Configurar a criptografia de dados no Banco de Dados do Azure para PostgreSQL

Este artigo fornece instruções passo a passo para configurar a criptografia de dados para um banco de dados do Azure para servidor flexível PostgreSQL.

Importante

O único ponto em que você pode decidir se deseja usar uma chave gerenciada pelo sistema ou uma chave gerenciada pelo cliente para criptografia de dados é na criação do servidor. Depois de tomar essa decisão e criar o servidor, você não pode alternar entre as duas opções.

Neste artigo, você aprenderá a criar um novo servidor e configurar suas opções de criptografia de dados. Para servidores existentes, cuja criptografia de dados está configurada para usar a chave de criptografia gerenciada pelo cliente, você aprende:

• Como selecionar uma identidade gerida atribuída a um utilizador diferente, com a qual o serviço acede à chave de encriptação.
• Como especificar uma chave de criptografia diferente ou como girar a chave de criptografia usada atualmente para criptografia de dados.

Para saber mais sobre a criptografia de dados no contexto do Banco de Dados do Azure para servidor flexível PostgreSQL, consulte a criptografia de dados.

Configurar a criptografia de dados com chave gerenciada pelo sistema durante o provisionamento do servidor

Portais

Usando o portal do Azure:

1. Durante o provisionamento de um novo Banco de Dados do Azure para Servidor Flexível do PostgreSQL, a criptografia de dados é configurada na guia Segurança. Em Chave de criptografia de dados, selecione o botão de rádio Chave gerida pelo serviço.

   

2. Se você habilitar o armazenamento de backup com redundância geográfica para ser provisionado junto com o servidor, o aspeto da guia Segurança mudará ligeiramente porque o servidor usa duas chaves de criptografia separadas. Um para a região primária na qual você está implantando seu servidor e outro para a região emparelhada para a qual os backups do servidor são replicados de forma assíncrona.

   

CLI

Você pode habilitar a criptografia de dados com a chave de criptografia atribuída ao sistema, enquanto provisiona um novo servidor, através do comando az postgres flexible-server create .

az postgres flexible-server create \
  --resource-group <resource_group> \
  --name <server> ...

Observação

Não há nenhum parâmetro especial no comando anterior para especificar que o servidor deve ser criado com a chave atribuída ao sistema para criptografia de dados. A razão é que a criptografia de dados com chave atribuída ao sistema é a opção padrão. Além disso, observe que você deve concluir o comando fornecido com outros parâmetros cuja presença e valores variariam dependendo de como você deseja configurar outros recursos do servidor provisionado.

Configurar a criptografia de dados com chave gerenciada pelo cliente durante o provisionamento do servidor

Portais

Usando o portal do Azure:

1. Crie uma identidade gerenciada atribuída ao usuário, se você ainda não tiver uma. Se o servidor tiver backups com redundância geográfica habilitados, você precisará criar identidades diferentes. Cada uma dessas identidades é usada para acessar cada uma das duas chaves de criptografia de dados.

   Observação

   Embora não seja necessário, para manter a resiliência regional, recomendamos que você crie a identidade gerenciada pelo usuário na mesma região do servidor. E se o seu servidor tiver a redundância de backup geográfico habilitada, recomendamos que a segunda identidade gerenciada pelo usuário, usada para acessar a chave de criptografia de dados para backups com redundância geográfica, seja criada na região emparelhada do servidor.

2. Crie um Cofre de Chaves do Azure ou crie um HSM gerenciado, se você ainda não tiver um armazenamento de chaves criado. Certifique-se de que cumpre os requisitos. Além disso, siga as recomendações antes de configurar o armazenamento de chaves e antes de criar a chave e atribuir as permissões necessárias à identidade gerenciada atribuída ao usuário. Se o servidor tiver backups com redundância geográfica habilitados, você precisará criar um segundo armazenamento de chaves. Esse segundo armazenamento de chaves é usado para manter a chave de criptografia de dados com a qual os backups copiados para a região emparelhada do servidor são criptografados.

   Observação

   O armazenamento de chaves usado para manter a chave de criptografia de dados deve ser implantado na mesma região do servidor. E se o servidor tiver a redundância de backup geográfico habilitada, o armazenamento de chaves que mantém a chave de criptografia de dados para backups com redundância geográfica deverá ser criado na região emparelhada do servidor.

3. Crie uma chave no seu armazenamento de chaves. Se o servidor tiver backups com redundância geográfica ativados, precisarás de uma chave em cada repositório de chaves. Com uma dessas chaves, encriptamos todos os dados do seu servidor (incluindo todos os bancos de dados do sistema e do utilizador, ficheiros temporários, registos do servidor, segmentos de log de pré-escrita e cópias de segurança). Com a segunda chave, criptografamos as cópias dos backups que são copiadas de forma assíncrona na região emparelhada do seu servidor.

4. Durante o provisionamento de uma nova Base de Dados do Azure para um Servidor Flexível PostgreSQL, a encriptação de dados é configurada no separador Segurança. Em Chave de encriptação de dados, selecione o botão de rádio Chave gerida pelo cliente.

   

5. Se você habilitar o armazenamento de backup com redundância geográfica para ser provisionado junto com o servidor, o aspeto da guia Segurança mudará ligeiramente porque o servidor usa duas chaves de criptografia separadas. Um para a região primária na qual você está implantando seu servidor e outro para a região emparelhada para a qual os backups do servidor são replicados de forma assíncrona.

