Share via

Activer le chiffrement des données avec des clés gérées par le client dans Azure Cosmos DB for PostgreSQL

  • Article

S’APPLIQUE À : Azure Cosmos DB for PostgreSQL (avec l’extension de base de données Citus pour PostgreSQL)

Prérequis

Activer le chiffrement des données avec des clés gérées par le client

Important

Créez toutes les ressources suivantes dans la même région où votre cluster Azure Cosmos DB for PostgreSQL est déployé.

  1. Créez une identité managée affectée par l’utilisateur. Actuellement, Azure Cosmos DB for PostgreSQL prend uniquement en charge les identités managées affectées par l’utilisateur.

  2. Créez une Azure Key Vault et ajoutez une stratégie d’accès à l’identité managée affectée par l’utilisateur créée avec les autorisations de clé suivantes : Get, Unwrap Key et Wrap Key.

  3. Générez une clé dans le coffre de clés(types de clés pris en charge : RSA 2048, 3071, 4096).

  4. Sélectionnez l’option de chiffrement de clé gérée par le client lors de la création du cluster Azure Cosmos DB for PostgreSQL, puis sélectionnez l’identité managée affectée par l’utilisateur, le coffre de clés et la clé créées aux étapes 1, 2 et 3.

Procédure détaillée

Identité managée affectée par l’utilisateur

  1. Recherchez Identités managées dans la barre de recherche globale.

    Screenshot of Managed Identities in Azure portal.

  2. Créez une identité managée affectée par l’utilisateur dans la même région que votre cluster Azure Cosmos DB for PostgreSQL.

    Screenshot of User assigned managed Identity page in Azure portal.

En savoir plus sur l’Identité managée affectée par l’utilisateur.

Key Vault

L’utilisation de clés gérées par le client avec Azure Cosmos DB for PostgreSQL vous oblige à définir deux propriétés sur l’instance Azure Key Vault que vous prévoyez d’utiliser pour héberger vos clés de chiffrement : Suppression réversible et Protection de purge.

  1. Si vous créez une instance Azure Key Vault, activez ces propriétés lors de la création :

    Screenshot of Key Vault's properties.

  2. Si vous utilisez une instance Azure Key Vault existante, vous pouvez vérifier que ces propriétés sont activées en examinant la section Propriétés dans le Portail Azure. Si une de ces propriétés n’est pas activée, consultez les sections intitulées « Activation de la suppression réversible » et « Activation de la protection de purge » dans l’un des articles suivants.

  3. Le coffre de clés doit être configuré avec un délai de 90 jours pour Jours de conservation des coffres supprimés. Si le coffre de clés existant est configuré avec une valeur inférieure, vous devrez en créer un autre, car un coffre de clés ne peut pas être modifié après avoir été créé.

    Important

    Votre instance Azure Key Vault doit autoriser l’accès public depuis tous les réseaux.

Ajouter une stratégie d’accès au coffre de clés

  1. Dans le Portail Azure, accédez à l’instance Azure Key Vault que vous prévoyez d’utiliser pour héberger vos clés de chiffrement. Sélectionnez Configuration de l’accès dans le menu de gauche. Vérifiez que la stratégie d’accès au coffre est sélectionnée sous Modèle d’autorisation, puis sélectionnez Accéder aux stratégies d’accès.

    Screenshot of Key Vault's access configuration.

  2. Sélectionnez + Créer.

  3. Dans l’onglet Autorisations sous le menu déroulant Autorisations de clé, sélectionnez des autorisations d’accès Get, Unwrap Key et Wrap Key.

    Screenshot of Key Vault's permissions settings.

  4. Dans l’onglet Principal, sélectionnez l’identité managée affectée par l’utilisateur que vous avez créée à l’étape des prérequis.

  5. Naviguez vers Vérifier + créer, sélectionnez Créer.

Créer/importer une clé

  1. Dans le Portail Azure, accédez à l’instance Azure Key Vault que vous prévoyez d’utiliser pour héberger vos clés de chiffrement.

