Mengonfigurasi enkripsi data di Azure Database for PostgreSQL

Artikel ini menyediakan instruksi langkah demi langkah untuk mengonfigurasi enkripsi data untuk instans server fleksibel Azure Database for PostgreSQL.

Penting

Satu-satunya titik di mana Anda dapat memutuskan apakah Anda ingin menggunakan kunci yang dikelola sistem atau kunci yang dikelola pelanggan untuk enkripsi data, adalah pada pembuatan server. Setelah Anda membuat keputusan tersebut dan membuat server, Anda tidak dapat beralih di antara dua opsi.

Dalam artikel ini, Anda mempelajari cara membuat server baru dan mengonfigurasi opsi enkripsi datanya. Untuk server yang ada, yang enkripsi datanya dikonfigurasi untuk menggunakan kunci enkripsi yang dikelola pelanggan, Anda mempelajari:

• Cara memilih identitas terkelola yang ditetapkan pengguna yang berbeda tempat layanan mengakses kunci enkripsi.
• Cara menentukan kunci enkripsi yang berbeda atau cara memutar kunci enkripsi yang saat ini digunakan untuk enkripsi data.

Untuk mempelajari tentang enkripsi data dalam konteks Azure Database for PostgreSQL, lihat enkripsi data.

Mengonfigurasi enkripsi data dengan kunci yang dikelola sistem selama provisi server

Portal

Menggunakan portal Microsoft Azure:

1. Selama provisi instans server fleksibel Azure Database untuk PostgreSQL yang baru, enkripsi data dikonfigurasi di tab Keamanan. Untuk Kunci enkripsi data, pilih opsi radio kunci yang dikelola layanan.

   

2. Jika Anda mengaktifkan penyimpanan cadangan geo-redundan untuk disediakan bersama dengan server, aspek tab Keamanan sedikit berubah karena server menggunakan dua kunci enkripsi terpisah. Satu untuk wilayah utama tempat Anda menyebarkan server Anda, dan satu untuk wilayah berpasangan tempat cadangan server direplikasi secara asinkron.

   

CLI

Anda dapat mengaktifkan enkripsi data dengan kunci enkripsi yang ditetapkan sistem, sambil menyediakan server baru, melalui perintah az postgres flexible-server create .

az postgres flexible-server create \
  --resource-group <resource_group> \
  --name <server> ...

Nota

Tidak ada parameter khusus dalam perintah sebelumnya untuk menentukan bahwa server harus dibuat dengan kunci yang ditetapkan sistem untuk enkripsi data. Alasannya adalah bahwa enkripsi data dengan kunci yang ditetapkan sistem adalah opsi default. Selain itu, perhatikan bahwa Anda harus menyelesaikan perintah yang disediakan dengan parameter lain yang kehadiran dan nilainya akan bervariasi tergantung pada bagaimana Anda ingin mengonfigurasi fitur lain dari server yang disediakan.

Mengonfigurasi enkripsi data dengan kunci yang dikelola pelanggan selama provisi server

Portal

Menggunakan portal Microsoft Azure:

1. Buat satu identitas terkelola yang ditetapkan pengguna, jika Anda belum memilikinya. Jika server Anda mengaktifkan cadangan geo-redundan, Anda perlu membuat ke identitas yang berbeda. Masing-masing identitas tersebut digunakan untuk mengakses masing-masing dari dua kunci enkripsi data.

Nota

Meskipun tidak diperlukan, untuk menjaga ketahanan regional, kami sarankan Anda membuat identitas terkelola pengguna di wilayah yang sama dengan server Anda. Dan jika server Anda mengaktifkan redundansi cadangan geografis, kami sarankan identitas terkelola pengguna kedua, yang digunakan untuk mengakses kunci enkripsi data untuk cadangan geo-redundan, dibuat di wilayah server yang dipasangkan .

1. Buat satu Azure Key Vault atau buat satu HSM Terkelola, jika Anda belum membuat satu penyimpanan kunci. Pastikan Anda memenuhi persyaratan. Selain itu, ikuti rekomendasi sebelum Anda mengonfigurasi penyimpanan kunci, dan sebelum Anda membuat kunci dan menetapkan izin yang diperlukan ke identitas terkelola yang ditetapkan pengguna. Jika server Anda mengaktifkan cadangan geo-redundan, Anda perlu membuat penyimpanan kunci kedua. Penyimpanan kunci kedua tersebut digunakan untuk menyimpan kunci enkripsi data tempat cadangan Anda disalin ke wilayah server yang dipasangkan dienkripsi.

