Compartilhar via

Criptografia de dados para um servidor único do Banco de Dados do Azure para PostgreSQL usando o portal do Azure

  • Artigo

APLICA-SE A: Banco de Dados do Azure para PostgreSQL — Servidor Único

Importante

O Banco de Dados do Azure para PostgreSQL – Servidor Único está prestes a ser desativado. Recomendamos fortemente que você atualize para o Banco de Dados do Azure para PostgreSQL – Servidor flexível. Para obter mais informações sobre a migração para a Base de Dados Azure para PostgreSQL – Servidor Flexível, veja O que está a acontecer à Base de Dados Azure para PostgreSQL Single Server?.

Saiba como usar o portal do Azure para configurar e gerenciar a criptografia de dados para o servidor único do Banco de Dados do Azure para PostgreSQL.

Pré-requisitos para o CLI do Azure

  • É necessário ter uma assinatura do Azure e ser um administrador nessa assinatura.

  • No Azure Key Vault, crie um cofre de chaves e uma chave para usar como chave gerenciada pelo cliente.

  • O cofre de chaves deve ter as seguintes propriedades para ser usado como chave gerenciada pelo cliente:

    • Exclusão reversível

      az resource update --id $(az keyvault show --name \ <key_vault_name> -test -o tsv | awk '{print $1}') --set \ properties.enableSoftDelete=true

    • Limpeza protegida

      az keyvault update --name <key_vault_name> --resource-group <resource_group_name>  --enable-purge-protection true

  • A chave deve ter os seguintes atributos a serem usados como chave gerenciada pelo cliente:

    • Sem data de validade
    • Não desabilitado
    • Capaz de realizar operações do tipo obter, codificar e decodificar chave

Definir as permissões corretas para operações de chave

  1. No Key Vault, selecione Políticas de acesso>Adicionar Política de Acesso.

    Captura de tela do Key Vault mostrando Políticas de acesso e Adicionar Política de Acesso realçados

  2. Selecione Permissões de chave e, em seguida, Obter, Codificar, Decodificar e também a Entidade de segurança, que é o nome do servidor PostgreSQL. Se a entidade de segurança do servidor não estiver na lista de entidades de segurança existentes, você precisará registrá-la. Você será solicitado a registrar a entidade de segurança do servidor se, ao tentar configurar a criptografia de dados pela primeira vez, ela falhar.

    Visão geral da política de acesso

  3. Selecione Salvar.

Defina a criptografia de dados para o servidor único do Banco de Dados do Azure para PostgreSQL

  1. No Banco de Dados do Azure para PostgreSQL, selecione Criptografia de dados para configurar a chave gerenciada pelo cliente.

    Captura de tela do Banco de Dados do Azure para PostgreSQL com a Criptografia de dados realçada

  2. Você pode selecionar um cofre de chaves e um par de chaves ou inserir um identificador de chave.

    Captura de tela do Banco de Dados do Azure para PostgreSQL com as opções de criptografia de dados realçadas

  3. Selecione Salvar.

  4. Para garantir que todos os arquivos (incluindo arquivos temporários) sejam totalmente criptografados, reinicie o servidor.

Usar a criptografia de dados para servidores de restauração ou de réplica

Depois que o servidor único do Banco de Dados do Azure para PostgreSQL é criptografado com uma chave gerenciada pelo cliente armazenada no Key Vault, qualquer cópia recém-criada do servidor também é criptografada. Você pode fazer essa nova cópia seja com uma operação de restauração local ou geográfica, seja com uma operação de réplica (local/entre regiões). Portanto, no caso de um servidor PostgreSQL criptografado, você pode usar as etapas a seguir para criar um servidor restaurado criptografado.

  1. No servidor, selecione Visão geral>Restaurar.

    Captura de tela do Banco de Dados do Azure para PostgreSQL com Visão geral e Restaurar realçados

    Ou para um servidor habilitado para replicação, no cabeçalho Configurações, selecione Replicação.

    Captura de tela do Banco de Dados do Azure para PostgreSQL com Replicação realçada

  2. Depois que a operação de restauração for concluída, o novo servidor criado será criptografado com a chave do servidor primário. No entanto, os recursos e as opções no servidor estarão desabilitados e o servidor não estará acessível. Isso impede qualquer manipulação de dados, porque a identidade do novo servidor ainda não recebeu permissão para acessar o cofre de chaves.

    Captura de tela do Banco de Dados do Azure para PostgreSQL com o status Não acessível realçado

  3. Para tornar o servidor acessível, revalide a chave no servidor restaurado. Selecione Criptografia de dados>Revalidar chave.

    Observação

    A primeira tentativa de revalidação falhará, pois a entidade de serviço do novo servidor precisa receber acesso ao cofre de chaves. Para gerar a entidade de serviço, selecione Revalidar chave, o que mostrará um erro, mas gerará a entidade de serviço. Depois disso, consulte estas etapas anteriormente neste artigo.

    Captura de tela do Banco de Dados do Azure para PostgreSQL com a etapa de revalidação realçada

    Você precisará conceder ao cofre de chaves acesso ao novo servidor. Para mais informações, acesse Habilitar permissões do RBAC do Azure no Key Vault.

  4. Depois de registrar a entidade de serviço, revalide a chave novamente e o servidor retomará a funcionalidade normal.

    Captura de tela do Banco de Dados do Azure para PostgreSQL mostrando a funcionalidade restaurada

Próximas etapas

Para saber mais sobre a criptografia de dados, confira Criptografia de dados de servidor único do Banco de Dados do Azure para PostgreSQL com chave gerenciada pelo cliente.