Chiffrement des données pour le serveur unique Azure Database pour PostgreSQL avec le portail Azure

  • Article

S’APPLIQUE À : Azure Database pour PostgreSQL – Serveur unique versions

Important

Azure Database pour PostgreSQL - Serveur unique est en voie de mise hors service. Nous vous recommandons vivement de procéder à une mise à niveau vers Azure Database pour PostgreSQL – Serveur flexible. Pour plus d’informations sur la migration vers Azure Database pour PostgreSQL – Serveur flexible, consultez Qu’en est-il du serveur unique Azure Database pour PostgreSQL ?.

Découvrez comment utiliser le portail Azure pour configurer et gérer le chiffrement des données pour votre serveur unique Azure Database pour PostgreSQL.

Prérequis pour Azure CLI

  • Vous devez avoir un abonnement Azure et être un administrateur de cet abonnement.

  • Dans Azure Key Vault, créez un coffre de clés et une clé à utiliser pour une clé gérée par le client.

  • Le coffre de clés doit avoir les propriétés suivantes à utiliser en tant que clé gérée par le client :

    • Suppression réversible

      az resource update --id $(az keyvault show --name \ <key_vault_name> -test -o tsv | awk '{print $1}') --set \ properties.enableSoftDelete=true

    • Protégé contre le vidage

      az keyvault update --name <key_vault_name> --resource-group <resource_group_name>  --enable-purge-protection true

  • La clé doit avoir les attributs suivants à utiliser en tant que clé gérée par le client :

    • Aucune date d’expiration
    • Non activée
    • En mesure d’effectuer les opérations Obtenir, Inclure la clé et Ne pas inclure la clé

Définir les permissions appropriées pour les opérations sur les clés

  1. Dans Key Vault, sélectionnez Stratégies d’accès>Ajouter une stratégie d’accès.

    Capture d’écran de Key Vault, avec mise en évidence des éléments Stratégies d’accès et Ajouter une stratégie d’accès

  2. Sélectionnez Autorisations de clé, puis Obtenir, Inclure la clé, Ne pas inclure la clé et Principal, qui est le nom du serveur PostgreSQL. Si votre principal de serveur est introuvable dans la liste des principaux existants, vous devez l’inscrire. Vous êtes invité à inscrire votre principal de serveur quand vous tentez de configurer le chiffrement des données pour la première fois et que l’opération échoue.

    Vue d’ensemble de la stratégie d’accès

  3. Sélectionnez Enregistrer.

Configurer le chiffrement des données pour le serveur unique Azure Database pour PostgreSQL

  1. Dans Azure Database pour PostgreSQL, sélectionnez Chiffrement des données pour configurer la clé gérée par le client.

    Capture d’écran d’Azure Database pour PostgreSQL, avec mise en évidence de Chiffrement des données

  2. Vous pouvez sélectionner un coffre de clés et une paire de clés ou entrer un identificateur de clé.

    Capture d’écran d’Azure Database pour PostgreSQL, avec mise en évidence des options de chiffrement des données

  3. Sélectionnez Enregistrer.

  4. Pour que tous les fichiers (y compris les fichiers temporaires) soient entièrement chiffrés, redémarrez le serveur.

Utilisation du chiffrement des données pour les serveurs de restauration ou réplicas

Une fois Azure Database pour PostgreSQL Serveur unique chiffré à l'aide d'une clé gérée par le client stockée dans Key Vault, toute copie nouvellement créée du serveur est également chiffrée. Vous pouvez effectuer cette nouvelle copie par l’intermédiaire d’une opération locale ou de restauration géographique, ou par le biais d’une opération de réplica (locale ou inter-région). Ainsi, pour un serveur PostgreSQL chiffré, vous pouvez utiliser les étapes suivantes afin de créer un serveur restauré chiffré.

  1. Sur votre serveur, sélectionnez Vue d’ensemble>Restaurer.

    Capture d’écran d’Azure Database pour PostgreSQL, avec mise en évidence des éléments Vue d’ensemble et Restaurer

    Autrement, pour un serveur compatible avec la réplication, sous le titre Paramètres, sélectionnez Réplication.

    Capture d’écran d’Azure Database pour PostgreSQL, avec mise en évidence de Réplication

  2. Une fois l’opération de restauration terminée, le serveur créé est chiffré avec la clé du serveur principal. Toutefois, les fonctionnalités et les options du serveur sont désactivées et le serveur est inaccessible. Toute manipulation de données est ainsi impossible, car l’identité du nouveau serveur n’a pas encore reçu l’autorisation d’accéder au coffre de clés.

    Capture d’écran d’Azure Database pour PostgreSQL, avec mise en évidence de l’état Inaccessible

  3. Pour rendre le serveur accessible, revalidez la clé sur le serveur restauré. Sélectionnez Chiffrement des données>Revalider la clé.

    Notes

    La première tentative de revalidation échouera, car le principal de service du nouveau serveur doit avoir accès au coffre de clés. Pour générer le principal de service, sélectionnez Revalider la clé. Vous verrez un message d’erreur, mais pourrez générer le principal de service. Ensuite, reportez-vous à ces étapes plus haut dans cet article.

    Capture d’écran d’Azure Database pour PostgreSQL, avec mise en évidence de l’option de revalidation

    Vous devez autoriser le coffre de clés à accéder au nouveau serveur. Pour plus d’informations, consultez Activer les autorisations de RBAC Azure sur Key Vault.

  4. Après avoir inscrit le principal de service, revalidez la clé pour que le serveur reprenne son fonctionnement normal.

    Capture d’écran d’Azure Database pour PostgreSQL, montrant les fonctionnalités restaurées

Étapes suivantes

Pour en savoir plus sur le chiffrement des données, consultez Chiffrement des données pour un serveur unique Azure Database pour PostgreSQL avec une clé gérée par le client.