Compartir a través de

Cifrado de datos para Azure Database for MySQL: servidor flexible mediante Azure Portal

  • Artículo

SE APLICA A: Azure Database for MySQL: servidor flexible

En este tutorial se muestra cómo configurar y administrar el cifrado de datos para el servidor flexible de Azure Database for MySQL.

En este tutorial, aprenderá a:

  • Establezca el cifrado de datos para el servidor flexible de Azure Database for MySQL

  • Configurar el cifrado de datos para la restauración.

  • Configure el cifrado de datos para los servidores de réplica.

    Nota:

    La configuración del acceso a la bóveda de claves de Azure ahora admite dos tipos de modelos de permisos: el Control de acceso basado en roles de Azure y la Directiva de acceso a la bóveda. En el tutorial se describe la configuración del cifrado de datos para el servidor flexible de Azure Database for MySQL mediante la directiva de acceso del almacén. Sin embargo, puede optar por utilizar Azure RBAC como modelo de permisos para conceder acceso a Azure Key Vault. Para ello, necesita cualquier rol integrado o personalizado que tenga los siguientes tres permisos y asígnelo a través de la pestaña "Asignaciones de roles" mediante la pestaña Control de acceso (IAM) en el almacén de claves: a) KeyVault/vaults/keys/wrap/action b) KeyVault/vaults/keys/unwrap/action c) KeyVault/vaults/keys/read. En el caso de HSM administrado de Azure Key Vault, también tendrá que asignar la asignación de roles "Usuario de cifrado de servicio criptográfico de HSM administrado" en RBAC.

Requisitos previos

Establecimiento de los permisos adecuados para las operaciones de clave

  1. En Key Vault, seleccione Directivas de acceso y, a continuación, seleccione Crear.

    Captura de pantalla de Key Vault directiva de acceso en el Azure Portal.

  2. En la pestaña Permisos , seleccione los siguientes permisos de clave: Obtener , Enumerar , Ajustar clave , Desencapsular clave.

  3. En la pestaña Entidad de seguridad, seleccione la identidad administrada asignada por el usuario.

    Captura de pantalla de la pestaña

  4. Seleccione Crear.

Configuración de la clave administrada por el cliente

Para configurar la clave administrada por el cliente, realice los pasos siguientes.

  1. En el portal, vaya a la instancia de servidor flexible de Azure Database for MySQL y, después, en Seguridad , seleccione Cifrado de datos.

    Captura de pantalla de la página de cifrado de datos.

  2. En la página Cifrado de datos , en Sin identidad asignada , seleccione Cambiar identidad ,

  3. En el cuadro de diálogo Seleccionar identidad administrada asignada por el usuario** , seleccione la identidad demo-umi y, a continuación, seleccione Agregar**.

    Captura de pantalla de la selección de demo-umi en la página de identidad administrada asignada.

  4. A la derecha del método de selección de claves, seleccione una clave y especifique un almacén de claves y un par de claves, o bien escriba un identificador de clave.

    Recorte de pantalla del método de selección de claves para mostrar al usuario.

  5. Seleccione Guardar.

Uso del cifrado de datos para la restauración

Para usar el cifrado de datos como parte de una operación de restauración, realice los pasos siguientes.

  1. En el Azure Portal, en la página Información general del servidor, seleccione Restaurar.

    1. En la pestaña Seguridad , especifique la identidad y la clave.

      Captura de pantalla de la página Información general.

  2. Seleccione Cambiar identidad y seleccione la identidad administrada asignada por el usuario y seleccione Agregarpara seleccionar la clave , puede seleccionar un almacén de claves y un par de claves o escribir un identificador de clave.

    Captura de pantalla de la página de cambio de identidad.

Uso de cifrado de datos para los servidores de réplica

Después de cifrar la instancia de servidor flexible de Azure Database for MySQL con la clave administrada de un cliente almacenada en Key Vault, también se cifra cualquier copia recién creada del servidor.

  1. Para la replicación de configuración, en Configuración , seleccione Replicación y, a continuación, seleccione Agregar réplica.

    Captura de pantalla de la página Replicación.

  2. En el cuadro de diálogo Agregar servidor de réplica a Azure Database for MySQL, seleccione la opción Proceso y almacenamiento adecuada y, a continuación, seleccione Aceptar.

    Captura de pantalla de la página Proceso y almacenamiento.

    Importante

    Al intentar cifrar el servidor flexible de Azure Database for MySQL con una clave administrada por el cliente que ya tenga réplicas, se recomienda también configurar estas últimas al agregar la identidad administrada y la clave.

Contenido relacionado