Adattitkosítás engedélyezése ügyfél által felügyelt kulcsokkal az Azure Cosmos DB for PostgreSQL-ben

A KÖVETKEZŐKRE VONATKOZIK: Azure Cosmos DB for PostgreSQL (a Citus adatbázisbővítménye a PostgreSQL-re)

Előfeltételek

• Egy meglévő Azure Cosmos DB for PostgreSQL-fiók.
  • Ha Rendelkezik Azure-előfizetéssel, hozzon létre egy új fiókot.
  • Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.
  • Másik lehetőségként a véglegesítés előtt ingyenesen kipróbálhatja az Azure Cosmos DB-t.

Adattitkosítás engedélyezése ügyfél által felügyelt kulcsokkal

Fontos

Hozza létre az összes alábbi erőforrást ugyanabban a régióban, ahol az Azure Cosmos DB for PostgreSQL-fürt üzembe lesz helyezve.

1. Hozzon létre egy felhasználó által hozzárendelt felügyelt identitást. Az Azure Cosmos DB for PostgreSQL jelenleg csak a felhasználó által hozzárendelt felügyelt identitásokat támogatja.

2. Hozzon létre egy Azure Key Vaultot, és adjon hozzá egy hozzáférési szabályzatot a létrehozott, felhasználó által hozzárendelt felügyelt identitáshoz a következő kulcsengedélyekkel: Kulcs lekérése, feloldása és Körbefuttatási kulcs.

3. Kulcs létrehozása a kulcstartóban (támogatott kulcstípusok: RSA 2048, 3071, 4096).

4. Válassza ki az ügyfél által felügyelt kulcstitkosítási lehetőséget az Azure Cosmos DB for PostgreSQL-fürt létrehozása során, és válassza ki a felhasználó által hozzárendelt felügyelt identitást, kulcstartót és kulcsot, amelyet az 1., 2. és 3. lépésben hozott létre.

Részletes lépések

Felhasználó által hozzárendelt felügyelt identitás

1. Felügyelt identitások keresése a globális keresősávon.

   

2. Hozzon létre egy új felhasználó által hozzárendelt felügyelt identitást ugyanabban a régióban, mint az Azure Cosmos DB for PostgreSQL-fürt.

   

További információ a felhasználó által hozzárendelt felügyelt identitásról.

Key Vault

Ha ügyfél által felügyelt kulcsokat használ az Azure Cosmos DB for PostgreSQL-hez, két tulajdonságot kell beállítania azon az Azure Key Vault-példányon, amelyet a titkosítási kulcsok üzemeltetésére kíván használni: Helyreállítható törlés és törlés elleni védelem.

1. Ha új Azure Key Vault-példányt hoz létre, engedélyezze ezeket a tulajdonságokat a létrehozás során:

   

2. Ha egy meglévő Azure Key Vault-példányt használ, az Azure Portal Tulajdonságok szakaszában ellenőrizheti, hogy engedélyezve vannak-e ezek a tulajdonságok. Ha ezen tulajdonságok bármelyike nincs engedélyezve, tekintse meg a "Helyreállítható törlés engedélyezése" és a "Törlésvédelem engedélyezése" című szakaszt az alábbi cikkek egyikében.

   • A helyreállítható törlés használata a PowerShell-lel.
   • A helyreállítható törlés használata az Azure CLI-vel.

3. A törölt tárolók megőrzéséhez a Key Vaultot napokra 90 nappal kell beállítani. Ha a meglévő key Vault alacsonyabb számmal van konfigurálva, létre kell hoznia egy új kulcstartót, mivel ez a beállítás a létrehozás után nem módosítható.

   Fontos

   Az Azure Key Vault-példánynak minden hálózatról engedélyeznie kell a nyilvános hozzáférést.

Hozzáférési szabályzat hozzáadása a Key Vaulthoz

1. Az Azure Portalon nyissa meg azt az Azure Key Vault-példányt, amelyet a titkosítási kulcsok üzemeltetésére kíván használni. Válassza az Access-konfigurációt a bal oldali menüből. Győződjön meg arról, hogy a Tároló hozzáférési szabályzata ki van jelölve az Engedélymodellben, majd válassza az Ugrás a hozzáférési szabályzatokhoz lehetőséget.

   

2. Válassza a +Létrehozás lehetőséget.

3. A Kulcsengedélyek legördülő menü Engedélyek lapján válassza a Lekérés, a Kulcs feloldása és a Tördelési kulcs engedélyek lehetőséget.

   

4. Az Egyszerű lapon válassza ki a felhasználó által hozzárendelt felügyelt identitást, amelyet az előfeltétel lépésben hozott létre.

5. Lépjen a Véleményezés + létrehozás gombra, és válassza a Létrehozás lehetőséget.

Kulcs létrehozása/importálása

1. Az Azure Portalon nyissa meg azt az Azure Key Vault-példányt, amelyet a titkosítási kulcsok üzemeltetésére kíván használni.

