Configurar a criptografia de dados no Banco de Dados do Azure para PostgreSQL

Este artigo fornece instruções passo a passo para configurar a criptografia de dados para uma instância de servidor flexível do Banco de Dados do Azure para PostgreSQL.

Importante

A decisão de usar uma chave gerenciada pelo sistema ou pelo cliente para criptografia de dados só pode ser tomada no momento da criação do servidor. Depois de tomar essa decisão e criar o servidor, você não poderá alternar entre essas opções.

Neste artigo, você aprenderá como criar um novo servidor e configurar suas opções de criptografia de dados. Para servidores existentes, cuja criptografia de dados está configurada para usar uma chave de criptografia gerenciada pelo cliente, você aprenderá:

• Como selecionar uma identidade gerenciada atribuída pelo usuário diferente, com a qual o serviço acessará a chave de criptografia.
• Como especificar uma chave de criptografia diferente ou como fazer a rotação da chave de criptografia usada atualmente para criptografia de dados.

Para saber mais sobre a criptografia de dados no contexto do Banco de Dados do Azure para PostgreSQL, consulte a criptografia de dados.

Configurar a criptografia de dados com chave gerenciada pelo sistema durante o provisionamento do servidor

Portal

Usando o portal do Azure:

1. Durante o provisionamento de uma nova instância de servidor flexível do Banco de Dados do Azure para PostgreSQL, a criptografia de dados é configurada na guia Segurança. Para Chave de Criptografia de Dados, selecione o botão de opção Chave gerida pelo serviço.

   

2. Se você habilitar o armazenamento de backups com redundância geográfica junto com o servidor, a guia Segurança mudará um pouco porque o servidor usa duas chaves de criptografia distintas. Uma para a região primária na qual você está implantando seu servidor, e outra para a região emparelhada para a qual os backups do servidor são replicados de forma assíncrona.

   

CLI

Você pode habilitar a criptografia de dados com a chave de criptografia gerenciada pelo sistema, enquanto provisiona um novo servidor, por meio do comando az postgres flexible-server create.

az postgres flexible-server create \
  --resource-group <resource_group> \
  --name <server> ...

Observação

Não há nenhum parâmetro especial no comando anterior para especificar que o servidor deve ser criado com a chave atribuída pelo sistema para criptografia de dados. Isso ocorre porque a criptografia de dados com chave atribuída pelo sistema é a opção padrão. Além disso, lembre-se de completar o comando fornecido com outros parâmetros cuja presença e valores variam dependendo de como você quer configurar outros recursos do servidor provisionado.

Configurar a criptografia de dados com chave gerenciada pelo cliente durante o provisionamento do servidor

Portal

Usando o portal do Azure:

1. Crie uma identidade gerenciada atribuída pelo usuário, caso ainda não tenha uma. Se o seu servidor tiver backups com redundância geográfica habilitados, você precisa criar duas identidades diferentes. Cada uma dessas identidades é usada para acessar cada uma das duas chaves de criptografia de dados.

Observação

Embora não seja obrigatório, recomendamos que você crie a identidade gerenciada pelo usuário na mesma região do servidor para manter a resiliência regional. E, se o seu servidor tiver a redundância de backup geográfico habilitada, recomendamos criar a segunda identidade gerenciada pelo usuário na região emparelhada do servidor. Essa identidade será usada para acessar a chave de criptografia de dados dos backups com redundância geográfica.

1. Crie um Azure Key Vault ou crie um HSM gerenciado, caso ainda não tenha criado um repositório de chaves. Verifique se você atende aos requisitos. Além disso, siga as recomendações antes de configurar o repositório de chaves, criar a chave e atribuir as permissões necessárias à identidade gerenciada atribuída pelo usuário. Se o seu servidor tiver backups com redundância geográfica habilitados, você precisará criar um segundo repositório de chaves. Esse segundo repositório de chaves será usado para armazenar a chave de criptografia de dados que criptografa os backups copiados para a região emparelhada do servidor.

Observação

O repositório de chaves usado para armazenar a chave de criptografia de dados deverá ser implantado na mesma região do seu servidor. Se o seu servidor tiver redundância de backup geográfico habilitada, crie o repositório de chaves na região emparelhada do servidor. Esse repositório armazenará a chave de criptografia de dados usada nos backups com redundância geográfica.

1. Crie uma chave no repositório de chaves. Se o seu servidor tiver backups com redundância geográfica habilitados, você precisará de uma chave em cada um dos repositórios de chaves. Com uma dessas chaves, criptografamos todos os dados do seu servidor, incluindo todos os bancos de dados do sistema e do usuário, arquivos temporários, logs do servidor, segmentos de logs write-ahead e backups. Com a segunda chave, criptografamos as cópias dos backups que são copiadas de forma assíncrona para a região emparelhada do servidor.

