Configurare la crittografia dei dati in Database di Azure per PostgreSQL

Questo articolo fornisce istruzioni dettagliate per configurare la crittografia dei dati per un'istanza del server flessibile di Database di Azure per PostgreSQL.

Importante

L'unico punto in cui è possibile decidere se si vuole usare una chiave gestita dal sistema o una chiave gestita dal cliente per la crittografia dei dati è in fase di creazione del server. Dopo aver deciso e creato il server, non è possibile passare tra le due opzioni.

Questo articolo illustra come creare un nuovo server e configurare le relative opzioni di crittografia dei dati. Per i server esistenti, la cui crittografia dei dati è configurata per l'uso della chiave di crittografia gestita dal cliente, si apprenderà:

• Come selezionare un'identità gestita assegnata dall'utente diversa con cui il servizio accede alla chiave di crittografia.
• Come specificare una chiave di crittografia diversa o come ruotare la chiave di crittografia corrente usata per la crittografia dei dati.

Per informazioni sulla crittografia dei dati nel contesto di Database di Azure per PostgreSQL, vedere crittografia dei dati.

Configurare la crittografia dei dati con la chiave gestita dal sistema durante il provisioning del server

Portal

Usare il portale di Azure:

1. Durante il provisioning di una nuova istanza del server flessibile di Database di Azure per PostgreSQL, la crittografia dei dati è configurata nella scheda Sicurezza. Per chiave di crittografia, selezionare il pulsante di opzione della chiave gestita dal servizio.

   

2. Se si abilita il provisioning dell'archiviazione di backup con ridondanza geografica insieme al server, l'aspetto della scheda Sicurezza cambia leggermente perché il server usa due chiavi di crittografia separate. Una per l'area primaria in cui si distribuisce il server, e una per l'area associata in cui i backup del server vengono replicati in modo asincrono.

   

CLI

È possibile abilitare la crittografia dei dati con la chiave di crittografia assegnata dal sistema durante il provisioning di un nuovo server tramite il comando crea server flessibile az postgres.

az postgres flexible-server create \
  --resource-group <resource_group> \
  --name <server> ...

Annotazioni

Non esiste alcun parametro speciale nel comando precedente per specificare che il server deve essere creato con la chiave assegnata dal sistema per la crittografia dei dati. Il motivo per cui la crittografia dei dati con chiave assegnata dal sistema è l'opzione predefinita. Si noti inoltre che è necessario completare il comando fornito con altri parametri la cui presenza e i cui valori variano a seconda di come si desidera configurare altre funzionalità del server di cui è stato effettuato il provisioning.

Configurare la crittografia dei dati con la chiave gestita dal cliente durante il provisioning del server

Portal

Usare il portale di Azure:

1. Creare un'identità gestita assegnata dall'utente, se non ne è ancora disponibile una. Se nel server sono abilitati backup con ridondanza geografica, è necessario creare in identità diverse. Ognuna di queste identità viene usata per accedere a ognuna delle due chiavi di crittografia dei dati.

Annotazioni

Anche se non è necessario, per mantenere la resilienza a livello di area, è consigliabile creare l'identità gestita dall'utente nella stessa area del server. Se inoltre nel server è abilitata la ridondanza con backup geografico, è consigliabile creare la seconda identità gestita dall'utente, usata per accedere alla chiave di crittografia dei dati per i backup con ridondanza geografica, nell'area abbinata del server.

1. Creare un'istanza di Azure Key Vault o creare un modulo HSM gestito se non è ancora stato creato un archivio chiavi. Assicurarsi di soddisfare i requisiti. Seguire anche gli elementi consigliati prima di configurare l'archivio chiavi e prima di creare la chiave e assegnare le autorizzazioni necessarie all'identità gestita assegnata dall'utente. Se nel server sono abilitati backup con ridondanza geografica, è necessario creare un secondo archivio chiavi. Il secondo archivio chiavi viene usato per mantenere la chiave di crittografia dei dati con cui vengono crittografati i backup copiati nell'area abbinata del server.