Nota

Penyimpanan kunci yang digunakan untuk menyimpan kunci enkripsi data harus disebarkan di wilayah yang sama dengan server Anda. Dan jika server Anda mengaktifkan redundansi cadangan geografis, penyimpanan kunci yang menyimpan kunci enkripsi data untuk cadangan geo-redundan harus dibuat di wilayah server yang dipasangkan .

1. Buat satu kunci di penyimpanan kunci Anda. Jika server Anda mengaktifkan cadangan geo-redundan, Anda memerlukan satu kunci di setiap penyimpanan kunci. Dengan salah satu kunci ini, kami mengenkripsi semua data server Anda (termasuk semua database sistem dan pengguna, file sementara, log server, segmen log write-ahead, dan cadangan). Dengan kunci kedua, kami mengenkripsi salinan cadangan yang disalin secara asinkron di atas wilayah server Anda yang dipasangkan .

2. Selama provisi server fleksibel baru di Azure Database for PostgreSQL, enkripsi data dikonfigurasi di tab Keamanan. Untuk Kunci enkripsi data, pilih tombol radio kunci yang dikelola pelanggan.

   

3. Jika Anda mengaktifkan penyimpanan cadangan geo-redundan untuk disediakan bersama dengan server, aspek tab Keamanan sedikit berubah karena server menggunakan dua kunci enkripsi terpisah. Satu untuk wilayah utama tempat Anda menyebarkan server Anda, dan satu untuk wilayah berpasangan tempat cadangan server direplikasi secara asinkron.

   

4. Di Identitas terkelola yang ditetapkan pengguna, pilih Ubah identitas.

   

5. Di antara daftar identitas terkelola yang ditetapkan pengguna, pilih identitas yang Anda inginkan untuk digunakan server Anda untuk mengakses kunci enkripsi data yang disimpan di Azure Key Vault.

   

6. Pilih Tambahkan.

   

7. Pilih Gunakan pembaruan versi kunci otomatis, jika Anda lebih suka membiarkan layanan memperbarui referensi secara otomatis ke versi terbaru dari kunci yang dipilih, setiap kali versi saat ini diputar secara manual atau otomatis. Untuk memahami manfaat menggunakan pembaruan versi kunci otomatis, lihat pembaruan versi kunci otomatis.

   

8. Pilih Pilih kunci.

   

9. Langganan secara otomatis diisi dengan nama langganan tempat server Anda akan dibuat. Penyimpanan kunci yang menyimpan kunci enkripsi data harus ada dalam langganan yang sama dengan server.

   

10. Di Jenis penyimpanan kunci, pilih tombol radio yang sesuai dengan jenis penyimpanan kunci tempat Anda berencana untuk menyimpan kunci enkripsi data. Dalam contoh ini, kami memilih Key vault, tetapi pengalamannya mirip jika Anda memilih HSM Terkelola.

    

11. Perluas Brankas kunci (atau HSM Terkelola, jika Anda memilih jenis penyimpanan tersebut), dan pilih instans tempat kunci enkripsi data ada.

    

    Nota

    Saat Anda memperluas kotak dropdown, kotak dropdown menunjukkan Tidak ada item yang tersedia. Dibutuhkan beberapa detik sampai mencantumkan semua instans brankas kunci yang disebarkan di wilayah yang sama dengan server.

12. Perluas Kunci, dan pilih nama kunci yang ingin Anda gunakan untuk enkripsi data.

    

13. Jika Anda tidak memilih Gunakan pembaruan versi kunci otomatis, Anda juga harus memilih versi kunci tertentu. Untuk melakukannya, perluas Versi, dan pilih pengidentifikasi versi kunci yang ingin Anda gunakan untuk enkripsi data.

    

14. Pilih Pilih.

    

15. Konfigurasikan semua pengaturan lain dari server baru dan pilih Tinjau + buat.

    

CLI

Anda dapat mengaktifkan enkripsi data dengan kunci enkripsi yang ditetapkan pengguna, sambil menyediakan server baru, melalui perintah az postgres flexible-server create .

