Habilitación del cifrado de datos con claves administradas por el cliente en Azure Cosmos DB for PostgreSQL

SE APLICA A: Azure Cosmos DB for PostgreSQL (con tecnología de la extensión de base de datos de Citus en PostgreSQL)

Requisitos previos

• Una cuenta de Azure Cosmos DB for PostgreSQL existente.
  • Si tiene una suscripción de Azure, cree una nueva cuenta.
  • Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.
  • Como alternativa, puede probar Azure Cosmos DB gratis antes de confirmarlo.

Habilitar el cifrado de datos con claves administradas por el cliente

Importante

Cree todos los siguientes recursos en la misma región donde se implementará el clúster de Azure Cosmos DB for PostgreSQL.

1. Cree una identidad administrada asignada por el usuario. Actualmente, Azure Cosmos DB for PostgreSQL solo admite identidades administradas asignadas por el usuario.

2. Cree una instancia de Azure Key Vault y agregue una directiva de acceso a la identidad administrada asignada por el usuario creada con los siguientes permisos clave: Get, Unwrap Key y Wrap Key.

3. Genere una clave en Key Vault (tipos de clave admitidos: RSA 2048, 3071, 4096).

4. Seleccione la opción cifrado de clave administrada por el cliente durante la creación del clúster de Azure Cosmos DB for PostgreSQL y seleccione la identidad administrada asignada por el usuario, la instancia de Key Vault y la clave creadas en los pasos 1, 2 y 3.

Pasos detallados

Identidad administrada asignada por el usuario

1. Busque Identidades administradas en la barra de búsqueda global.

   

2. Cree una identidad administrada asignada por el usuario en la misma región que el clúster de Azure Cosmos DB for PostgreSQL.

   

Obtenga más información sobre la identidad administrada asignada por el usuario.

Key Vault

El uso de claves administradas por el cliente con Azure Cosmos DB for PostgreSQL requiere que establezca dos propiedades en la instancia de Azure Key Vault que planea usar para hospedar las claves de cifrado: Eliminación temporal y Protección contra purgas.

1. Si crea una nueva instancia de Azure Key Vault, habilite estas propiedades durante la creación:

   

2. Si usa una instancia de Azure Key Vault existente y desea verificar si estas propiedades estén habilitadas, puede consultar la sección Propiedades en Azure Portal. Si alguna de estas propiedades no está habilitada, consulte las secciones "Habilitar la eliminación temporal" y "Habilitar la Protección contra purgas" en uno de los siguientes artículos.

   • Uso de la eliminación temporal con PowerShell.
   • Uso de la eliminación temporal con la CLI de Azure.

3. El número de días que se conservarán los almacenes eliminados del almacén de claves debe establecerse en 90. Si el almacén de claves existente está configurado con un número inferior, deberá crear uno nuevo, ya que esta configuración no se puede modificar después de la creación.

   Importante

   La instancia de Azure Key Vault debe permitir el acceso público desde todas las redes.

Agregar una directiva de acceso a Key Vault

1. En Azure Portal, vaya a la instancia de Azure Key Vault que planea usar para hospedar las claves de cifrado. Seleccione Configuración de acceso en el menú de la izquierda. Asegúrese de que la directiva de acceso del almacén está seleccionada en Modelo de permisos y, después, seleccione Ir a directivas de acceso.

   

2. Seleccione + Create (+ Crear).

3. En la pestaña Permisos del menú desplegable Permisos de clave, seleccione los permisos Get, Unwrap Key y Wrap Key.

   

4. En la pestaña Entidad de seguridad, seleccione la identidad administrada asignada por el usuario que creó en el paso de requisitos previos.

5. Vaya a Revisar y crear, y seleccione Crear.

Crear / Importar clave

1. En Azure Portal, vaya a la instancia de Azure Key Vault que planea usar para hospedar las claves de cifrado.

2. Seleccione Claves a la izquierda y, luego, elija +Generar/Importar.

   

3. La clave administrada por el cliente que se va a usar para cifrar las DEK solo puede ser el tipo de clave RSA asimétrica. Se admiten los tamaños de clave RSA 2048, 3072 y 4096.

4. La fecha de activación de la clave (si se establece) debe ser una fecha y hora del pasado. La fecha de expiración (si se establece) debe ser una fecha y hora del futuro.

