この記事では、Azure Database for PostgreSQL フレキシブル サーバー インスタンスのデータ暗号化を構成する手順について説明します。
Important
データ暗号化にシステム マネージド キーまたはカスタマー マネージド キーのどちらを使用するかを決定できる唯一のポイントは、サーバーの作成時です。 その決定を行い、サーバーを作成したら、2 つのオプションを切り替えることはできません。
この記事では、新しいサーバーを作成し、そのデータ暗号化オプションを構成する方法について説明します。 顧客が管理する暗号化キーを使用するようにデータ暗号化が構成されている既存のサーバーについては、以下を学習します。
- サービスが暗号化キーにアクセスする別のユーザー割り当てマネージド ID を選択する方法。
- 別の暗号化キーを指定する方法、または現在データ暗号化に使用されている暗号化キーをローテーションする方法。
Azure Database for PostgreSQL のコンテキストでのデータ暗号化の詳細については、 データ暗号化に関するページを参照してください。
サーバーのプロビジョニング中にシステム マネージド キーを使用してデータ暗号化を構成する
Azure portal を使用して以下を実行します。
新しい Azure Database for PostgreSQL フレキシブル サーバー インスタンスのプロビジョニング中に、[ セキュリティ ] タブでデータ暗号化が構成されます。 [データ暗号化キー] で、[ サービスマネージド キー ] ラジオ ボタンを選択します。
geo 冗長バックアップ ストレージをサーバーと共にプロビジョニングできるようにする場合、サーバーが 2 つの個別の暗号化キーを使用するため、[ セキュリティ ] タブの側面が若干変わります。 1 つはサーバーをデプロイするプライマリ リージョン用、もう 1 つはサーバー バックアップが非同期的にレプリケートされるペアリージョン用です。
サーバーのプロビジョニング中にカスタマー マネージド キーを使用してデータ暗号化を構成する
Azure portal を使用して以下を実行します。
- ユーザー割り当てマネージド ID がまだない場合は、1 つ作成します。 サーバーで geo 冗長バックアップが有効になっている場合は、別の ID に作成する必要があります。 これらの各 ID は、2 つのデータ暗号化キーのそれぞれにアクセスするために使用されます。
注
これは必須ではありませんが、リージョンの回復性を維持するために、サーバーと同じリージョンにユーザー マネージド ID を作成することをお勧めします。 また、サーバーで geo バックアップ冗長が有効になっている場合は、geo 冗長バックアップのデータ暗号化キーへのアクセスに使用される 2 番目のユーザー マネージド ID を、サーバーの ペアリージョン に作成することをお勧めします。
- キー ストアがまだ 1 つ作成されていない場合は、Azure Key Vault を 1 つ作成するか、1 つの Managed HSM を作成します。 要件を満たしていることを確認します。 また、キー ストアを構成する前と、キーを作成して必要なアクセス許可をユーザー割り当てマネージド ID に割り当てる前に、 推奨事項 に従ってください。 サーバーで geo 冗長バックアップが有効になっている場合は、2 つ目のキー ストアを作成する必要があります。 その 2 つ目のキー ストアは、サーバーの ペアになっているリージョン にコピーされたバックアップが暗号化されるデータ暗号化キーを保持するために使用されます。
注
データ暗号化キーを保持するために使用するキー ストアは、サーバーと同じリージョンにデプロイする必要があります。 また、サーバーで geo バックアップ冗長が有効になっている場合は、geo 冗長バックアップのデータ暗号化キーを保持するキー ストアを、サーバーの ペアリージョン に作成する必要があります。
キーストアにキーを 1 つ作成します。 サーバーで geo 冗長バックアップが有効になっている場合は、各キー ストアに 1 つのキーが必要です。 これらのキーのいずれかを使用して、すべてのサーバーのデータ (すべてのシステム データベースとユーザー データベース、一時ファイル、サーバー ログ、先書きログ セグメント、バックアップを含む) を暗号化します。 2 番目のキーを使用して、サーバーの ペアになっているリージョン に非同期的にコピーされるバックアップのコピーを暗号化します。
新しい Azure Database for PostgreSQL フレキシブル サーバー インスタンスのプロビジョニング中に、[ セキュリティ ] タブでデータ暗号化が構成されます。 [データ暗号化キー] で、[ カスタマー マネージド キー ] ラジオ ボタンを選択します。
geo 冗長バックアップ ストレージをサーバーと共にプロビジョニングできるようにする場合、サーバーが 2 つの個別の暗号化キーを使用するため、[ セキュリティ ] タブの側面が若干変わります。 1 つはサーバーをデプロイするプライマリ リージョン用、もう 1 つはサーバー バックアップが非同期的にレプリケートされるペアリージョン用です。