Jika server Anda tidak mengaktifkan cadangan geo-redundan:

az postgres flexible-server create \
  --resource-group <resource_group> \
  --name <server> \
  --geo-redundant-backup Disabled \
  --identity <managed_identity_to_access_primary_encryption_key> \
  --key <resource_identifier_of_primary_encryption_key> ...

Nota

Perintah sebelumnya perlu diselesaikan dengan parameter lain yang kehadiran dan nilainya akan bervariasi tergantung pada bagaimana Anda ingin mengonfigurasi fitur lain dari server yang disediakan.

Jika server Anda mengaktifkan cadangan geo-redundan:

az postgres flexible-server create \
  --resource-group <resource_group> \
  --name <server> \
  --geo-redundant-backup Enabled \
  --identity <managed_identity_to_access_primary_encryption_key> \
  --key <resource_identifier_of_primary_encryption_key> \
  --backup-identity <managed_identity_to_access_geo_backups_encryption_key> \
  --backup-key <resource_identifier_of_geo_backups_encryption_key> ...

Nota

Perintah sebelumnya perlu diselesaikan dengan parameter lain yang kehadiran dan nilainya akan bervariasi tergantung pada bagaimana Anda ingin mengonfigurasi fitur lain dari server yang disediakan.

Mengonfigurasi enkripsi data dengan kunci yang dikelola pelanggan di server yang ada

Satu-satunya titik di mana Anda dapat memutuskan apakah Anda ingin menggunakan kunci yang dikelola sistem atau kunci yang dikelola pelanggan untuk enkripsi data, adalah pada pembuatan server. Setelah Anda membuat keputusan tersebut dan membuat server, Anda tidak dapat beralih di antara dua opsi. Satu-satunya alternatif, jika Anda ingin mengubah dari satu ke yang lain, memerlukan pemulihan salah satu cadangan yang tersedia dari server ke server baru. Saat mengonfigurasi pemulihan, Anda diizinkan untuk mengubah konfigurasi enkripsi data server baru.

Untuk server yang sudah ada yang disebarkan dengan enkripsi data menggunakan kunci yang dikelola pelanggan, Anda diizinkan untuk melakukan beberapa perubahan konfigurasi. Hal-hal yang dapat diubah adalah referensi ke kunci yang digunakan untuk enkripsi, dan referensi ke identitas terkelola yang ditetapkan pengguna yang digunakan oleh layanan untuk mengakses kunci yang disimpan di penyimpanan kunci.

Anda harus memperbarui referensi yang terkait dengan instans server fleksibel Azure Database for PostgreSQL Anda ke sebuah kunci:

• Ketika kunci yang disimpan di penyimpanan kunci diputar, baik secara manual atau otomatis, dan instans server fleksibel Azure Database for PostgreSQL Anda menunjuk ke versi kunci tertentu. Jika Anda menunjuk ke kunci, tetapi tidak ke versi kunci tertentu (saat itulah Anda mengaktifkan Gunakan pembaruan versi kunci otomatis ), maka layanan akan mengurus secara otomatis mereferensikan versi kunci terbaru, setiap kali kunci diputar secara manual atau otomatis.
• Saat Anda ingin menggunakan kunci yang sama atau berbeda yang disimpan di penyimpanan kunci yang berbeda.

Anda harus memperbarui identitas terkelola yang ditetapkan pengguna yang digunakan oleh instans server fleksibel Azure Database for PostgreSQL Anda untuk mengakses kunci enkripsi kapan pun Anda ingin menggunakan identitas yang berbeda.

Portal

Menggunakan portal Microsoft Azure:

1. Pilih server fleksibel instans Azure Database untuk PostgreSQL Anda.

2. Di menu sumber daya, di bawah Keamanan, pilih Enkripsi data.

   

3. Untuk mengubah identitas terkelola yang ditetapkan pengguna tempat server mengakses penyimpanan kunci tempat kunci disimpan, perluas menu dropdown Identitas terkelola yang ditetapkan pengguna , dan pilih salah satu identitas yang tersedia.

   

   Nota

   Identitas yang ditampilkan dalam kotak kombo hanyalah identitas yang ditetapkan oleh instans server fleksibel Azure Database for PostgreSQL Anda. Meskipun tidak diperlukan, untuk menjaga ketahanan regional, kami sarankan Anda memilih identitas terkelola pengguna di wilayah yang sama dengan server Anda. Dan jika server Anda mengaktifkan redundansi cadangan geografis, kami sarankan identitas terkelola pengguna kedua, yang digunakan untuk mengakses kunci enkripsi data untuk cadangan geo-redundan, ada di wilayah server yang dipasangkan .

