Włączanie szyfrowania danych przy użyciu kluczy zarządzanych przez klienta w usłudze Azure Cosmos DB for PostgreSQL

DOTYCZY: Usługa Azure Cosmos DB for PostgreSQL (obsługiwana przez rozszerzenie bazy danych Citus do bazy danych PostgreSQL)

Wymagania wstępne

• Istniejące konto usługi Azure Cosmos DB for PostgreSQL.
  • Jeśli masz subskrypcję platformy Azure, utwórz nowe konto.
  • Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.
  • Alternatywnie możesz wypróbować usługę Azure Cosmos DB bezpłatnie przed zatwierdzeniem.

Włączanie szyfrowania danych przy użyciu kluczy zarządzanych przez klienta

Ważne

Utwórz wszystkie następujące zasoby w tym samym regionie, w którym zostanie wdrożony klaster usługi Azure Cosmos DB for PostgreSQL.

1. Utwórz tożsamość zarządzaną przypisaną przez użytkownika. Obecnie usługa Azure Cosmos DB for PostgreSQL obsługuje tylko tożsamości zarządzane przypisane przez użytkownika.

2. Utwórz usługę Azure Key Vault i dodaj zasady dostępu do utworzonej tożsamości zarządzanej przypisanej przez użytkownika z następującymi uprawnieniami klucza: Pobierz, Odpakuj klucz i Opakuj klucz.

3. Wygeneruj klucz w magazynie kluczy (obsługiwane typy kluczy: RSA 2048, 3071, 4096).

4. Wybierz opcję szyfrowania kluczy zarządzanych przez klienta podczas tworzenia klastra usługi Azure Cosmos DB for PostgreSQL i wybierz odpowiednią tożsamość zarządzaną przypisaną przez użytkownika, magazyn kluczy i klucz utworzony w krokach 1, 2 i 3.

Szczegółowe procedury

Tożsamość zarządzana przypisana przez użytkownika

1. Wyszukaj pozycję Tożsamości zarządzane na pasku wyszukiwania globalnego.

   

2. Utwórz nową tożsamość zarządzaną przypisaną przez użytkownika w tym samym regionie co klaster usługi Azure Cosmos DB for PostgreSQL.

   

Dowiedz się więcej o tożsamości zarządzanej przypisanej przez użytkownika.

Key Vault

Używanie kluczy zarządzanych przez klienta z usługą Azure Cosmos DB for PostgreSQL wymaga ustawienia dwóch właściwości w wystąpieniu usługi Azure Key Vault, które ma być używane do hostowania kluczy szyfrowania: Usuwanie nietrwałe i przeczyszczanie ochrony.

1. Jeśli tworzysz nowe wystąpienie usługi Azure Key Vault, włącz te właściwości podczas tworzenia:

   

2. Jeśli używasz istniejącego wystąpienia usługi Azure Key Vault, możesz sprawdzić, czy te właściwości są włączone, przeglądając sekcję Właściwości w witrynie Azure Portal. Jeśli którakolwiek z tych właściwości nie jest włączona, zobacz sekcje "Włączanie usuwania nietrwałego" i "Włączanie ochrony przed przeczyszczeniem" w jednym z poniższych artykułów.

   • Jak używać usuwania nietrwałego za pomocą programu PowerShell.
   • Jak używać usuwania nietrwałego za pomocą interfejsu wiersza polecenia platformy Azure.

3. Magazyn kluczy musi być ustawiony z 90 dni na przechowywanie usuniętych magazynów przez dni. Jeśli istniejący magazyn kluczy jest skonfigurowany z mniejszą liczbą, należy utworzyć nowy magazyn kluczy, ponieważ tego ustawienia nie można zmodyfikować po utworzeniu.

   Ważne

   Wystąpienie usługi Azure Key Vault musi zezwalać na dostęp publiczny ze wszystkich sieci.

Dodawanie zasad dostępu do usługi Key Vault

1. W witrynie Azure Portal przejdź do wystąpienia usługi Azure Key Vault, które ma być używane do hostowania kluczy szyfrowania. Wybierz pozycję Konfiguracja dostępu z menu po lewej stronie. Upewnij się, że w obszarze Model uprawnień wybrano zasady dostępu magazynu, a następnie wybierz pozycję Przejdź do zasad dostępu.

   

2. Wybierz + Utwórz.

3. Na karcie Uprawnienia w menu rozwijanym Uprawnienia klucza wybierz pozycję Pobierz, Odpakuj klucz i Opakuj uprawnienia klucza.

   

4. Na karcie Podmiot zabezpieczeń wybierz tożsamość zarządzaną przypisaną przez użytkownika utworzoną w kroku wymagań wstępnych.

5. Przejdź do pozycji Przejrzyj i utwórz wybierz pozycję Utwórz.

Tworzenie/importowanie klucza

1. W witrynie Azure Portal przejdź do wystąpienia usługi Azure Key Vault, które ma być używane do hostowania kluczy szyfrowania.

