Configuración del cifrado de datos en Azure Database for PostgreSQL

En este artículo se proporcionan instrucciones paso a paso para configurar el cifrado de datos para una instancia de servidor flexible de Azure Database for PostgreSQL.

Importante

El único punto en el que puede decidir si desea usar una clave administrada por el sistema o una clave administrada por el cliente para el cifrado de datos, está en la creación del servidor. Una vez que tome esa decisión y cree el servidor, no puede cambiar entre las dos opciones.

En este artículo, aprenderá a crear un nuevo servidor y a configurar sus opciones de cifrado de datos. En el caso de los servidores existentes, cuyo cifrado de datos está configurado para usar la clave de cifrado administrada por el cliente, aprenderá:

• Cómo seleccionar una diferente identidad administrada asignada por el usuario con la que el servicio accede a la clave de cifrado.
• Cómo especificar una clave de cifrado diferente o cómo rotar la clave de cifrado que se usa actualmente para el cifrado de datos.

Para obtener información sobre el cifrado de datos en el contexto de Azure Database for PostgreSQL, consulte cifrado de datos.

Configuración del cifrado de datos con clave administrada por el sistema durante el aprovisionamiento del servidor

Portal

Mediante Azure Portal:

1. Durante el aprovisionamiento de una nueva instancia de servidor flexible de Azure Database for PostgreSQL, el cifrado de datos se configura en la pestaña Seguridad . En Clave de cifrado de datos, seleccione el botón de radio Clave administrada por el servicio .

   

2. Si habilita el almacenamiento de copia de seguridad con redundancia geográfica para que se aprovisione junto con el servidor, el aspecto de la pestaña Seguridad cambia ligeramente porque el servidor usa dos claves de cifrado independientes. Una para la región primaria en la que va a implementar el servidor y otra para la región emparejada a la que se replican de forma asincrónica las copias de seguridad del servidor.

   

CLI

Puede habilitar el cifrado de datos con la clave de cifrado asignada por el sistema, al aprovisionar un nuevo servidor mediante el comando az postgres flexible-server create .

az postgres flexible-server create \
  --resource-group <resource_group> \
  --name <server> ...

Nota:

No hay ningún parámetro especial en el comando anterior para especificar que el servidor debe crearse con la clave asignada por el sistema para el cifrado de datos. El motivo es que el cifrado de datos con la clave asignada por el sistema es la opción predeterminada. Además, tenga en cuenta que debe completar el comando proporcionado con otros parámetros cuya presencia y valores variarían en función de cómo desee configurar otras características del servidor aprovisionado.

Configuración del cifrado de datos con la clave administrada por el cliente durante el aprovisionamiento del servidor

Portal

Mediante Azure Portal:

1. Cree una identidad administrada asignada por el usuario, si aún no tiene una. Si el servidor tiene habilitadas copias de seguridad con redundancia geográfica, debe crear dos identidades diferentes. Cada una de esas identidades se usa para acceder a cada una de las dos claves de cifrado de datos.

Nota:

Aunque no es necesario, para mantener la resistencia regional, se recomienda crear la identidad administrada por el usuario en la misma región que el servidor. Y si el servidor tiene habilitada la redundancia de copia de seguridad geográfica, se recomienda que la segunda identidad administrada por el usuario, usada para acceder a la clave de cifrado de datos para las copias de seguridad con redundancia geográfica, se cree en la región emparejada del servidor.

1. Cree una instancia de Azure Key Vault o cree un HSM administrado, si aún no tiene un almacén de claves creado. Asegúrese de cumplir los requisitos. Además, siga las recomendaciones antes de configurar el almacén de claves y antes de crear la clave y asignar los permisos necesarios a la identidad administrada asignada por el usuario. Si el servidor tiene habilitadas copias de seguridad con redundancia geográfica, debe crear un segundo almacén de claves. Ese segundo almacén de claves se usa para mantener la clave de cifrado de datos con la que se cifran las copias de seguridad copiadas en la región emparejada del servidor.

Nota:

El almacén de claves usado para mantener la clave de cifrado de datos debe implementarse en la misma región que el servidor. Y si el servidor tiene habilitada la redundancia de copia de seguridad geográfica, el almacén de claves que mantiene la clave de cifrado de datos para las copias de seguridad con redundancia geográfica se debe crear en la región emparejada del servidor.

1. Cree una clave en el almacén de claves. Si el servidor tiene habilitadas copias de seguridad con redundancia geográfica, necesita una clave en cada uno de los almacenes de claves. Con una de estas claves, ciframos todos los datos del servidor (incluidas todas las bases de datos de usuario y del sistema, archivos temporales, registros de servidor, segmentos de registro de escritura previa y copias de seguridad). Con la segunda clave, ciframos las copias de las copias de seguridad que se copian de forma asincrónica en la región emparejada del servidor.

