Megosztás a következőn keresztül:

Inaktív adattitkosítás az Azure Database for PostgreSQL-ben

A rugalmas Azure Database for PostgreSQL-kiszolgálópéldány által kezelt összes adat mindig inaktív állapotban van titkosítva. Ezek az adatok tartalmazzák az összes rendszer- és felhasználói adatbázist, kiszolgálónaplót, írási naplószegmenst és biztonsági mentést. A titkosítást az alapul szolgáló tároló kezeli az Azure Disk Storage kiszolgálóoldali titkosításán keresztül.

Inaktív titkosítás szolgáltatással (SMK) vagy ügyfél által felügyelt kulcsokkal (CMK)

Az Azure Database for PostgreSQL két adattitkosítási módot támogat inaktív állapotban: a szolgáltatás által felügyelt kulcsokat (SMK) és az ügyfél által felügyelt kulcsokat (CMK). A rugalmas Azure Database for PostgreSQL-kiszolgáló alapértelmezett módja a szolgáltatás által felügyelt kulcsokkal történő adattitkosítás. Ebben a módban a szolgáltatás automatikusan kezeli az adatok titkosításához használt titkosítási kulcsokat. Ebben a módban nem kell semmilyen műveletet elvégeznie a titkosítás engedélyezéséhez vagy kezeléséhez.

Az ügyfél által felügyelt kulcsok módban saját titkosítási kulcsot használhat az adatok titkosításához. Ez a mód nagyobb vezérlést biztosít a titkosítási folyamat felett, de a titkosítási kulcsokat is saját maga kell kezelnie. Saját Azure Key Vault vagy Azure Key Vault felügyelt hardveres biztonsági modult (HSM) kell üzembe helyeznie, és konfigurálnia kell a rugalmas Azure Database for PostgreSQL-kiszolgálópéldány által használt titkosítási kulcsok tárolására.

A mód csak a kiszolgáló létrehozásakor választható ki. A kiszolgáló élettartama alatt nem módosítható egyik módról a másikra.

Az adatok titkosításának elérése érdekében az Azure Database for PostgreSQL Azure Storage-titkosítást használ az inaktív adatokhoz. A CMK használatakor az ügyfél felelős az adatok Blob Storage- és Azure Files-szolgáltatásokban való titkosításához és visszafejtéséhez szükséges kulcsok biztosításáért. Ezeket a kulcsokat az Azure Key Vaultban vagy az Azure Key Vault felügyelt hardveres biztonsági moduljában (HSM) kell tárolni. További információ: ügyfél által felügyelt kulcsok az Azure Storage-titkosításhoz.

Az egyes módok (SMK vagy CMK) által biztosított előnyök

Az Azure Database for PostgreSQL szolgáltatás által felügyelt kulcsaival történő adattitkosítás a következő előnyöket biztosítja:

  • A szolgáltatás automatikusan és teljes mértékben szabályozza az adathozzáférést.
  • A szolgáltatás automatikusan és teljes mértékben szabályozza a kulcs életciklusát, beleértve a kulcs elforgatását is.
  • Nem kell aggódnia az adattitkosítási kulcsok kezelése miatt.
  • A szolgáltatás által felügyelt kulcsokon alapuló adattitkosítás nem befolyásolja negatívan a számítási feladatok teljesítményét.
  • Leegyszerűsíti a titkosítási kulcsok kezelését (beleértve azok rendszeres rotálását), valamint a kulcsokhoz való hozzáféréshez használt identitások kezelését.

Az Azure Database for PostgreSQL ügyfél által felügyelt kulcsaival történő adattitkosítás a következő előnyöket biztosítja:

  • Teljes mértékben szabályozhatja az adathozzáférést. Az adatbázis elérhetetlenné tétele érdekében eltávolíthat egy kulcsot.
  • A vállalati szabályzatokhoz való igazodás érdekében teljes mértékben szabályozhatja a kulcs életciklusát, beleértve a kulcs elforgatását is.
  • Központilag kezelheti és rendszerezheti az összes titkosítási kulcsot az Azure Key Vault saját példányaiban.
  • Az ügyfél által felügyelt kulcsokon alapuló adattitkosítás nem befolyásolja negatívan a számítási feladatok teljesítményét.
  • A biztonsági tisztviselők, az adatbázis-rendszergazdák és a rendszergazdák közötti feladatok elkülönítését valósíthatja meg.