2. A bal oldali menüben válassza a Kulcsok lehetőséget, majd a +Létrehozás/Importálás lehetőséget.

   

3. A DEK titkosításához használandó ügyfél által kezelt kulcs csak aszimmetrikus RSA-kulcstípus lehet. Minden RSA-kulcsméret 2048, 3072 és 4096 támogatott.

4. A kulcs aktiválási dátumának (ha be van állítva) múltbeli dátumnak és időpontnak kell lennie. A lejárati dátumnak (ha be van állítva) jövőbeli dátumnak és időnek kell lennie.

5. A kulcsnak engedélyezett állapotban kell lennie.

6. Ha egy meglévő kulcsot importál a kulcstartóba, ügyeljen rá, hogy a támogatott fájlformátumokban (.pfx, , .byok) .backupadja meg.

7. Ha manuálisan forgatja a kulcsot, a régi verziót legalább 24 óráig nem szabad törölni.

CMK-titkosítás engedélyezése új fürt kiépítése során

Portál

1. Egy új Azure Cosmos DB for PostgreSQL-fürt kiépítése során, miután az Alapszintű és hálózatkezelési fülek alatt biztosította a szükséges információkat, lépjen a Titkosítás lapra.

2. Válassza az Ügyfél által kezelt kulcsot az Adattitkosítási kulcs beállítás alatt.

3. Válassza ki az előző szakaszban létrehozott felhasználó által hozzárendelt felügyelt identitást.

4. Válassza ki az előző lépésben létrehozott kulcstartót, amely rendelkezik az előző lépésben kiválasztott felhasználói felügyelt identitás hozzáférési szabályzatával.

5. Válassza ki az előző lépésben létrehozott kulcsot, majd válassza a Véleményezés + létrehozás lehetőséget.

6. A fürt létrehozása után ellenőrizze, hogy a CMK-titkosítás engedélyezve van-e az Azure Cosmos DB for PostgreSQL-fürt Adattitkosítás paneljén az Azure Portalon.

Feljegyzés

Az adattitkosítás csak új fürt létrehozásakor konfigurálható, és meglévő fürtön nem frissíthető. A meglévő fürtök titkosítási konfigurációjának frissítésére kerülő megoldás a fürt visszaállítása és az adattitkosítás konfigurálása az újonnan visszaállított fürt létrehozása során.

ARM-sablon

   {
       "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "serverGroupName": {
               "type": "string"
           },
           "location": {
               "type": "string"
           },
           "administratorLoginPassword": {
               "type": "secureString"
           },
           "previewFeatures": {
               "type": "bool"
           },
           "postgresqlVersion": {
               "type": "string"
           },
           "coordinatorVcores": {
               "type": "int"
           },
           "coordinatorStorageSizeMB": {
               "type": "int"
           },
           "numWorkers": {
               "type": "int"
           },
           "workerVcores": {
               "type": "int"
           },
           "workerStorageSizeMB": {
               "type": "int"
           },
           "enableHa": {
               "type": "bool"
           },
           "enablePublicIpAccess": {
               "type": "bool"
           },
           "serverGroupTags": {
               "type": "object"
           },
           "userAssignedIdentityUrl": {
               "type": "string"
           },
           "encryptionKeyUrl": {
               "type": "string"
           }
       },
       "variables": {},
       "resources": [
           {
               "name": "[parameters('serverGroupName')]",
               "type": "Microsoft.DBforPostgreSQL/serverGroupsv2",
               "kind": "CosmosDBForPostgreSQL",
               "apiVersion": "2020-10-05-privatepreview",
               "identity":
               {
                   "type": "UserAssigned",
                   "userAssignedIdentities":
                   {
                       "/subscriptions/04b0358b-392b-41d6-899e-b75cb292321e/resourcegroups/yogkuleuapcmkmarlintest/providers/Microsoft.ManagedIdentity/userAssignedIdentities/marlincmktesteus2euapuai1": {}
                   }
               },
               "location": "[parameters('location')]",
               "tags": "[parameters('serverGroupTags')]",
               "properties": {
                   "createMode": "Default",
                   "administratorLogin": "citus",
                   "administratorLoginPassword": "[parameters('administratorLoginPassword')]",
                   "backupRetentionDays": 35,
                   "enableMx": false,
                   "enableZfs": false,
                   "previewFeatures": "[parameters('previewFeatures')]",
                   "postgresqlVersion": "[parameters('postgresqlVersion')]",
                   "dataencryption":
                   {
                       "primaryKeyUri": "[parameters('encryptionKeyUrl')]",
                       "primaryUserAssignedIdentityId": "[parameters('userAssignedIdentityUrl')]",
                       "type": "AzureKeyVault"
                   },
                   "serverRoleGroups": [
                       {
                           "name": "",
                           "role": "Coordinator",
                           "serverCount": 1,
                           "serverEdition": "GeneralPurpose",
                           "vCores": "[parameters('coordinatorVcores')]",
                           "storageQuotaInMb": "[parameters('coordinatorStorageSizeMB')]",
                           "enableHa": "[parameters('enableHa')]"
                       },
                       {
                           "name": "",
                           "role": "Worker",
                           "serverCount": "[parameters('numWorkers')]",
                           "serverEdition": "MemoryOptimized",
                           "vCores": "[parameters('workerVcores')]",
                           "storageQuotaInMb": "[parameters('workerStorageSizeMB')]",
                           "enableHa": "[parameters('enableHa')]",
                           "enablePublicIpAccess": "[parameters('enablePublicIpAccess')]"
                       }
                   ]
               },
               "dependsOn": []
           }
       ],
       "outputs": {}
   }

