Solucionar problemas de criptografia de dados no Banco de Dados do Azure para MySQL
APLICA-SE A:
Banco de Dados do Azure para MySQL – Servidor único
Importante
O Banco de Dados do Azure para servidor único MySQL está no caminho de desativação. É altamente recomendável que você atualize para o Banco de Dados do Azure para o servidor flexível MySQL. Para obter mais informações sobre como migrar para o Banco de Dados do Azure para o servidor flexível MySQL, consulte O que está acontecendo com o Banco de Dados do Azure para Servidor Único MySQL?
Este artigo descreve como identificar e resolver problemas comuns que podem ocorrer no Banco de Dados do Azure para MySQL quando configurados com a criptografia de dado usando uma chave gerenciada pelo cliente.
Introdução
Quando você configura a criptografia de dados para usar uma chave gerenciada pelo cliente no Azure Key Vault, os servidores requerem acesso contínuo à chave. Se o servidor perder o acesso à chave gerenciada pelo cliente no Azure Key Vault, ele negará todas as conexões, retornará a mensagem de erro apropriada e alterará seu estado para Inacessível no portal do Azure.
Se você não precisar mais de um servidor de Banco de Dados do Azure para MySQL inacessível, poderá excluí-lo para evitar custos. Nenhuma outra ação no servidor é permitida até que o acesso ao cofre das chaves seja restaurado e o servidor esteja disponível. Também não é possível alterar a opção de criptografia de dados de Yes (gerenciada pelo cliente) para No (gerenciada pelo serviço) em um servidor inacessível quando ele é criptografado com uma chave gerenciada pelo cliente. Você terá que revalidar a chave manualmente antes que o servidor esteja acessível mais uma vez. Esta ação é necessária para proteger os dados contra o acesso não autorizado enquanto as permissões para a chave gerenciada pelo cliente forem revogadas.
Erros comuns que fazem com que o servidor fique inacessível
As configurações incorretas a seguir causam a maioria dos problemas com criptografia de dados que usam chaves do Azure Key Vault:
O cofre de chaves não está disponível ou não existe:
- O cofre de chaves foi excluído por engano.
- Um erro de rede intermitente faz com que o cofre de chaves fique indisponível.
Você não tem permissão para acessar o cofre de chaves ou a chave não existe:
- A chave expirou ou foi excluída ou desabilitada acidentalmente.
- A identidade gerenciada da instância do Banco de Dados do Azure para MySQL foi excluída acidentalmente.
- A identidade gerenciada da instância do Banco de Dados do Azure para MySQL não tem permissões de chave suficientes. Por exemplo, as permissões não incluem Obter, Encapsular e Cancelar encapsulamento.
- As permissões de identidade gerenciadas para a instância do Banco de Dados do Azure para MySQL foram revogadas ou excluídas.
Identificar e resolver erros comuns
Erros no cofre de chaves
Cofre de chaves desabilitado
AzureKeyVaultKeyDisabledMessage- Explicação: a operação não pôde ser concluída no servidor porque a chave do Azure Key Vault está desabilitada.
Permissões de cofre de chaves ausentes
AzureKeyVaultMissingPermissionsMessage- Explicação: o servidor não tem as permissões Obter, Encapsular e Cancelar encapsulamento necessárias para o Azure Key Vault. Conceda as permissões ausentes à entidade de serviço com ID.
Atenuação
- Confirme se a chave gerenciada pelo cliente está presente no cofre de chaves.
- Identifique o cofre de chaves e vá até ele no portal do Azure.
- Verifique se o URI da chave identifica uma chave que está presente.