Annotazioni

L'archivio chiavi usato per mantenere la chiave di crittografia dei dati deve essere distribuito nella stessa area del server. Se inoltre nel server è abilitata la ridondanza con backup geografico, l'archivio chiavi che mantiene la chiave di crittografia dei dati per i backup con ridondanza geografica deve essere creato nell'area associata del server.

1. Creare una chiave nell'archivio chiavi. Se nel server sono abilitati backup con ridondanza geografica, è necessaria una chiave in ognuno degli archivi chiavi. Con una di queste chiavi, crittografiamo tutti i dati del server (inclusi tutti i database di sistema e utente, i file temporanei, i log del server, i segmenti di log write-ahead e i backup). Con la seconda chiave, crittografiamo le copie dei backup copiate in modo asincrono nell'area abbinata del server.

2. Durante il provisioning di una nuova istanza del server flessibile di Database di Azure per PostgreSQL, la crittografia dei dati è configurata nella scheda Sicurezza. Per chiave di crittografia, selezionare il pulsante di opzione della chiave gestita dal servizio.

   

3. Se si abilita il provisioning dell'archiviazione di backup con ridondanza geografica insieme al server, l'aspetto della scheda Sicurezza cambia leggermente perché il server usa due chiavi di crittografia separate. Una per l'area primaria in cui si distribuisce il server, e una per l'area associata in cui i backup del server vengono replicati in modo asincrono.

   

4. In Identità gestita assegnata dall'utente selezionare Cambia identità.

   

5. Nell'elenco delle identità gestite assegnate dall'utente selezionare quella che il server deve usare per accedere alla chiave di crittografia dei dati archiviata in un Azure Key Vault.

   

6. Seleziona Aggiungi.

   

7. Selezionare Usa aggiornamento automatico della versione della chiave, se si preferisce consentire al servizio di aggiornare automaticamente il riferimento alla versione più recente della chiave scelta, ogni volta che la versione corrente viene ruotata manualmente o automaticamente. Per comprendere i vantaggi dell'uso degli aggiornamenti automatici delle versioni delle chiavi, vedere Aggiornamento automatico della versione della chiave.

   

8. Scegliere Seleziona una chiave.

   

9. La sottoscrizione viene popolata automaticamente con il nome della sottoscrizione in cui verrà creato il server. L'archivio chiavi che mantiene la chiave di crittografia dei dati deve esistere nella stessa sottoscrizione del server.

   

10. In Tipo di archivio chiavi selezionare il pulsante di opzione corrispondente al tipo di archivio chiavi in cui si prevede di archiviare la chiave di crittografia dei dati. In questo esempio si sceglie Key Vault, ma l'esperienza è simile se si sceglie HSM gestito.

    

11. Espandere Key Vault (o HSM gestito, se è stato selezionato questo tipo di archiviazione) e selezionare l'istanza in cui esiste la chiave di crittografia dei dati.

    

    Annotazioni

    Quando si espande la casella a discesa, viene visualizzato Nessun elemento disponibile. L'elenco di tutte le istanze dell'insieme di credenziali delle chiavi distribuite nella stessa area del server richiede alcuni secondi.

12. Espandere Chiave e selezionare il nome della chiave da usare per la crittografia dei dati.

    

13. Se non è stato selezionato Usa aggiornamento automatico della versione della chiave, è necessario selezionare anche una versione specifica della chiave. A tale scopo, espandere Versione e selezionare l'identificatore della versione della chiave da usare per la crittografia dei dati.

    

14. Scegliere Seleziona.

    

15. Configurare tutte le altre impostazioni del nuovo server e selezionare Rivedi e crea.

    

CLI

È possibile abilitare la crittografia dei dati con la chiave di crittografia assegnata dall'utente durante il provisioning di un nuovo server tramite il comando crea server flessibile az postgres.

