene verwaltete Identität aus.

    Screenshot der Registerkarte „Prinzipal“ im Azure-Portal.

  4. Klicken Sie auf Erstellen.

Konfigurieren des kundenseitig verwalteten Schlüssels

Führen Sie die folgenden Schritte aus, um den vom Kunden verwalteten Schlüssel einzurichten.

  1. Navigieren Sie im Portal zu Ihrer Instanz von Azure Database for MySQL – Flexibler Server, und wählen Sie unter Sicherheit die Option Datenverschlüsselung aus.

    Screenshot der Seite „Datenverschlüsselung“.

  2. Wählen Sie auf der Seite Datenverschlüsselung unter Keine Identität zugewiesen die Option Identität ändern aus.

  3. Wählen Sie im Dialogfeld benutzerseitig zugewiesene ** verwaltete Identität auswählen die Identität Demo-Umiaus, und wählen Sie dann Hinzufügen** aus.

    Screenshot der Auswahl der Demo-Umi auf der Seite der zugewiesenen verwalteten Identität.

  4. Wählen Sie rechts neben der Schlüsselauswahlmethode entweder Schlüssel auswählen aus und geben einen Schlüsseltresor und ein Schlüsselpaar an, oder wählen Sie Geben Sie einen Schlüsselbezeichner ein aus.

    Screenshot der Schlüsselauswahlseite im Azure-Portal.

  5. Wählen Sie Speichern.

Verwenden der Datenverschlüsselung für die Wiederherstellung

Führen Sie die folgenden Schritte aus, um die Datenverschlüsselung als Teil eines Wiederherstellungsvorgangs zu verwenden.

  1. Wählen Sie im Azure-Portal auf der Seite „Übersicht“ für Ihren Server die Option Wiederherstellen aus.

    1. Auf der Registerkarte Sicherheit geben Sie die Identität und den Schlüssel an.

      Screenshot der Seite „Übersicht“.

  2. Wählen Sie Identität ändern und dann die benutzerseitig verwaltete Identität aus, und wählen Sie Hinzufügen aus. Um den Schlüssel auszuwählen, können Sie entweder einen Schlüsseltresor und ein Schlüsselpaar auswählen oder einen Schlüsselbezeichner eingeben.

    Screenshot der Seite „Identität ändern“.

Verwenden der Datenverschlüsselung für Replikatserver

Nachdem Ihre Instanz von Azure Database for MySQL – Flexibler Server mit einem im Key Vault gespeicherten kundenseitig verwalteten Schlüssel verschlüsselt wurde, wird jede neu erstellte Kopie des Servers ebenfalls verschlüsselt.

  1. Wählen Sie zum Konfigurieren der Replikation unter Einstellungen die Option Replikation und dann Replikat hinzufügen aus.

    Screenshot der Replikationsseite.

  2. Wählen Sie im Dialogfeld „Replikatserver zur Azure Database for MySQL“ die entsprechende Option Compute + Speicher aus, und wählen Sie dann OK aus.

    Screenshot der Seite „Compute + Speicher“.

    Wichtig

    Wenn Sie versuchen, Azure Database for MySQL – Flexibler Server mit einem vom Kunden verwalteten Schlüssel zu verschlüsseln, der bereits über ein Replikat verfügt, empfehlen wir, auch die Replikate durch Hinzufügen der verwalteten Identität und des Schlüssels zu konfigurieren.

Nächste Schritte