Adattitkosítás engedélyezése ügyfél által felügyelt kulcsokkal az Azure Cosmos DB for PostgreSQL-ben

Fontos

Az Azure Cosmos DB for PostgreSQL már nem támogatott új projektek esetén. Ne használja ezt a szolgáltatást új projektekhez. Ehelyett használja az alábbi két szolgáltatás egyikét:

• Az Azure Cosmos DB for NoSQL használata nagy léptékű forgatókönyvekhez tervezett elosztott adatbázis-megoldáshoz 99,999% rendelkezésre állási szolgáltatásiszint-szerződéssel (SLA), azonnali automatikus skálázással és automatikus feladatátvétellel több régióban.

• Használja az Azure Database For PostgreSQL Rugalmas fürtök funkcióját a megosztott PostgreSQL-hez a nyílt forráskódú Citus-bővítmény használatával.

Előfeltételek

• Egy meglévő „Azure Cosmos DB for PostgreSQL” fiók.
  • Ha Rendelkezik Azure-előfizetéssel, hozzon létre egy új fiókot.
  • Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.

Adattitkosítás engedélyezése ügyfél által felügyelt kulcsokkal

Fontos

Hozza létre az összes alábbi erőforrást ugyanabban a régióban, ahol az Azure Cosmos DB for PostgreSQL-fürt üzembe lesz helyezve.

1. Hozzon létre egy felhasználó által hozzárendelt felügyelt identitást. Az Azure Cosmos DB for PostgreSQL jelenleg csak a felhasználó által hozzárendelt felügyelt identitásokat támogatja.

2. Hozzon létre egy Azure Key Vaultot, és adjon hozzá egy hozzáférési szabályzatot a felhasználó által hozzárendelt felügyelt identitáshoz a következő kulcsengedélyekkel: Kulcs lekérése, Kulcs kicsomagolása és Kulcs becsomagolása.

3. Kulcs létrehozása a kulcstartóban (támogatott kulcstípusok: RSA 2048, 3071, 4096).

4. Válassza ki az ügyfél által felügyelt kulcstitkosítási lehetőséget az Azure Cosmos DB for PostgreSQL-fürt létrehozása során, és válassza ki a felhasználó által hozzárendelt felügyelt identitást, kulcstartót és kulcsot, amelyet az 1., 2. és 3. lépésben hozott létre.

Részletes lépések

Felhasználó által hozzárendelt felügyelt identitás

1. Keresés a(z) Felügyelt identitások között a globális keresősávban.

   

2. Hozzon létre egy új, felhasználó által hozzárendelt menedzselt identitást ugyanabban a régióban, ahol az Azure Cosmos DB for PostgreSQL-fürt található.

   

További információ a felhasználó által hozzárendelt felügyelt identitásról.

Key Vault

Ha ügyfél által felügyelt kulcsokat használ az Azure Cosmos DB for PostgreSQL-hez, két tulajdonságot kell beállítania azon az Azure Key Vault-példányon, amelyet a titkosítási kulcsok üzemeltetésére kíván használni: Helyreállítható törlés és törlés elleni védelem.

1. Ha új Azure Key Vault-példányt hoz létre, engedélyezze ezeket a tulajdonságokat a létrehozás során:

   

2. Ha egy meglévő Azure Key Vault-példányt használ, az Azure Portal Tulajdonságok szakaszában ellenőrizheti, hogy engedélyezve vannak-e ezek a tulajdonságok. Ha ezen tulajdonságok bármelyike nincs engedélyezve, tekintse meg a "Helyreállítható törlés engedélyezése" és a "Törlésvédelem engedélyezése" című szakaszt az alábbi cikkek egyikében.

   • A helyreállítható törlés használata a PowerShell-lel.
   • A lágy törlés használata az Azure CLI-vel.

3. A Key Vaultot 90 napra kell beállítani a törölt tárolók megőrzésének napjaira. Ha a meglévő key Vault alacsonyabb számmal van konfigurálva, létre kell hoznia egy új kulcstartót, mivel ez a beállítás a létrehozás után nem módosítható.

   Fontos

   Az Azure Key Vault-példánynak minden hálózatról engedélyeznie kell a nyilvános hozzáférést.

Hozzáférési szabályzat hozzáadása a Key Vaulthoz

1. Az Azure Portalon nyissa meg azt az Azure Key Vault-példányt, amelyet a titkosítási kulcsok üzemeltetésére kíván használni. Válassza az Access-konfigurációt a bal oldali menüből. Győződjön meg arról, hogy a Tároló hozzáférési szabályzata ki van jelölve az Engedélymodellben, majd válassza az Ugrás a hozzáférési szabályzatokhoz lehetőséget.

   

2. Válassza a +Létrehozás lehetőséget.

3. Az Engedélyek lapján, a Kulcsengedélyek legördülő menüjében válassza a "Lekérés", a "Kulcs felbontása" és a "Kulcs csomagolása" engedélyeket.

   

4. Az Principal lapon válassza ki a felhasználó által hozzárendelt felügyelt identitást, amelyet előfeltételként hozott létre.