Se nel server non sono abilitati backup con ridondanza geografica:

az postgres flexible-server create \
  --resource-group <resource_group> \
  --name <server> \
  --geo-redundant-backup Disabled \
  --identity <managed_identity_to_access_primary_encryption_key> \
  --key <resource_identifier_of_primary_encryption_key> ...

Annotazioni

Il comando precedente deve essere completato con altri parametri i cui valori e presenza variano a seconda della modalità di configurazione di altre funzionalità del server di cui è stato effettuato il provisioning.

Se nel server sono abilitati backup con ridondanza geografica:

az postgres flexible-server create \
  --resource-group <resource_group> \
  --name <server> \
  --geo-redundant-backup Enabled \
  --identity <managed_identity_to_access_primary_encryption_key> \
  --key <resource_identifier_of_primary_encryption_key> \
  --backup-identity <managed_identity_to_access_geo_backups_encryption_key> \
  --backup-key <resource_identifier_of_geo_backups_encryption_key> ...

Annotazioni

Il comando precedente deve essere completato con altri parametri i cui valori e presenza variano a seconda della modalità di configurazione di altre funzionalità del server di cui è stato effettuato il provisioning.

Configurare la crittografia dei dati con la chiave gestita dal cliente nei server esistenti

L'unico punto in cui è possibile decidere se si vuole usare una chiave gestita dal sistema o una chiave gestita dal cliente per la crittografia dei dati è in fase di creazione del server. Dopo aver deciso e creato il server, non è possibile passare tra le due opzioni. L'unica alternativa, se si vuole passare da una all'altra, richiede il ripristino di uno dei backup disponibili del server in un nuovo server. Durante la configurazione del ripristino, è possibile modificare la configurazione della crittografia dei dati del nuovo server.

Per i server esistenti distribuiti con la crittografia dei dati usando una chiave gestita dal cliente, è possibile apportare diverse modifiche alla configurazione. Gli elementi che possono essere modificati sono i riferimenti alle chiavi usate per la crittografia e i riferimenti alle identità gestite assegnate dall'utente usate dal servizio per accedere alle chiavi conservate negli archivi chiavi.

È necessario aggiornare i riferimenti che l'istanza del server flessibile di Azure Database per PostgreSQL ha per una chiave:

• Quando la chiave archiviata nell'archivio chiavi viene ruotata, manualmente o automaticamente, e l'istanza del server flessibile di Azure Database per PostgreSQL punta a una versione specifica della chiave. Se si punta a una chiave, ma non a una versione specifica della chiave (ovvero quando è stato abilitato usare l'aggiornamento automatico della versione della chiave), il servizio farà automaticamente riferimento alla versione più recente della chiave, ogni volta che la chiave viene ruotata manualmente o automaticamente.
• Quando si vuole usare la stessa chiave o una chiave diversa archiviata in un archivio chiavi diverso.

È necessario aggiornare le identità gestite assegnate dall'utente usate dall'istanza del server flessibile di Database di Azure per PostgreSQL per accedere alle chiavi di crittografia ogni volta che si vuole usare un'identità diversa.

Portal

Usare il portale di Azure:

1. Selezionare l'istanza del server flessibile di Database di Azure per PostgreSQL.

2. Nel menu della risorsa, in Sicurezza, selezionare Crittografia dei dati.

   

3. Per modificare l'identità gestita assegnata dall'utente con cui il server accede all'archivio chiavi in cui è mantenuta la chiave, espandere l'elenco a discesa Identità gestita assegnata dall'utente e selezionare una delle identità disponibili.

   

   Annotazioni

   Le identità visualizzate nella casella combinata sono solo quelle assegnate all'istanza del server flessibile di Database di Azure per PostgreSQL. Anche se non è necessario, per mantenere la resilienza a livello di area, è consigliabile selezionare le identità gestite dall'utente nella stessa area del server. Se inoltre nel server è abilitata la ridondanza con backup geografico, è consigliabile che la seconda identità gestita dall'utente, usata per accedere alla chiave di crittografia dei dati per i backup con ridondanza geografica, esista nell'area associata del server.

