Mengaktifkan enkripsi data dengan kunci yang dikelola pelanggan di Azure Cosmos DB for PostgreSQL

BERLAKU UNTUK: Azure Cosmos DB for PostgreSQL (didukung oleh ekstensi database Citus ke PostgreSQL)

Prasyarat

• Akun Azure Cosmos DB for PostgreSQL yang sudah ada.
  • Jika Anda memiliki langganan Azure, buat akun baru.
  • Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Anda memulai.
  • Atau, Anda dapat mencoba Azure Cosmos DB gratis sebelum berkomitmen.

Mengaktifkan enkripsi data dengan kunci yang dikelola pelanggan

Penting

Buat semua sumber daya berikut di wilayah yang sama tempat kluster Azure Cosmos DB for PostgreSQL Anda akan disebarkan.

1. Buat identitas terkelola yang ditetapkan pengguna. Saat ini, Azure Cosmos DB for PostgreSQL hanya mendukung identitas terkelola yang ditetapkan pengguna.

2. Buat Azure Key Vault dan tambahkan kebijakan akses ke Identitas Terkelola yang Ditetapkan Pengguna yang dibuat dengan izin kunci berikut: Dapatkan, Buka Bungkus Kunci, dan Kunci Bungkus.

3. Hasilkan kunci di brankas kunci (jenis kunci yang didukung: RSA 2048, 3071, 4096).

4. Pilih opsi enkripsi kunci yang dikelola pelanggan selama pembuatan kluster Azure Cosmos DB for PostgreSQL dan pilih identitas terkelola, brankas kunci, dan kunci yang ditetapkan pengguna yang sesuai yang dibuat dalam langkah 1, 2, dan 3.

Langkah terperinci

Identitas terkelola yang ditetapkan pengguna

1. Cari Identitas terkelola di bilah pencarian global.

   

2. Buat identitas terkelola yang ditetapkan pengguna baru di wilayah yang sama dengan kluster Azure Cosmos DB for PostgreSQL Anda.

   

Pelajari selengkapnya tentang identitas terkelola yang ditetapkan pengguna.

Key Vault

Menggunakan kunci yang dikelola pelanggan dengan Azure Cosmos DB for PostgreSQL mengharuskan Anda mengatur dua properti pada instans Azure Key Vault yang Anda rencanakan untuk digunakan untuk menghosting kunci enkripsi Anda: Penghapusan Sementara dan Perlindungan Penghapusan Menyeluruh.

1. Jika Anda membuat instans Azure Key Vault baru, aktifkan properti ini selama pembuatan:

   

2. Jika Anda menggunakan instans Azure Key Vault yang sudah ada, Anda dapat memverifikasi bahwa properti ini diaktifkan dengan melihat bagian Properti di portal Microsoft Azure. Jika salah satu properti ini tidak diaktifkan, lihat bagian "Mengaktifkan penghapusan sementara" dan "Mengaktifkan Perlindungan Penghapusan Menyeluruh" di salah satu artikel berikut.

   • Cara menggunakan penghapusan sementara dengan PowerShell.
   • Cara menggunakan penghapusan sementara dengan Azure CLI.

3. Key Vault harus diatur dengan 90 hari agar Days mempertahankan vault yang dihapus. Jika Key Vault yang ada dikonfigurasi dengan angka yang lebih rendah, Anda harus membuat brankas kunci baru karena pengaturan ini tidak dapat dimodifikasi setelah pembuatan.

   Penting

   Instans Azure Key Vault Anda harus mengizinkan akses publik dari semua jaringan.

Menambahkan Kebijakan Akses ke Key Vault

1. Dari portal Microsoft Azure, buka instans Azure Key Vault yang Anda rencanakan untuk digunakan guna menghosting kunci enkripsi Anda. Pilih Konfigurasi akses dari menu sebelah kiri. Pastikan kebijakan akses Vault dipilih di bawah Model izin lalu pilih Buka kebijakan akses.

   

2. Pilih + Buat.

3. Di Tab Izin di bawah menu drop-down Izin kunci, pilih Dapatkan, Buka Bungkus Izin Kunci, dan Bungkus Kunci.

   

4. Di Tab Utama, pilih Identitas Terkelola yang Ditetapkan Pengguna yang Anda buat di langkah prasyarat.

5. Navigasi ke Tinjau + buat pilih Buat.

Buat / Impor Kunci

1. Dari portal Microsoft Azure, buka instans Azure Key Vault yang Anda rencanakan untuk digunakan guna menghosting kunci enkripsi Anda.