5. Lépjen a Véleményezés + létrehozás szakaszra, és válassza a Létrehozás lehetőséget.

Kulcs létrehozása/importálása

1. Az Azure Portalon nyissa meg azt az Azure Key Vault-példányt, amelyet a titkosítási kulcsok üzemeltetésére kíván használni.

2. A bal oldali menüben válassza a Kulcsok lehetőséget, majd a +Létrehozás/Importálás lehetőséget.

   

3. A DEK titkosításához használandó ügyfél által kezelt kulcs csak aszimmetrikus RSA-kulcstípus lehet. Minden RSA-kulcsméret 2048, 3072 és 4096 támogatott.

4. A kulcs aktiválási dátumának (ha be van állítva) múltbeli dátumnak és időpontnak kell lennie. A lejárati dátumnak (ha be van állítva) jövőbeli dátumnak és időnek kell lennie.

5. A kulcsnak engedélyezett állapotban kell lennie.

6. Ha egy meglévő kulcsot importál a kulcstartóba, ügyeljen rá, hogy a támogatott fájlformátumokban (.pfx, , .byok) .backupadja meg.

7. Ha manuálisan forgatja a kulcsot, a régi verziót legalább 24 óráig nem szabad törölni.

CMK-titkosítás engedélyezése új fürt kiépítése során

Portál

1. Egy új Azure Cosmos DB for PostgreSQL-fürt kiépítése során, miután az Alapszintű és hálózatkezelési fülek alatt biztosította a szükséges információkat, lépjen a Titkosítás lapra.

2. Válassza az Ügyfél által kezelt kulcsot az Adattitkosítási kulcs beállítás alatt.

3. Válassza ki az előző szakaszban létrehozott felhasználó által hozzárendelt felügyelt identitást.

4. Válassza ki az előző lépésben létrehozott kulcstartót, amely rendelkezik az előző lépésben kiválasztott felhasználói felügyelt identitás hozzáférési szabályzatával.

5. Válassza ki az előző lépésben létrehozott kulcsot, majd válassza a Véleményezés + létrehozás lehetőséget.

6. A fürt létrehozása után ellenőrizze, hogy a CMK-alapú titkosítás engedélyezve van-e az Azure Cosmos DB for PostgreSQL-fürt Adattitkosítás panelen az Azure Portalon.

Feljegyzés

Az adattitkosítást csak új fürt létrehozásakor lehet konfigurálni, és meglévő fürtön nem lehet frissíteni. A meglévő fürt titkosítási konfigurációjának frissítésére egy megoldás a fürt helyreállítása, és az adattitkosítás konfigurálása az újonnan helyreállított fürt létrehozása során.

ARM-sablon

   {
       "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "serverGroupName": {
               "type": "string"
           },
           "location": {
               "type": "string"
           },
           "administratorLoginPassword": {
               "type": "secureString"
           },
           "previewFeatures": {
               "type": "bool"
           },
           "postgresqlVersion": {
               "type": "string"
           },
           "coordinatorVcores": {
               "type": "int"
           },
           "coordinatorStorageSizeMB": {
               "type": "int"
           },
           "numWorkers": {
               "type": "int"
           },
           "workerVcores": {
               "type": "int"
           },
           "workerStorageSizeMB": {
               "type": "int"
           },
           "enableHa": {
               "type": "bool"
           },
           "enablePublicIpAccess": {
               "type": "bool"
           },
           "serverGroupTags": {
               "type": "object"
           },
           "userAssignedIdentityUrl": {
               "type": "string"
           },
           "encryptionKeyUrl": {
               "type": "string"
           }
       },
       "variables": {},
       "resources": [
           {
               "name": "[parameters('serverGroupName')]",
               "type": "Microsoft.DBforPostgreSQL/serverGroupsv2",
               "kind": "CosmosDBForPostgreSQL",
               "apiVersion": "2020-10-05-privatepreview",
               "identity":
               {
                   "type": "UserAssigned",
                   "userAssignedIdentities":
                   {
                       "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/yogkuleuapcmkmarlintest/providers/Microsoft.ManagedIdentity/userAssignedIdentities/marlincmktesteus2euapuai1": {}
                   }
               },
               "location": "[parameters('location')]",
               "tags": "[parameters('serverGroupTags')]",
               "properties": {
                   "createMode": "Default",
                   "administratorLogin": "citus",
                   "administratorLoginPassword": "[parameters('administratorLoginPassword')]",
                   "backupRetentionDays": 35,
                   "enableMx": false,
                   "enableZfs": false,
                   "previewFeatures": "[parameters('previewFeatures')]",
                   "postgresqlVersion": "[parameters('postgresqlVersion')]",
                   "dataencryption":
                   {
                       "primaryKeyUri": "[parameters('encryptionKeyUrl')]",
                       "primaryUserAssignedIdentityId": "[parameters('userAssignedIdentityUrl')]",
                       "type": "AzureKeyVault"
                   },
                   "serverRoleGroups": [
                       {
                           "name": "",
                           "role": "Coordinator",
                           "serverCount": 1,
                           "serverEdition": "GeneralPurpose",
                           "vCores": "[parameters('coordinatorVcores')]",
                           "storageQuotaInMb": "[parameters('coordinatorStorageSizeMB')]",
                           "enableHa": "[parameters('enableHa')]"
                       },
                       {
                           "name": "",
                           "role": "Worker",
                           "serverCount": "[parameters('numWorkers')]",
                           "serverEdition": "MemoryOptimized",
                           "vCores": "[parameters('workerVcores')]",
                           "storageQuotaInMb": "[parameters('workerStorageSizeMB')]",
                           "enableHa": "[parameters('enableHa')]",
                           "enablePublicIpAccess": "[parameters('enablePublicIpAccess')]"
                       }
                   ]
               },
               "dependsOn": []
           }
       ],
       "outputs": {}
   }