4. Se l'identità gestita assegnata dall'utente che si vuole usare per accedere alla chiave di crittografia dei dati non è assegnata all'istanza del server flessibile di Database di Azure per PostgreSQL e non esiste nemmeno come risorsa di Azure con l'oggetto corrispondente nell'ID Di Microsoft Entra, è possibile crearla selezionando Crea.

   

5. Nel pannello Crea identità gestita assegnata dall'utente completare i dettagli dell'identità gestita assegnata dall'utente che si desidera creare e assegnare automaticamente all'istanza del server flessibile di Database di Azure per PostgreSQL per consentire l'accesso alla chiave di crittografia dei dati.

   

6. Se l'identità gestita assegnata dall'utente che si vuole usare per accedere alla chiave di crittografia dei dati non è assegnata all'istanza del server flessibile di Database di Azure per PostgreSQL, ma esiste come risorsa di Azure con l'oggetto corrispondente in Microsoft Entra ID, è possibile assegnarlo selezionando Seleziona.

   

7. Nell'elenco delle identità gestite assegnate dall'utente selezionare quella che il server deve usare per accedere alla chiave di crittografia dei dati archiviata in un Azure Key Vault.

   

8. Seleziona Aggiungi.

   

9. Selezionare Usa aggiornamento automatico della versione della chiave, se si preferisce consentire al servizio di aggiornare automaticamente il riferimento alla versione più recente della chiave scelta, ogni volta che la versione corrente viene ruotata manualmente o automaticamente. Per comprendere i vantaggi dell'uso degli aggiornamenti automatici delle versioni delle chiavi, vedere [aggiornamento automatico della versione della chiave](concepts-data-encryption.md##CMK aggiornamenti delle versioni delle chiavi).

   

10. Se si ruota la chiave e l'opzione Usa aggiornamento automatico della versione della chiave non è abilitata. In alternativa, se si vuole usare una chiave diversa, è necessario aggiornare l'istanza del server flessibile di Database di Azure per PostgreSQL in modo che punti alla nuova versione della chiave o alla nuova chiave. A tale scopo, è possibile copiare l'identificatore della risorsa della chiave e incollarlo nella casella Identificatore chiave.

    

11. Se l'utente che accede a portale di Azure ha le autorizzazioni per accedere alla chiave archiviata nell'archivio chiavi, è possibile usare un approccio alternativo per scegliere la nuova chiave o la nuova versione della chiave. A tale scopo, in Metodo di selezione chiave selezionare il pulsante di opzione Seleziona una chiave.

    

12. Selezionare Seleziona chiave.

    

13. La sottoscrizione viene popolata automaticamente con il nome della sottoscrizione in cui verrà creato il server. L'archivio chiavi che mantiene la chiave di crittografia dei dati deve esistere nella stessa sottoscrizione del server.

    

14. In Tipo di archivio chiavi selezionare il pulsante di opzione corrispondente al tipo di archivio chiavi in cui si prevede di archiviare la chiave di crittografia dei dati. In questo esempio si sceglie Key Vault, ma l'esperienza è simile se si sceglie HSM gestito.

    

15. Espandere Key Vault (o HSM gestito, se è stato selezionato questo tipo di archiviazione) e selezionare l'istanza in cui esiste la chiave di crittografia dei dati.

    

    Annotazioni

    Quando si espande la casella a discesa, viene visualizzato Nessun elemento disponibile. L'elenco di tutte le istanze dell'insieme di credenziali delle chiavi distribuite nella stessa area del server richiede alcuni secondi.

16. Espandere Chiave e selezionare il nome della chiave da usare per la crittografia dei dati.

    

17. Se non è stato selezionato Usa aggiornamento automatico della versione della chiave, è necessario selezionare anche una versione specifica della chiave. A tale scopo, espandere Versione e selezionare l'identificatore della versione della chiave da usare per la crittografia dei dati.