2. Pilih Kunci dari menu sebelah kiri lalu pilih +Buat/Impor.

   

3. Kunci yang dikelola pelanggan yang akan digunakan untuk mengenkripsi DEK hanya dapat berupa jenis Kunci RSA asimetris. Semua ukuran Kunci RSA 2048, 3072, dan 4096 didukung.

4. Tanggal aktivasi kunci (jika ditetapkan) harus berupa tanggal dan waktu di masa lalu. Tanggal kedaluwarsa (jika ditetapkan) harus merupakan tanggal dan waktu mendatang.

5. Kunci harus dalam status Diaktifkan.

6. Jika Anda mengimpor kunci yang ada ke dalam brankas kunci, pastikan untuk menyediakannya dalam format file yang didukung (.pfx, , .byok.backup).

7. Jika Anda memutar kunci secara manual, versi kunci lama tidak boleh dihapus setidaknya selama 24 jam.

Mengaktifkan enkripsi CMK selama provisi kluster baru

Portal

1. Selama provisi kluster Azure Cosmos DB for PostgreSQL baru, setelah memberikan informasi yang diperlukan di bawah tab Dasar dan Jaringan, navigasikan ke tab Enkripsi .

2. Pilih Kunci yang dikelola pelanggan di bawah Opsi kunci enkripsi data.

3. Pilih identitas terkelola yang ditetapkan pengguna yang dibuat di bagian sebelumnya.

4. Pilih brankas kunci yang dibuat pada langkah sebelumnya, yang memiliki kebijakan akses ke identitas terkelola pengguna yang dipilih di langkah sebelumnya.

5. Pilih kunci yang dibuat di langkah sebelumnya, lalu pilih Tinjau + buat.

6. Setelah kluster dibuat, verifikasi bahwa enkripsi CMK diaktifkan dengan menavigasi ke bilah Enkripsi Data kluster Azure Cosmos DB for PostgreSQL di portal Azure.

Catatan

Enkripsi data hanya dapat dikonfigurasi selama pembuatan kluster baru dan tidak dapat diperbarui pada kluster yang ada. Solusi untuk memperbarui konfigurasi enkripsi pada kluster yang ada adalah melakukan pemulihan kluster dan mengonfigurasi enkripsi data selama pembuatan kluster yang baru dipulihkan.

Templat ARM

   {
       "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "serverGroupName": {
               "type": "string"
           },
           "location": {
               "type": "string"
           },
           "administratorLoginPassword": {
               "type": "secureString"
           },
           "previewFeatures": {
               "type": "bool"
           },
           "postgresqlVersion": {
               "type": "string"
           },
           "coordinatorVcores": {
               "type": "int"
           },
           "coordinatorStorageSizeMB": {
               "type": "int"
           },
           "numWorkers": {
               "type": "int"
           },
           "workerVcores": {
               "type": "int"
           },
           "workerStorageSizeMB": {
               "type": "int"
           },
           "enableHa": {
               "type": "bool"
           },
           "enablePublicIpAccess": {
               "type": "bool"
           },
           "serverGroupTags": {
               "type": "object"
           },
           "userAssignedIdentityUrl": {
               "type": "string"
           },
           "encryptionKeyUrl": {
               "type": "string"
           }
       },
       "variables": {},
       "resources": [
           {
               "name": "[parameters('serverGroupName')]",
               "type": "Microsoft.DBforPostgreSQL/serverGroupsv2",
               "kind": "CosmosDBForPostgreSQL",
               "apiVersion": "2020-10-05-privatepreview",
               "identity":
               {
                   "type": "UserAssigned",
                   "userAssignedIdentities":
                   {
                       "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/yogkuleuapcmkmarlintest/providers/Microsoft.ManagedIdentity/userAssignedIdentities/marlincmktesteus2euapuai1": {}
                   }
               },
               "location": "[parameters('location')]",
               "tags": "[parameters('serverGroupTags')]",
               "properties": {
                   "createMode": "Default",
                   "administratorLogin": "citus",
                   "administratorLoginPassword": "[parameters('administratorLoginPassword')]",
                   "backupRetentionDays": 35,
                   "enableMx": false,
                   "enableZfs": false,
                   "previewFeatures": "[parameters('previewFeatures')]",
                   "postgresqlVersion": "[parameters('postgresqlVersion')]",
                   "dataencryption":
                   {
                       "primaryKeyUri": "[parameters('encryptionKeyUrl')]",
                       "primaryUserAssignedIdentityId": "[parameters('userAssignedIdentityUrl')]",
                       "type": "AzureKeyVault"
                   },
                   "serverRoleGroups": [
                       {
                           "name": "",
                           "role": "Coordinator",
                           "serverCount": 1,
                           "serverEdition": "GeneralPurpose",
                           "vCores": "[parameters('coordinatorVcores')]",
                           "storageQuotaInMb": "[parameters('coordinatorStorageSizeMB')]",
                           "enableHa": "[parameters('enableHa')]"
                       },
                       {
                           "name": "",
                           "role": "Worker",
                           "serverCount": "[parameters('numWorkers')]",
                           "serverEdition": "MemoryOptimized",
                           "vCores": "[parameters('workerVcores')]",
                           "storageQuotaInMb": "[parameters('workerStorageSizeMB')]",
                           "enableHa": "[parameters('enableHa')]",
                           "enablePublicIpAccess": "[parameters('enablePublicIpAccess')]"
                       }
                   ]
               },
               "dependsOn": []
           }
       ],
       "outputs": {}
   }