CMK-követelmények

Az ügyfél által felügyelt titkosítási kulccsal ön vállal minden felelősséget. Ezért saját Azure Key Vaultot vagy Azure Key Vault HSM-et kell üzembe helyeznie. Saját kulcsot kell létrehoznia vagy importálnia. Meg kell adnia a szükséges engedélyeket a Key Vaulton, hogy a rugalmas Azure Database for PostgreSQL-kiszolgálópéldány végrehajthassa a kulcson a szükséges műveleteket. Gondoskodnia kell arról, hogy konfigurálja annak az Azure Key Vaultnak az összes hálózati aspektusát, amelyben a kulcs van tárolva, hogy a rugalmas Azure Database for PostgreSQL-kiszolgálópéldány hozzáférhessen a kulcshoz. A kulcshoz való hozzáférés naplózása szintén az Ön feladata. Végül ön a felelős a kulcs elforgatásáért, és szükség esetén a rugalmas Azure Database for PostgreSQL-kiszolgálópéldány konfigurációjának frissítéséért, hogy az a kulcs elforgatott verziójára hivatkozjon.

Amikor ügyfél által felügyelt kulcsokat konfigurál egy tárfiókhoz, az Azure Storage a fiók legfelső szintű adattitkosítási kulcsát (DEK) a társított kulcstartóban vagy felügyelt HSM-ben lévő ügyfél által felügyelt kulccsal burkolja. A gyökértitkosítási kulcs védelme megváltozik, de az Azure Storage-fiók adatai mindig titkosítva maradnak. Az adatok titkosításának biztosításához nincs szükség további műveletekre. Az ügyfél által felügyelt kulcsokkal történő védelem azonnal érvénybe lép.

Az Azure Key Vault egy felhőalapú, külső kulcskezelő rendszer. Magas rendelkezésre állású, és skálázható, biztonságos tárterületet biztosít az RSA titkosítási kulcsokhoz, opcionálisan a FIPS 140 által ellenőrzött hardveres biztonsági modulok (HSM-ek) segítségével. Nem teszi lehetővé a tárolt kulcs közvetlen elérését, de titkosítási és visszafejtési szolgáltatásokat biztosít az engedélyezett entitások számára. A Key Vault képes létrehozni, importálni vagy fogadni a kulcsot egy helyszíni HSM-eszközről.

Az alábbiakban felsoroljuk az Azure Database for PostgreSQL adattitkosításának konfigurálására vonatkozó követelményeket:

  • A Key Vaultnak és a rugalmas Azure Database for PostgreSQL-kiszolgálópéldánynak ugyanahhoz a Microsoft Entra-bérlőhöz kell tartoznia. A bérlők közötti Key Vault és a kiszolgálói interakciók nem támogatottak. A Key Vault-erőforrás későbbi áthelyezéséhez újra kell konfigurálnia az adattitkosítást.
  • Azt javasoljuk, hogy a Napok beállítást állítsa be a Key Vault törölt tárolók konfigurációjának 90 napra való megőrzéséhez. Ha alacsonyabb számmal konfigurált egy meglévő Key Vault-példányt, annak továbbra is érvényesnek kell lennie. Ha azonban módosítani szeretné ezt a beállítást, és növelni szeretné az értéket, létre kell hoznia egy új Key Vault-példányt. A példány létrehozása után nem lehet módosítani ezt a beállítást.
  • Engedélyezze a Key Vault helyreállíthatóan törölt funkcióját az adatvesztés elleni védelem érdekében, ha véletlenül töröl egy kulcsot vagy egy Key Vault-példányt. A Key Vault 90 napig megőrzi a helyreállíthatóan törölt erőforrásokat, kivéve, ha a felhasználó addig helyreállítja vagy törli őket. A helyreállítási és törlési műveletek saját engedélyekkel rendelkeznek egy Key Vaulthoz egy RBAC-szerepkörhöz vagy hozzáférési szabályzat engedélyéhez. A helyreállíthatóan törölt funkció alapértelmezés szerint be van kapcsolva. Ha rendelkezik néhány olyan Key Vault-tárolóval, amelyet már régen üzembe helyeztek, előfordulhat, hogy a helyreállítható törlés le van tiltva. Ebben az esetben az Azure CLI használatával kapcsolhatja be.
  • Engedélyezze a törlés elleni védelmet a törölt tárolók és tárolóobjektumok kötelező megőrzési idejének kikényszerítéséhez.
  • Az Azure Database for PostgreSQL rugalmas kiszolgálópéldány felhasználó által hozzárendelt felügyelt identitáshoz való hozzáférésének biztosítása a kulcshoz a következővel:
  • Előnyben részesített: Az Azure Key Vaultot RBAC-engedélymodellel kell konfigurálni, és a felügyelt identitáshoz hozzá kell rendelni a Key Vault titkosítási szolgáltatás titkosítási felhasználói szerepkörét.
  • Örökölt: Ha az Azure Key Vault Access-szabályzatengedély-modellel van konfigurálva, adja meg a következő engedélyeket a felügyelt identitáshoz:
  • get: A kulcs tulajdonságainak és nyilvános részének lekérése a Key Vaultban.
  • lista: A Key Vaultban tárolt kulcsok felsorolása és iterálása.
  • wrapKey: Az adattitkosítási kulcs titkosítása.
  • unwrapKey: Az adattitkosítási kulcs visszafejtése.
  • Az adattitkosítási kulcs titkosításához használt kulcs csak aszimmetrikus, RSA vagy RSA-HSM lehet. A 2048, 3072 és 4096-os kulcsméretek támogatottak. A jobb biztonság érdekében 4096 bites kulcs használatát javasoljuk.
  • A kulcsaktiválás dátumának és időpontjának (ha be van állítva) a múltban kell lennie. A lejárat dátumának és időpontjának (ha be van állítva) a jövőben kell lennie.
  • A kulcsnak engedélyezve kell lennie.
  • Ha egy meglévő kulcsot importál a Key Vaultba, adja meg a támogatott fájlformátumokban (.pfx.byokvagy .backup).

CMK-kulcs verziófrissítései

A CMK manuális kulcsforgatással és -frissítésekkel, illetve automatikus kulcsverzió-frissítésekkel konfigurálható a Key Vault manuális vagy automatikus kulcsforgatása után.

További információ: Adattitkosítás konfigurálása ügyfél által kezelt kulccsal a kiszolgáló kiépítése során.

Fontos

Amikor a kulcsot egy új verzióra forgatja, a régi kulcsot elérhetővé kell tennie ahhoz, hogy a visszafejtés sikeres legyen. Bár a legtöbb újrakódolásnak 30 percen belül meg kell történnie, javasoljuk, hogy várjon legalább 2 órát, mielőtt letiltja a hozzáférést a régi kulcsverzióhoz.

Manuális kulcsváltás és -frissítések

Ha manuális kulcsfrissítésekkel konfigurálja a CMK-t, manuálisan kell frissítenie a kulcsverziót a rugalmas Azure Database for PostgreSQL-kiszolgálópéldányban a Key Vault manuális vagy automatikus kulcsváltása után. A kiszolgáló a frissítésig a régi kulcsverziót fogja használni. Ezt a módot úgy építheti ki, hogy megad egy kulcs URI-t, beleértve az URI-verziót GUID is. Például: https://<keyvault-name>.vault.azure.net/keys/<key-name>/<key-version>. Mostanáig ez volt az egyetlen elérhető lehetőség.

Amikor manuálisan elforgatja a kulcsot, vagy az AKV automatikusan elforgatja a kulcsot a rotációs szabályzata alapján, frissítenie kellett a CMK tulajdonságot a PostgreSQL-példányon. Ez a megközelítés hibalehetőségnek bizonyult az operátorok számára, vagy egyéni szkriptre volt szükség a forgatás kezeléséhez, különösen a Key Vault automatikus forgatási funkciójának használatakor.

