Azure Database for MySQL でのデータ暗号化のトラブルシューティング
適用対象: Azure Database for MySQL - シングル サーバー
重要
Azure Database for MySQL の単一サーバーは提供終了パスにあります。 Azure Database for MySQL フレキシブル サーバーにアップグレードすることを強くお勧めします。 Azure Database for MySQL フレキシブル サーバーへの移行の詳細については、「Azure Database for MySQL 単一サーバーの動作」を参照してください 。
この記事では、カスタマー マネージド キーを使用してデータ暗号化を構成した場合に Azure Database for MySQL で発生する可能性がある一般的な問題を特定し、解決する方法について説明します。
はじめに
Azure Key Vault でカスタマー マネージド キーを使用するようにデータ暗号化を構成する場合、サーバーにはキーへの継続的なアクセスが必要となります。 サーバーが Azure Key Vault のカスタマー マネージド キーにアクセスできなくなると、すべての接続が拒否され、該当するエラー メッセージが表示されて、Azure portal ではその状態が [アクセス不可] に変わります。
アクセスできない Azure Database for MySQL サーバーが不要になった場合は、それを削除してコストを発生させないようにすることができます。 キー コンテナーへのアクセスが復元され、サーバーが使用できるようになるまで、サーバーに対する他のすべての操作は許可されません。 また、アクセスできないサーバーがカスタマー マネージド キーで暗号化されている場合は、そのサーバーで Yes
(カスタマー マネージド) から No
(サービス マネージド) にデータ暗号化オプションを変更することもできません。 サーバーに再度アクセスできるようにするには、キーを手動で再検証する必要があります。 このアクションは、カスタマー マネージド キーへのアクセス許可が取り消されている間、データを不正アクセスから保護するために必要です。
サーバーにアクセスできなくなる原因となる一般的なエラー
Azure Key Vault キーを使用するデータ暗号化に関するほとんどの問題は、次のような構成ミスにより発生します。
キー コンテナーが使用できない、または存在しない。
- キー コンテナーが誤って削除された。
- 間欠的なネットワーク エラーのために、キー コンテナーを使用できない。
キー コンテナーへのアクセス許可がない、またはキーが存在しない。
- キーの有効期限が切れたか、誤って削除または無効化された。
- Azure Database for MySQL インスタンスのマネージド ID が誤って削除された。
- Azure Database for MySQL インスタンスのマネージド ID の、キーのアクセス許可が不十分である。 たとえば、アクセス許可に取得、ラップ、ラップ解除が含まれていない。
- Azure Database for MySQL インスタンスに対するマネージド ID のアクセス許可が取り消されたか、削除された。
一般的なエラーの識別と解決
Key Vault でのエラー
無効な Key Vault
AzureKeyVaultKeyDisabledMessage
- 説明:Azure Key Vault キーが無効になっているため、サーバーで操作を完了できませんでした。
Key Vault アクセス許可がない
AzureKeyVaultMissingPermissionsMessage
- 説明:サーバーに、Azure Key Vault に対して必要な取得、ラップ、およびラップ解除のアクセス許可がありません。 ID でサービス プリンシパルに欠落しているアクセス許可を付与します。
対応策
- カスタマー マネージド キーが、キー コンテナーに存在することを確認します。
- キー コンテナーを識別した後、Azure portal でそのキー コンテナーに移動します。
- キー URI により、存在するキーが特定されていることを確認します。
次のステップ
Azure portal を使用して、Azure Database for MySQL でカスタマー マネージド キーによるデータ暗号化を設定します