Cifrado de datos para Azure Database for MySQL mediante Azure Portal
SE APLICA A: Azure Database for MySQL: servidor único
Importante
El servidor único de Azure Database for MySQL está en proceso de retirada. Es muy recomendable actualizar al servidor flexible de Azure Database for MySQL. Para obtener más información sobre la migración al servidor flexible de Azure Database for MySQL, consulte ¿Qué sucede con el servidor único de Azure Database for MySQL?
Aprenda a usar Azure Portal para configurar y administrar el cifrado de datos de Azure Database for MySQL.
Requisitos previos de la CLI de Azure
Debe tener una suscripción de Azure y ser un administrador en esa suscripción.
En Azure Key Vault, cree un almacén de claves y una clave que se usará como clave administrada por el cliente.
Para ello, el almacén de claves debe tener las siguientes propiedades:
-
az resource update --id $(az keyvault show --name \ <key_vault_name> -o tsv | awk '{print $1}') --set \ properties.enableSoftDelete=true
-
az keyvault update --name <key_vault_name> --resource-group <resource_group_name> --enable-purge-protection true
Los días de retención se han establecido en 90 días
az keyvault update --name <key_vault_name> --resource-group <resource_group_name> --retention-days 90
-
La clave debe tener los siguientes atributos para que se pueda usar como clave administrada por el cliente:
- Sin fecha de expiración
- No deshabilitado
- Poder realizar las operaciones get, wrap y unwrap
- El atributo recoverylevel debe estar establecido en Recoverable (requiere habilitar la eliminación temporal con el período de retención establecido en 90 días).
- Habilitación de la protección de purgas
Puede comprobar los atributos de la clave con el siguiente comando:
az keyvault key show --vault-name <key_vault_name> -n <key_name>
Azure Database for MySQL: servidor único debe estar en el plan de tarifa de uso general u optimizado para memoria y en el almacenamiento de uso general v2. Antes de continuar, consulte limitaciones para el cifrado de datos con claves administradas por el cliente.
Establecer los permisos adecuados para las operaciones de clave
En Key Vault, seleccione Directivas de acceso>Agregar directiva de acceso.
En Permisos clave seleccione Get (Obtener), Wrap (Encapsular), Unwrap (Desencapsular) y Principal (Entidad de seguridad), que es el nombre del servidor MySQL. Si no se encuentra la entidad de seguridad del servidor en la lista de entidades de seguridad existentes, debe registrarla. Se le pedirá que registre la entidad de seguridad del servidor cuando intente configurar el cifrado de datos por primera vez y se produzca un error.
Seleccione Guardar.
Establecimiento del cifrado de datos para Azure Database for MySQL
En Azure Database for MySQL, seleccione Cifrado de datos para configurar la clave administrada por el cliente.
Puede seleccionar un almacén de claves y un par de claves o escribir un identificador de clave.
Seleccione Guardar.
Para asegurarse de que todos los archivos (incluidos los archivos temporales) están totalmente cifrados, reinicie el servidor.
Uso del cifrado de datos con servidores de restauración o réplica
Después de cifrar Azure Database for MySQL con la clave administrada de un cliente almacenada en Key Vault, también se cifra cualquier copia recién creada del servidor. Puede crear esta nueva copia mediante una operación de restauración local o geográfica, o por medio de una operación de réplica (local o entre regiones). De modo que, con un servidor MySQL cifrado, puede usar los siguientes pasos para crear un servidor restaurado cifrado.
En el servidor, seleccione Información general>Restaurar.
O bien, en el caso de un servidor habilitado para la replicación, en el encabezado Configuración, seleccione Replicación.
Una vez completada la operación de restauración, el nuevo servidor creado se cifra con la clave del servidor principal. Sin embargo, las características y opciones del servidor están deshabilitadas y el servidor está inaccesible. Esto evita la manipulación de los datos, ya que la identidad del nuevo servidor todavía no tiene permiso para acceder al almacén de claves.
Para que el servidor sea accesible, vuelva a validar la clave en el servidor restaurado. Seleccione Cifrado de datos>Revalidate key (Volver a validar la clave).
Nota
Se producirá un error en el primer intento de volver a realizar la validación, ya que la entidad de servicio debe tener acceso al almacén de claves. Para generar la entidad de servicio, seleccione Revalidate key (Volver a validar la clave). Se muestra un error, pero se genera la entidad de servicio. A partir de ese momento, consulte estos pasos anteriormente en este artículo.
Tendrá que conceder al almacén de claves acceso al nuevo servidor. Para más información, consulte Asignación de una directiva de acceso de Key Vault.
Después de registrar la entidad de servicio, vuelva a validar la clave otra vez; el servidor reanudará su funcionalidad normal.