Konfigurieren der Datenverschlüsselung in Azure Database for PostgreSQL

Dieser Artikel enthält schrittweise Anleitungen zum Konfigurieren der Datenverschlüsselung für eine flexible Serverinstanz von Azure Database für PostgreSQL.

Von Bedeutung

Der einzige Punkt, an dem Sie entscheiden können, ob Sie einen systemseitig oder kundenseitig verwalteten Schlüssel für die Datenverschlüsselung verwenden möchten, ist bei der Servererstellung. Nachdem Sie diese Entscheidung getroffen und den Server erstellt haben, können Sie nicht zwischen den beiden Optionen wechseln.

In diesem Artikel erfahren Sie, wie Sie einen neuen Server erstellen und seine Datenverschlüsselungsoptionen konfigurieren. Für vorhandene Server, deren Datenverschlüsselung für die Verwendung des kundenseitig verwalteten Verschlüsselungsschlüssels konfiguriert ist, lernen Sie Folgendes:

• Wie Sie eine andere benutzerseitig zugewiesene verwaltete Identität auswählen, mit der der Dienst auf den Verschlüsselungsschlüssel zugreift
• Wie Sie einen anderen Verschlüsselungsschlüssel angeben oder den Verschlüsselungsschlüssel rotieren, der zurzeit für die Datenverschlüsselung verwendet wird

Informationen zur Datenverschlüsselung im Kontext von Azure Database for PostgreSQL finden Sie in der Datenverschlüsselung.

Konfigurieren der Datenverschlüsselung mit systemseitig verwaltetem Schlüssel während der Serverbereitstellung

Portal

Verwenden des Azure-Portals:

1. Während der Bereitstellung einer neuen Azure-Datenbank für eine flexible PostgreSQL-Serverinstanz wird die Datenverschlüsselung auf der Registerkarte "Sicherheit" konfiguriert. Wählen Sie für den Datenverschlüsselungsschlüssel das Optionsfeld "Dienstverwalteter Schlüssel" aus.

   

2. Wenn Sie den georedundanten Sicherungsspeicher zusammen mit dem Server bereitstellen, ändert sich der Aufbau der Registerkarte Sicherheit geringfügig, da der Server zwei separate Verschlüsselungsschlüssel verwendet: Einen für die primäre Region, in der Sie Ihren Server bereitstellen, und einen für die gekoppelte Region, in die Serversicherungen asynchron repliziert werden.

   

CLI

Sie können die Datenverschlüsselung mit dem systemseitig zugewiesenen Verschlüsselungsschlüssel mithilfe des Befehls az postgres flexible-server create aktivieren, während Sie einen neuen Server bereitstellen.

az postgres flexible-server create \
  --resource-group <resource_group> \
  --name <server> ...

Hinweis

Im vorherigen Befehl gibt es keinen speziellen Parameter, um anzugeben, dass der Server mit einem systemseitig zugewiesenen Schlüssel für die Datenverschlüsselung erstellt werden muss. Der Grund dafür ist, dass die Datenverschlüsselung mit dem systemseitig zugewiesenen Schlüssel die Standardoption ist. Beachten Sie außerdem, dass der angegebene Befehl mit anderen Parametern vervollständigt werden muss, deren Vorhandensein und Werte variieren, je nachdem, wie Sie andere Features des bereitgestellten Servers konfigurieren möchten.

Konfigurieren der Datenverschlüsselung mit kundenseitig verwaltetem Schlüssel während der Serverbereitstellung

Portal

Verwenden des Azure-Portals:

1. Erstellen Sie eine benutzerseitig zugewiesene verwaltete Identität, falls noch keine vorhanden ist. Wenn georedundante Sicherungen auf Ihrem Server aktiviert ist, müssen Sie unterschiedliche Identitäten erstellen. Jede dieser Identitäten wird verwendet, um auf jeden der beiden Datenverschlüsselungsschlüssel zuzugreifen.

Hinweis

Obwohl es nicht erforderlich ist, empfehlen wir, die benutzerseitig verwaltete Identität in derselben Region wie Ihr Server zu erstellen, um regionale Resilienz aufrechtzuerhalten. Wenn Geosicherungsredundanz auf Ihrem Server aktiviert ist, empfehlen wir, dass die zweite benutzerseitig verwaltete Identität, die für den Zugriff auf den Datenverschlüsselungsschlüssel für georedundante Sicherungen verwendet wird, in der gekoppelten Region des Servers erstellt wird.

