Partager via

Chiffrement des données pour Azure Database pour MySQL avec le portail Azure

Cet article explique comment configurer et gérer le chiffrement des données pour Azure Database pour MySQL, qui se concentre sur le chiffrement au repos, qui protège les données stockées dans la base de données.

Dans cet article, vous allez apprendre à :

  • Définissez le chiffrement des données pour Azure Database pour MySQL.
  • Configurez le chiffrement des données pour la restauration.
  • Configurez le chiffrement des données pour les serveurs réplicas.

La configuration de l’accès au coffre de clés Azure prend désormais en charge deux types de modèles d’autorisation : le contrôle d’accès en fonction du rôle Azure et la stratégie d’accès au coffre. L’article explique comment configurer le chiffrement des données pour Azure Database pour MySQL à l’aide d’une stratégie d’accès au coffre.

Vous pouvez choisir d’utiliser Azure RBAC comme modèle d’autorisation pour accorder l’accès à Azure Key Vault. Pour ce faire, vous avez besoin d’un rôle intégré ou personnalisé qui dispose des trois autorisations ci-dessous et de l’affecter via les « attributions de rôles » à l’aide de l’onglet Contrôle d’accès (IAM) dans le coffre de clés :

  • KeyVault/vaults/keys/wrap/action
  • KeyVault/vaults/keys/unwrap/action
  • KeyVault/vaults/keys/read. Pour le HSM géré par Azure Key Vault, vous devez également affecter le rôle d'« Utilisateur du service de chiffrement géré HSM » dans RBAC.

Types de chiffrement

Azure Database pour MySQL prend en charge deux types de chiffrement principaux pour protéger vos données. Le chiffrement au repos garantit que toutes les données stockées dans la base de données, y compris les sauvegardes et les journaux, sont protégées contre un accès non autorisé en le chiffrant sur le disque. Le chiffrement en transit (également appelé chiffrement des communications) sécurise les données au fur et à mesure qu’elles se déplacent entre vos applications clientes et le serveur de base de données, généralement à l’aide de protocoles TLS/SSL. Ensemble, ces types de chiffrement fournissent une protection complète pour vos données tant qu’elles sont stockées et transmises.

  • Chiffrement au repos : protège les données stockées dans la base de données, les sauvegardes et les journaux. Il s’agit de l’objectif principal de cet article.
  • Chiffrement des communications (chiffrement en transit) : protège les données au fur et à mesure qu’elles transitent entre le client et le serveur, généralement à l’aide de protocoles TLS/SSL.

Prérequis

  • Compte Azure avec un abonnement actif.
  • Si vous n’en avez pas, créez un compte gratuit Azure avant de commencer.

    > [! REMARQUE] > Avec un compte gratuit Azure, vous pouvez maintenant essayer Azure Database pour MySQL Flexible Server gratuitement pendant 12 mois. Pour plus d’informations, consultez Utilisez un compte gratuit Azure pour essayer gratuitement le serveur flexible Azure Database pour MySQL.

Définir les permissions appropriées pour les opérations sur les clés

  1. Dans Key Vault, sélectionnez Stratégies d’accès, puis Créer.

Capture d’écran de la stratégie d’accès Key Vault dans le Portail Azure.

  1. Sous l’onglet Autorisations, sélectionnez les autorisations de clé suivantes : Obtenir, Lister, Inclure la clé, Ne pas inclure la clé.

  2. Sous l’onglet Principal, sélectionnez l’identité managée affectée par l’utilisateur.

Capture d’écran de l’onglet principal dans le Portail Azure.

  1. Sélectionnez Create (Créer).

Configurer une clé gérée par le client

Pour configurer la clé gérée par le client, procédez comme suit.

  1. Dans le portail, accédez à votre instance d’Azure Database pour MySQL – Serveur flexible, puis, sous Sécurité, sélectionnez Chiffrement de données.

Capture d’écran de la page de chiffrement des données.

  1. Sur la page Chiffrement des données, sous Aucune identité affectée, sélectionnez Modifier l’identité.

  2. Dans la boîte de dialogue Sélectionner l’identité managée affectée par l’utilisateur** , sélectionnez l’identité demo-umi, puis sélectionnez Ajouter**.

Capture d’écran de la sélection de demo-umi sur la page d’identité managée affectée.

  1. À droite de la méthode de sélection de clé, sélectionnez une clé et spécifiez un coffre de clés et une paire de clés ou sélectionnez Entrer un identificateur de clé.

Capture d’écran de la méthode de sélection clé pour afficher l’utilisateur.

  1. Sélectionnez Enregistrer.

Utiliser le chiffrement des données pour la restauration

Pour utiliser le chiffrement des données dans le cadre d’une opération de restauration, procédez comme suit.

  1. Dans le portail Azure, accédez à la page Vue d’ensemble de votre serveur, puis sélectionnez Restaurer.     1. Sous l’onglet Sécurité , vous spécifiez l’identité et la clé.

Capture d’écran de la page Vue d’ensemble.

  1. Sélectionnez Modifier l’identité, l’identité managée affectée par l’utilisateur, AjouterPour ajouter la clé, vous pouvez sélectionner un coffre de clés et une paire de clés ou entrer un identificateur de clé

Capture d’écran de la page Modifier l’identité.

Utiliser le chiffrement des données pour les serveurs réplicas

Une fois que votre instance d’Azure Database pour MySQL – Serveur flexible est chiffrée à l’aide d’une clé gérée par le client stockée dans Key Vault, toute copie récemment créée du serveur est également chiffrée.

  1. Pour configurer la réplication, sous Paramètres, sélectionnez Réplication, puis Ajouter un réplica.

Capture d’écran de la page Réplication.

  1. Dans la boîte de dialogue Ajouter un serveur réplica à Azure Database pour MySQL, sélectionnez l’option Calcul + stockage appropriée, puis sélectionnez OK.

Capture d’écran de la page Calcul + Stockage.

    > [! IMPORTANT] Lorsque vous essayez de chiffrer un serveur flexible Azure Database pour MySQL avec une clé gérée par le client qui possède déjà des réplicas, nous vous recommandons de configurer un ou plusieurs réplicas en ajoutant l’identité managée et la clé.

Contenu connexe

  • Last updated on