2. Wybierz pozycję Klucze z menu po lewej stronie, a następnie wybierz pozycję +Generuj/Importuj.

   

3. Klucz zarządzany przez klienta, który ma być używany do szyfrowania klucza DEK, może być tylko asymetryczny typ klucza RSA. Obsługiwane są wszystkie rozmiary kluczy RSA 2048, 3072 i 4096.

4. Data aktywacji klucza (jeśli ustawiona) musi być datą i godziną w przeszłości. Data wygaśnięcia (jeśli jest ustawiona) musi być w przyszłości datą i godziną.

5. Klucz musi być w stanie Włączone.

6. Jeśli importujesz istniejący klucz do magazynu kluczy, upewnij się, że został on w obsługiwanych formatach plików (.pfx, .byok, .backup).

7. Jeśli ręcznie obracasz klucz, stara wersja klucza nie powinna być usuwana przez co najmniej 24 godziny.

Włączanie szyfrowania CMK podczas aprowizacji nowego klastra

Portal

1. Podczas aprowizacji nowego klastra usługi Azure Cosmos DB for PostgreSQL po podaniu niezbędnych informacji na kartach Podstawy i sieć przejdź do karty Szyfrowanie .

2. Wybierz pozycję Klucz zarządzany przez klienta w obszarze Opcja Klucz szyfrowania danych.

3. Wybierz tożsamość zarządzaną przypisaną przez użytkownika utworzoną w poprzedniej sekcji.

4. Wybierz magazyn kluczy utworzony w poprzednim kroku, który ma zasady dostępu do tożsamości zarządzanej użytkownika wybranej w poprzednim kroku.

5. Wybierz klucz utworzony w poprzednim kroku, a następnie wybierz pozycję Przejrzyj i utwórz.

6. Po utworzeniu klastra sprawdź, czy szyfrowanie cmK jest włączone, przechodząc do bloku Szyfrowanie danych klastra usługi Azure Cosmos DB for PostgreSQL w witrynie Azure Portal.

Uwaga

Szyfrowanie danych można skonfigurować tylko podczas tworzenia nowego klastra i nie można go zaktualizować w istniejącym klastrze. Obejściem aktualizacji konfiguracji szyfrowania w istniejącym klastrze jest wykonanie przywracania klastra i skonfigurowanie szyfrowania danych podczas tworzenia nowo przywróconego klastra.

Szablon ARM

   {
       "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "serverGroupName": {
               "type": "string"
           },
           "location": {
               "type": "string"
           },
           "administratorLoginPassword": {
               "type": "secureString"
           },
           "previewFeatures": {
               "type": "bool"
           },
           "postgresqlVersion": {
               "type": "string"
           },
           "coordinatorVcores": {
               "type": "int"
           },
           "coordinatorStorageSizeMB": {
               "type": "int"
           },
           "numWorkers": {
               "type": "int"
           },
           "workerVcores": {
               "type": "int"
           },
           "workerStorageSizeMB": {
               "type": "int"
           },
           "enableHa": {
               "type": "bool"
           },
           "enablePublicIpAccess": {
               "type": "bool"
           },
           "serverGroupTags": {
               "type": "object"
           },
           "userAssignedIdentityUrl": {
               "type": "string"
           },
           "encryptionKeyUrl": {
               "type": "string"
           }
       },
       "variables": {},
       "resources": [
           {
               "name": "[parameters('serverGroupName')]",
               "type": "Microsoft.DBforPostgreSQL/serverGroupsv2",
               "kind": "CosmosDBForPostgreSQL",
               "apiVersion": "2020-10-05-privatepreview",
               "identity":
               {
                   "type": "UserAssigned",
                   "userAssignedIdentities":
                   {
                       "/subscriptions/04b0358b-392b-41d6-899e-b75cb292321e/resourcegroups/yogkuleuapcmkmarlintest/providers/Microsoft.ManagedIdentity/userAssignedIdentities/marlincmktesteus2euapuai1": {}
                   }
               },
               "location": "[parameters('location')]",
               "tags": "[parameters('serverGroupTags')]",
               "properties": {
                   "createMode": "Default",
                   "administratorLogin": "citus",
                   "administratorLoginPassword": "[parameters('administratorLoginPassword')]",
                   "backupRetentionDays": 35,
                   "enableMx": false,
                   "enableZfs": false,
                   "previewFeatures": "[parameters('previewFeatures')]",
                   "postgresqlVersion": "[parameters('postgresqlVersion')]",
                   "dataencryption":
                   {
                       "primaryKeyUri": "[parameters('encryptionKeyUrl')]",
                       "primaryUserAssignedIdentityId": "[parameters('userAssignedIdentityUrl')]",
                       "type": "AzureKeyVault"
                   },
                   "serverRoleGroups": [
                       {
                           "name": "",
                           "role": "Coordinator",
                           "serverCount": 1,
                           "serverEdition": "GeneralPurpose",
                           "vCores": "[parameters('coordinatorVcores')]",
                           "storageQuotaInMb": "[parameters('coordinatorStorageSizeMB')]",
                           "enableHa": "[parameters('enableHa')]"
                       },
                       {
                           "name": "",
                           "role": "Worker",
                           "serverCount": "[parameters('numWorkers')]",
                           "serverEdition": "MemoryOptimized",
                           "vCores": "[parameters('workerVcores')]",
                           "storageQuotaInMb": "[parameters('workerStorageSizeMB')]",
                           "enableHa": "[parameters('enableHa')]",
                           "enablePublicIpAccess": "[parameters('enablePublicIpAccess')]"
                       }
                   ]
               },
               "dependsOn": []
           }
       ],
       "outputs": {}
   }

