Share via

Criptografia de dados para o Banco de Dados do Azure para MySQL usando o portal do Azure

  • Artigo

APLICA-SE A: Banco de Dados do Azure para MySQL - Servidor Único

Importante

O servidor único do Banco de Dados do Azure para MySQL está no caminho de desativação. É altamente recomendável que você atualize para o Banco de Dados do Azure para o servidor flexível MySQL. Para obter mais informações sobre como migrar para o Banco de Dados do Azure para servidor flexível MySQL, consulte O que está acontecendo com o Banco de Dados do Azure para Servidor Único MySQL?

Saiba como usar o portal do Azure para configurar e gerenciar a criptografia de dados para seu Banco de Dados do Azure para MySQL.

Pré-requisitos para a CLI do Azure

  • Você deve ter uma assinatura do Azure e ser um administrador nessa assinatura.

  • No Cofre de Chaves do Azure, crie um cofre de chaves e uma chave para usar para uma chave gerenciada pelo cliente.

  • O cofre de chaves deve ter as seguintes propriedades para usar como uma chave gerenciada pelo cliente:

    • Exclusão suave

      az resource update --id $(az keyvault show --name \ <key_vault_name> -o tsv | awk '{print $1}') --set \ properties.enableSoftDelete=true

    • Proteção contra purga

      az keyvault update --name <key_vault_name> --resource-group <resource_group_name>  --enable-purge-protection true

    • Dias de retenção definidos para 90 dias

      az keyvault update --name <key_vault_name> --resource-group <resource_group_name>  --retention-days 90

  • A chave deve ter os seguintes atributos para a utilizar como uma chave gerida pelo cliente:

    • Não tem uma data de validade
    • Não está desativada
    • Executar operações get, wrap, unwrap
    • atributo recoverylevel definido como Recoverable (isso requer soft-delete habilitado com período de retenção definido para 90 dias)
    • Tem a proteção de remoção ativada

    Você pode verificar os atributos acima da chave usando o seguinte comando:

    az keyvault key show --vault-name <key_vault_name> -n <key_name>

  • O Banco de Dados do Azure para MySQL - Servidor Único deve estar na camada de preços de uso geral ou memória otimizada e no armazenamento de uso geral v2. Antes de prosseguir, consulte as limitações para criptografia de dados com chaves gerenciadas pelo cliente.

Definir as permissões certas para operações de chave

  1. No Cofre da Chave, selecione Políticas>de acesso Adicionar política de acesso.

    Screenshot of Key Vault, with Access policies and Add Access Policy highlighted

  2. Selecione Permissões de chave e selecione Get, Wrap, Unwrap e o Principal, que é o nome do servidor MySQL. Se a entidade de segurança do servidor não puder ser encontrada na lista de entidades existentes, será necessário registrá-la. Você será solicitado a registrar a entidade de segurança do servidor quando tentar configurar a criptografia de dados pela primeira vez e ela falhará.

    Access policy overview

  3. Selecione Guardar.

Definir criptografia de dados para o Banco de Dados do Azure para MySQL

  1. No Banco de Dados do Azure para MySQL, selecione Criptografia de dados para configurar a chave gerenciada pelo cliente.

    Screenshot of Azure Database for MySQL, with Data encryption highlighted

  2. Você pode selecionar um cofre de chaves e um par de chaves ou inserir um identificador de chave.

    Screenshot of Azure Database for MySQL, with data encryption options highlighted

  3. Selecione Guardar.

  4. Para garantir que todos os ficheiros (incluindo ficheiros temporários) estão totalmente encriptados, reinicie o servidor.

Usando criptografia de dados para restaurar ou replicar servidores

Depois que o Banco de Dados do Azure para MySQL é criptografado com a chave gerenciada de um cliente armazenada no Cofre da Chave, qualquer cópia recém-criada do servidor também é criptografada. Você pode fazer essa nova cópia por meio de uma operação local ou de restauração geográfica, ou por meio de uma operação de réplica (local/entre regiões). Portanto, para um servidor MySQL criptografado, você pode usar as seguintes etapas para criar um servidor restaurado criptografado.

  1. No servidor, selecione Visão geral>da restauração.

    Screenshot of Azure Database for MySQL, with Overview and Restore highlighted

    Ou, para um servidor habilitado para replicação, no cabeçalho Configurações , selecione Replicação.

    Screenshot of Azure Database for MySQL, with Replication highlighted

  2. Após a conclusão da operação de restauração, o novo servidor criado é encriptado com a chave do servidor primário. No entanto, os recursos e opções no servidor estão desativados e o servidor está inacessível. Isso evita qualquer manipulação de dados, porque a identidade do novo servidor ainda não recebeu permissão para acessar o cofre de chaves.

    Screenshot of Azure Database for MySQL, with Inaccessible status highlighted

  3. Para tornar o servidor acessível, revalide a chave no servidor restaurado. Selecione Criptografia de>dados Revalidar chave.

    Nota

    A primeira tentativa de revalidação falhará, porque a entidade de serviço do novo servidor precisa ter acesso ao cofre de chaves. Para gerar a entidade de serviço, selecione Revalidar chave, que mostrará um erro, mas gerará a entidade de serviço. Depois disso, consulte estas etapas anteriormente neste artigo.

    Screenshot of Azure Database for MySQL, with revalidation step highlighted

    Você terá que dar ao cofre de chaves acesso ao novo servidor. Para obter mais informações, consulte Atribuir uma política de acesso ao Cofre da Chave.

  4. Depois de registrar a entidade de serviço, revalide a chave novamente e o servidor retoma sua funcionalidade normal.

    Screenshot of Azure Database for MySQL, showing restored functionality

Próximos passos