2. Durante el aprovisionamiento de una nueva instancia de servidor flexible de Azure Database for PostgreSQL, el cifrado de datos se configura en la pestaña Seguridad . En Clave de cifrado de datos, seleccione el botón de radio Clave administrada por el cliente .

   

3. Si habilita el almacenamiento de copia de seguridad con redundancia geográfica para que se aprovisione junto con el servidor, el aspecto de la pestaña Seguridad cambia ligeramente porque el servidor usa dos claves de cifrado independientes. Una para la región primaria en la que va a implementar el servidor y otra para la región emparejada a la que se replican de forma asincrónica las copias de seguridad del servidor.

   

4. En Identidad administrada asignada por el usuario, seleccione Cambiar identidad.

   

5. Entre la lista de identidades administradas asignadas por el usuario, seleccione la que desea que use el servidor para acceder a la clave de cifrado de datos almacenada en una instancia de Azure Key Vault.

   

6. Selecciona Agregar.

   

7. Seleccione Usar actualización automática de la versión de la clave, si prefiere permitir que el servicio actualice automáticamente la referencia a la versión más reciente de la clave elegida, siempre que la versión actual se gire manual o automáticamente. Para comprender las ventajas de usar las actualizaciones automáticas de la versión de la clave, consulte Actualización automática de la versión de la clave.

   

8. Seleccione Seleccionar una clave.

   

9. La suscripción se rellena automáticamente con el nombre de la suscripción en la que se va a crear el servidor. El almacén de claves que mantiene la clave de cifrado de datos debe existir en la misma suscripción que el servidor.

   

10. En Tipo de almacén de claves, seleccione el botón de radio correspondiente al tipo de almacén de claves en el que planea almacenar la clave de cifrado de datos. En este ejemplo, se elige Key Vault, pero la experiencia es similar si elige HSM administrado.

    

11. Expanda Almacén de claves (o HSM administrado, si seleccionó ese tipo de almacenamiento) y seleccione la instancia en la que existe la clave de cifrado de datos.

    

    Nota:

    Al expandir el cuadro desplegable, muestra No hay elementos disponibles. Tarda unos segundos hasta que se muestran todas las instancias de Azure Key Vault que se implementan en la misma región que el servidor.

12. Expanda Clave y seleccione el nombre de la clave que desea usar para el cifrado de datos.

    

13. Si no seleccionó Usar actualización automática de la versión de la clave, también debe seleccionar una versión específica de la clave. Para ello, expanda Versión y seleccione el identificador de la versión de la clave que desea usar para el cifrado de datos.

    

14. Elija Seleccionar.

    

15. Configure todas las demás opciones del nuevo servidor y seleccione Revisar y crear.

    

CLI

Puede habilitar el cifrado de datos con la clave de cifrado asignada por el usuario, al aprovisionar un nuevo servidor mediante el comando az postgres flexible-server create .

Si el servidor no tiene habilitadas las copias de seguridad con redundancia geográfica:

az postgres flexible-server create \
  --resource-group <resource_group> \
  --name <server> \
  --geo-redundant-backup Disabled \
  --identity <managed_identity_to_access_primary_encryption_key> \
  --key <resource_identifier_of_primary_encryption_key> ...

Nota:

El comando anterior debe completarse con otros parámetros cuya presencia y valores variarían en función de cómo desee configurar otras características del servidor aprovisionado.

Si el servidor tiene habilitadas las copias de seguridad con redundancia geográfica:

az postgres flexible-server create \
  --resource-group <resource_group> \
  --name <server> \
  --geo-redundant-backup Enabled \
  --identity <managed_identity_to_access_primary_encryption_key> \
  --key <resource_identifier_of_primary_encryption_key> \
  --backup-identity <managed_identity_to_access_geo_backups_encryption_key> \
  --backup-key <resource_identifier_of_geo_backups_encryption_key> ...

Nota:

El comando anterior debe completarse con otros parámetros cuya presencia y valores variarían en función de cómo desee configurar otras características del servidor aprovisionado.

Configuración del cifrado de datos con la clave administrada por el cliente en servidores existentes

El único punto en el que puede decidir si desea usar una clave administrada por el sistema o una clave administrada por el cliente para el cifrado de datos, está en la creación del servidor. Una vez que tome esa decisión y cree el servidor, no puede cambiar entre las dos opciones. La única alternativa, si desea cambiar de una a otra, requiere restaurar cualquiera de las copias de seguridad disponibles del servidor en un nuevo servidor. Al configurar la restauración, puede cambiar la configuración de cifrado de datos del nuevo servidor.