1. Erstellen sie eine Azure Key Vault-Instanz oder ein verwaltetes HSM, wenn Sie noch keinen Schlüsselspeicher erstellt haben. Stellen Sie sicher, dass Sie die Anforderungen erfüllen. Folgen Sie außerdem den Empfehlungen, bevor Sie den Schlüsselspeicher konfigurieren, den Schlüssel erstellen und die erforderlichen Berechtigungen der benutzerseitig zugewiesenen verwalteten Identität zuweisen. Wenn georedundante Sicherungen auf Ihrem Server aktiviert ist, müssen Sie einen zweiten Schlüsselspeicher erstellen. Dieser zweite Schlüsselspeicher wird verwendet, um den Datenverschlüsselungsschlüssel aufzubewahren, mit dem Ihre Sicherungen in die gekoppelten Region des Servers kopiert werden.

Hinweis

Der Schlüsselspeicher, der verwendet wird, um den Datenverschlüsselungsschlüssel aufzubewahren, muss in derselben Region wie Ihr Server bereitgestellt werden. Wenn Geosicherungsredundanz auf Ihrem Server aktiviert ist, muss der Schlüsselspeicher, der den Datenverschlüsselungsschlüssel für georedundante Sicherungen aufbewahrt, in der gekoppelten Region des Servers erstellt werden.

1. Erstellen Sie einen Schlüssel in Ihrem Schlüsselspeicher. Wenn georedundante Sicherungen auf Ihrem Server aktiviert sind, benötigen Sie einen Schlüssel in jedem der Schlüsselspeicher. Mit einem dieser Schlüssel werden alle Daten Ihres Servers verschlüsselt (einschließlich aller System- und Benutzerdatenbanken, temporären Dateien, Serverprotokolle, Write-Ahead-Protokollsegmenten und Sicherungen). Mit dem zweiten Schlüssel wird die Kopien der Sicherungen verschlüsselt, die asynchron über die gekoppelte Region Ihres Servers kopiert werden.

2. Während der Bereitstellung einer neuen Instanz von Azure Database for PostgreSQL – Flexibler Server wird die Datenverschlüsselung auf der Registerkarte Sicherheit konfiguriert. Wählen Sie unter Datenverschlüsselungsschlüssel das Optionsfeld Kundenseitig verwalteter Schlüssel aus.

   

3. Wenn Sie den georedundanten Sicherungsspeicher zusammen mit dem Server bereitstellen, ändert sich der Aufbau der Registerkarte Sicherheit geringfügig, da der Server zwei separate Verschlüsselungsschlüssel verwendet: Einen für die primäre Region, in der Sie Ihren Server bereitstellen, und einen für die gekoppelte Region, in die Serversicherungen asynchron repliziert werden.

   

4. Wählen Sie unter Benutzerseitig zugewiesene verwaltete Identität die Option Identität ändern aus.

   

5. Wählen Sie aus der Liste der benutzerseitig zugewiesenen verwalteten Identitäten den Server aus, der für den Zugriff auf den in Azure Key Vault gespeicherten Datenverschlüsselungsschlüssel verwendet werden soll.

   

6. Wählen Sie Hinzufügen aus.

   

7. Wählen Sie Automatisches Update der Schlüsselversion verwenden aus, wenn Sie möchten, dass der Dienst den Verweis automatisch auf die neueste Version des ausgewählten Schlüssels aktualisiert, wenn die aktuelle Version manuell oder automatisch rotiert wird. Informationen zu den Vorteilen der Verwendung von automatischen Updates der Schlüsselversion finden Sie unter Automatisches Update der Schlüsselversion.

   

8. Wählen Sie Schlüssel auswählen aus.

   

9. Abonnement wird automatisch mit dem Namen des Abonnements ausgefüllt, in dem Ihr Server erstellt werden soll. Der Schlüsselspeicher, der den Datenverschlüsselungsschlüssel aufbewahrt, muss im selben Abonnement wie der Server vorhanden sein.