4. Jika identitas terkelola pengguna yang ingin Anda gunakan untuk mengakses kunci enkripsi data belum ditugaskan ke instans server fleksibel Azure Database for PostgreSQL Anda, dan bahkan tidak ada sebagai sumber daya Azure dengan objek yang sesuai di Microsoft Entra ID, Anda dapat membuatnya dengan memilih Buat.

   

5. Di panel Buat Identitas Terkelola yang Ditetapkan Pengguna , lengkapi detail identitas terkelola yang ditetapkan pengguna yang ingin Anda buat, dan tetapkan secara otomatis ke instans server fleksibel Azure Database for PostgreSQL Anda untuk mengakses kunci enkripsi data.

   

6. Jika identitas terkelola pengguna yang ingin Anda gunakan untuk mengakses kunci enkripsi data tidak ditetapkan ke instans server fleksibel Azure Database for PostgreSQL Anda, tetapi sudah ada sebagai sumber daya Azure dengan objek sesuai di Microsoft Entra ID, Anda dapat menetapkannya dengan memilih Pilih.

   

7. Di antara daftar identitas terkelola yang ditetapkan pengguna, pilih identitas yang Anda inginkan untuk digunakan server Anda untuk mengakses kunci enkripsi data yang disimpan di Azure Key Vault.

   

8. Pilih Tambahkan.

   

9. Pilih Gunakan pembaruan versi kunci otomatis, jika Anda lebih suka membiarkan layanan memperbarui referensi secara otomatis ke versi terbaru dari kunci yang dipilih, setiap kali versi saat ini diputar secara manual atau otomatis. Untuk memahami manfaat menggunakan pembaruan versi kunci otomatis, lihat [pembaruan versi kunci otomatis](concepts-data-encryption.md##CMK pembaruan versi kunci).

   

10. Jika Anda memutar kunci dan tidak mengaktifkan Gunakan pembaruan versi kunci otomatis . Atau jika Anda ingin menggunakan kunci yang berbeda, Anda harus memperbarui instans server fleksibel Azure Database for PostgreSQL, sehingga menunjuk ke versi kunci baru atau kunci baru. Untuk melakukannya, Anda dapat menyalin pengidentifikasi sumber daya kunci, dan menempelkannya di kotak Pengidentifikasi kunci.

    

11. Jika pengguna yang mengakses portal Microsoft Azure memiliki izin untuk mengakses kunci yang disimpan di penyimpanan kunci, Anda dapat menggunakan pendekatan alternatif untuk memilih kunci baru atau versi kunci baru. Untuk melakukannya, dalam Metode pemilihan kunci, pilih tombol radio Pilih kunci .

    

12. Pilih Pilih kunci.

    

13. Langganan secara otomatis diisi dengan nama langganan tempat server Anda akan dibuat. Penyimpanan kunci yang menyimpan kunci enkripsi data harus ada dalam langganan yang sama dengan server.

    

14. Di Jenis penyimpanan kunci, pilih tombol radio yang sesuai dengan jenis penyimpanan kunci tempat Anda berencana untuk menyimpan kunci enkripsi data. Dalam contoh ini, kami memilih Key vault, tetapi pengalamannya mirip jika Anda memilih HSM Terkelola.

    

15. Perluas Brankas kunci (atau HSM Terkelola, jika Anda memilih jenis penyimpanan tersebut), dan pilih instans tempat kunci enkripsi data ada.

    

    Nota

    Saat Anda memperluas kotak dropdown, kotak dropdown menunjukkan Tidak ada item yang tersedia. Dibutuhkan beberapa detik sampai mencantumkan semua instans brankas kunci yang disebarkan di wilayah yang sama dengan server.

16. Perluas Kunci, dan pilih nama kunci yang ingin Anda gunakan untuk enkripsi data.

    

17. Jika Anda tidak memilih Gunakan pembaruan versi kunci otomatis, Anda juga harus memilih versi kunci tertentu. Untuk melakukannya, perluas Versi, dan pilih pengidentifikasi versi kunci yang ingin Anda gunakan untuk enkripsi data.