En el caso de los servidores existentes que se implementaron con cifrado de datos mediante una clave administrada por el cliente, puede realizar varios cambios de configuración. Los elementos que se pueden cambiar son las referencias a las claves usadas para el cifrado y las referencias a las identidades administradas asignadas por el usuario usadas por el servicio para acceder a las claves guardadas en los almacenes de claves.

Debe actualizar las referencias que la instancia de servidor flexible de Azure Database for PostgreSQL tiene en una clave:

• Cuando la clave almacenada en el almacén de claves se rota, ya sea manualmente o automáticamente, y la instancia de servidor flexible de Azure Database for PostgreSQL apunta a una versión específica de la clave. Si apunta a una clave, pero no a una versión específica de la clave (es decir, cuando tiene habilitada la actualización automática de la versión de clave), el servicio se encargará de hacer referencia automáticamente a la versión más actual de la clave, siempre que la clave se gire manual o automáticamente.
• Si desea usar la misma clave o una clave diferente almacenada en un almacén de claves diferente.

Debe actualizar las identidades administradas asignadas al usuario que utiliza su instancia de servidor flexible de Azure Database for PostgreSQL para acceder a las claves de cifrado cada vez que necesite usar una identidad diferente.

Portal

Mediante Azure Portal:

1. Seleccione la instancia de servidor flexible de Azure Database for PostgreSQL.

2. En el menú de recursos, en Seguridad, seleccione Cifrado de datos.

   

3. Para cambiar la identidad administrada asignada por el usuario con la que el servidor accede al almacén de claves en el que se mantiene la clave, expanda la lista desplegable Identidad administrada asignada por el usuario y seleccione cualquiera de las identidades disponibles.

   

   Nota:

   Las identidades que se muestran en el cuadro combinado son solo las que se asignaron a la instancia de servidor flexible de Azure Database for PostgreSQL. Aunque no es necesario, para mantener la resistencia regional, se recomienda seleccionar identidades administradas por el usuario en la misma región que el servidor. Y si el servidor tiene habilitada la redundancia de copia de seguridad geográfica, se recomienda que la segunda identidad administrada por el usuario, usada para acceder a la clave de cifrado de datos para las copias de seguridad con redundancia geográfica, exista en la región emparejada del servidor.

4. Si la identidad administrada asignada por el usuario que desea usar para acceder a la clave de cifrado de datos no está asignada a la instancia de servidor flexible de Azure Database for PostgreSQL y ni siquiera existe como un recurso de Azure con su objeto correspondiente en Microsoft Entra ID, puede crearla seleccionando Crear.

   

5. En el panel Crear identidad administrada asignada por el usuario , complete los detalles de la identidad administrada asignada por el usuario que desea crear y asigne automáticamente a la instancia de servidor flexible de Azure Database for PostgreSQL para acceder a la clave de cifrado de datos.

   

6. Si la identidad administrada asignada por el usuario que desea usar para acceder a la clave de cifrado de datos no está asignada a la instancia de servidor flexible de Azure Database for PostgreSQL, pero existe como un recurso de Azure con su objeto correspondiente en Microsoft Entra ID, puede asignarla seleccionando Seleccionar.

   

7. Entre la lista de identidades administradas asignadas por el usuario, seleccione la que desea que use el servidor para acceder a la clave de cifrado de datos almacenada en una instancia de Azure Key Vault.

   

8. Selecciona Agregar.

   

9. Seleccione Usar actualización automática de la versión de la clave, si prefiere permitir que el servicio actualice automáticamente la referencia a la versión más reciente de la clave elegida, siempre que la versión actual se gire manual o automáticamente. Para comprender las ventajas de usar actualizaciones automáticas de versiones de claves, consulte [actualizaciones automáticas de versiones de claves](concepts-data-encryption.md##CMK actualizaciones de versiones de clave).

   

10. Si gira la clave, y no tiene habilitada la Actualización automática de la versión de la clave. O bien, si desea usar una clave diferente, debe actualizar la instancia de servidor flexible de Azure Database for PostgreSQL para que apunte a la nueva versión de la clave o a la nueva clave. Para ello, puede copiar el identificador de recurso de la clave y pegarlo en el cuadro Identificador de clave .

    

11. Si el usuario que accede a Azure Portal tiene permisos para acceder a la clave almacenada en el almacén de claves, puede usar un enfoque alternativo para elegir la nueva clave o la nueva versión de la clave. Para ello, en Método de selección de claves, seleccione el botón de radio Seleccionar una tecla .

    

12. Seleccione Seleccionar clave.

    

13. La suscripción se rellena automáticamente con el nombre de la suscripción en la que se va a crear el servidor. El almacén de claves que mantiene la clave de cifrado de datos debe existir en la misma suscripción que el servidor.