Magas szintű rendelkezésre állás

Ha az elsődleges fürtön engedélyezve van a CMK-titkosítás, az elsődleges fürt kulcsa automatikusan titkosítja az összes HA készenléti csomópontot.

Titkosítási konfiguráció módosítása PITR használatával

A titkosítási konfiguráció módosítható a szolgáltatás által felügyelt titkosításról az ügyfél által felügyelt titkosításra, vagy fordítva, fürt-visszaállítási művelet végrehajtása közben (PITR – időponthoz kötött visszaállítás).

Portál

1. Lépjen az Adattitkosítás panelre, és válassza a Visszaállítási művelet kezdeményezése lehetőséget. Másik lehetőségként a PITR-t az Áttekintés panel Visszaállítás lehetőségének kiválasztásával is elvégezheti.

2. Az adattitkosítást a fürt visszaállítási lapJának Titkosítás lapján módosíthatja/konfigurálhatja.

ARM-sablon

   {
       "$schema": "http://schema.management.azure.com/schemas/2014-04-01-preview/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "location": {
               "type": "string"
           },
           "sourceLocation": {
               "type": "string"
           },
           "subscriptionId": {
               "type": "string"
           },
           "resourceGroupName": {
               "type": "string"
           },
           "serverGroupName": {
               "type": "string"
           },
           "sourceServerGroupName": {
               "type": "string"
           },
           "restorePointInTime": {
               "type": "string"
           },
           "encryptionKeyUrl": {
               "type": "string"
           },
           "userAssignedIdentityUrl": {
               "type": "string"
           }
       },
       "variables": {
           "api": "2020-02-14-privatepreview"
       },
       "resources": [
           {
               "apiVersion": "2020-10-05-privatepreview",
               "location": "[parameters('location')]",
               "name": "[parameters('serverGroupName')]",
               "identity":
               {
                   "type": "UserAssigned",
                   "userAssignedIdentities":
                   {
                       "/subscriptions/04b0358b-392b-41d6-899e-b75cb292321e/resourcegroups/yogkuleuapcmkmarlintest/providers/Microsoft.ManagedIdentity/userAssignedIdentities/marlincmktesteus2euapuai1": {}
                   }
               },
               "properties": {
                   "createMode": "PointInTimeRestore",
                   "sourceServerGroupName": "[parameters('sourceServerGroupName')]",
                   "pointInTimeUTC": "[parameters('restorePointInTime')]",
                   "sourceLocation": "[parameters('location')]",
                   "sourceSubscriptionId": "[parameters('subscriptionId')]",
                   "sourceResourceGroupName": "[parameters('resourceGroupName')]",
                   "enableMx": false,
                   "enableZfs": false,
                   "dataencryption":
                   {
                       "primaryKeyUri": "[parameters('encryptionKeyUrl')]",
                       "primaryUserAssignedIdentityId": "[parameters('userAssignedIdentityUrl')]",
                       "type": "AzureKeyVault"
                   },
               }
               "type": "Microsoft.DBforPostgreSQL/serverGroupsv2"
           }
       ]
   }

Az ügyfél által felügyelt kulcs figyelése a Key Vaultban

Az adatbázis állapotának figyeléséhez és a transzparens adattitkosítási védő hozzáférés elvesztésére vonatkozó riasztások engedélyezéséhez konfigurálja a következő Azure-funkciókat:

• Azure Resource Health: Egy elérhetetlen adatbázis, amely nem fér hozzá az ügyfélkulcshoz, "Elérhetetlenként" jelenik meg az adatbázishoz való első kapcsolat megtagadása után.

• Tevékenységnapló: Ha az ügyfél által felügyelt Key Vault ügyfélkulcsához való hozzáférése meghiúsul, a rendszer bejegyzéseket ad hozzá a tevékenységnaplóhoz. Ha riasztásokat hoz létre ezekhez az eseményekhez, a lehető leghamarabb visszaállíthatja a hozzáférést.

• Műveletcsoportok: Ezeket a csoportokat úgy határozhatja meg, hogy a beállítások alapján értesítéseket és riasztásokat küldjön Önnek.

Következő lépések

• Tudnivalók az ügyfél által felügyelt kulcsokkal történő adattitkosításról
• A CMK korlátainak és korlátainak ellenőrzése az Azure Cosmos DB for PostgreSQL-ben