    

18. Pilih Pilih.

    

19. Setelah puas dengan perubahan yang dibuat, pilih Simpan.

    

CLI

Anda dapat mengonfigurasi enkripsi data dengan kunci enkripsi yang ditetapkan pengguna, untuk server yang ada, melalui perintah az postgres flexible-server update .

az postgres flexible-server update \
  --resource-group <resource_group> \
  --name <server> \
  --identity <managed_identity_to_access_primary_encryption_key> \
  --key <resource_identifier_of_primary_encryption_key> ...

Nota

Perintah sebelumnya mungkin perlu diselesaikan dengan parameter lain yang kehadiran dan nilainya akan bervariasi tergantung pada bagaimana Anda ingin mengonfigurasi fitur lain dari server yang ada.

Apakah Anda hanya ingin mengubah identitas terkelola yang ditetapkan pengguna yang digunakan untuk mengakses kunci, atau Anda hanya ingin mengubah kunci yang digunakan untuk enkripsi data, atau Anda ingin mengubah keduanya pada saat yang sama, Anda diharuskan untuk menyediakan parameter --identity dan --key (atau --backup-identity dan --backup-key untuk cadangan geo-redundan). Jika Anda memberikan salah satu tetapi tidak keduanya, Anda mendapatkan salah satu kesalahan berikut:

User assigned identity and keyvault key need to be provided together. Please provide --identity and --key together.

User assigned identity and keyvault key need to be provided together. Please provide --backup-identity and --backup-key together.

Jika kunci yang ditunjukkan oleh nilai yang diteruskan ke --key parameter (atau --backup-key untuk cadangan geo-redundan) tidak ada, atau jika identitas terkelola yang ditetapkan pengguna yang pengidentifikasi sumber dayanya diteruskan ke --identity parameter (ore --backup-identity untuk cadangan geo-redundan) tidak memiliki izin yang diperlukan untuk mengakses kunci, Anda mendapatkan kesalahan berikut:

Code: AzureKeyVaultKeyNameNotFound
Message: The operation could not be completed because the Azure Key Vault Key name '<key_vault_resource>' does not exist or User Assigned Identity does not have Get access to the Key (/azure/postgresql/flexible-server/concepts-data-encryption#requirements-for-configuring-data-encryption-for-azure-database-for-postgresql-flexible-server).

Jika server Anda mengaktifkan cadangan geo-redundan, Anda dapat mengonfigurasi kunci yang digunakan untuk enkripsi cadangan geo-redundan, dan identitas yang digunakan untuk mengakses kunci tersebut. Untuk melakukannya, Anda dapat menggunakan --backup-identity parameter dan --backup-key .

az postgres flexible-server update \
  --resource-group <resource_group> \
  --name <server> \
  --backup-identity <managed_identity_to_access_georedundant_encryption_key> \
  --backup-key <resource_identifier_of_georedundant_encryption_key> ...

Jika Anda meneruskan parameter --backup-identity dan --backup-key ke az postgres flexible server update perintah , dan merujuk ke server yang ada yang tidak mengaktifkan cadangan geo-redundan, Anda mendapatkan kesalahan berikut:

Geo-redundant backup is not enabled. You cannot provide Geo-location user assigned identity and keyvault key.

Identitas yang diteruskan ke --identity dan --backup-identity parameter, jika ada dan valid, secara otomatis ditambahkan ke daftar identitas terkelola yang dialokasikan pengguna yang berkaitan dengan instans server fleksibel Azure Database for PostgreSQL Anda. Ini tetap terjadi bahkan jika perintah nanti gagal dengan kesalahan lain. Dalam kasus seperti itu, Anda mungkin ingin menggunakan perintah az postgres flexible-server identity untuk mencantumkan, menetapkan, atau menghapus identitas terkelola pengguna yang ditugaskan pada instans server fleksibel Azure Database for PostgreSQL Anda. Untuk mempelajari selengkapnya tentang mengonfigurasi identitas terkelola yang ditetapkan pengguna di instans server fleksibel Azure Database for PostgreSQL Anda, lihat mengaitkan identitas terkelola yang ditetapkan pengguna ke server yang ada, memisahkan identitas terkelola yang ditetapkan pengguna ke server yang ada, dan memperlihatkan identitas terkelola yang ditetapkan pengguna terkait.

Konten terkait

• Enkripsi data