    

14. En Tipo de almacén de claves, seleccione el botón de radio correspondiente al tipo de almacén de claves en el que planea almacenar la clave de cifrado de datos. En este ejemplo, se elige Key Vault, pero la experiencia es similar si elige HSM administrado.

    

15. Expanda Almacén de claves (o HSM administrado, si seleccionó ese tipo de almacenamiento) y seleccione la instancia en la que existe la clave de cifrado de datos.

    

    Nota:

    Al expandir el cuadro desplegable, muestra No hay elementos disponibles. Tarda unos segundos hasta que se muestran todas las instancias de Azure Key Vault que se implementan en la misma región que el servidor.

16. Expanda Clave y seleccione el nombre de la clave que desea usar para el cifrado de datos.

    

17. Si no seleccionó Usar actualización automática de la versión de la clave, también debe seleccionar una versión específica de la clave. Para ello, expanda Versión y seleccione el identificador de la versión de la clave que desea usar para el cifrado de datos.

    

18. Elija Seleccionar.

    

19. Una vez satisfecho con los cambios realizados, seleccione Guardar.

    

CLI

Puede configurar el cifrado de datos con la clave de cifrado asignada por el usuario, para un servidor existente, a través del comando az postgres flexible-server update .

az postgres flexible-server update \
  --resource-group <resource_group> \
  --name <server> \
  --identity <managed_identity_to_access_primary_encryption_key> \
  --key <resource_identifier_of_primary_encryption_key> ...

Nota:

Es posible que el comando anterior tenga que completarse con otros parámetros cuya presencia y valores variarían en función de cómo desee configurar otras características del servidor existente.

Tanto si solo desea cambiar la identidad administrada asignada por el usuario que se usa para acceder a la clave, como si solo quiere cambiar la clave usada para el cifrado de datos, o si desea cambiar ambas al mismo tiempo, es necesario proporcionar parámetros --identity y --key (o para --backup-identity--backup-key copias de seguridad con redundancia geográfica). Si proporciona uno pero no ambos, obtendrá cualquiera de los siguientes errores:

User assigned identity and keyvault key need to be provided together. Please provide --identity and --key together.

User assigned identity and keyvault key need to be provided together. Please provide --backup-identity and --backup-key together.

Si la clave apuntada por el valor pasado al --key parámetro (o --backup-key para las copias de seguridad con redundancia geográfica) no existe, o si la identidad administrada asignada por el usuario cuyo identificador de recurso se pasa al --identity parámetro (ore --backup-identity para las copias de seguridad con redundancia geográfica) no tiene los permisos necesarios para acceder a la clave, obtendrá el siguiente error:

Code: AzureKeyVaultKeyNameNotFound
Message: The operation could not be completed because the Azure Key Vault Key name '<key_vault_resource>' does not exist or User Assigned Identity does not have Get access to the Key (/azure/postgresql/flexible-server/concepts-data-encryption#requirements-for-configuring-data-encryption-for-azure-database-for-postgresql-flexible-server).

Si el servidor tiene habilitadas copias de seguridad con redundancia geográfica, puede configurar la clave usada para el cifrado de copias de seguridad con redundancia geográfica y la identidad usada para acceder a esa clave. Para ello, puede usar los --backup-identity parámetros y --backup-key .

az postgres flexible-server update \
  --resource-group <resource_group> \
  --name <server> \
  --backup-identity <managed_identity_to_access_georedundant_encryption_key> \
  --backup-key <resource_identifier_of_georedundant_encryption_key> ...

Si pasa los parámetros --backup-identity y --backup-key al az postgres flexible server update comando y hace referencia a un servidor existente que no tiene habilitada la copia de seguridad con redundancia geográfica, obtendrá el siguiente error:

Geo-redundant backup is not enabled. You cannot provide Geo-location user assigned identity and keyvault key.

Las identidades pasadas a los parámetros --identity y --backup-identity, si existen y son válidas, son agregadas automáticamente a la lista de identidades administradas asignadas por el usuario asociadas a su instancia de servidor flexible de Azure Database for PostgreSQL. Este es el caso incluso si el comando más adelante produce algún otro error. En tales casos, es posible que quiera usar los comandos az postgres flexible-server identity para enumerar, asignar o quitar identidades administradas asignadas por el usuario asignadas a la instancia de servidor flexible de Azure Database for PostgreSQL. Para más información sobre cómo configurar identidades administradas asignadas por el usuario en la instancia de servidor flexible de Azure Database for PostgreSQL, consulte Asociación de identidades administradas asignadas por el usuario a servidores existentes, desasociar las identidades administradas asignadas por el usuario a los servidores existentes y mostrar las identidades administradas asignadas por el usuario asociado.

Contenido relacionado

• Cifrado de datos