[ユーザー割り当てマネージド ID] で、[ID の変更] を選択します。
ユーザー割り当てマネージド ID の一覧から、Azure Key Vault に格納されているデータ暗号化キーへのアクセスにサーバーで使用するものを選択します。
[] を選択し、[] を追加します。
![サーバーがデータ暗号化キーにアクセスする ID を割り当てる [追加] ボタンの場所を示すスクリーンショット。](media/security-configure-data-encryption/create-server-customer-assigned-add-identity.png)
現在のバージョンが手動または自動的にローテーションされるたびに、選択したキーの最新バージョンへの参照をサービスで自動的に更新できるようにする場合は、[キーバージョンの 自動更新を使用する] を選択します。 キーバージョンの自動更新を使用する利点については、キーバージョンの自動更新に関 する記事を参照してください。
[ キーの選択] を選択します。
サブスクリプション には、サーバーが作成されるサブスクリプションの名前が自動的に設定されます。 データ暗号化キーを保持するキー ストアは、サーバーと同じサブスクリプションに存在する必要があります。
[ キー ストアの種類] で、データ暗号化キーを格納するキー ストアの種類に対応するラジオ ボタンを選択します。 この例では、 キー コンテナーを選択しますが、 Managed HSM を選択した場合のエクスペリエンスは似ています。
キー コンテナー (または、そのストレージの種類を選択した場合は Managed HSM) を展開し、データ暗号化キーが存在するインスタンスを選択します。
注
ドロップダウン ボックスを展開すると、[ 使用可能な項目がありません] と表示されます。 サーバーと同じリージョンにデプロイされているキー コンテナーのすべてのインスタンスが一覧表示されるまで、数秒かかります。
[ キー] を展開し、データ暗号化に使用するキーの名前を選択します。
[ キーバージョンの自動更新を使用する] を選択しなかった場合は、特定のバージョンのキーも選択する必要があります。 これを行うには、[ バージョン] を展開し、データ暗号化に使用するキーのバージョンの識別子を選択します。
[ 選択] を選択します。
新しいサーバーの他のすべての設定を構成し、[ 確認と作成] を選択します。
![サーバーがデータ暗号化キーにアクセスする ID を割り当てる [追加] ボタンの場所を示すスクリーンショット。](media/security-configure-data-encryption/create-server-customer-assigned-add-identity.png#lightbox)
既存のサーバーでカスタマー マネージド キーを使用してデータ暗号化を構成する
データ暗号化にシステム マネージド キーまたはカスタマー マネージド キーのどちらを使用するかを決定できる唯一のポイントは、サーバーの作成時です。 その決定を行い、サーバーを作成したら、2 つのオプションを切り替えることはできません。 1 つから別のバックアップに変更する場合は、 サーバーで使用可能なすべてのバックアップを新しいサーバーに復元する必要があります。 復元の構成中に、新しいサーバーのデータ暗号化構成を変更することができます。
カスタマー マネージド キーを使用してデータ暗号化を使用してデプロイされた既存のサーバーでは、いくつかの構成変更を実行できます。 変更できる点は、暗号化に使用されるキーへの参照と、キー ストアに保持されているキーにアクセスするためにサービスによって使用されるユーザー割り当てマネージド ID への参照です。
Azure Database for PostgreSQL のフレキシブル サーバー インスタンスが保持するキーへの参照を更新する必要があります。
- キー ストアに格納されているキーが手動または自動でローテーションされ、Azure Database for PostgreSQL フレキシブル サーバー インスタンスが特定のバージョンのキーを指している場合。 キーを指しているが、特定のバージョンのキーを指していない場合 (自動 キー バージョンの更新を有効 にした場合)、キーが手動または自動的にローテーションされるたびに、サービスによって最新バージョンのキーが自動的に参照されます。
- 別のキー ストアに格納されている同じキーまたは別のキーを使用する場合。
別の ID を使用する場合は常に、Azure Database for PostgreSQL フレキシブル サーバー インスタンスが暗号化キーにアクセスするために使用するユーザー割り当てマネージド ID を更新する必要があります。
Azure portal を使用して以下を実行します。
