Condividi tramite


Risolvere i problemi di crittografia dei dati in Database di Azure per MySQL

SI APPLICA A: Database di Azure per MySQL - Server singolo

Importante

Il server singolo del Database di Azure per MySQL è in fase di ritiro. È consigliabile eseguire l'aggiornamento al server flessibile del Database di Azure per MySQL. Per altre informazioni sulla migrazione a Database di Azure per MySQL - Server flessibile, vedere Cosa succede a Database di Azure per MySQL - Server singolo?

Questo articolo descrive come identificare e risolvere i problemi comuni che possono verificarsi in Database di Azure per MySQL quando sono configurati con la crittografia dei dati usando una chiave gestita dal cliente.

Introduzione

Quando si configura la crittografia dei dati per l'uso di una chiave gestita dal cliente in Azure Key Vault, i server richiedono l'accesso continuo alla chiave. Se il server perde l'accesso alla chiave gestita dal cliente in Azure Key Vault, negherà tutte le connessioni, restituirà il messaggio di errore appropriato e ne cambierà lo stato in Inaccessibile nel portale di Azure.

Se non è più necessario un server di Database di Azure per MySQL inaccessibile, è possibile eliminarlo per interrompere l'incorrere in costi. Non sono consentite altre azioni sul server finché non viene ripristinato l'accesso all'insieme di credenziali delle chiavi e il server è disponibile. Non è inoltre possibile modificare l'opzione di crittografia dei dati da (gestita dal Yescliente) a No (gestita dal cliente) in un server inaccessibile quando viene crittografata con una chiave gestita dal cliente. Sarà necessario riconvalidare manualmente la chiave prima che il server sia nuovamente accessibile. Questa azione è necessaria per proteggere i dati dall'accesso non autorizzato mentre vengono revocate le autorizzazioni per la chiave gestita dal cliente.

Errori comuni che causano l'inaccessibile del server

Le configurazioni errate seguenti causano la maggior parte dei problemi di crittografia dei dati che usano le chiavi di Azure Key Vault:

  • L'insieme di credenziali delle chiavi non è disponibile o non esiste:

    • L'insieme di credenziali delle chiavi è stato eliminato per errore.
    • Un errore di rete intermittente rende non disponibile l'insieme di credenziali delle chiavi.
  • Non si dispone delle autorizzazioni per accedere all'insieme di credenziali delle chiavi o la chiave non esiste:

    • La chiave è scaduta o è stata eliminata o disabilitata accidentalmente.
    • L'identità gestita dell'istanza di Database di Azure per MySQL è stata eliminata accidentalmente.
    • L'identità gestita dell'istanza di Database di Azure per MySQL non dispone di autorizzazioni di chiave sufficienti. Ad esempio, le autorizzazioni non includono Get, Wrap e Unwrap.
    • Le autorizzazioni dell'identità gestita per l'istanza di Database di Azure per MySQL sono state revocate o eliminate.

Identificare e risolvere gli errori comuni

Errori nell'insieme di credenziali delle chiavi

Insieme di credenziali delle chiavi disabilitato

  • AzureKeyVaultKeyDisabledMessage
  • Spiegazione: Impossibile completare l'operazione nel server perché la chiave di Azure Key Vault è disabilitata.

Autorizzazioni dell'insieme di credenziali delle chiavi mancanti

  • AzureKeyVaultMissingPermissionsMessage
  • Spiegazione: il server non dispone delle autorizzazioni Get, Wrap e Unwrap necessarie per Azure Key Vault. Concedere le autorizzazioni mancanti all'entità servizio con ID.

Strategia di riduzione del rischio

  • Verificare che la chiave gestita dal cliente sia presente nell'insieme di credenziali delle chiavi.
  • Identificare l'insieme di credenziali delle chiavi, quindi passare all'insieme di credenziali delle chiavi nel portale di Azure.
  • Assicurarsi che l'URI della chiave identifichi una chiave presente.

Passaggi successivi

Usare il portale di Azure per configurare la crittografia dei dati con una chiave gestita dal cliente in Database di Azure per MySQL