  2. Sélectionnez Clés dans le menu de gauche, puis sélectionnez + Générer/importer.

    Screenshot of Key generation page.

  3. La clé gérée par le client à utiliser pour chiffrer la clé de chiffrement de données peut uniquement être de type Clé RSA. Toutes les tailles de clé RSA 2048, 3072 et 4096 sont prises en charge.

  4. La date d’activation de la clé (si définie) doit être une date et une heure passées. La date d'expiration (si définie) doit correspondre à une date et une heure ultérieures.

  5. La clé doit être dans l’état activé.

  6. Si vous importez une clé existante dans le coffre de clés, veillez à ce qu'elle respecte les formats de fichiers pris en charge (.pfx, .byok, .backup).

  7. Si vous effectuez une rotation manuelle de la clé, l’ancienne version de la clé ne doit pas être supprimée pendant au moins 24 heures.

Activer le chiffrement de la clé gérée par le client (CMK) lors du provisionnement d’un nouveau cluster

  1. Lors du provisionnement d’un nouveau cluster Azure Cosmos DB for PostgreSQL, après avoir fourni les informations nécessaires sous l’onglet Informations de base et Mise en réseau, accédez à l’onglet Chiffrement.Screenshot of Encrytion configuration page.

  2. Sélectionnez Clé gérée par le client sous l’option Clé de chiffrement des données.

  3. Sélectionnez l’identité managée affectée par l’utilisateur créée dans la section précédente.

  4. Sélectionnez le coffre de clés créé à l’étape précédente, dont la stratégie d’accès à l’identité gérée par l’utilisateur a été sélectionnée à l’étape précédente.

  5. Sélectionnez la clé créée à l’étape précédente, puis Vérifier+créer.

  6. Une fois le cluster créé, vérifiez que le chiffrement des clés CMK est activé en accédant au panneau Chiffrement des données du cluster Azure Cosmos DB for PostgreSQL dans le portail Azure. Screenshot of data encryption tab.

Remarque

Le chiffrement des données ne peut être configuré que lors de la création d’un cluster et ne peut pas être mis à jour sur un cluster existant. Une solution de contournement pour mettre à jour la configuration du chiffrement sur un cluster existant consiste à effectuer une restauration du cluster et à configurer le chiffrement des données lors de la création du cluster nouvellement restauré.

Haute disponibilité

Quand le chiffrement de la clé CMK est activé sur le cluster principal, tous les nœuds haute disponibilité de secours sont automatiquement chiffrés par la clé du cluster principal.

Modification de la configuration du chiffrement en effectuant une restauration à un instant dans le passé (PITR)

La configuration du chiffrement peut être changée pour passer du chiffrement géré par le service au chiffrement géré par le client ou vice versa lors de l’exécution d’une opération de restauration (à un instant dans le passé) du cluster.

  1. Accédez au panneau Chiffrement des données, puis sélectionnez Lancer l’opération de restauration. Vous pouvez aussi effectuer une restauration à un instant dans le passé en sélectionnant l’option Restaurer dans le panneau Vue d’ensemble. Screenshot of PITR.

  2. Vous pouvez modifier/configurer le chiffrement des données sous l’onglet Chiffrement de la page de restauration du cluster.

Surveiller la clé gérée par le client dans Key Vault

Pour surveiller l'état de la base de données et activer les alertes liées à la perte d'accès au protecteur TDE (Transparent Data Encryption), configurez les fonctionnalités Azure suivantes :

  • Azure Resource Health : une base de données inaccessible qui a perdu l’accès à la clé du client est affichée comme étant « Inaccessible » après que la première connexion à la base de données a été refusée.

  • Journal d’activité : lorsque l’accès à la clé client dans le Key Vault géré par le client échoue, des entrées sont ajoutées au Journal d’activité. La création d'alertes pour ces événements vous permettra de rétablir l'accès dès que possible.

  • Groupes d’actions : définissez ces groupes afin qu’ils vous envoient des notifications et des alertes basées sur vos préférences.

Étapes suivantes