Gegevensversleuteling voor Azure Database for MySQL met behulp van Azure Portal
VAN TOEPASSING OP: Azure Database for MySQL - enkele server
Belangrijk
Azure Database for MySQL enkele server bevindt zich op het buitengebruikstellingspad. We raden u ten zeerste aan een upgrade uit te voeren naar een flexibele Azure Database for MySQL-server. Zie Wat gebeurt er met Azure Database for MySQL Enkele server voor meer informatie over migreren naar Azure Database for MySQL Flexibele server ?
Meer informatie over het gebruik van Azure Portal voor het instellen en beheren van gegevensversleuteling voor uw Azure Database for MySQL.
Vereisten voor Azure CLI
U moet een Azure-abonnement hebben en een beheerder van dat abonnement zijn.
Maak in Azure Key Vault een sleutelkluis en een sleutel die moet worden gebruikt voor een door de klant beheerde sleutel.
De sleutelkluis moet de volgende eigenschappen hebben die moeten worden gebruikt als een door de klant beheerde sleutel:
-
az resource update --id $(az keyvault show --name \ <key_vault_name> -o tsv | awk '{print $1}') --set \ properties.enableSoftDelete=true
-
az keyvault update --name <key_vault_name> --resource-group <resource_group_name> --enable-purge-protection true
Retentiedagen ingesteld op 90 dagen
az keyvault update --name <key_vault_name> --resource-group <resource_group_name> --retention-days 90
-
De sleutel moet de volgende kenmerken hebben om te kunnen worden gebruikt als een door de klant beheerde sleutel:
- Geen vervaldatum
- Niet uitgeschakeld
- Get-, wrap-, unwrap-bewerkingen uitvoeren
- het kenmerk recoverylevel is ingesteld op Herstelbaar (hiervoor is voorlopig verwijderen ingeschakeld met retentieperiode ingesteld op 90 dagen)
- Beveiliging tegen leegmaken is ingeschakeld
U kunt de bovenstaande kenmerken van de sleutel controleren met behulp van de volgende opdracht:
az keyvault key show --vault-name <key_vault_name> -n <key_name>
De Azure Database for MySQL - Enkele server moet zich in de prijscategorie Algemeen gebruik of Geoptimaliseerd voor geheugen bevinden en voor opslag voor algemeen gebruik v2. Voordat u verdergaat, raadpleegt u beperkingen voor gegevensversleuteling met door de klant beheerde sleutels.
De juiste machtigingen instellen voor sleutelbewerkingen
Selecteer toegangsbeleid> toevoegen in Key Vault.
Selecteer Sleutelmachtigingen en selecteer Ophalen, Verpakken, Uitpakken en principal. Dit is de naam van de MySQL-server. Als uw server-principal niet kan worden gevonden in de lijst met bestaande principals, moet u deze registreren. U wordt gevraagd uw server-principal te registreren wanneer u voor het eerst gegevensversleuteling probeert in te stellen en mislukt.
Selecteer Opslaan.
Gegevensversleuteling instellen voor Azure Database for MySQL
Selecteer in Azure Database for MySQL Gegevensversleuteling om de door de klant beheerde sleutel in te stellen.
U kunt een sleutelkluis en sleutelpaar selecteren of een sleutel-id invoeren.
Selecteer Opslaan.
Start de server opnieuw op om ervoor te zorgen dat alle bestanden (inclusief tijdelijke bestanden) volledig zijn versleuteld.
Gegevensversleuteling gebruiken voor herstel- of replicaservers
Nadat Azure Database for MySQL is versleuteld met de beheerde sleutel van een klant die is opgeslagen in Key Vault, wordt elke nieuw gemaakte kopie van de server ook versleuteld. U kunt deze nieuwe kopie maken via een lokale of geo-herstelbewerking of via een replicabewerking (lokaal/tussen regio's). Voor een versleutelde MySQL-server kunt u dus de volgende stappen gebruiken om een versleutelde herstelde server te maken.
Selecteer Op de server Overzicht>herstellen.
Of voor een server met replicatie, onder de kop Instellingen , selecteert u Replicatie.
Nadat de herstelbewerking is voltooid, wordt de nieuwe server die is gemaakt, versleuteld met de sleutel van de primaire server. De functies en opties op de server zijn echter uitgeschakeld en de server is niet toegankelijk. Hiermee voorkomt u dat gegevens worden gemanipuleerd, omdat de identiteit van de nieuwe server nog niet is gemachtigd om toegang te krijgen tot de sleutelkluis.
Als u de server toegankelijk wilt maken, moet u de sleutel op de herstelde server opnieuwvalideren. Selecteer De sleutel Voor gegevensversleuteling opnieuwvalideren>.
Notitie
De eerste poging om opnieuw te worden gevalideerd, mislukt omdat de service-principal van de nieuwe server toegang moet krijgen tot de sleutelkluis. Als u de service-principal wilt genereren, selecteert u Revalidate-sleutel, die een fout weergeeft, maar de service-principal genereert. Hierna raadpleegt u deze stappen eerder in dit artikel.
U moet de sleutelkluis toegang geven tot de nieuwe server. Zie Toegangsbeleid voor Key Vault toewijzen voor meer informatie.
Nadat u de service-principal hebt geregistreerd, moet u de sleutel opnieuwvalideren en wordt de normale functionaliteit van de server hervat.