   

10. Wählen Sie unter Schlüsselspeichertyp das Optionsfeld aus, das dem Typ des Schlüsselspeichers entspricht, in dem Sie den Datenverschlüsselungsschlüssel speichern möchten. In diesem Beispiel wählen wir Schlüsseltresor aus, aber der Ablauf ist ähnlich, wenn Sie Verwaltetes HSM auswählen.

    

11. Erweitern Sie Schlüsseltresor (oder Verwaltetes HSM, wenn Sie diesen Speichertyp ausgewählt haben), und wählen Sie die Instanz aus, in der der Datenverschlüsselungsschlüssel vorhanden ist.

    

    Hinweis

    Wenn Sie das Dropdownfeld erweitern, wird Keine Elemente verfügbar angezeigt. Es dauert einige Sekunden, bis alle Instanzen des Schlüsseltresors, die in derselben Region wie der Server bereitgestellt wurden, aufgelistet werden.

12. Erweitern Sie Schlüssel, und wählen Sie den Namen des Schlüssels aus, den Sie für die Datenverschlüsselung verwenden möchten.

    

13. Wenn Sie die Option Automatisches Update der Schlüsselversion verwenden nicht ausgewählt haben, müssen Sie außerdem eine bestimmte Version des Schlüssels auswählen. Erweitern Sie dazu Version, und wählen Sie den Bezeichner der Version des Schlüssels aus, den Sie für die Datenverschlüsselung verwenden möchten.

    

14. Wählen Sie Auswählen aus.

    

15. Konfigurieren Sie alle anderen Einstellungen des neuen Servers, und wählen Sie Überprüfen und erstellen aus.

    

CLI

Sie können die Datenverschlüsselung mit dem benutzerseitig zugewiesenen Verschlüsselungsschlüssel mithilfe des Befehls az postgres flexible-server create aktivieren, während Sie einen neuen Server bereitstellen.

Wenn georedundante Sicherungen nicht auf Ihrem Server aktiviert sind:

az postgres flexible-server create \
  --resource-group <resource_group> \
  --name <server> \
  --geo-redundant-backup Disabled \
  --identity <managed_identity_to_access_primary_encryption_key> \
  --key <resource_identifier_of_primary_encryption_key> ...

Hinweis

Der zuvor angegebene Befehl muss mit anderen Parametern vervollständigt werden, deren Vorhandensein und Werte variieren, je nachdem, wie Sie andere Features des bereitgestellten Servers konfigurieren möchten.

Wenn georedundante Sicherungen auf Ihrem Server aktiviert sind:

az postgres flexible-server create \
  --resource-group <resource_group> \
  --name <server> \
  --geo-redundant-backup Enabled \
  --identity <managed_identity_to_access_primary_encryption_key> \
  --key <resource_identifier_of_primary_encryption_key> \
  --backup-identity <managed_identity_to_access_geo_backups_encryption_key> \
  --backup-key <resource_identifier_of_geo_backups_encryption_key> ...

Hinweis

Der zuvor angegebene Befehl muss mit anderen Parametern vervollständigt werden, deren Vorhandensein und Werte variieren, je nachdem, wie Sie andere Features des bereitgestellten Servers konfigurieren möchten.

Konfigurieren der Datenverschlüsselung mit kundenseitig verwaltetem Schlüssel auf vorhandenen Servern

Der einzige Punkt, an dem Sie entscheiden können, ob Sie einen systemseitig oder kundenseitig verwalteten Schlüssel für die Datenverschlüsselung verwenden möchten, ist bei der Servererstellung. Nachdem Sie diese Entscheidung getroffen und den Server erstellt haben, können Sie nicht zwischen den beiden Optionen wechseln. Die einzige Alternative, wenn Sie von einer Option zur anderen wechseln möchten, ist die Wiederherstellung einer der verfügbar Sicherungen des Servers auf einem neuen Server. Beim Konfigurieren der Wiederherstellung können Sie die Datenverschlüsselungskonfiguration des neuen Servers ändern.

Für vorhandene Server, die mit Datenverschlüsselung mit einem kundenseitig verwalteten Schlüssel bereitgestellt wurden, können Sie mehrere Konfigurationsänderungen vornehmen. Was geändert werden kann, sind die Verweise auf die Schlüssel, die für die Verschlüsselung verwendet werden, und Verweise auf benutzerseitig zugewiesenen verwalteten Identitäten, die vom Dienst für den Zugriff auf die in den Schlüsselspeichern gespeicherten Schlüssel verwendet werden.

Sie müssen Verweise aktualisieren, die in der Instanz von Azure Database for PostgreSQL – Flexibler Server für einen Schlüssel vorhanden sind:

• Wenn der im Schlüsselspeicher gespeicherte Schlüssel entweder manuell oder automatisch gedreht wird und Ihre Azure-Datenbank für PostgreSQL flexible Serverinstanz auf eine bestimmte Version des Schlüssels verweist. Wenn Sie auf einen Schlüssel verweisen, aber nicht auf eine bestimmte Version des Schlüssels (d. h. wenn Sie die Option Automatisches Update der Schlüsselversion verwenden aktiviert haben), aktualisiert der Dienst automatisch den Verweis auf die neueste Version des Schlüssels, wenn der Schlüssel manuell oder automatisch rotiert wird.
• Wenn Sie denselben oder einen anderen Schlüssel verwenden möchten, der in einem anderen Schlüsselspeicher gespeichert ist

Sie müssen die vom Benutzer zugewiesenen verwalteten Identitäten aktualisieren, die von Ihrer Azure-Datenbank für PostgreSQL flexible Serverinstanz verwendet werden, um auf die Verschlüsselungsschlüssel zuzugreifen, wenn Sie eine andere Identität verwenden möchten.

Portal

Verwenden des Azure-Portals:

1. Wählen Sie Ihre flexible Azure Database for PostgreSQL-Serverinstanz aus.

2. Wählen Sie im Ressourcenmenü unter Sicherheit die Option Datenverschlüsselung aus.

   

3. Um die benutzerseitig zugewiesene verwaltete Identität zu ändern, mit der der Server auf den Schlüsselspeicher zugreift, in dem der Schlüssel aufbewahrt wird, erweitern Sie die Dropdownliste Benutzerseitig zugewiesene verwaltete Identität, und wählen Sie eine der verfügbaren Identitäten aus.

   

   Hinweis

   Im Kombinationsfeld werden nur diejenigen Identitäten angezeigt, denen Ihre Instanz von Azure Database for PostgreSQL – Flexibler Server zugewiesen wurde. Obwohl es nicht erforderlich ist, empfehlen wir, die benutzerseitig verwalteten Identitäten in derselben Region wie Ihr Server auszuwählen, um regionale Resilienz aufrechtzuerhalten. Wenn Geosicherungsredundanz auf Ihrem Server aktiviert ist, empfehlen wir, dass die zweite benutzerseitig verwaltete Identität, die für den Zugriff auf den Datenverschlüsselungsschlüssel für georedundante Sicherungen verwendet wird, in der gekoppelten Region des Servers vorhanden ist.

4. Wenn die benutzerdefinierte verwaltete Identität, die Sie für den Zugriff auf den Datenverschlüsselungsschlüssel verwenden möchten, Ihrer Azure Database für PostgreSQL Flexible Server-Instanz nicht zugewiesen ist und sogar nicht als Azure-Ressource mit dem entsprechenden Objekt in Microsoft Entra ID existiert, können Sie sie erstellen, indem Sie Erstellen auswählen.

   

5. Führen Sie im Bereich " Vom Benutzer zugewiesene verwaltete Identität erstellen" die Details der verwalteten Identität des Benutzers aus, die Sie erstellen möchten, und weisen Sie Ihrer Azure-Datenbank für PostgreSQL flexible Serverinstanz automatisch zu, um auf den Datenverschlüsselungsschlüssel zuzugreifen.

   

6. Wenn die vom Benutzer zugewiesene verwaltete Identität, die Sie für den Zugriff auf den Datenverschlüsselungsschlüssel verwenden möchten, Ihrer Azure-Datenbank für flexible Serverinstanz für PostgreSQL nicht zugewiesen ist, aber sie ist als Azure-Ressource mit dem entsprechenden Objekt in microsoft Entra ID vorhanden, können Sie ihn zuweisen, indem Sie "Auswählen" auswählen.

   

7. Wählen Sie aus der Liste der benutzerseitig zugewiesenen verwalteten Identitäten den Server aus, der für den Zugriff auf den in Azure Key Vault gespeicherten Datenverschlüsselungsschlüssel verwendet werden soll.

   

8. Wählen Sie Hinzufügen aus.

   

9. Wählen Sie Automatisches Update der Schlüsselversion verwenden aus, wenn Sie möchten, dass der Dienst den Verweis automatisch auf die neueste Version des ausgewählten Schlüssels aktualisiert, wenn die aktuelle Version manuell oder automatisch rotiert wird. Informationen zu den Vorteilen der Verwendung von automatischen Updates der Schlüsselversion finden Sie unter [Automatisches Update der Schlüsselversion](concepts-data-encryption.md##CMK key version updates).

   

10. Wenn Sie den Schlüssel rotieren und die Option Automatisches Update der Schlüsselversion verwenden nicht aktiviert haben, Oder wenn Sie einen anderen Schlüssel verwenden möchten, müssen Sie Ihre Azure-Datenbank für eine flexible Serverinstanz von PostgreSQL aktualisieren, damit sie auf die neue Schlüsselversion oder den neuen Schlüssel verweist. Hierfür können Sie den Ressourcenbezeichner des Schlüssels kopieren und in das Feld Schlüsselbezeichner einfügen.

    

11. Wenn der Benutzer, der auf das Azure-Portal zugreift, über Berechtigungen für den Zugriff auf den im Schlüsselspeicher gespeicherten Schlüssel verfügt, können Sie einen alternativen Ansatz verwenden, um den neuen Schlüssel oder die neue Schlüsselversion auszuwählen. Wählen Sie hierfür unter Schlüsselauswahlmethode das Optionsfeld Schlüssel auswählen aus.

    

12. Wählen Sie Schlüssel auswählen aus.

    

13. Abonnement wird automatisch mit dem Namen des Abonnements ausgefüllt, in dem Ihr Server erstellt werden soll. Der Schlüsselspeicher, der den Datenverschlüsselungsschlüssel aufbewahrt, muss im selben Abonnement wie der Server vorhanden sein.

    

14. Wählen Sie unter Schlüsselspeichertyp das Optionsfeld aus, das dem Typ des Schlüsselspeichers entspricht, in dem Sie den Datenverschlüsselungsschlüssel speichern möchten. In diesem Beispiel wählen wir Schlüsseltresor aus, aber der Ablauf ist ähnlich, wenn Sie Verwaltetes HSM auswählen.

    

15. Erweitern Sie Schlüsseltresor (oder Verwaltetes HSM, wenn Sie diesen Speichertyp ausgewählt haben), und wählen Sie die Instanz aus, in der der Datenverschlüsselungsschlüssel vorhanden ist.

    

    Hinweis

    Wenn Sie das Dropdownfeld erweitern, wird Keine Elemente verfügbar angezeigt. Es dauert einige Sekunden, bis alle Instanzen des Schlüsseltresors, die in derselben Region wie der Server bereitgestellt wurden, aufgelistet werden.

16. Erweitern Sie Schlüssel, und wählen Sie den Namen des Schlüssels aus, den Sie für die Datenverschlüsselung verwenden möchten.

    

17. Wenn Sie die Option Automatisches Update der Schlüsselversion verwenden nicht ausgewählt haben, müssen Sie außerdem eine bestimmte Version des Schlüssels auswählen. Erweitern Sie dazu Version, und wählen Sie den Bezeichner der Version des Schlüssels aus, den Sie für die Datenverschlüsselung verwenden möchten.

    

18. Wählen Sie Auswählen aus.

    

19. Sobald Sie mit den vorgenommenen Änderungen zufrieden sind, wählen Sie Speichern aus.

    

CLI

Sie können die Datenverschlüsselung mit dem benutzerseitig zugewiesenen Verschlüsselungsschlüssel für einen vorhandenen Server über den Befehl az postgres flexible-server update konfigurieren.

az postgres flexible-server update \
  --resource-group <resource_group> \
  --name <server> \
  --identity <managed_identity_to_access_primary_encryption_key> \
  --key <resource_identifier_of_primary_encryption_key> ...