2. Durante o provisionamento de uma nova instância de servidor flexível do Banco de Dados do Azure para PostgreSQL, a criptografia de dados é configurada na guia Segurança. Para Chave de criptografia de dados, selecione o botão de opção Chave gerenciada pelo cliente.

   

3. Se você habilitar o armazenamento de backups com redundância geográfica junto com o servidor, a guia Segurança mudará um pouco porque o servidor usa duas chaves de criptografia distintas. Uma para a região primária na qual você está implantando seu servidor, e outra para a região emparelhada para a qual os backups do servidor são replicados de forma assíncrona.

   

4. Em Identidade gerenciada atribuída pelo usuário, selecione Alterar identidade.

   

5. Na lista de identidades gerenciadas atribuídas pelo usuário, selecione aquela que deseja que o servidor use para acessar a chave de criptografia de dados armazenada em um Azure Key Vault.

   

6. Selecione Adicionar.

   

7. Selecione Usar atualização automática de versão de chave, se preferir permitir que o serviço atualize automaticamente a referência para a versão mais atual da chave escolhida, sempre que a versão atual for girada manualmente ou automaticamente. Para entender os benefícios do uso de atualizações automáticas de versão de chave, consulte atualização automática da versão da chave.

   

8. Selecione Selecionar uma chave.

   

9. A Assinatura é preenchida automaticamente com o nome da assinatura na qual seu servidor será criado. O repositório de chaves que armazena a chave de criptografia de dados deve existir na mesma assinatura do servidor.

   

10. Em Tipo de repositório de chaves, selecione o botão de opção correspondente ao tipo de repositório de chaves em que planeja armazenar a chave de criptografia de dados. Nesse exemplo, escolhemos o Cofre de chaves, mas o processo é semelhante para HSM gerenciado.

    

11. Expanda o Cofre de chaves (ou o HSM gerenciado, caso tenha escolhido esse tipo de repositório) e selecione a instância onde a chave de criptografia de dados está armazenada.

    

    Observação

    Quando você expandir a caixa de seleção, a mensagem Nenhum item disponível será exibida. Aguarde alguns segundos para que todas as instâncias do cofre de chaves implantadas na mesma região do servidor sejam listadas.

12. Expanda Chave e selecione o nome da chave que quer usar para a criptografia de dados.

    

13. Se você não selecionou Usar a atualização automática de versão da chave, também deverá selecionar uma versão específica da chave. Para fazer isso, expanda Versão e selecione o identificador da versão da chave que você deseja usar para criptografia de dados.

    

14. Selecione Selecionar.

    

15. Configure todas as outras opções do novo servidor e clique em Revisar + criar.

    

CLI

Você pode habilitar a criptografia de dados com a chave de criptografia gerenciada pelo usuário, enquanto provisiona um novo servidor, por meio do comando az postgres flexible-server create.

Se o seu servidor não tiver backups com redundância geográfica habilitados:

az postgres flexible-server create \
  --resource-group <resource_group> \
  --name <server> \
  --geo-redundant-backup Disabled \
  --identity <managed_identity_to_access_primary_encryption_key> \
  --key <resource_identifier_of_primary_encryption_key> ...

Observação

O comando anterior precisa ser preenchido com outros parâmetros cuja presença e valores variam dependendo de como você deseja configurar outros recursos do servidor provisionado.

Se o seu servidor tiver backups com redundância geográfica habilitados:

az postgres flexible-server create \
  --resource-group <resource_group> \
  --name <server> \
  --geo-redundant-backup Enabled \
  --identity <managed_identity_to_access_primary_encryption_key> \
  --key <resource_identifier_of_primary_encryption_key> \
  --backup-identity <managed_identity_to_access_geo_backups_encryption_key> \
  --backup-key <resource_identifier_of_geo_backups_encryption_key> ...

Observação

O comando anterior precisa ser preenchido com outros parâmetros cuja presença e valores variam dependendo de como você deseja configurar outros recursos do servidor provisionado.

Configurar a criptografia de dados com chave gerenciada pelo cliente em servidores existentes

A decisão de usar uma chave gerenciada pelo sistema ou pelo cliente para criptografia de dados só pode ser tomada no momento da criação do servidor. Depois de tomar essa decisão e criar o servidor, você não poderá alternar entre essas opções. A única alternativa para mudar de uma configuração para outra é restaurar qualquer um dos backups disponíveis do servidor em um novo servidor. Ao configurar a restauração, você pode alterar a configuração de criptografia de dados do novo servidor.