Automatikus kulcsverzió-frissítések

Az automatikus kulcsverzió-frissítések engedélyezéséhez használjon verzió nélküli URI-t. Ez szükségtelenné teszi a CMK verziótulajdonságának frissítését a PostgreSQL-példányban a kulcsváltás után. A PostgreSQL automatikusan felveszi az új kulcsverziót, és újra titkosítja az adattitkosítási kulcsot. Ez hatalmas egyszerűsítés a kulcs életciklus-kezelésében, különösen akkor, ha a Key Vault automatikus elforgatásával kombinálva.

Az ARM, a Bicep, a Terraform, az Azure PowerShell vagy az Azure CLI használatával történő implementáláshoz egyszerűen hagyja ki a verziót GUID a kulcs URI-jából.

A portálon jelölje be a jelölőnégyzetet, hogy a felhasználói felület ne tiltsa le a verziójú GRAFIKUS URI-k használatát az interaktív kijelölés során és az URI ellenőrzésekor.

Recommendations

Ha ügyfél által felügyelt kulcsot használ az adattitkosításhoz, kövesse az alábbi javaslatokat a Key Vault konfigurálásához:

  • A kritikus erőforrás véletlen vagy jogosulatlan törlésének megakadályozása érdekében állítson be egy erőforrás-zárolást a Key Vaulton.
  • Engedélyezze a naplózást és a jelentéskészítést az összes titkosítási kulcson. A Key Vault olyan naplókat biztosít, amelyek könnyen injektálhatóak más biztonsági információk és eseménykezelési (SIEM) eszközökbe. Az Azure Monitor-naplók egy példa egy már integrált szolgáltatásra.
  • Zárja le a Key Vaultot a nyilvános hozzáférés letiltása és a megbízható Microsoft-szolgáltatások engedélyezése a tűzfal megkerüléséhez lehetőséget választva.
  • Automatikus kulcsverzió-frissítések engedélyezése.

Megjegyzés:

Miután kiválasztotta a Nyilvános hozzáférés letiltása és a Megbízható Microsoft-szolgáltatások engedélyezése lehetőséget a tűzfal megkerüléséhez, a következőhöz hasonló hibaüzenet jelenhet meg, amikor nyilvános hozzáféréssel próbálja felügyelni a Key Vaultot a portálon keresztül: "Engedélyezte a hálózati hozzáférés-vezérlést. Csak az engedélyezett hálózatok férhetnek hozzá ehhez a kulcstartóhoz." Ez a hiba nem zárja ki a kulcsok megadását az ügyfél által felügyelt kulcsok beállításakor vagy kulcsok lekérése során a Key Vaultból a kiszolgálóműveletek során.

  • Őrizze meg az ügyfél által kezelt kulcs egy másolatát biztonságos helyen, vagy helyezze el a letéti szolgáltatásban.
  • Ha a Key Vault létrehozza a kulcsot, hozzon létre egy biztonsági másolatot a kulcs első használata előtt. A biztonsági mentést csak a Key Vaultba állíthatja vissza.

Különleges szempontok

Véletlen kulcshozzáférés visszavonás az Azure Key Vaultból

A Key Vaulthoz való megfelelő hozzáférési jogosultsággal rendelkező személy véletlenül letilthatja a kulcshoz való kiszolgálói hozzáférést a következő módon:

  • Az RBAC-szerepkör Key Vault titkosítási szolgáltatás felhasználójának visszavonása vagy a Kulcstartóban a kulcs lekéréséhez használt identitás engedélyeinek visszavonása.
  • A kulcs törlése.
  • A Key Vault példány törlése.
  • A Key Vault tűzfalszabályainak módosítása.
  • A kiszolgáló felügyelt identitásának törlése a Microsoft Entra-azonosítóban.

Az Azure Key Vaultban tárolt kulcsok figyelése

Az adatbázis állapotának figyeléséhez és az adattitkosítási védőhöz való hozzáférés elvesztésére vonatkozó riasztások bekapcsolásához konfigurálja a következő Azure-funkciókat:

  • Erőforrás állapota: A CMK-hoz való hozzáférést elveszítő adatbázis elérhetetlenként jelenik meg az adatbázishoz való első kapcsolódás megtagadása után.
  • Tevékenységnapló: Ha az ügyfél által felügyelt Key Vault-példány CMK-hoz való hozzáférése sikertelen, a rendszer bejegyzéseket ad hozzá a tevékenységnaplóhoz. Ha riasztásokat hoz létre ezekhez az eseményekhez, a lehető leghamarabb visszaállíthatja a hozzáférést.
  • Műveletcsoportok: Ezeket a csoportokat a beállítások alapján értesítések és riasztások fogadásához definiálhatja.

Ügyfél által felügyelt kulccsal konfigurált kiszolgáló biztonsági másolatainak visszaállítása

Miután a rugalmas Azure Database for PostgreSQL-kiszolgálópéldányt egy, a Key Vaultban tárolt ügyfél által kezelt kulccsal titkosították, az újonnan létrehozott kiszolgálópéldányok is titkosítva lesznek. Ezt az új példányt egy időponthoz kötött visszaállítási (PITR) művelettel vagy olvasási replikákkal készítheti el.

Ha ügyfél által felügyelt kulccsal állít be adattitkosítást, a művelet során, például biztonsági másolat visszaállítása vagy olvasási replika létrehozása során az alábbi lépéseket követve elkerülheti a problémákat az elsődleges és a visszaállított vagy replikakiszolgálón:

  • Kezdeményezheti a visszaállítási folyamatot vagy olvasási replika létrehozását az elsődleges rugalmas Azure Database for PostgreSQL-kiszolgálópéldányból.
  • A visszaállított vagy replikakiszolgálón módosíthatja az ügyfél által kezelt kulcsot és a Key Vault eléréséhez használt felhasználó által hozzárendelt felügyelt identitást. Győződjön meg arról, hogy az újonnan létrehozott kiszolgálón hozzárendelt identitás rendelkezik a Key Vaulthoz szükséges engedélyekkel.
  • A visszaállítás után ne vonja vissza az eredeti kulcsot. Jelenleg nem támogatjuk a kulcsok visszavonását, miután egy ügyfél által felügyelt kulccsal rendelkező kiszolgálót visszaállított egy másik kiszolgálóra.

Felügyelt HSM-k

A hardveres biztonsági modulok (HSM-ek) illetéktelen beavatkozásnak ellenálló hardvereszközök, amelyek az adatok titkosításához, az adatok visszafejtéséhez, a digitális aláírások létrehozásához és a digitális tanúsítványok létrehozásához használt kulcsok létrehozásával, védelmével és kezelésével segítik a titkosítási folyamatokat. A HSM-eket a legmagasabb biztonsági szabványoknak megfelelően tesztelik, ellenőrzik és minősítik, beleértve a FIPS 140-et és a Common Criteriat.

Az Azure Key Vault felügyelt HSM egy teljes körűen felügyelt, magas rendelkezésre állású, egybérlős, szabványnak megfelelő felhőszolgáltatás. Használatával megvédheti a felhőalkalmazások titkosítási kulcsait a FIPS 140-3 ellenőrzött HSM-eken keresztül.

Amikor új rugalmas Azure Database for PostgreSQL-kiszolgálópéldányokat hoz létre az Azure Portalon az ügyfél által felügyelt kulccsal, az Azure Key Vault által felügyelt HSM-et kulcstárolóként választhatja ki az Azure Key Vault alternatívaként. Az előfeltételek a felhasználó által definiált identitás és engedélyek tekintetében megegyeznek az Azure Key Vaulttal (a cikk korábbi részében leírtak szerint). A felügyelt HSM-példányok létrehozásáról, a megosztott Key Vault-alapú tanúsítványtárolók előnyeiről és különbségeiről, valamint a kulcsok felügyelt HSM-be való importálásáról a Mi az Azure Key Vault által felügyelt HSM?

Elérhetetlen ügyfél által felügyelt kulcsfeltétel

Ha a Key Vaultban tárolt ügyfél által kezelt kulccsal konfigurálja az adattitkosítást, a kiszolgáló folyamatos hozzáférésére van szükség ahhoz, hogy a kiszolgáló online maradjon. Ha ez nem így van, a kiszolgáló elérhetetlenné módosítja az állapotát, és elkezdi megtagadni az összes kapcsolatot.