Hinweis

Der zuvor angegebene Befehl muss ggf. mit anderen Parametern vervollständigt werden, deren Vorhandensein und Werte variieren, je nachdem, wie Sie andere Features des vorhandenen Servers konfigurieren möchten.

Unabhängig davon, ob Sie nur die benutzerseitig zugewiesene verwaltete Identität ändern möchten, die für den Zugriff auf den Schlüssel verwendet wird, nur den für die Datenverschlüsselung verwendeten Schlüssel ändern oder beide gleichzeitig ändern möchten, müssen Sie die beiden Parameter --identity und --key (oder --backup-identity und --backup-key für georedundante Sicherungen) angeben. Wenn Sie einen, aber nicht beide angeben, erhalten Sie einen der folgenden Fehler:

User assigned identity and keyvault key need to be provided together. Please provide --identity and --key together.

User assigned identity and keyvault key need to be provided together. Please provide --backup-identity and --backup-key together.

Wenn der Schlüssel nicht vorhanden ist, auf den der an den Parameter --key übergebene Wert (oder --backup-key für georedundante Sicherungen) verweist, oder wenn die benutzerseitig zugewiesene verwaltete Identität, deren Ressourcenbezeichner an den Parameter --identity (oder --backup-identity für georedundante Sicherungen) übergeben wird, nicht über die erforderlichen Berechtigungen für den Zugriff auf den Schlüssel verfügt, erhalten Sie die folgende Fehlermeldung:

Code: AzureKeyVaultKeyNameNotFound
Message: The operation could not be completed because the Azure Key Vault Key name '<key_vault_resource>' does not exist or User Assigned Identity does not have Get access to the Key (/azure/postgresql/flexible-server/concepts-data-encryption#requirements-for-configuring-data-encryption-for-azure-database-for-postgresql-flexible-server).

Wenn georedundante Sicherungen auf Ihrem Server aktiviert sind, können Sie den Schlüssel konfigurieren, der für die Verschlüsselung georedundanter Sicherungen verwendet wird, und die Identität, die für den Zugriff auf diesen Schlüssel verwendet wird. Hierfür können Sie die Parameter --backup-identity und --backup-key verwenden.

az postgres flexible-server update \
  --resource-group <resource_group> \
  --name <server> \
  --backup-identity <managed_identity_to_access_georedundant_encryption_key> \
  --backup-key <resource_identifier_of_georedundant_encryption_key> ...

Wenn Sie die Parameter --backup-identity und --backup-key an den Befehl az postgres flexible server update übergeben und auf einen vorhandenen Server verweisen, auf dem keine georedundante Sicherung aktiviert ist, wird die folgende Fehlermeldung angezeigt:

Geo-redundant backup is not enabled. You cannot provide Geo-location user assigned identity and keyvault key.

Identitäten, die an die --identity- und --backup-identity-Parameter übergeben werden, sofern sie vorhanden und gültig sind, werden automatisch der Liste benutzerzugewiesener verwalteter Identitäten hinzugefügt, die mit Ihrer Azure-Datenbank für PostgreSQL-Flexibleserverinstanz verknüpft sind. Dies ist der Fall, auch wenn der Befehl später mit einem anderen Fehler fehlschlägt. In solchen Fällen sollten Sie die az postgres flexiblen Server-Identitätsbefehle verwenden, um verwaltete Identitäten von Benutzern aufzulisten, zuzuweisen oder zu entfernen, die Ihrer Azure-Datenbank für flexible Serverinstanz von PostgreSQL zugewiesen sind. Weitere Informationen zum Konfigurieren von benutzerzugewiesenen verwalteten Identitäten in Ihrer Azure Database for PostgreSQL Flexible Server-Instanz finden Sie unter Zuordnen von benutzerzugewiesenen verwalteten Identitäten zu vorhandenen Servern, Entfernen von benutzerzugewiesenen verwalteten Identitäten von vorhandenen Servern und die zugeordneten benutzerzugewiesenen verwalteten Identitäten anzeigen.

Verwandte Inhalte

• Datenverschlüsselung