Szyfrowanie danych dla pojedynczego serwera usługi Azure Database for PostgreSQL przy użyciu witryny Azure Portal

  • Artykuł

DOTYCZY: Azure Database for PostgreSQL — pojedynczy serwer

Ważne

Usługa Azure Database for PostgreSQL — pojedynczy serwer znajduje się na ścieżce wycofania. Zdecydowanie zalecamy uaktualnienie do usługi Azure Database for PostgreSQL — serwer elastyczny. Aby uzyskać więcej informacji na temat migracji do usługi Azure Database for PostgreSQL — serwer elastyczny, zobacz Co się dzieje z usługą Azure Database for PostgreSQL — pojedynczy serwer?.

Dowiedz się, jak za pomocą witryny Azure Portal skonfigurować szyfrowanie danych dla pojedynczego serwera usługi Azure Database for PostgreSQL i zarządzać nim.

Wymagania wstępne dotyczące interfejsu wiersza polecenia platformy Azure

  • Musisz mieć subskrypcję platformy Azure i być administratorem tej subskrypcji.

  • W usłudze Azure Key Vault utwórz magazyn kluczy i klucz do użycia dla klucza zarządzanego przez klienta.

  • Magazyn kluczy musi mieć następujące właściwości do użycia jako klucz zarządzany przez klienta:

    • Usuwanie nietrwałe

      az resource update --id $(az keyvault show --name \ <key_vault_name> -test -o tsv | awk '{print $1}') --set \ properties.enableSoftDelete=true

    • Przeczyszczanie chronione

      az keyvault update --name <key_vault_name> --resource-group <resource_group_name>  --enable-purge-protection true

  • Klucz musi mieć następujące atrybuty do użycia jako klucz zarządzany przez klienta:

    • Brak daty wygaśnięcia
    • Niewyłączone
    • Możliwość wykonywania operacji pobierania, zawijania klucza i odpakowania kluczy

Ustawianie odpowiednich uprawnień dla operacji kluczy

  1. W usłudze Key Vault wybierz pozycję Zasady>dostępu Dodaj zasady dostępu.

    Zrzut ekranu przedstawiający usługę Key Vault z wyróżnionymi zasadami dostępu i Dodaj zasady dostępu

  2. Wybierz pozycję Uprawnienia klucza, a następnie wybierz pozycję Pobierz, Zawijaj, Odpakuj i Podmiot zabezpieczeń, który jest nazwą serwera PostgreSQL. Jeśli nie można odnaleźć podmiotu zabezpieczeń serwera na liście istniejących podmiotów zabezpieczeń, musisz go zarejestrować. Podczas próby skonfigurowania szyfrowania danych po raz pierwszy zostanie wyświetlony monit o zarejestrowanie jednostki serwera i niepowodzenie.

    Omówienie zasad dostępu

  3. Wybierz pozycję Zapisz.

Ustawianie szyfrowania danych dla pojedynczego serwera usługi Azure Database for PostgreSQL

  1. W usłudze Azure Database for PostgreSQL wybierz pozycję Szyfrowanie danych, aby skonfigurować klucz zarządzany przez klienta.

    Zrzut ekranu przedstawiający usługę Azure Database for PostgreSQL z wyróżnionym szyfrowaniem danych

  2. Możesz wybrać magazyn kluczy i parę kluczy lub wprowadzić identyfikator klucza.

    Zrzut ekranu przedstawiający usługę Azure Database for PostgreSQL z wyróżnionymi opcjami szyfrowania danych

  3. Wybierz pozycję Zapisz.

  4. Aby upewnić się, że wszystkie pliki (w tym pliki tymczasowe) są w pełni zaszyfrowane, uruchom ponownie serwer.

Używanie szyfrowania danych dla serwerów przywracania lub repliki

Po zaszyfrowaniu pojedynczego serwera usługi Azure Database for PostgreSQL za pomocą klucza zarządzanego klienta przechowywanego w usłudze Key Vault każda nowo utworzona kopia serwera jest również szyfrowana. Możesz utworzyć tę nową kopię za pomocą operacji przywracania lokalnego lub geograficznego albo za pomocą operacji repliki (lokalnie/między regionami). Dlatego w przypadku zaszyfrowanego serwera PostgreSQL można wykonać następujące kroki, aby utworzyć zaszyfrowany przywrócony serwer.

  1. Na serwerze wybierz pozycję Przywracanie omówienia>.

    Zrzut ekranu przedstawiający usługę Azure Database for PostgreSQL z wyróżnioną pozycją Przegląd i przywracanie

    W przypadku serwera z włączoną replikacją w obszarze nagłówka Ustawienia wybierz pozycję Replikacja.

    Zrzut ekranu przedstawiający usługę Azure Database for PostgreSQL z wyróżnioną pozycją Replikacja

  2. Po zakończeniu operacji przywracania utworzony nowy serwer jest szyfrowany przy użyciu klucza serwera podstawowego. Jednak funkcje i opcje na serwerze są wyłączone, a serwer jest niedostępny. Zapobiega to manipulacji danymi, ponieważ tożsamość nowego serwera nie otrzymała jeszcze uprawnień dostępu do magazynu kluczy.

    Zrzut ekranu przedstawiający usługę Azure Database for PostgreSQL z wyróżnionym stanem Niedostępny

  3. Aby serwer był dostępny, należy ponownie uruchomić klucz na przywróconym serwerze. Wybierz pozycję Szyfrowanie>danych Zrewiduj klucz.

    Uwaga

    Pierwsza próba ponownego zmiany zakończy się niepowodzeniem, ponieważ jednostka usługi nowego serwera musi mieć dostęp do magazynu kluczy. Aby wygenerować jednostkę usługi, wybierz pozycję Odwołuj klucz, co spowoduje wyświetlenie błędu, ale generuje jednostkę usługi. Następnie zapoznaj się z tymi krokami we wcześniejszej części tego artykułu.

    Zrzut ekranu przedstawiający usługę Azure Database for PostgreSQL z wyróżnionym krokiem zmiany

    Musisz przyznać magazynowi kluczy dostęp do nowego serwera. Aby uzyskać więcej informacji, zobacz Włączanie uprawnień RBAC platformy Azure w usłudze Key Vault.

  4. Po zarejestrowaniu jednostki usługi ponownie zrewiduj klucz, a serwer wznowi normalne działanie.

    Zrzut ekranu przedstawiający przywróconą funkcjonalność usługi Azure Database for PostgreSQL

Następne kroki

Aby dowiedzieć się więcej na temat szyfrowania danych, zobacz Szyfrowanie danych pojedynczego serwera usługi Azure Database for PostgreSQL przy użyciu klucza zarządzanego przez klienta.