Share via

Adattitkosítás önálló Azure Database for PostgreSQL-kiszolgálóhoz az Azure Portal használatával

  • Cikk

A KÖVETKEZŐKRE VONATKOZIK: Azure Database for PostgreSQL – Önálló kiszolgáló

Fontos

Azure Database for PostgreSQL – Az önálló kiszolgáló a kivezetési útvonalon van. Határozottan javasoljuk, hogy frissítsen az Azure Database for PostgreSQL rugalmas kiszolgálóra. A rugalmas Azure Database for PostgreSQL-kiszolgálóra való migrálással kapcsolatos további információkért lásd: Mi történik az önálló Azure Database for PostgreSQL-kiszolgálóval?

Megtudhatja, hogyan állíthatja be és kezelheti az önálló Azure Database for PostgreSQL-kiszolgáló adattitkosítását az Azure Portal használatával.

Az Azure CLI előfeltételei

  • Azure-előfizetéssel kell rendelkeznie, és rendszergazdai jogosultságokkal kell rendelkeznie az adott előfizetésben.

  • Az Azure Key Vaultban hozzon létre egy ügyfél által felügyelt kulcshoz használható kulcstartót és kulcsot.

  • A kulcstartónak az alábbi tulajdonságokkal kell rendelkeznie, amelyeket ügyfél által felügyelt kulcsként kell használnia:

    • Helyreállítható törlés

      az resource update --id $(az keyvault show --name \ <key_vault_name> -test -o tsv | awk '{print $1}') --set \ properties.enableSoftDelete=true

    • Törlés védett

      az keyvault update --name <key_vault_name> --resource-group <resource_group_name>  --enable-purge-protection true

  • A kulcsnak az alábbi attribútumokkal kell rendelkeznie felhasználó által felügyelt kulcsként:

    • Nincs lejárati dátum
    • Nincs letiltva
    • Képes lekérési, körbefuttatási és kulcstörési műveletek végrehajtására

A kulcsműveletek megfelelő engedélyeinek beállítása

  1. A Key Vaultban válassza az Access-szabályzatok>hozzáférési szabályzat hozzáadása lehetőséget.

    Képernyőkép a Key Vaultról, kiemelt hozzáférési szabályzatokkal és hozzáférési szabályzatok hozzáadásával

  2. Válassza a Kulcsengedélyek lehetőséget, majd válassza a Get, Wrap, Unwrap és a Principal (a PostgreSQL-kiszolgáló neve) lehetőséget. Ha a kiszolgálónév nem található a meglévő tagok listájában, regisztrálnia kell. A rendszer arra kéri, hogy regisztrálja a kiszolgálónevet, amikor először próbál meg adattitkosítást beállítani, és az sikertelen lesz.

    Hozzáférési szabályzat áttekintése

  3. Válassza a Mentés lehetőséget.

Adattitkosítás beállítása önálló Azure Database for PostgreSQL-kiszolgálóhoz

  1. Az Azure Database for PostgreSQL-ben válassza az Adattitkosítás lehetőséget az ügyfél által felügyelt kulcs beállításához.

    Képernyőkép az Azure Database for PostgreSQL-ről, kiemelt adattitkosítással

  2. Választhat kulcstartót és kulcspárt, vagy megadhat egy kulcsazonosítót.

    Képernyőkép az Azure Database for PostgreSQL-ről, kiemelt adattitkosítási lehetőségekkel

  3. Válassza a Mentés lehetőséget.

  4. Annak érdekében, hogy az összes fájl (beleértve az ideiglenes fájlokat is) teljes mértékben titkosítva legyen, indítsa újra a kiszolgálót.

Adattitkosítás használata visszaállítási vagy replikakiszolgálókhoz

Miután az Önálló Azure Database for PostgreSQL-kiszolgáló titkosítva lett egy ügyfél Key Vaultban tárolt felügyelt kulcsával, a kiszolgáló újonnan létrehozott példányai is titkosítva lesznek. Ezt az új példányt helyi vagy georedundáns visszaállítási művelettel, vagy replika (helyi/régióközi) művelettel készítheti el. Titkosított PostgreSQL-kiszolgáló esetén tehát az alábbi lépésekkel hozhat létre titkosított visszaállított kiszolgálót.

  1. A kiszolgálón válassza az Áttekintés>visszaállítása lehetőséget.

    Képernyőkép az Azure Database for PostgreSQL-ről, kiemelt áttekintéssel és visszaállítással

    Vagy replikációval kompatibilis kiszolgáló esetén a Gépház fejléc alatt válassza a Replikáció lehetőséget.

    Képernyőkép az Azure Database for PostgreSQL-ről, kiemelt replikációval

  2. A visszaállítási művelet befejezése után az új létrehozott kiszolgáló titkosítva lesz az elsődleges kiszolgáló kulcsával. A kiszolgáló funkciói és beállításai azonban le vannak tiltva, és a kiszolgáló nem érhető el. Ez megakadályozza az adatmanipulációt, mivel az új kiszolgáló identitása még nem kapott engedélyt a kulcstartó elérésére.

    Képernyőkép az Azure Database for PostgreSQL-ről, kiemelt Elérhetetlen állapottal

  3. A kiszolgáló akadálymentessé tételéhez állítsa újra a kulcsot a visszaállított kiszolgálón. Válassza az Adattitkosítási>újraértékelési kulcs lehetőséget.

    Feljegyzés

    Az első újraértékelési kísérlet sikertelen lesz, mert az új kiszolgáló szolgáltatásnévének hozzáférést kell kapnia a kulcstartóhoz. A szolgáltatásnév létrehozásához válassza a Revalidate billentyűt, amely hibát jelez, de létrehozza a szolgáltatásnevet. Ezt követően tekintse meg a cikk korábbi lépéseit .

    Képernyőkép az Azure Database for PostgreSQL-ről, kiemelt újraértékelési lépéssel

    A kulcstartónak hozzáférést kell adnia az új kiszolgálóhoz. További információ: Azure RBAC-engedélyek engedélyezése a Key Vaulton.

  4. A szolgáltatásnév regisztrálása után újraértékelje a kulcsot, és a kiszolgáló folytatja a normál működését.

    Képernyőkép az Azure Database for PostgreSQL-ről a visszaállított funkciók megjelenítéséhez

Következő lépések

További információ az adattitkosításról: Azure Database for PostgreSQL Egykiszolgálós adattitkosítás ügyfél által felügyelt kulccsal.