Ketersediaan tinggi

Ketika enkripsi CMK diaktifkan pada kluster utama, semua simpul siaga HA secara otomatis dienkripsi oleh kunci kluster utama.

Mengubah konfigurasi enkripsi dengan melakukan PITR

Konfigurasi enkripsi dapat diubah dari enkripsi yang dikelola layanan ke enkripsi yang dikelola pelanggan atau sebaliknya saat melakukan operasi pemulihan kluster (PITR - pemulihan titik waktu).

Portal

1. Navigasi ke bilah Enkripsi data, dan pilih Mulai operasi pemulihan. Atau, Anda dapat melakukan PITR dengan memilih opsi Pulihkan di bilah Gambaran Umum .

2. Anda dapat mengubah/mengonfigurasi enkripsi data pada tab Enkripsi dari halaman pemulihan kluster.

Templat ARM

   {
       "$schema": "http://schema.management.azure.com/schemas/2014-04-01-preview/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "location": {
               "type": "string"
           },
           "sourceLocation": {
               "type": "string"
           },
           "subscriptionId": {
               "type": "string"
           },
           "resourceGroupName": {
               "type": "string"
           },
           "serverGroupName": {
               "type": "string"
           },
           "sourceServerGroupName": {
               "type": "string"
           },
           "restorePointInTime": {
               "type": "string"
           },
           "encryptionKeyUrl": {
               "type": "string"
           },
           "userAssignedIdentityUrl": {
               "type": "string"
           }
       },
       "variables": {
           "api": "2020-02-14-privatepreview"
       },
       "resources": [
           {
               "apiVersion": "2020-10-05-privatepreview",
               "location": "[parameters('location')]",
               "name": "[parameters('serverGroupName')]",
               "identity":
               {
                   "type": "UserAssigned",
                   "userAssignedIdentities":
                   {
                       "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/yogkuleuapcmkmarlintest/providers/Microsoft.ManagedIdentity/userAssignedIdentities/marlincmktesteus2euapuai1": {}
                   }
               },
               "properties": {
                   "createMode": "PointInTimeRestore",
                   "sourceServerGroupName": "[parameters('sourceServerGroupName')]",
                   "pointInTimeUTC": "[parameters('restorePointInTime')]",
                   "sourceLocation": "[parameters('location')]",
                   "sourceSubscriptionId": "[parameters('subscriptionId')]",
                   "sourceResourceGroupName": "[parameters('resourceGroupName')]",
                   "enableMx": false,
                   "enableZfs": false,
                   "dataencryption":
                   {
                       "primaryKeyUri": "[parameters('encryptionKeyUrl')]",
                       "primaryUserAssignedIdentityId": "[parameters('userAssignedIdentityUrl')]",
                       "type": "AzureKeyVault"
                   },
               }
               "type": "Microsoft.DBforPostgreSQL/serverGroupsv2"
           }
       ]
   }

Memantau kunci yang dikelola pelanggan di Key Vault

Untuk memantau status database, dan untuk mengaktifkan peringatan hilangnya akses pelindung enkripsi data transparan, konfigurasikan fitur Azure berikut ini:

• Azure Resource Health: Database yang tidak dapat diakses yang kehilangan akses ke Kunci Pelanggan ditampilkan sebagai "Tidak dapat diakses" setelah koneksi pertama ke database ditolak.

• Log aktivitas: Saat akses ke Kunci Pelanggan di Key Vault yang dikelola pengguna gagal, entri ditambahkan ke log aktivitas. Anda dapat memulihkan akses sesegera mungkin, jika Anda membuat peringatan untuk peristiwa ini.

• Grup tindakan: Tentukan grup ini untuk mengirimi Anda pemberitahuan dan pemberitahuan berdasarkan preferensi Anda.

Langkah berikutnya

• Pelajari tentang enkripsi data dengan kunci yang dikelola pelanggan
• Lihat batasan dan batasan CMK di Azure Cosmos DB for PostgreSQL