Adattitkosítás önálló Azure Database for PostgreSQL-kiszolgálóhoz az Azure Portal használatával
A KÖVETKEZŐKRE VONATKOZIK: Azure Database for PostgreSQL – Önálló kiszolgáló
Fontos
Azure Database for PostgreSQL – Az önálló kiszolgáló a kivezetési útvonalon van. Határozottan javasoljuk, hogy frissítsen az Azure Database for PostgreSQL rugalmas kiszolgálóra. A rugalmas Azure Database for PostgreSQL-kiszolgálóra való migrálással kapcsolatos további információkért lásd: Mi történik az önálló Azure Database for PostgreSQL-kiszolgálóval?
Megtudhatja, hogyan állíthatja be és kezelheti az önálló Azure Database for PostgreSQL-kiszolgáló adattitkosítását az Azure Portal használatával.
Az Azure CLI előfeltételei
Azure-előfizetéssel kell rendelkeznie, és rendszergazdai jogosultságokkal kell rendelkeznie az adott előfizetésben.
Az Azure Key Vaultban hozzon létre egy ügyfél által felügyelt kulcshoz használható kulcstartót és kulcsot.
A kulcstartónak az alábbi tulajdonságokkal kell rendelkeznie, amelyeket ügyfél által felügyelt kulcsként kell használnia:
-
az resource update --id $(az keyvault show --name \ <key_vault_name> -test -o tsv | awk '{print $1}') --set \ properties.enableSoftDelete=true
-
az keyvault update --name <key_vault_name> --resource-group <resource_group_name> --enable-purge-protection true
-
A kulcsnak az alábbi attribútumokkal kell rendelkeznie felhasználó által felügyelt kulcsként:
- Nincs lejárati dátum
- Nincs letiltva
- Képes lekérési, körbefuttatási és kulcstörési műveletek végrehajtására
A kulcsműveletek megfelelő engedélyeinek beállítása
A Key Vaultban válassza az Access-szabályzatok>hozzáférési szabályzat hozzáadása lehetőséget.
Válassza a Kulcsengedélyek lehetőséget, majd válassza a Get, Wrap, Unwrap és a Principal (a PostgreSQL-kiszolgáló neve) lehetőséget. Ha a kiszolgálónév nem található a meglévő tagok listájában, regisztrálnia kell. A rendszer arra kéri, hogy regisztrálja a kiszolgálónevet, amikor először próbál meg adattitkosítást beállítani, és az sikertelen lesz.
Válassza a Mentés lehetőséget.
Adattitkosítás beállítása önálló Azure Database for PostgreSQL-kiszolgálóhoz
Az Azure Database for PostgreSQL-ben válassza az Adattitkosítás lehetőséget az ügyfél által felügyelt kulcs beállításához.
Választhat kulcstartót és kulcspárt, vagy megadhat egy kulcsazonosítót.
Válassza a Mentés lehetőséget.
Annak érdekében, hogy az összes fájl (beleértve az ideiglenes fájlokat is) teljes mértékben titkosítva legyen, indítsa újra a kiszolgálót.
Adattitkosítás használata visszaállítási vagy replikakiszolgálókhoz
Miután az Önálló Azure Database for PostgreSQL-kiszolgáló titkosítva lett egy ügyfél Key Vaultban tárolt felügyelt kulcsával, a kiszolgáló újonnan létrehozott példányai is titkosítva lesznek. Ezt az új példányt helyi vagy georedundáns visszaállítási művelettel, vagy replika (helyi/régióközi) művelettel készítheti el. Titkosított PostgreSQL-kiszolgáló esetén tehát az alábbi lépésekkel hozhat létre titkosított visszaállított kiszolgálót.
A kiszolgálón válassza az Áttekintés>visszaállítása lehetőséget.
Vagy replikációval kompatibilis kiszolgáló esetén a Gépház fejléc alatt válassza a Replikáció lehetőséget.
A visszaállítási művelet befejezése után az új létrehozott kiszolgáló titkosítva lesz az elsődleges kiszolgáló kulcsával. A kiszolgáló funkciói és beállításai azonban le vannak tiltva, és a kiszolgáló nem érhető el. Ez megakadályozza az adatmanipulációt, mivel az új kiszolgáló identitása még nem kapott engedélyt a kulcstartó elérésére.
A kiszolgáló akadálymentessé tételéhez állítsa újra a kulcsot a visszaállított kiszolgálón. Válassza az Adattitkosítási>újraértékelési kulcs lehetőséget.
Feljegyzés
Az első újraértékelési kísérlet sikertelen lesz, mert az új kiszolgáló szolgáltatásnévének hozzáférést kell kapnia a kulcstartóhoz. A szolgáltatásnév létrehozásához válassza a Revalidate billentyűt, amely hibát jelez, de létrehozza a szolgáltatásnevet. Ezt követően tekintse meg a cikk korábbi lépéseit .
A kulcstartónak hozzáférést kell adnia az új kiszolgálóhoz. További információ: Azure RBAC-engedélyek engedélyezése a Key Vaulton.
A szolgáltatásnév regisztrálása után újraértékelje a kulcsot, és a kiszolgáló folytatja a normál működését.
Következő lépések
További információ az adattitkosításról: Azure Database for PostgreSQL Egykiszolgálós adattitkosítás ügyfél által felügyelt kulccsal.