   

6. Em Identidade gerenciada atribuída ao usuário, selecione Alterar identidade.

   

7. Entre a lista de identidades gerenciadas atribuídas pelo usuário, selecione aquela que você deseja que seu servidor use para acessar a chave de criptografia de dados armazenada em um Cofre de Chaves do Azure.

   

8. Selecione Adicionar.

   

9. Selecione Usar atualização automática da versão da chave, se preferir permitir que o serviço atualize automaticamente a referência para a versão mais atual da chave escolhida, sempre que a versão atual for girada manualmente ou automaticamente. Para entender os benefícios do uso de atualizações automáticas de versão de chave, consulte Atualização automática de versão de chave.

   

10. Selecione Selecionar uma chave.

    

11. A assinatura é preenchida automaticamente com o nome da assinatura na qual o servidor está prestes a ser criado. O armazenamento de chaves que mantém a chave de criptografia de dados deve existir na mesma assinatura que o servidor.

    

12. Em Tipo de armazenamento de chaves, selecione o botão de opção correspondente ao tipo de armazenamento de chaves no qual você planeja armazenar a chave de criptografia de dados. Neste exemplo, escolhemos Cofre de chaves, mas a experiência é semelhante se você escolher HSM gerenciado.

    

13. Expanda Cofre de chaves (ou HSM gerenciado, se você selecionou esse tipo de armazenamento) e selecione a instância em que a chave de criptografia de dados existe.

    

    Observação

    Quando expandes a lista desdobrável, ela mostra Nenhum item disponível. Leva alguns segundos até listar todas as instâncias do cofre de chaves que são implantadas na mesma região que o servidor.

14. Expanda Chave e selecione o nome da chave que você deseja usar para criptografia de dados.

    

15. Se você não selecionou Usar atualização automática da versão da chave, também deverá selecionar uma versão específica da chave. Para fazer isso, expanda Versão e selecione o identificador da versão da chave que você deseja usar para criptografia de dados.

    

16. Selecione Selecione.

    

17. Configure todas as outras configurações do novo servidor e selecione Revisar + criar.

    

CLI

Você pode habilitar a criptografia de dados com a chave de criptografia atribuída pelo usuário, enquanto provisiona um novo servidor, através do comando az postgres flexible-server create .

Se o servidor não tiver backups com redundância geográfica habilitados:

az postgres flexible-server create \
  --resource-group <resource_group> \
  --name <server> \
  --geo-redundant-backup Disabled \
  --identity <managed_identity_to_access_primary_encryption_key> \
  --key <resource_identifier_of_primary_encryption_key> ...

Observação

O comando anterior precisa ser completado com outros parâmetros cuja presença e valores variam dependendo de como você deseja configurar outros recursos do servidor provisionado.

Se o seu servidor tiver backups com redundância geográfica habilitados:

az postgres flexible-server create \
  --resource-group <resource_group> \
  --name <server> \
  --geo-redundant-backup Enabled \
  --identity <managed_identity_to_access_primary_encryption_key> \
  --key <resource_identifier_of_primary_encryption_key> \
  --backup-identity <managed_identity_to_access_geo_backups_encryption_key> \
  --backup-key <resource_identifier_of_geo_backups_encryption_key> ...

Observação

O comando anterior precisa ser completado com outros parâmetros cuja presença e valores variam dependendo de como você deseja configurar outros recursos do servidor provisionado.

Configurar a criptografia de dados com chave gerenciada pelo cliente em servidores existentes

O único ponto em que você pode decidir se deseja usar uma chave gerenciada pelo sistema ou uma chave gerenciada pelo cliente para criptografia de dados é na criação do servidor. Depois de tomar essa decisão e criar o servidor, você não pode alternar entre as duas opções. A única alternativa, se você quiser mudar de um para o outro, requer restaurar qualquer um dos backups disponíveis do servidor em um novo servidor. Ao configurar a restauração, você tem permissão para alterar a configuração de criptografia de dados do novo servidor.

Para servidores existentes que foram implantados com criptografia de dados usando uma chave gerenciada pelo cliente, você pode fazer várias alterações de configuração. As alterações possíveis incluem as referências às chaves usadas para encriptação e às identidades geridas atribuídas ao utilizador, utilizadas pelo serviço para aceder às chaves guardadas nos repositórios de chaves.

Você deve atualizar as referências que seu servidor flexível do Banco de Dados do Azure para PostgreSQL tem para uma chave:

• Quando a chave armazenada no repositório de chaves é renovada, manualmente ou automaticamente, e o servidor flexível do Azure Database for PostgreSQL está configurado para apontar para uma versão específica da chave. Se você estiver apontando para uma chave, mas não para uma versão específica da chave (é quando você tem a opção Usar atualização automática da versão da chave habilitada), o serviço cuidará de referenciar automaticamente a versão mais atual da chave, sempre que a chave for girada manual ou automaticamente.
• Quando se pretende usar a mesma chave ou uma chave diferente armazenada noutro armazenamento de chaves.

Você deve atualizar as identidades gerenciadas atribuídas ao usuário que são usadas pelo seu Banco de Dados do Azure para o servidor flexível PostgreSQL para acessar as chaves de criptografia:

• