Résoudre les problèmes de chiffrement des données dans Azure Database pour MySQL
S’APPLIQUE À :
Azure Database pour MySQL - Serveur unique
Important
Azure Database pour MySQL serveur unique se trouve sur le chemin de mise hors service. Nous vous recommandons vivement de procéder à la mise à niveau vers Azure Database pour MySQL serveur flexible. Pour plus d’informations sur la migration vers Azure Database pour MySQL serveur flexible, consultez Ce qui se passe pour Azure Database pour MySQL serveur unique ?
Cet article explique comment identifier et résoudre les problèmes courants susceptibles de se produire dans Azure Database pour MySQL quand il est configuré avec le chiffrement des données à l’aide d’une clé gérée par le client.
Introduction
Quand vous configurez le chiffrement des données pour utiliser une clé gérée par le client dans Azure Key Vault, les serveurs nécessitent un accès continu à la clé. Si le serveur perd l’accès à la clé gérée par le client dans Azure Key Vault, il rejette toutes les connexions, retourne le message d’erreur associé et son état passe à Inaccessible dans le portail Azure.
Si vous n’avez plus besoin d’un serveur Azure Database pour MySQL inaccessible, vous pouvez le supprimer pour arrêter les coûts. Aucune autre action sur le serveur n’est autorisée tant que l’accès au coffre de clés n’a pas été restauré et que le serveur n’est pas disponible. Il n’est pas non plus possible de définir l’option de chiffrement des données sur No (managée par le service) au lieu de Yes (gérée par le client) sur un serveur inaccessible lorsqu'il est chiffré à l’aide d’une clé gérée par le client. Vous devez revalider la clé manuellement pour que le serveur soit à nouveau accessible. Cette action est nécessaire pour protéger les données contre tout accès non autorisé pendant que les autorisations sur la clé gérée par le client sont révoquées.
Erreurs courantes qui provoquent l’inaccessibilité du serveur
Les erreurs de configuration suivantes provoquent la plupart des problèmes liés au chiffrement des données avec des clés Azure Key Vault :
Le coffre de clés n’est pas disponible ou n’existe pas :
- Le coffre de clés a été supprimé accidentellement.
- Une erreur réseau intermittente entraîne l’indisponibilité du coffre de clés.
Vous n’êtes pas autorisé à accéder au coffre de clés ou la clé n’existe pas :
- La clé a expiré ou a été accidentellement supprimée ou désactivée.
- L’identité managée de l’instance Azure Database pour MySQL a été supprimée par erreur.
- L’identité managée de l’instance Azure Database pour MySQL ne dispose pas des autorisations de clé suffisantes. Par exemple, les autorisations n’incluent pas Get, Wrap et Unwrap.
- Les autorisations de l’identité managée de l’instance Azure Database pour MySQL ont été révoquées ou supprimées.
Identifier et résoudre les erreurs courantes
Erreurs sur le coffre de clés
Coffre de clés désactivé
AzureKeyVaultKeyDisabledMessage- Explication : impossible d’effectuer l’opération sur le serveur, car la clé Azure Key Vault est désactivée.
Autorisations d’accès au coffre de clés manquantes
AzureKeyVaultMissingPermissionsMessage- Explication : le serveur ne dispose pas des autorisations Get, Wrap et Unwrap requises pour Azure Key Vault. Accordez les autorisations manquantes au principal du service avec l’ID.
Limitation des risques
- Vérifiez que la clé gérée par le client est présente dans le coffre de clés.
- Identifiez le coffre de clés et accédez à celui-ci dans le portail Azure.
- Vérifiez que l’URI de la clé identifie une clé qui est présente.