Compartir a través de


Habilitación del cifrado de datos con claves administradas por el cliente en Azure Cosmos DB for PostgreSQL

SE APLICA A: Azure Cosmos DB for PostgreSQL (con tecnología de la extensión de base de datos de Citus en PostgreSQL)

Requisitos previos

Habilitar el cifrado de datos con claves administradas por el cliente

Importante

Cree todos los siguientes recursos en la misma región donde se implementará el clúster de Azure Cosmos DB for PostgreSQL.

  1. Cree una identidad administrada asignada por el usuario. Actualmente, Azure Cosmos DB for PostgreSQL solo admite identidades administradas asignadas por el usuario.

  2. Cree una instancia de Azure Key Vault y agregue una directiva de acceso a la identidad administrada asignada por el usuario creada con los siguientes permisos clave: Get, Unwrap Key y Wrap Key.

  3. Genere una clave en Key Vault (tipos de clave admitidos: RSA 2048, 3071, 4096).

  4. Seleccione la opción cifrado de clave administrada por el cliente durante la creación del clúster de Azure Cosmos DB for PostgreSQL y seleccione la identidad administrada asignada por el usuario, la instancia de Key Vault y la clave creadas en los pasos 1, 2 y 3.

Pasos detallados

Identidad administrada asignada por el usuario

  1. Busque Identidades administradas en la barra de búsqueda global.

    Captura de pantalla de identidades administradas en Azure Portal.

  2. Cree una identidad administrada asignada por el usuario en la misma región que el clúster de Azure Cosmos DB for PostgreSQL.

    Captura de pantalla de la página de identidad administrada asignada por el usuario en Azure Portal.

Obtenga más información sobre la identidad administrada asignada por el usuario.

Key Vault

El uso de claves administradas por el cliente con Azure Cosmos DB for PostgreSQL requiere que establezca dos propiedades en la instancia de Azure Key Vault que planea usar para hospedar las claves de cifrado: Eliminación temporal y Protección contra purgas.

  1. Si crea una nueva instancia de Azure Key Vault, habilite estas propiedades durante la creación:

    Captura de pantalla de las propiedades de Key Vault.

  2. Si usa una instancia de Azure Key Vault existente y desea verificar si estas propiedades estén habilitadas, puede consultar la sección Propiedades en Azure Portal. Si alguna de estas propiedades no está habilitada, consulte las secciones "Habilitar la eliminación temporal" y "Habilitar la Protección contra purgas" en uno de los siguientes artículos.

  3. El número de días que se conservarán los almacenes eliminados del almacén de claves debe establecerse en 90. Si el almacén de claves existente está configurado con un número inferior, deberá crear uno nuevo, ya que esta configuración no se puede modificar después de la creación.

    Importante

    La instancia de Azure Key Vault debe permitir el acceso público desde todas las redes.

Agregar una directiva de acceso a Key Vault

  1. En Azure Portal, vaya a la instancia de Azure Key Vault que planea usar para hospedar las claves de cifrado. Seleccione Configuración de acceso en el menú de la izquierda. Asegúrese de que la directiva de acceso del almacén está seleccionada en Modelo de permisos y, después, seleccione Ir a directivas de acceso.

    Captura de pantalla de la configuración de acceso de Key Vault.

  2. Seleccione + Create (+ Crear).

  3. En la pestaña Permisos del menú desplegable Permisos de clave, seleccione los permisos Get, Unwrap Key y Wrap Key.

    Captura de pantalla de la configuración de permisos de Key Vault.

  4. En la pestaña Entidad de seguridad, seleccione la identidad administrada asignada por el usuario que creó en el paso de requisitos previos.

  5. Vaya a Revisar y crear, y seleccione Crear.

Crear / Importar clave

  1. En Azure Portal, vaya a la instancia de Azure Key Vault que planea usar para hospedar las claves de cifrado.

  2. Seleccione Claves a la izquierda y, luego, elija +Generar/Importar.

    Captura de pantalla de la página Generación de claves.

  3. La clave administrada por el cliente que se va a usar para cifrar las DEK solo puede ser el tipo de clave RSA asimétrica. Se admiten los tamaños de clave RSA 2048, 3072 y 4096.

  4. La fecha de activación de la clave (si se establece) debe ser una fecha y hora del pasado. La fecha de expiración (si se establece) debe ser una fecha y hora del futuro.

  5. El estado de la clave debe ser Habilitada.

  6. Si va a importar una clave existente en el almacén de claves, asegúrese de proporcionarla en uno de los formatos de archivo compatibles (.pfx, .byok, .backup).

  7. Si va a rotar manualmente la clave, la versión anterior de la clave no debe eliminarse durante al menos 24 horas.

Habilitación del cifrado de la CMK durante el aprovisionamiento de un nuevo clúster

  1. Durante el aprovisionamiento de un nuevo clúster de Azure Cosmos DB for PostgreSQL, después de proporcionar la información necesaria en las pestañas Aspectos básicos y redes, vaya a la pestaña Cifrado. Captura de pantalla de la página de configuración de Cifrado.

  2. Seleccione Clave administrada por el cliente en la opción Clave de cifrado de datos.

  3. Seleccione la identidad administrada asignada por el usuario creada en la sección anterior.

  4. Seleccione la instancia de almacén de claves creada en el paso anterior, que tiene la directiva de acceso a la identidad administrada del usuario seleccionada en el paso anterior.

  5. Seleccione la clave creada en el paso anterior y, a continuación, seleccione Revisar y crear.

  6. Una vez creado el clúster, compruebe que el cifrado de CMK está habilitado; para ello, vaya a la hoja Cifrado de datos del clúster de Azure Cosmos DB for PostgreSQL en Azure Portal. Captura de pantalla de la pestaña de cifrado de datos.

Nota

El cifrado de datos solo se puede configurar durante la creación de un nuevo clúster y no se puede actualizar en un clúster existente. Una solución alternativa para actualizar la configuración de cifrado en un clúster existente es realizar una restauración de clústeres y configurar el cifrado de datos durante la creación del clúster recién restaurado.

Alta disponibilidad

Cuando el cifrado de la CMK está habilitado en el clúster principal, todos los nodos en espera de alta disponibilidad se cifran automáticamente mediante la clave del clúster principal.

Cambio de la configuración de cifrado al realizar una restauración a un momento dado

La configuración de cifrado se puede cambiar del cifrado administrado por el servicio al cifrado administrado por el cliente o viceversa mientras se realiza una operación de restauración del clúster (PITR: restauración a un momento dado).

  1. Vaya a la hoja Cifrado de datos y seleccione Iniciar operación de restauración. También puede realizar una restauración a un momento dado si selecciona la opción Restaurar en la hoja de Información general. Captura de pantalla de la restauración a un momento dado.

  2. Puede cambiar o configurar el cifrado de datos en la pestaña Cifrado de la página de restauración del clúster.

Supervisión de la clave administrada por el cliente en Key Vault

Para supervisar el estado de la base de datos y para habilitar las alertas cuando se produce la pérdida de acceso transparente al protector de cifrado de datos, configure las siguientes características de Azure:

  • Azure Resource Health: una base de datos inaccesible que haya perdido acceso a la clave del cliente aparecerá como "Inaccesible" después de que se haya denegado la primera conexión a la base de datos.

  • Registro de actividad: cuando se produce un error de acceso a la clave de cliente en Key Vault administrado por el cliente, las entradas se agregan al registro de actividad. Puede restablecer el acceso tan pronto como sea posible si crea alertas para estos eventos.

  • Grupos de actividades: Defina estos grupos para recibir notificaciones y alertas en función de sus preferencias.

Pasos siguientes