A kiszolgáló állapotának elérhetetlenné válásának lehetséges okai a következők:

Oka Rezolúció
A kiszolgáló által mutatott titkosítási kulcsok bármelyikének lejárati dátuma és ideje konfigurálva volt, és ez a dátum és az idő el lett érve. Meg kell hosszabbítania a kulcs lejárati dátumát. Ezután meg kell várnia, amíg a szolgáltatás újraértékeli a kulcsot, és automatikusan át kell váltania a kiszolgáló állapotát a Ready (Kész) állapotra. Csak akkor, ha a kiszolgáló újra kész állapotban van, elforgathatja a kulcsot egy újabb verzióra, vagy létrehozhat egy új kulcsot, és frissítheti a kiszolgálót úgy, hogy az ugyanannak a kulcsnak az új verziójára vagy az új kulcsra hivatkozhasson.
Elforgatja a kulcsot, és elfelejti frissíteni a rugalmas Azure Database for PostgreSQL-kiszolgáló példányát, hogy az a kulcs új verziójára mutatjon. A régi kulcs, amelyre a kiszolgáló mutat, lejár, és elérhetetlenné teszi a kiszolgáló állapotát. A helyzet elkerülése érdekében minden alkalommal, amikor elforgatja a kulcsot, frissítse a kiszolgáló példányát is, hogy az új verzióra mutasson. Ehhez használhatja a az postgres flexible-server update"Kulcs/identitás módosítása adattitkosításhoz" című példát követve. Az adattitkosítás nem engedélyezhető a kiszolgáló létrehozása után, ez csak a kulcsot/identitást frissíti." Ha inkább az API-val szeretné frissíteni, meghívhatja a Kiszolgálók – A szolgáltatás végpontjának frissítése parancsot.
Törli a Key Vault-példányt, a rugalmas Azure Database for PostgreSQL-kiszolgálópéldány nem fér hozzá a kulcshoz, és elérhetetlen állapotba kerül. Állítsa vissza a Key Vault-példányt, és várja meg, amíg a szolgáltatás futtatja a kulcs rendszeres újraértékelését, és automatikusan átvált a kiszolgáló állapotára.
A Microsoft Entra-azonosítóból töröl egy felügyelt identitást , amely a Key Vaultban tárolt titkosítási kulcsok lekérésére szolgál. Állítsa vissza az identitást, és várja meg, amíg a szolgáltatás futtatja a kulcs rendszeres újraértékelését, és automatikusan átvált a kiszolgáló állapotára.
A Key Vault engedélymodellje szerepköralapú hozzáférés-vezérlés használatára van konfigurálva. Eltávolítja a Key Vault Crypto Service Encryption User RBAC-szerepkör hozzárendelését a kezelt identitásokból, amelyek bármelyik kulcs lekérésére vannak konfigurálva. Adja meg ismét az RBAC-szerepkört a felügyelt identitásnak , és várja meg, amíg a szolgáltatás futtatja a kulcs rendszeres újraértékelését, és automatikusan átvált a kiszolgáló állapotára a Ready (Kész) állapotra. Egy másik módszer az, hogy a Key Vaultban lévő szerepkört egy másik felügyelt identitásnak adja, és frissíti a kiszolgálót, hogy ezzel a másik felügyelt identitással férhessen hozzá a kulcshoz.
A Key Vault engedélymodellje hozzáférési szabályzatok használatára van konfigurálva. Visszavonhatja a list, get, wrapKey vagy unwrapKey hozzáférési szabályzatokat a kulcsok bármelyikének lekérésére konfigurált felügyelt identitások közül. Adja meg ismét az RBAC-szerepkört a felügyelt identitásnak, és várja meg, amíg a szolgáltatás futtatja a kulcs rendszeres újraértékelését, és automatikusan átvált a kiszolgáló állapotára a Ready (Kész) állapotra. Egy másik módszer az, hogy a Key Vaultban a szükséges hozzáférési szabályzatokat egy másik felügyelt identitásnak adja meg, és frissíti a kiszolgálót, hogy ezzel a másik felügyelt identitással férhessen hozzá a kulcshoz.
Túl szigorú Key Vault tűzfalszabályokat állított be, hogy a rugalmas Azure Database for PostgreSQL-kiszolgálópéldány ne tudjon kommunikálni a Key Vaulttal a kulcsok lekéréséhez. Key Vault-tűzfal konfigurálásakor válassza ki a megbízható Microsoft-szolgáltatások engedélyezésének lehetőségét, hogy a rugalmas Azure Database for PostgreSQL-kiszolgálópéldány megkerülhesse a tűzfalat.