Azure Database for PostgreSQL フレキシブル サーバー インスタンスを選択します。
リソース メニューの [ セキュリティ] で、[ データ暗号化] を選択します。
サーバーがキーが保持されているキー ストアにアクセスするユーザー割り当てマネージド ID を変更するには、[ ユーザー割り当てマネージド ID ] ドロップダウンを展開し、使用可能な ID のいずれかを選択します。
注
コンボ ボックスに表示される ID は、Azure Database for PostgreSQL フレキシブル サーバー インスタンスが割り当てられた ID のみです。 これは必須ではありませんが、リージョンの回復性を維持するために、サーバーと同じリージョンのユーザー マネージド ID を選択することをお勧めします。 また、サーバーで geo バックアップ冗長が有効になっている場合は、geo 冗長バックアップのデータ暗号化キーへのアクセスに使用される 2 番目のユーザー マネージド ID が、サーバーの ペアになっているリージョン に存在することをお勧めします。
データ暗号化キーへのアクセスに使用するユーザー割り当てマネージド ID が Azure Database for PostgreSQL フレキシブル サーバー インスタンスに割り当てられず、Microsoft Entra ID に対応するオブジェクトを持つ Azure リソースとして存在しない場合は、[ 作成] を選択して作成できます。
[ ユーザー割り当てマネージド ID の作成 ] パネルで、作成するユーザー割り当てマネージド ID の詳細を入力し、データ暗号化キーにアクセスするために Azure Database for PostgreSQL フレキシブル サーバー インスタンスに自動的に割り当てます。
データ暗号化キーへのアクセスに使用するユーザー割り当てマネージド ID が Azure Database for PostgreSQL フレキシブル サーバー インスタンスに割り当てられていないが、Microsoft Entra ID 内の対応するオブジェクトを持つ Azure リソースとして存在する場合は、[ 選択] を選択して割り当てることができます。
ユーザー割り当てマネージド ID の一覧から、Azure Key Vault に格納されているデータ暗号化キーへのアクセスにサーバーで使用するものを選択します。
[] を選択し、[] を追加します。
現在のバージョンが手動または自動的にローテーションされるたびに、選択したキーの最新バージョンへの参照をサービスで自動的に更新できるようにする場合は、[キーバージョンの 自動更新を使用する] を選択します。 キーバージョンの自動更新を使用する利点については、「[キー バージョンの自動更新](concepts-data-encryption.md##CMK キー バージョンの更新)」を参照してください。
キーをローテーションし、[キー の自動バージョン更新を使用する] が有効になっていない場合。 または、別のキーを使用する場合は、Azure Database for PostgreSQL フレキシブル サーバー インスタンスを更新して、新しいキー バージョンまたは新しいキーを指す必要があります。 これを行うには、キーのリソース識別子をコピーし、[ キー識別子 ] ボックスに貼り付けます。
Azure portal にアクセスするユーザーに、キー ストアに格納されているキーにアクセスするためのアクセス許可がある場合は、別の方法を使用して、新しいキーまたは新しいキー バージョンを選択できます。 これを行うには、[ キーの選択方法] で [キーの選択] ラジオ ボタン を選択 します。
[ キーの選択] を選択します。
サブスクリプション には、サーバーが作成されるサブスクリプションの名前が自動的に設定されます。 データ暗号化キーを保持するキー ストアは、サーバーと同じサブスクリプションに存在する必要があります。
[ キー ストアの種類] で、データ暗号化キーを格納するキー ストアの種類に対応するラジオ ボタンを選択します。 この例では、 キー コンテナーを選択しますが、 Managed HSM を選択した場合のエクスペリエンスは似ています。
キー コンテナー (または、そのストレージの種類を選択した場合は Managed HSM) を展開し、データ暗号化キーが存在するインスタンスを選択します。
注
ドロップダウン ボックスを展開すると、[ 使用可能な項目がありません] と表示されます。 サーバーと同じリージョンにデプロイされているキー コンテナーのすべてのインスタンスが一覧表示されるまで、数秒かかります。
[ キー] を展開し、データ暗号化に使用するキーの名前を選択します。
[ キーバージョンの自動更新を使用する] を選択しなかった場合は、特定のバージョンのキーも選択する必要があります。 これを行うには、[ バージョン] を展開し、データ暗号化に使用するキーのバージョンの識別子を選択します。
[ 選択] を選択します。
加えられた変更に問題がなければ、[ 保存] を選択します。
