Adattitkosítás konfigurálása az Azure Database for PostgreSQL-ben

Ez a cikk részletes útmutatást nyújt egy rugalmas Azure Database for PostgreSQL-kiszolgálópéldány adattitkosításának konfigurálásához.

Fontos

Az egyetlen pont, ahol eldöntheti, hogy rendszer által felügyelt kulcsot vagy ügyfél által felügyelt kulcsot szeretne-e használni az adattitkosításhoz, a kiszolgáló létrehozásakor van. Miután meghozta ezt a döntést, és létrehozta a kiszolgálót, nem válthat a két lehetőség között.

Ebből a cikkből megtudhatja, hogyan hozhat létre új kiszolgálót, és hogyan konfigurálhatja annak adattitkosítási beállításait. A meglévő kiszolgálók esetében, amelyek adattitkosítása ügyfél által felügyelt titkosítási kulcs használatára van konfigurálva, a következő tudnivalókat ismerheti meg:

• Másik felhasználó által hozzárendelt felügyelt identitás kiválasztása, amellyel a szolgáltatás hozzáfér a titkosítási kulcshoz.
• Másik titkosítási kulcs megadása vagy az adattitkosításhoz jelenleg használt titkosítási kulcs elforgatása.

Az Azure Database for PostgreSQL-hez készült adattitkosításról az adattitkosítást ismertető cikkben olvashat.

Adattitkosítás konfigurálása rendszer által felügyelt kulccsal a kiszolgáló kiépítése során

Portál

Az Azure Portal használata:

1. Egy rugalmas Azure Database for PostgreSQL-kiszolgálópéldány kiépítése során az adattitkosítás a Biztonság lapon van konfigurálva. Adattitkosítási kulcs esetén válassza a Szolgáltatás által felügyelt kulcs választógombot.

   

2. Ha engedélyezi a georedundáns biztonsági mentési tároló kiépítését a kiszolgálóval együtt, a Biztonság lap aspektusa kissé megváltozik, mivel a kiszolgáló két külön titkosítási kulcsot használ. Az egyik az elsődleges régióhoz tartozik, amelyben a kiszolgálót telepíti, egyet pedig annak a párosított régiónak, amelyre a kiszolgáló biztonsági másolatai aszinkron módon replikálódnak.

   

CLI

Az adattitkosítást a rendszer által hozzárendelt titkosítási kulccsal engedélyezheti, miközben új kiszolgálót épít ki az az postgres rugalmas kiszolgáló létrehozási parancsával.

az postgres flexible-server create \
  --resource-group <resource_group> \
  --name <server> ...

Megjegyzés:

Az előző parancs nem tartalmaz speciális paramétert annak megadásához, hogy a kiszolgálót rendszer által hozzárendelt kulccsal kell létrehozni az adattitkosításhoz. Ennek az az oka, hogy a rendszer által hozzárendelt kulccsal rendelkező adattitkosítás az alapértelmezett beállítás. Figyelje meg azt is, hogy a többi olyan paraméterhez megadott parancsot kell végrehajtania, amelyek jelenléte és értékei a kiépített kiszolgáló egyéb funkcióinak konfigurálásának módjától függően eltérőek lehetnek.

Adattitkosítás konfigurálása ügyfél által felügyelt kulccsal a kiszolgáló kiépítése során

Portál

Az Azure Portal használata:

1. Hozzon létre egy felhasználó által hozzárendelt felügyelt identitást, ha még nem rendelkezik ilyennel. Ha a kiszolgálón engedélyezve vannak a georedundáns biztonsági mentések, különböző identitásokhoz kell létrehoznia. Mindegyik identitás a két adattitkosítási kulcs eléréséhez használható.

Megjegyzés:

Bár nem szükséges, a regionális rugalmasság fenntartása érdekében javasoljuk, hogy a felhasználó által felügyelt identitást a kiszolgálóval azonos régióban hozza létre. Ha a kiszolgálón engedélyezve van a georedundáns redundancia, javasoljuk, hogy a második felhasználó által felügyelt identitás, amely a georedundáns biztonsági mentések adattitkosítási kulcsának elérésére szolgál, a kiszolgáló párosított régiójában legyen létrehozva .

1. Hozzon létre egy Azure Key Vaultot , vagy hozzon létre egy felügyelt HSM-et, ha még nem hozott létre egy kulcstárolót. Győződjön meg arról, hogy megfelel a követelményeknek. A kulcstároló konfigurálása előtt és a kulcs létrehozása előtt kövesse a javaslatokat , és rendelje hozzá a szükséges engedélyeket a felhasználó által hozzárendelt felügyelt identitáshoz. Ha a kiszolgálón engedélyezve vannak a georedundáns biztonsági mentések, létre kell hoznia egy második kulcstárolót. Ez a második kulcstároló a kiszolgáló párosított régiójába másolt adattitkosítási kulcs tárolására szolgál.