Para servidores existentes que foram implantados com criptografia de dados usando uma chave gerenciada pelo cliente, você pode realizar diversas alterações de configuração. É possível alterar as referências às chaves usadas para criptografia e as referências às identidades gerenciadas atribuídas pelo usuário usadas pelo serviço para acessar as chaves armazenadas nos repositórios de chaves.

Você deve atualizar as referências que a instância do servidor flexível do Banco de Dados do Azure para PostgreSQL tem como chave:

• Quando a chave armazenada no repositório de chaves é girada, manual ou automaticamente, e sua instância de servidor flexível do Banco de Dados do Azure para PostgreSQL está apontando para uma versão específica da chave. Se você estiver apontando para uma chave, mas não para uma versão específica da chave (ou seja, quando você tiver Usar atualização automática de versão da chave habilitado), o serviço cuidará da referência automática da versão mais atual da chave, sempre que a chave for girada manual ou automaticamente.
• Quando quiser usar a mesma chave ou uma chave diferente armazenada em um outro repositório de chaves.

Você deve atualizar as identidades gerenciadas atribuídas pelo usuário que são usadas pela instância de servidor flexível do Banco de Dados do Azure para PostgreSQL para acessar as chaves de criptografia sempre que quiser usar uma identidade diferente.

Portal

Usando o portal do Azure:

1. Selecione sua instância do servidor flexível do Banco de Dados do Azure para PostgreSQL.

2. No menu de recursos, em Segurança, selecione Criptografia de dados.

   

3. Para alterar a identidade gerenciada atribuída pelo usuário com a qual o servidor acessa o repositório de chaves no qual a chave é mantida, expanda a lista suspensa Identidade gerenciada atribuída pelo usuário e selecione qualquer uma das identidades disponíveis.

   

   Observação

   As identidades mostradas na caixa de combinação são apenas aquelas que foram atribuídas à instância do servidor flexível do Banco de Dados do Azure para PostgreSQL. Embora não seja obrigatório, recomendamos que você selecione identidades gerenciadas pelo usuário que estejam na mesma região do servidor para manter a resiliência regional. E, se o seu servidor tiver a redundância de backup geográfico habilitada, recomendamos que a segunda identidade gerenciada pelo usuário esteja na região emparelhada do servidor. Essa identidade será usada para acessar a chave de criptografia de dados dos backups com redundância geográfica.

4. Se a identidade gerenciada atribuída pelo usuário que você deseja usar para acessar a chave de criptografia de dados não for atribuída à instância do servidor flexível do Banco de Dados do Azure para PostgreSQL e ela nem existir como um recurso do Azure com seu objeto correspondente na ID do Microsoft Entra, você poderá criá-la selecionando Criar.

   

5. No painel Criar Identidade Gerenciada Atribuída ao Usuário , conclua os detalhes da identidade gerenciada atribuída pelo usuário que você deseja criar e atribua automaticamente à instância de servidor flexível do Banco de Dados do Azure para PostgreSQL para acessar a chave de criptografia de dados.

   

6. Se a identidade gerenciada atribuída pelo usuário que você deseja usar para acessar a chave de criptografia de dados não for atribuída à instância do servidor flexível do Banco de Dados do Azure para PostgreSQL, mas existir como um recurso do Azure com seu objeto correspondente no Microsoft Entra ID, você poderá atribuí-la selecionando Select.

   

7. Na lista de identidades gerenciadas atribuídas pelo usuário, selecione aquela que deseja que o servidor use para acessar a chave de criptografia de dados armazenada em um Azure Key Vault.

   

8. Selecione Adicionar.

   

9. Selecione Usar atualização automática de versão de chave, se preferir permitir que o serviço atualize automaticamente a referência para a versão mais atual da chave escolhida, sempre que a versão atual for girada manualmente ou automaticamente. Para entender os benefícios do uso de atualizações automáticas de versão de chave, consulte [atualização automática de versão da chave](concepts-data-encryption.md##CMK atualizações de versão chave).

   

10. Se você girar a chave e não tiver Usar atualização automática de versão de chave habilitado. Ou, se quiser usar uma chave diferente, atualize a instância do servidor flexível do Banco de Dados do Azure para PostgreSQL, para que ela aponte para a nova versão da chave ou nova chave. Para fazer isso, copie o identificador de recurso da chave e cole-o na caixa Identificador de chave.

    

11. Se o usuário que acessa o portal do Azure tiver permissões para acessar a chave armazenada no repositório de chaves, você pode usar um método alternativo para escolher a nova chave ou nova versão da chave. Para isso, em Método de seleção da chave, selecione o botão de opção Selecionar uma chave.

    

12. Escolha Selecionar chave.

    

13. A Assinatura é preenchida automaticamente com o nome da assinatura na qual seu servidor será criado. O repositório de chaves que armazena a chave de criptografia de dados deve existir na mesma assinatura do servidor.