5. El estado de la clave debe ser Habilitada.

6. Si va a importar una clave existente en el almacén de claves, asegúrese de proporcionarla en uno de los formatos de archivo compatibles (.pfx, .byok, .backup).

7. Si va a rotar manualmente la clave, la versión anterior de la clave no debe eliminarse durante al menos 24 horas.

Habilitación del cifrado de la CMK durante el aprovisionamiento de un nuevo clúster

Portal

1. Durante el aprovisionamiento de un nuevo clúster de Azure Cosmos DB for PostgreSQL, después de proporcionar la información necesaria en las pestañas Aspectos básicos y redes, vaya a la pestaña Cifrado.

2. Seleccione Clave administrada por el cliente en la opción Clave de cifrado de datos.

3. Seleccione la identidad administrada asignada por el usuario creada en la sección anterior.

4. Seleccione la instancia de almacén de claves creada en el paso anterior, que tiene la directiva de acceso a la identidad administrada del usuario seleccionada en el paso anterior.

5. Seleccione la clave creada en el paso anterior y, a continuación, seleccione Revisar y crear.

6. Una vez creado el clúster, compruebe que el cifrado de CMK está habilitado; para ello, vaya a la hoja Cifrado de datos del clúster de Azure Cosmos DB for PostgreSQL en Azure Portal.

Nota

El cifrado de datos solo se puede configurar durante la creación de un nuevo clúster y no se puede actualizar en un clúster existente. Una solución alternativa para actualizar la configuración de cifrado en un clúster existente es realizar una restauración de clústeres y configurar el cifrado de datos durante la creación del clúster recién restaurado.

Plantilla de ARM

   {
       "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "serverGroupName": {
               "type": "string"
           },
           "location": {
               "type": "string"
           },
           "administratorLoginPassword": {
               "type": "secureString"
           },
           "previewFeatures": {
               "type": "bool"
           },
           "postgresqlVersion": {
               "type": "string"
           },
           "coordinatorVcores": {
               "type": "int"
           },
           "coordinatorStorageSizeMB": {
               "type": "int"
           },
           "numWorkers": {
               "type": "int"
           },
           "workerVcores": {
               "type": "int"
           },
           "workerStorageSizeMB": {
               "type": "int"
           },
           "enableHa": {
               "type": "bool"
           },
           "enablePublicIpAccess": {
               "type": "bool"
           },
           "serverGroupTags": {
               "type": "object"
           },
           "userAssignedIdentityUrl": {
               "type": "string"
           },
           "encryptionKeyUrl": {
               "type": "string"
           }
       },
       "variables": {},
       "resources": [
           {
               "name": "[parameters('serverGroupName')]",
               "type": "Microsoft.DBforPostgreSQL/serverGroupsv2",
               "kind": "CosmosDBForPostgreSQL",
               "apiVersion": "2020-10-05-privatepreview",
               "identity":
               {
                   "type": "UserAssigned",
                   "userAssignedIdentities":
                   {
                       "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/yogkuleuapcmkmarlintest/providers/Microsoft.ManagedIdentity/userAssignedIdentities/marlincmktesteus2euapuai1": {}
                   }
               },
               "location": "[parameters('location')]",
               "tags": "[parameters('serverGroupTags')]",
               "properties": {
                   "createMode": "Default",
                   "administratorLogin": "citus",
                   "administratorLoginPassword": "[parameters('administratorLoginPassword')]",
                   "backupRetentionDays": 35,
                   "enableMx": false,
                   "enableZfs": false,
                   "previewFeatures": "[parameters('previewFeatures')]",
                   "postgresqlVersion": "[parameters('postgresqlVersion')]",
                   "dataencryption":
                   {
                       "primaryKeyUri": "[parameters('encryptionKeyUrl')]",
                       "primaryUserAssignedIdentityId": "[parameters('userAssignedIdentityUrl')]",
                       "type": "AzureKeyVault"
                   },
                   "serverRoleGroups": [
                       {
                           "name": "",
                           "role": "Coordinator",
                           "serverCount": 1,
                           "serverEdition": "GeneralPurpose",
                           "vCores": "[parameters('coordinatorVcores')]",
                           "storageQuotaInMb": "[parameters('coordinatorStorageSizeMB')]",
                           "enableHa": "[parameters('enableHa')]"
                       },
                       {
                           "name": "",
                           "role": "Worker",
                           "serverCount": "[parameters('numWorkers')]",
                           "serverEdition": "MemoryOptimized",
                           "vCores": "[parameters('workerVcores')]",
                           "storageQuotaInMb": "[parameters('workerStorageSizeMB')]",
                           "enableHa": "[parameters('enableHa')]",
                           "enablePublicIpAccess": "[parameters('enablePublicIpAccess')]"
                       }
                   ]
               },
               "dependsOn": []
           }
       ],
       "outputs": {}
   }

Alta disponibilidad

Cuando el cifrado de la CMK está habilitado en el clúster principal, todos los nodos en espera de alta disponibilidad se cifran automáticamente mediante la clave del clúster principal.

Cambio de la configuración de cifrado al realizar una restauración a un momento dado

La configuración de cifrado se puede cambiar del cifrado administrado por el servicio al cifrado administrado por el cliente o viceversa mientras se realiza una operación de restauración del clúster (PITR: restauración a un momento dado).

Portal

1. Vaya a la hoja Cifrado de datos y seleccione Iniciar operación de restauración. También puede realizar una restauración a un momento dado si selecciona la opción Restaurar en la hoja de Información general.

2. Puede cambiar o configurar el cifrado de datos en la pestaña Cifrado de la página de restauración del clúster.

Plantilla de ARM

   {
       "$schema": "http://schema.management.azure.com/schemas/2014-04-01-preview/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "location": {
               "type": "string"
           },
           "sourceLocation": {
               "type": "string"
           },
           "subscriptionId": {
               "type": "string"
           },
           "resourceGroupName": {
               "type": "string"
           },
           "serverGroupName": {
               "type": "string"
           },
           "sourceServerGroupName": {
               "type": "string"
           },
           "restorePointInTime": {
               "type": "string"
           },
           "encryptionKeyUrl": {
               "type": "string"
           },
           "userAssignedIdentityUrl": {
               "type": "string"
           }
       },
       "variables": {
           "api": "2020-02-14-privatepreview"
       },
       "resources": [
           {
               "apiVersion": "2020-10-05-privatepreview",
               "location": "[parameters('location')]",
               "name": "[parameters('serverGroupName')]",
               "identity":
               {
                   "type": "UserAssigned",
                   "userAssignedIdentities":
                   {
                       "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/yogkuleuapcmkmarlintest/providers/Microsoft.ManagedIdentity/userAssignedIdentities/marlincmktesteus2euapuai1": {}
                   }
               },
               "properties": {
                   "createMode": "PointInTimeRestore",
                   "sourceServerGroupName": "[parameters('sourceServerGroupName')]",
                   "pointInTimeUTC": "[parameters('restorePointInTime')]",
                   "sourceLocation": "[parameters('location')]",
                   "sourceSubscriptionId": "[parameters('subscriptionId')]",
                   "sourceResourceGroupName": "[parameters('resourceGroupName')]",
                   "enableMx": false,
                   "enableZfs": false,
                   "dataencryption":
                   {
                       "primaryKeyUri": "[parameters('encryptionKeyUrl')]",
                       "primaryUserAssignedIdentityId": "[parameters('userAssignedIdentityUrl')]",
                       "type": "AzureKeyVault"
                   },
               }
               "type": "Microsoft.DBforPostgreSQL/serverGroupsv2"
           }
       ]
   }

Supervisión de la clave administrada por el cliente en Key Vault

Para supervisar el estado de la base de datos y para habilitar las alertas cuando se produce la pérdida de acceso transparente al protector de cifrado de datos, configure las siguientes características de Azure:

• Azure Resource Health: una base de datos inaccesible que haya perdido acceso a la clave del cliente aparecerá como "Inaccesible" después de que se haya denegado la primera conexión a la base de datos.

• Registro de actividad: cuando se produce un error de acceso a la clave de cliente en Key Vault administrado por el cliente, las entradas se agregan al registro de actividad. Puede restablecer el acceso tan pronto como sea posible si crea alertas para estos eventos.

• Grupos de actividades: Defina estos grupos para recibir notificaciones y alertas en función de sus preferencias.

Pasos siguientes

• Obtenga información sobre el cifrado de datos con claves administradas por el cliente
• Consulte los límites y limitaciones de CMK en Azure Cosmos DB for PostgreSQL