Wysoka dostępność

Po włączeniu szyfrowania cmK w klastrze podstawowym wszystkie węzły rezerwowe wysokiej dostępności są automatycznie szyfrowane przez klucz klastra podstawowego.

Zmiana konfiguracji szyfrowania przez wykonanie przywracania do punktu w czasie

Konfigurację szyfrowania można zmienić z szyfrowania zarządzanego przez usługę na szyfrowanie zarządzane przez klienta lub na odwrót podczas wykonywania operacji przywracania klastra (PITR — przywracanie do punktu w czasie).

Portal

1. Przejdź do bloku Szyfrowanie danych i wybierz pozycję Zainicjuj operację przywracania. Alternatywnie możesz wykonać funkcję PITR, wybierając opcję Przywróć w bloku Przegląd .

2. Szyfrowanie danych można zmienić/skonfigurować na karcie Szyfrowanie na stronie przywracania klastra.

Szablon ARM

   {
       "$schema": "http://schema.management.azure.com/schemas/2014-04-01-preview/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "location": {
               "type": "string"
           },
           "sourceLocation": {
               "type": "string"
           },
           "subscriptionId": {
               "type": "string"
           },
           "resourceGroupName": {
               "type": "string"
           },
           "serverGroupName": {
               "type": "string"
           },
           "sourceServerGroupName": {
               "type": "string"
           },
           "restorePointInTime": {
               "type": "string"
           },
           "encryptionKeyUrl": {
               "type": "string"
           },
           "userAssignedIdentityUrl": {
               "type": "string"
           }
       },
       "variables": {
           "api": "2020-02-14-privatepreview"
       },
       "resources": [
           {
               "apiVersion": "2020-10-05-privatepreview",
               "location": "[parameters('location')]",
               "name": "[parameters('serverGroupName')]",
               "identity":
               {
                   "type": "UserAssigned",
                   "userAssignedIdentities":
                   {
                       "/subscriptions/04b0358b-392b-41d6-899e-b75cb292321e/resourcegroups/yogkuleuapcmkmarlintest/providers/Microsoft.ManagedIdentity/userAssignedIdentities/marlincmktesteus2euapuai1": {}
                   }
               },
               "properties": {
                   "createMode": "PointInTimeRestore",
                   "sourceServerGroupName": "[parameters('sourceServerGroupName')]",
                   "pointInTimeUTC": "[parameters('restorePointInTime')]",
                   "sourceLocation": "[parameters('location')]",
                   "sourceSubscriptionId": "[parameters('subscriptionId')]",
                   "sourceResourceGroupName": "[parameters('resourceGroupName')]",
                   "enableMx": false,
                   "enableZfs": false,
                   "dataencryption":
                   {
                       "primaryKeyUri": "[parameters('encryptionKeyUrl')]",
                       "primaryUserAssignedIdentityId": "[parameters('userAssignedIdentityUrl')]",
                       "type": "AzureKeyVault"
                   },
               }
               "type": "Microsoft.DBforPostgreSQL/serverGroupsv2"
           }
       ]
   }

Monitorowanie klucza zarządzanego przez klienta w usłudze Key Vault

Aby monitorować stan bazy danych i włączyć alerty dotyczące utraty dostępu funkcji ochrony przezroczystego szyfrowania danych, skonfiguruj następujące funkcje platformy Azure:

• Azure Resource Health: niedostępna baza danych, która utraciła dostęp do klucza klienta, jest wyświetlana jako "Niedostępna" po odmowie pierwszego połączenia z bazą danych.

• Dziennik aktywności: w przypadku niepowodzenia dostępu do klucza klienta w zarządzanym przez klienta usłudze Key Vault wpisy są dodawane do dziennika aktywności. Dostęp można przywrócić tak szybko, jak to możliwe, jeśli utworzysz alerty dla tych zdarzeń.

• Grupy akcji: zdefiniuj te grupy, aby wysyłać powiadomienia i alerty na podstawie preferencji.

Następne kroki

• Dowiedz się więcej o szyfrowaniu danych przy użyciu kluczy zarządzanych przez klienta
• Zapoznaj się z limitami i ograniczeniami klucza zarządzanego przez klienta w usłudze Azure Cosmos DB for PostgreSQL