    

14. Em Tipo de repositório de chaves, selecione o botão de opção correspondente ao tipo de repositório de chaves em que planeja armazenar a chave de criptografia de dados. Nesse exemplo, escolhemos o Cofre de chaves, mas o processo é semelhante para HSM gerenciado.

    

15. Expanda o Cofre de chaves (ou o HSM gerenciado, caso tenha escolhido esse tipo de repositório) e selecione a instância onde a chave de criptografia de dados está armazenada.

    

    Observação

    Quando você expandir a caixa de seleção, a mensagem Nenhum item disponível será exibida. Aguarde alguns segundos para que todas as instâncias do cofre de chaves implantadas na mesma região do servidor sejam listadas.

16. Expanda Chave e selecione o nome da chave que quer usar para a criptografia de dados.

    

17. Se você não selecionou Usar a atualização automática de versão da chave, também deverá selecionar uma versão específica da chave. Para fazer isso, expanda Versão e selecione o identificador da versão da chave que você deseja usar para criptografia de dados.

    

18. Selecione Selecionar.

    

19. Quando finalizar as alterações, selecione Salvar.

    

CLI

Você pode configurar a criptografia de dados com uma chave de criptografia atribuída pelo usuário em um servidor existente, usando o comando az postgres flexible-server update.

az postgres flexible-server update \
  --resource-group <resource_group> \
  --name <server> \
  --identity <managed_identity_to_access_primary_encryption_key> \
  --key <resource_identifier_of_primary_encryption_key> ...

Observação

O comando anterior pode precisar ser preenchido com outros parâmetros cuja presença e valores variam dependendo de como você deseja configurar outros recursos do servidor existente.

Se você quiser apenas alterar a identidade gerenciada atribuída pelo usuário usada para acessar a chave, apenas alterar a chave usada para a criptografia de dados ou alterar ambas ao mesmo tempo, você precisará fornecer ambos os parâmetros --identity e --key (ou --backup-identity e --backup-key para backups com redundância geográfica). Se você fornecer apenas um, em vez de ambos, receberá um dos seguintes erros:

User assigned identity and keyvault key need to be provided together. Please provide --identity and --key together.

User assigned identity and keyvault key need to be provided together. Please provide --backup-identity and --backup-key together.

Se a chave apontada pelo valor passado para o parâmetro --key (ou --backup-key para backups com redundância geográfica) não existir, ou se a identidade gerenciada atribuída pelo usuário, cujo identificador de recurso foi passado para o parâmetro --identity (ou --backup-identity para backups com redundância geográfica), não tiver as permissões necessárias para acessar a chave, você receberá o seguinte erro:

Code: AzureKeyVaultKeyNameNotFound
Message: The operation could not be completed because the Azure Key Vault Key name '<key_vault_resource>' does not exist or User Assigned Identity does not have Get access to the Key (/azure/postgresql/flexible-server/concepts-data-encryption#requirements-for-configuring-data-encryption-for-azure-database-for-postgresql-flexible-server).

Se o servidor tiver backups com redundância geográfica habilitados, você poderá configurar a chave usada para a criptografia dos backups com redundância geográfica e a identidade usada para acessar essa chave. Para isso, use os parâmetros --backup-identity e --backup-key.

az postgres flexible-server update \
  --resource-group <resource_group> \
  --name <server> \
  --backup-identity <managed_identity_to_access_georedundant_encryption_key> \
  --backup-key <resource_identifier_of_georedundant_encryption_key> ...

Se você passar os parâmetros --backup-identity e --backup-key para o comando az postgres flexible server update e referir-se a um servidor existente que não tenha backup com redundância habilitado, você receberá o seguinte erro:

Geo-redundant backup is not enabled. You cannot provide Geo-location user assigned identity and keyvault key.

As identidades passadas para os parâmetros --identity e --backup-identity, se existirem e forem válidas, serão adicionadas automaticamente à lista de identidades atribuídas pelo usuário associadas à instância de servidor flexível do Azure Database para PostgreSQL. Esse é o caso, mesmo que o comando falhe mais tarde com algum outro erro. Nesses casos, pode ser útil usar os comandos az postgres flexible-server identity para listar, atribuir ou remover identidades gerenciadas atribuídas pelo usuário associadas à instância do servidor flexível do Banco de Dados do Azure para PostgreSQL. Para saber mais sobre como configurar identidades gerenciadas atribuídas pelo usuário em sua instância de servidor flexível do Banco de Dados do Azure para PostgreSQL, consulte associar identidades gerenciadas atribuídas a servidores existentes, dissociar identidades gerenciadas atribuídas pelo usuário a servidores existentes e mostrar as identidades gerenciadas atribuídas ao usuário associadas.

Conteúdo relacionado

• Criptografia de dados