Megjegyzés:

Az adattitkosítási kulcs tárolásához használt kulcstárolót a kiszolgálóval megegyező régióban kell üzembe helyezni. Ha a kiszolgálón engedélyezve van a georedundáns redundancia, a georedundáns biztonsági mentések adattitkosítási kulcsát tároló kulcstárolót a kiszolgáló párosított régiójában kell létrehozni.

1. Hozzon létre egy kulcsot a kulcstárolóban. Ha a kiszolgálón engedélyezve vannak a georedundáns biztonsági mentések, minden kulcstárolóhoz egy kulcs szükséges. Ezen kulcsok egyikével titkosítjuk a kiszolgáló összes adatát (beleértve az összes rendszer- és felhasználói adatbázist, ideiglenes fájlokat, kiszolgálónaplókat, írási naplószegmenseket és biztonsági másolatokat). A második kulccsal titkosítjuk a biztonsági másolatok másolatait, amelyeket a rendszer aszinkron módon másol át a kiszolgáló párosított régiójára .

2. Egy rugalmas Azure Database for PostgreSQL-kiszolgálópéldány kiépítése során az adattitkosítás a Biztonság lapon van konfigurálva. Adattitkosítási kulcs esetén válassza az Ügyfél által felügyelt kulcs választógombot.

   

3. Ha engedélyezi a georedundáns biztonsági mentési tároló kiépítését a kiszolgálóval együtt, a Biztonság lap aspektusa kissé megváltozik, mivel a kiszolgáló két külön titkosítási kulcsot használ. Az egyik az elsődleges régióhoz tartozik, amelyben a kiszolgálót telepíti, egyet pedig annak a párosított régiónak, amelyre a kiszolgáló biztonsági másolatai aszinkron módon replikálódnak.

   

4. A felhasználó által hozzárendelt felügyelt identitásban válassza az Identitás módosítása lehetőséget.

   

5. A felhasználó által hozzárendelt felügyelt identitások listájában válassza ki azt, amelyet a kiszolgáló az Azure Key Vaultban tárolt adattitkosítási kulcs eléréséhez használ.

   

6. Válassza a Hozzáadás lehetőséget.

   

7. Válassza az Automatikus kulcsverzió-frissítés használata lehetőséget, ha azt szeretné, hogy a szolgáltatás automatikusan frissítse a kiválasztott kulcs legújabb verziójára mutató hivatkozást, amikor az aktuális verziót manuálisan vagy automatikusan elforgatja. Az automatikus kulcsverzió-frissítések használatának előnyeiről az automatikus kulcsverzió-frissítés című témakörben olvashat.

   

8. Válassza a Kulcs kiválasztása lehetőséget.

   

9. Az előfizetés automatikusan fel lesz töltve annak az előfizetésnek a nevével, amelyen a kiszolgáló létrejön. Az adattitkosítási kulcsot tároló kulcstárolónak ugyanabban az előfizetésben kell lennie, mint a kiszolgálónak.

   

10. A kulcstároló típusában válassza ki az adattitkosítási kulcs tárolására szolgáló kulcstároló típusának megfelelő választógombot. Ebben a példában a Key Vaultot választjuk, de a felület hasonló, ha a felügyelt HSM-et választja.

    

11. Bontsa ki a Key Vaultot (vagy a felügyelt HSM-et, ha ezt a tárolási típust választotta), és válassza ki azt a példányt, ahol az adattitkosítási kulcs létezik.

    

    Megjegyzés:

    Ha kibontja a legördülő elemet, az Nem érhető el elemeket jelenít meg. Néhány másodpercig tart, amíg felsorolja a key vault összes olyan példányát, amelyek a kiszolgálóval azonos régióban vannak üzembe helyezve.

12. Bontsa ki a kulcsot, és válassza ki az adattitkosításhoz használni kívánt kulcs nevét.

    

13. Ha nem az Automatikus kulcsverzió-frissítés használata lehetőséget választja, a kulcs egy adott verzióját is ki kell választania. Ehhez bontsa ki a Verzió elemet, és válassza ki az adattitkosításhoz használni kívánt kulcs verziójának azonosítóját.

    

14. Válassza a Kiválasztás lehetőséget.

    

15. Konfigurálja az új kiszolgáló összes többi beállítását, és válassza a Véleményezés + létrehozás lehetőséget.

    

CLI

Az adattitkosítást a felhasználó által hozzárendelt titkosítási kulccsal engedélyezheti, miközben új kiszolgálót épít ki az az postgres rugalmas kiszolgáló létrehozási parancsával.

Ha a kiszolgálón nincs engedélyezve georedundáns biztonsági mentés:

az postgres flexible-server create \
  --resource-group <resource_group> \
  --name <server> \
  --geo-redundant-backup Disabled \
  --identity <managed_identity_to_access_primary_encryption_key> \
  --key <resource_identifier_of_primary_encryption_key> ...

Megjegyzés:

Az előző parancsot olyan paraméterekkel kell kiegészíteni, amelyek jelenléte és értékei a kiépített kiszolgáló egyéb funkcióinak konfigurálásának módjától függően eltérőek lehetnek.

Ha a kiszolgálón engedélyezve vannak a georedundáns biztonsági mentések:

az postgres flexible-server create \
  --resource-group <resource_group> \
  --name <server> \
  --geo-redundant-backup Enabled \
  --identity <managed_identity_to_access_primary_encryption_key> \
  --key <resource_identifier_of_primary_encryption_key> \
  --backup-identity <managed_identity_to_access_geo_backups_encryption_key> \
  --backup-key <resource_identifier_of_geo_backups_encryption_key> ...

Megjegyzés:

Az előző parancsot olyan paraméterekkel kell kiegészíteni, amelyek jelenléte és értékei a kiépített kiszolgáló egyéb funkcióinak konfigurálásának módjától függően eltérőek lehetnek.

Adattitkosítás konfigurálása ügyfél által felügyelt kulccsal a meglévő kiszolgálókon

Az egyetlen pont, ahol eldöntheti, hogy rendszer által felügyelt kulcsot vagy ügyfél által felügyelt kulcsot szeretne-e használni az adattitkosításhoz, a kiszolgáló létrehozásakor van. Miután meghozta ezt a döntést, és létrehozta a kiszolgálót, nem válthat a két lehetőség között. Az egyetlen alternatíva, ha egyikről a másikra szeretne váltani, a kiszolgálóról elérhető biztonsági másolatokat egy új kiszolgálóra kell visszaállítani. A visszaállítás konfigurálása során módosíthatja az új kiszolgáló adattitkosítási konfigurációját.

Az ügyfél által felügyelt kulccsal adattitkosítással üzembe helyezett meglévő kiszolgálók esetében több konfigurációs módosítást is elvégezhet. A módosíthatók a titkosításhoz használt kulcsokra mutató hivatkozások, valamint a szolgáltatás által a kulcstárolókban tárolt kulcsok eléréséhez használt felhasználó által hozzárendelt felügyelt identitásokra mutató hivatkozások.

Frissítenie kell a hivatkozásokat, amelyek a rugalmas Azure Database for PostgreSQL-kiszolgálópéldány egy kulcsára mutatnak.

• Ha a kulcstárolóban tárolt kulcs manuálisan vagy automatikusan forog, és a rugalmas Azure Database for PostgreSQL-kiszolgálópéldány a kulcs egy adott verziójára mutat. Ha egy kulcsra mutat, de nem a kulcs egy adott verziójára (akkor, amikor engedélyezve van az automatikus kulcsverzió-frissítés ), akkor a szolgáltatás gondoskodik arról, hogy automatikusan hivatkozzon a kulcs legújabb verziójára, amikor manuálisan vagy automatikusan elforgatja őket.
• Ha ugyanazt vagy egy másik kulcstárolóban tárolt kulcsot szeretné használni.

Frissítenie kell a felhasználó által hozzárendelt felügyelt identitásokat, amelyeket a rugalmas Azure Database for PostgreSQL-kiszolgálópéldány használ a titkosítási kulcsok eléréséhez, amikor más identitást szeretne használni.

Portál

Az Azure Portal használata:

1. Válassza ki rugalmas Azure Database for PostgreSQL-kiszolgálópéldányát.

2. Az erőforrásmenü Biztonság területén válassza az Adattitkosítás lehetőséget.

   

3. Ha módosítani szeretné a felhasználó által hozzárendelt felügyelt identitást, amellyel a kiszolgáló hozzáfér a kulcs tárolására szolgáló kulcstárolóhoz, bontsa ki a Felhasználó által hozzárendelt felügyelt identitás legördülő menüt, és válassza ki az elérhető identitásokat.

   

   Megjegyzés:

   A kombinált listában szereplő identitások csak azok, amelyekhez a rugalmas Azure Database for PostgreSQL-kiszolgálópéldányt hozzárendelték. Bár nem szükséges, a regionális rugalmasság fenntartása érdekében javasoljuk, hogy a kiszolgálóval azonos régióban válassza ki a felhasználó által felügyelt identitásokat. Ha a kiszolgálón engedélyezve van a georedundáns redundancia, azt javasoljuk, hogy a második felhasználó által felügyelt identitás, amely a georedundáns biztonsági mentések adattitkosítási kulcsának elérésére szolgál, a kiszolgáló párosított régiójában legyen.

4. Ha a felhasználó által hozzárendelt, adattitkosítási kulcs eléréséhez szükséges felügyelt identitás nincs hozzárendelve a rugalmas Azure Database for PostgreSQL szerverpéldányához, és még nem létezik Azure-erőforrásként a Microsoft Entra ID megfelelő objektumával, akkor a Létrehozás gombra kattintva hozhatja létre.

   

5. A Felhasználó által hozzárendelt felügyelt identitás létrehozása panelen adja meg a létrehozni kívánt felhasználó által hozzárendelt felügyelt identitás részleteit, és automatikusan rendelje hozzá a rugalmas Azure Database for PostgreSQL-kiszolgálópéldányhoz az adattitkosítási kulcs eléréséhez.

   

6. Ha a felhasználó által hozzárendelt felügyelt identitás, amit az adattitkosítási kulcs eléréséhez szeretne használni, még nincs hozzárendelve a rugalmas Azure Database for PostgreSQL-kiszolgálópéldányhoz, de a Microsoft Entra ID-ban a megfelelő objektummal rendelkező Azure-erőforrásként létezik, akkor a Kiválasztás gomb megnyomásával hozzárendelheti.

   

7. A felhasználó által hozzárendelt felügyelt identitások listájában válassza ki azt, amelyet a kiszolgáló az Azure Key Vaultban tárolt adattitkosítási kulcs eléréséhez használ.

   

8. Válassza a Hozzáadás lehetőséget.

   

9. Válassza az Automatikus kulcsverzió-frissítés használata lehetőséget, ha azt szeretné, hogy a szolgáltatás automatikusan frissítse a kiválasztott kulcs legújabb verziójára mutató hivatkozást, amikor az aktuális verziót manuálisan vagy automatikusan elforgatja. Az automatikus kulcsverzió-frissítések használatának előnyeiről az [automatikus kulcsverzió-frissítés](concepts-data-encryption.md##CMK kulcsverziófrissítések) című témakörben olvashat.

   

10. Ha elforgatja a kulcsot, és nincs engedélyezve az automatikus kulcsverzió-frissítés használata. Ha másik kulcsot szeretne használni, frissítenie kell a rugalmas Azure Database for PostgreSQL-kiszolgálópéldányt, hogy az az új kulcsverzióra vagy új kulcsra mutatjon. Ehhez másolja a kulcs erőforrás-azonosítóját, és illessze be a Kulcsazonosító mezőbe.

    

11. Ha az Azure Portalhoz hozzáférő felhasználó rendelkezik a kulcstárolóban tárolt kulcs elérésére vonatkozó engedélyekkel, alternatív módszerrel választhatja ki az új kulcsot vagy az új kulcsverziót. Ehhez válassza a Billentyűválasztási módszerben a Választógombot .

    

12. Válassza a Kiválasztás gombot.

    

13. Az előfizetés automatikusan fel lesz töltve annak az előfizetésnek a nevével, amelyen a kiszolgáló létrejön. Az adattitkosítási kulcsot tároló kulcstárolónak ugyanabban az előfizetésben kell lennie, mint a kiszolgálónak.

    

14. A kulcstároló típusában válassza ki az adattitkosítási kulcs tárolására szolgáló kulcstároló típusának megfelelő választógombot. Ebben a példában a Key Vaultot választjuk, de a felület hasonló, ha a felügyelt HSM-et választja.

    

15. Bontsa ki a Key Vaultot (vagy a felügyelt HSM-et, ha ezt a tárolási típust választotta), és válassza ki azt a példányt, ahol az adattitkosítási kulcs létezik.

    

    Megjegyzés:

    Ha kibontja a legördülő elemet, az Nem érhető el elemeket jelenít meg. Néhány másodpercig tart, amíg felsorolja a key vault összes olyan példányát, amelyek a kiszolgálóval azonos régióban vannak üzembe helyezve.

16. Bontsa ki a kulcsot, és válassza ki az adattitkosításhoz használni kívánt kulcs nevét.

    

17. Ha nem az Automatikus kulcsverzió-frissítés használata lehetőséget választja, a kulcs egy adott verzióját is ki kell választania. Ehhez bontsa ki a Verzió elemet, és válassza ki az adattitkosításhoz használni kívánt kulcs verziójának azonosítóját.

    

18. Válassza a Kiválasztás lehetőséget.

    

19. Ha elégedett a végrehajtott módosításokkal, válassza a Mentés lehetőséget.

    

CLI

Az adattitkosítást a felhasználó által hozzárendelt titkosítási kulccsal konfigurálhatja egy meglévő kiszolgálóhoz az az postgres rugalmas kiszolgálófrissítési paranccsal.

az postgres flexible-server update \
  --resource-group <resource_group> \
  --name <server> \
  --identity <managed_identity_to_access_primary_encryption_key> \
  --key <resource_identifier_of_primary_encryption_key> ...

Megjegyzés:

Előfordulhat, hogy az előző parancsot más paraméterekkel kell végrehajtani, amelyek jelenléte és értékei a meglévő kiszolgáló egyéb funkcióinak konfigurálásának módjától függően eltérőek lehetnek.

Akár csak a kulcs eléréséhez használt felhasználó által hozzárendelt felügyelt identitást szeretné módosítani, vagy csak az adattitkosításhoz használt kulcsot szeretné módosítani, vagy mindkettőt egyszerre szeretné módosítani, meg kell adnia mind a paramétereket --identity--key , mind a (vagy --backup-identity--backup-key georedundáns biztonsági másolatokat). Ha egyiket sem adja meg, de mindkettőt nem, a következő hibák bármelyike jelenik meg:

User assigned identity and keyvault key need to be provided together. Please provide --identity and --key together.

User assigned identity and keyvault key need to be provided together. Please provide --backup-identity and --backup-key together.

Ha a paraméternek --key (vagy --backup-key georedundáns biztonsági mentésekhez) átadott érték által mutatott kulcs nem létezik, vagy ha a felhasználó hozzárendelte a felügyelt identitást, amelynek erőforrás-azonosítóját a paraméternek --identity (georedundáns biztonsági másolatok esetén) átadta--backup-identity, nem rendelkezik a kulcs eléréséhez szükséges engedélyekkel, a következő hibaüzenet jelenik meg:

Code: AzureKeyVaultKeyNameNotFound
Message: The operation could not be completed because the Azure Key Vault Key name '<key_vault_resource>' does not exist or User Assigned Identity does not have Get access to the Key (/azure/postgresql/flexible-server/concepts-data-encryption#requirements-for-configuring-data-encryption-for-azure-database-for-postgresql-flexible-server).

Ha a kiszolgálón engedélyezve vannak a georedundáns biztonsági mentések, konfigurálhatja a georedundáns biztonsági mentések titkosításához használt kulcsot és a kulcs eléréséhez használt identitást. Ehhez használhatja a paramétereket és --backup-identity a --backup-key paramétereket.

az postgres flexible-server update \
  --resource-group <resource_group> \
  --name <server> \
  --backup-identity <managed_identity_to_access_georedundant_encryption_key> \
  --backup-key <resource_identifier_of_georedundant_encryption_key> ...

Ha átadja a paramétereket --backup-identity és --backup-key a az postgres flexible server update parancsot, és olyan meglévő kiszolgálóra hivatkozik, amelyen nincs engedélyezve a georedundáns biztonsági mentés, a következő hibaüzenet jelenik meg:

Geo-redundant backup is not enabled. You cannot provide Geo-location user assigned identity and keyvault key.

A --identity és --backup-identity paraméterekhez megadott identitásokat, ha léteznek és érvényesek, a rendszer automatikusan felveszi a felhasználó által hozzárendelt felügyelt identitások listájára, amely a rugalmas Azure Database for PostgreSQL kiszolgálópéldányhoz tartozik. Ez akkor is így van, ha a parancs később valamilyen más hibával meghiúsul. Ilyen esetekben érdemes lehet az az postgres rugalmas kiszolgálói identitásparancsokat használni a rugalmas Azure Database for PostgreSQL-kiszolgálópéldányhoz hozzárendelt, felhasználó által hozzárendelt felügyelt identitások listázására, hozzárendelésére vagy eltávolítására. Ha többet szeretne megtudni a felhasználó által hozzárendelt felügyelt identitások konfigurálásáról a rugalmas Azure Database for PostgreSQL-kiszolgálópéldányban, tekintse meg a felhasználó által hozzárendelt felügyelt identitások meglévő kiszolgálókhoz való társítását, a felhasználó által hozzárendelt felügyelt identitások meglévő kiszolgálókhoz való társítását és a társított felhasználó által hozzárendelt felügyelt identitások megjelenítését.

Kapcsolódó tartalom

• Adattitkosítás