    

18. Scegliere Seleziona.

    

19. Dopo aver soddisfatto le modifiche apportate, selezionare Salva.

    

CLI

È possibile configurare la crittografia dei dati con la chiave di crittografia assegnata dall'utente per un server esistente tramite il comando aggiorna server flessibile az postgres.

az postgres flexible-server update \
  --resource-group <resource_group> \
  --name <server> \
  --identity <managed_identity_to_access_primary_encryption_key> \
  --key <resource_identifier_of_primary_encryption_key> ...

Annotazioni

Potrebbe essere necessario completare il comando precedente con altri parametri la cui presenza e i cui valori variano a seconda di come si desidera configurare le altre funzionalità del server esistente.

Se si vuole modificare solo l'identità gestita assegnata dall'utente usata per accedere alla chiave o se si vuole solo modificare la chiave usata per la crittografia dei dati oppure modificarle entrambe contemporaneamente, è necessario specificare entrambi i parametri --identity e --key (o --backup-identity e --backup-key per i backup con ridondanza geografica). Se si specifica uno dei due, ma non entrambi, si verifica uno degli errori seguenti:

User assigned identity and keyvault key need to be provided together. Please provide --identity and --key together.

User assigned identity and keyvault key need to be provided together. Please provide --backup-identity and --backup-key together.

Se la chiave a cui punta il valore passato al parametro --key (o --backup-key per i backup con ridondanza geografica) non esiste o se l'identità gestita assegnata dall'utente il cui identificatore di risorsa viene passato al parametro --identity (or --backup-identity per i backup con ridondanza geografica), non dispone delle autorizzazioni necessarie per accedere alla chiave, viene visualizzato l'errore seguente:

Code: AzureKeyVaultKeyNameNotFound
Message: The operation could not be completed because the Azure Key Vault Key name '<key_vault_resource>' does not exist or User Assigned Identity does not have Get access to the Key (/azure/postgresql/flexible-server/concepts-data-encryption#requirements-for-configuring-data-encryption-for-azure-database-for-postgresql-flexible-server).

Se nel server sono abilitati i backup con ridondanza geografica, è possibile configurare la chiave usata per la crittografia dei backup con ridondanza geografica e l'identità usata per accedere a tale chiave. A tale scopo, è possibile usare i parametri --backup-identity e --backup-key.

az postgres flexible-server update \
  --resource-group <resource_group> \
  --name <server> \
  --backup-identity <managed_identity_to_access_georedundant_encryption_key> \
  --backup-key <resource_identifier_of_georedundant_encryption_key> ...

Se si passano i parametri --backup-identity e --backup-key al comando az postgres flexible server update e si fa riferimento a un server esistente in cui non è abilitato il backup con ridondanza geografica, viene visualizzato l'errore seguente:

Geo-redundant backup is not enabled. You cannot provide Geo-location user assigned identity and keyvault key.

Le identità, se esistenti e valide, che vengono passate ai parametri --identity e --backup-identity, vengono aggiunte automaticamente all'elenco delle identità gestite assegnate dall'utente che sono associate all'istanza del server flessibile di Azure Database per PostgreSQL. Questo è il caso anche se il comando in un secondo momento ha esito negativo con un altro errore. In questi casi, è possibile usare i comandi az postgres flexible-server identity per elencare, assegnare o rimuovere identità gestite assegnate dall'utente assegnate all'istanza del server flessibile di Database di Azure per PostgreSQL. Per altre informazioni sulla configurazione delle identità gestite assegnate dall'utente nell'istanza del server flessibile di Database di Azure per PostgreSQL, vedere Associare le identità gestite assegnate dall'utente ai server esistenti, annullare l'associazione delle identità gestite assegnate dall'utente ai server esistenti e visualizzare le identità gestite assegnate dall'utente associate.

Contenuti correlati

• Crittografia dei dati