Delen via

Gegevensversleuteling voor Azure Database for MySQL met behulp van Azure Portal

  • Artikel

VAN TOEPASSING OP: Azure Database for MySQL - enkele server

Belangrijk

Azure Database for MySQL enkele server bevindt zich op het buitengebruikstellingspad. We raden u ten zeerste aan een upgrade uit te voeren naar een flexibele Azure Database for MySQL-server. Zie Wat gebeurt er met Azure Database for MySQL Enkele server voor meer informatie over migreren naar Azure Database for MySQL Flexibele server ?

Meer informatie over het gebruik van Azure Portal voor het instellen en beheren van gegevensversleuteling voor uw Azure Database for MySQL.

Vereisten voor Azure CLI

  • U moet een Azure-abonnement hebben en een beheerder van dat abonnement zijn.

  • Maak in Azure Key Vault een sleutelkluis en een sleutel die moet worden gebruikt voor een door de klant beheerde sleutel.

  • De sleutelkluis moet de volgende eigenschappen hebben die moeten worden gebruikt als een door de klant beheerde sleutel:

    • Voorlopig verwijderen

      az resource update --id $(az keyvault show --name \ <key_vault_name> -o tsv | awk '{print $1}') --set \ properties.enableSoftDelete=true

    • Beveiligd opschonen

      az keyvault update --name <key_vault_name> --resource-group <resource_group_name>  --enable-purge-protection true

    • Retentiedagen ingesteld op 90 dagen

      az keyvault update --name <key_vault_name> --resource-group <resource_group_name>  --retention-days 90

  • De sleutel moet de volgende kenmerken hebben om te kunnen worden gebruikt als een door de klant beheerde sleutel:

    • Geen vervaldatum
    • Niet uitgeschakeld
    • Get-, wrap-, unwrap-bewerkingen uitvoeren
    • het kenmerk recoverylevel is ingesteld op Herstelbaar (hiervoor is voorlopig verwijderen ingeschakeld met retentieperiode ingesteld op 90 dagen)
    • Beveiliging tegen leegmaken is ingeschakeld

    U kunt de bovenstaande kenmerken van de sleutel controleren met behulp van de volgende opdracht:

    az keyvault key show --vault-name <key_vault_name> -n <key_name>

  • De Azure Database for MySQL - Enkele server moet zich in de prijscategorie Algemeen gebruik of Geoptimaliseerd voor geheugen bevinden en voor opslag voor algemeen gebruik v2. Voordat u verdergaat, raadpleegt u beperkingen voor gegevensversleuteling met door de klant beheerde sleutels.

De juiste machtigingen instellen voor sleutelbewerkingen

  1. Selecteer toegangsbeleid> toevoegen in Key Vault.

    Schermopname van Key Vault, met Toegangsbeleid en Toegangsbeleid toevoegen gemarkeerd

  2. Selecteer Sleutelmachtigingen en selecteer Ophalen, Verpakken, Uitpakken en principal. Dit is de naam van de MySQL-server. Als uw server-principal niet kan worden gevonden in de lijst met bestaande principals, moet u deze registreren. U wordt gevraagd uw server-principal te registreren wanneer u voor het eerst gegevensversleuteling probeert in te stellen en mislukt.

    Overzicht van toegangsbeleid

  3. Selecteer Opslaan.

Gegevensversleuteling instellen voor Azure Database for MySQL

  1. Selecteer in Azure Database for MySQL Gegevensversleuteling om de door de klant beheerde sleutel in te stellen.

    Schermopname van Azure Database for MySQL, met Gegevensversleuteling gemarkeerd

  2. U kunt een sleutelkluis en sleutelpaar selecteren of een sleutel-id invoeren.

    Schermopname van Azure Database for MySQL, met opties voor gegevensversleuteling gemarkeerd

  3. Selecteer Opslaan.

  4. Start de server opnieuw op om ervoor te zorgen dat alle bestanden (inclusief tijdelijke bestanden) volledig zijn versleuteld.

Gegevensversleuteling gebruiken voor herstel- of replicaservers

Nadat Azure Database for MySQL is versleuteld met de beheerde sleutel van een klant die is opgeslagen in Key Vault, wordt elke nieuw gemaakte kopie van de server ook versleuteld. U kunt deze nieuwe kopie maken via een lokale of geo-herstelbewerking of via een replicabewerking (lokaal/tussen regio's). Voor een versleutelde MySQL-server kunt u dus de volgende stappen gebruiken om een versleutelde herstelde server te maken.

  1. Selecteer Op de server Overzicht>herstellen.

    Schermopname van Azure Database for MySQL, met Overzicht en Herstellen gemarkeerd

    Of voor een server met replicatie, onder de kop Instellingen , selecteert u Replicatie.

    Schermopname van Azure Database for MySQL, met Replicatie gemarkeerd

  2. Nadat de herstelbewerking is voltooid, wordt de nieuwe server die is gemaakt, versleuteld met de sleutel van de primaire server. De functies en opties op de server zijn echter uitgeschakeld en de server is niet toegankelijk. Hiermee voorkomt u dat gegevens worden gemanipuleerd, omdat de identiteit van de nieuwe server nog niet is gemachtigd om toegang te krijgen tot de sleutelkluis.

    Schermopname van Azure Database for MySQL, met de status Niet toegankelijk gemarkeerd

  3. Als u de server toegankelijk wilt maken, moet u de sleutel op de herstelde server opnieuwvalideren. Selecteer De sleutel Voor gegevensversleuteling opnieuwvalideren>.

    Notitie

    De eerste poging om opnieuw te worden gevalideerd, mislukt omdat de service-principal van de nieuwe server toegang moet krijgen tot de sleutelkluis. Als u de service-principal wilt genereren, selecteert u Revalidate-sleutel, die een fout weergeeft, maar de service-principal genereert. Hierna raadpleegt u deze stappen eerder in dit artikel.

    Schermopname van Azure Database for MySQL, met de stap voor opnieuwvalidatie gemarkeerd

    U moet de sleutelkluis toegang geven tot de nieuwe server. Zie Toegangsbeleid voor Key Vault toewijzen voor meer informatie.

  4. Nadat u de service-principal hebt geregistreerd, moet u de sleutel opnieuwvalideren en wordt de normale functionaliteit van de server hervat.

    Schermopname van Azure Database for MySQL, met herstelde functionaliteit

Volgende stappen