Criptografia de dados para o Banco de Dados do Azure para MySQL usando o portal do Azure
APLICA-SE A: Banco de Dados do Azure para MySQL - Servidor Único
Importante
O servidor único do Banco de Dados do Azure para MySQL está no caminho de desativação. É altamente recomendável que você atualize para o Banco de Dados do Azure para o servidor flexível MySQL. Para obter mais informações sobre como migrar para o Banco de Dados do Azure para servidor flexível MySQL, consulte O que está acontecendo com o Banco de Dados do Azure para Servidor Único MySQL?
Saiba como usar o portal do Azure para configurar e gerenciar a criptografia de dados para seu Banco de Dados do Azure para MySQL.
Pré-requisitos para a CLI do Azure
Você deve ter uma assinatura do Azure e ser um administrador nessa assinatura.
No Cofre de Chaves do Azure, crie um cofre de chaves e uma chave para usar para uma chave gerenciada pelo cliente.
O cofre de chaves deve ter as seguintes propriedades para usar como uma chave gerenciada pelo cliente:
-
az resource update --id $(az keyvault show --name \ <key_vault_name> -o tsv | awk '{print $1}') --set \ properties.enableSoftDelete=true
-
az keyvault update --name <key_vault_name> --resource-group <resource_group_name> --enable-purge-protection true
Dias de retenção definidos para 90 dias
az keyvault update --name <key_vault_name> --resource-group <resource_group_name> --retention-days 90
-
A chave deve ter os seguintes atributos para a utilizar como uma chave gerida pelo cliente:
- Não tem uma data de validade
- Não está desativada
- Executar operações get, wrap, unwrap
- atributo recoverylevel definido como Recoverable (isso requer soft-delete habilitado com período de retenção definido para 90 dias)
- Tem a proteção de remoção ativada
Você pode verificar os atributos acima da chave usando o seguinte comando:
az keyvault key show --vault-name <key_vault_name> -n <key_name>
O Banco de Dados do Azure para MySQL - Servidor Único deve estar na camada de preços de uso geral ou memória otimizada e no armazenamento de uso geral v2. Antes de prosseguir, consulte as limitações para criptografia de dados com chaves gerenciadas pelo cliente.
Definir as permissões certas para operações de chave
No Cofre da Chave, selecione Políticas>de acesso Adicionar política de acesso.
Selecione Permissões de chave e selecione Get, Wrap, Unwrap e o Principal, que é o nome do servidor MySQL. Se a entidade de segurança do servidor não puder ser encontrada na lista de entidades existentes, será necessário registrá-la. Você será solicitado a registrar a entidade de segurança do servidor quando tentar configurar a criptografia de dados pela primeira vez e ela falhará.
Selecione Guardar.
Definir criptografia de dados para o Banco de Dados do Azure para MySQL
No Banco de Dados do Azure para MySQL, selecione Criptografia de dados para configurar a chave gerenciada pelo cliente.
Você pode selecionar um cofre de chaves e um par de chaves ou inserir um identificador de chave.
Selecione Guardar.
Para garantir que todos os ficheiros (incluindo ficheiros temporários) estão totalmente encriptados, reinicie o servidor.
Usando criptografia de dados para restaurar ou replicar servidores
Depois que o Banco de Dados do Azure para MySQL é criptografado com a chave gerenciada de um cliente armazenada no Cofre da Chave, qualquer cópia recém-criada do servidor também é criptografada. Você pode fazer essa nova cópia por meio de uma operação local ou de restauração geográfica, ou por meio de uma operação de réplica (local/entre regiões). Portanto, para um servidor MySQL criptografado, você pode usar as seguintes etapas para criar um servidor restaurado criptografado.
No servidor, selecione Visão geral>da restauração.
Ou, para um servidor habilitado para replicação, no cabeçalho Configurações , selecione Replicação.
Após a conclusão da operação de restauração, o novo servidor criado é encriptado com a chave do servidor primário. No entanto, os recursos e opções no servidor estão desativados e o servidor está inacessível. Isso evita qualquer manipulação de dados, porque a identidade do novo servidor ainda não recebeu permissão para acessar o cofre de chaves.
Para tornar o servidor acessível, revalide a chave no servidor restaurado. Selecione Criptografia de>dados Revalidar chave.
Nota
A primeira tentativa de revalidação falhará, porque a entidade de serviço do novo servidor precisa ter acesso ao cofre de chaves. Para gerar a entidade de serviço, selecione Revalidar chave, que mostrará um erro, mas gerará a entidade de serviço. Depois disso, consulte estas etapas anteriormente neste artigo.
Você terá que dar ao cofre de chaves acesso ao novo servidor. Para obter mais informações, consulte Atribuir uma política de acesso ao Cofre da Chave.
Depois de registrar a entidade de serviço, revalide a chave novamente e o servidor retoma sua funcionalidade normal.