Magas szintű rendelkezésre állás

Ha az elsődleges fürtön engedélyezve van a CMK-titkosítás, az elsődleges fürt kulcsa automatikusan titkosítja az összes HA készenléti csomópontot.

Titkosítási konfiguráció módosítása PITR használatával

A titkosítási konfiguráció módosítható a szolgáltatás által felügyelt titkosításról az ügyfél által felügyelt titkosításra, vagy fordítva, fürt-visszaállítási művelet végrehajtása közben (PITR – időponthoz kötött visszaállítás).

Portál

1. Lépjen az Adattitkosítás panelre, és válassza a Visszaállítási művelet kezdeményezése lehetőséget. Másik lehetőségként a PITR-t az Áttekintés panel Visszaállítás lehetőségének kiválasztásával is elvégezheti.

2. Az adattitkosítást a fürt visszaállítási lapjának Titkosítás fülén módosíthatja/konfigurálhatja.

ARM-sablon

   {
       "$schema": "http://schema.management.azure.com/schemas/2014-04-01-preview/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "location": {
               "type": "string"
           },
           "sourceLocation": {
               "type": "string"
           },
           "subscriptionId": {
               "type": "string"
           },
           "resourceGroupName": {
               "type": "string"
           },
           "serverGroupName": {
               "type": "string"
           },
           "sourceServerGroupName": {
               "type": "string"
           },
           "restorePointInTime": {
               "type": "string"
           },
           "encryptionKeyUrl": {
               "type": "string"
           },
           "userAssignedIdentityUrl": {
               "type": "string"
           }
       },
       "variables": {
           "api": "2020-02-14-privatepreview"
       },
       "resources": [
           {
               "apiVersion": "2020-10-05-privatepreview",
               "location": "[parameters('location')]",
               "name": "[parameters('serverGroupName')]",
               "identity":
               {
                   "type": "UserAssigned",
                   "userAssignedIdentities":
                   {
                       "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/yogkuleuapcmkmarlintest/providers/Microsoft.ManagedIdentity/userAssignedIdentities/marlincmktesteus2euapuai1": {}
                   }
               },
               "properties": {
                   "createMode": "PointInTimeRestore",
                   "sourceServerGroupName": "[parameters('sourceServerGroupName')]",
                   "pointInTimeUTC": "[parameters('restorePointInTime')]",
                   "sourceLocation": "[parameters('location')]",
                   "sourceSubscriptionId": "[parameters('subscriptionId')]",
                   "sourceResourceGroupName": "[parameters('resourceGroupName')]",
                   "enableMx": false,
                   "enableZfs": false,
                   "dataencryption":
                   {
                       "primaryKeyUri": "[parameters('encryptionKeyUrl')]",
                       "primaryUserAssignedIdentityId": "[parameters('userAssignedIdentityUrl')]",
                       "type": "AzureKeyVault"
                   },
               }
               "type": "Microsoft.DBforPostgreSQL/serverGroupsv2"
           }
       ]
   }

Az ügyfél által felügyelt kulcs figyelése a Key Vaultban

Az adatbázis állapotának figyeléséhez és a transzparens adattitkosítási védő hozzáférés elvesztésére vonatkozó riasztások engedélyezéséhez konfigurálja a következő Azure-funkciókat:

• Azure Resource Health: Egy elérhetetlen adatbázis, amely nem fér hozzá az ügyfélkulcshoz, "Elérhetetlenként" jelenik meg az adatbázishoz való első kapcsolat megtagadása után.

• Tevékenységnapló: Ha az ügyfél által felügyelt Key Vault ügyfélkulcsához való hozzáférése meghiúsul, a rendszer bejegyzéseket ad hozzá a tevékenységnaplóhoz. Ha riasztásokat hoz létre ezekhez az eseményekhez, a lehető leghamarabb visszaállíthatja a hozzáférést.

• Műveletcsoportok: Ezeket a csoportokat úgy határozhatja meg, hogy a beállítások alapján értesítéseket és riasztásokat küldjön Önnek.

Következő lépések

• Tudnivalók az ügyfél által felügyelt kulcsokkal történő adattitkosításról
• Tekintse meg a CMK korlátait és korlátozásait az Azure Cosmos DB for PostgreSQL-ben.