Megjegyzés:

Ha egy kulcs le van tiltva, törölve, lejárt vagy nem érhető el, az ezzel a kulccsal titkosított adatokat tartalmazó kiszolgáló elérhetetlenné válik a korábban leírtak szerint. A kiszolgáló állapota nem változik újra Kész állapotúra, amíg újra nem tudja újraértékelni a titkosítási kulcsokat.

A kiszolgáló általában 60 percen belül elérhetetlenné válik, miután egy kulcs le van tiltva, törölve, lejárt vagy nem érhető el. A kulcs elérhetővé válása után a kiszolgáló akár 60 percet is igénybe vehet, amíg újra készen áll .

Helyreállítás felügyelt identitás törlése után

Ha a Key Vaultban tárolt titkosítási kulcs eléréséhez használt felhasználó által hozzárendelt felügyelt identitás törlődik a Microsoft Entra-azonosítóból, a helyreállításhoz kövesse az alábbi lépéseket:

  1. Állítsa helyre az identitást, vagy hozzon létre egy új felügyelt Entra-azonosítót.
  2. Ha új identitást hozott létre, még akkor is, ha pontosan ugyanazzal a névvel rendelkezik, mint a törlés előtt, frissítse az Azure Database-t a rugalmas kiszolgálópéldány-tulajdonságokhoz, hogy tudja, hogy ezt az új identitást kell használnia a titkosítási kulcs eléréséhez.
  3. Győződjön meg arról, hogy ez az identitás rendelkezik megfelelő engedélyekkel az Azure Key Vault (AKV) kulcsműveleteihez.
  4. Várjon körülbelül egy órát, amíg a kiszolgáló újraértékeli a kulcsot.

Fontos

Egy törölt identitással azonos nevű új Entra ID azonosító létrehozása nem állítja helyre a felügyelt identitás törlését.

Adattitkosítás használata ügyfél által kezelt kulcsokkal és georedundáns üzletmenet-folytonossági funkciókkal

Az Azure Database for PostgreSQL fejlett adat-helyreállítási funkciókat támogat, például replikákat és georedundáns biztonsági mentéseket. Az alábbi követelmények vonatkoznak az adattitkosítás CMK-kkal való beállítására és ezekre a funkciókra, a CMK-kkal való adattitkosítás alapkövetelményei mellett:

  • A georedundáns biztonsági mentés titkosítási kulcsát egy Key Vault-példányban kell létrehozni, amelynek a georedundáns biztonsági mentést tároló régióban kell lennie.
  • A georedundáns biztonsági mentést támogató CMK-kiszolgálókat támogató Azure Resource Manager REST API-verzió 2022-11-01-preview. Ha Azure Resource Manager-sablonokkal szeretné automatizálni a CMK-kkal és georedundáns biztonsági mentési funkciókkal rendelkező titkosítást használó kiszolgálók létrehozását, használja ezt az API-verziót.
  • Nem használhatja ugyanazt a felhasználó által felügyelt identitást az elsődleges adatbázis Key Vault-példányának és a georedundáns biztonsági mentés titkosítási kulcsát tartalmazó Key Vault-példány hitelesítéséhez. A regionális rugalmasság fenntartása érdekében javasoljuk, hogy a felhasználó által felügyelt identitást ugyanabban a régióban hozza létre, mint a georedundáns biztonsági másolatok.
  • Ha az olvasási replika-adatbázist a létrehozás során CMK-kkal történő titkosításra állítja be, a titkosítási kulcsnak egy Key Vault-példányban kell lennie abban a régióban, ahol az olvasási replika-adatbázis található. A Key Vault-példányon való hitelesítéshez a felhasználó által hozzárendelt identitást ugyanabban a régióban kell létrehozni.

Korlátozások

A rugalmas Azure Database for PostgreSQL-kiszolgálópéldányban az ügyfél által felügyelt kulcs konfigurálásának jelenlegi korlátozásai:

Kapcsolódó tartalom

  • Last updated on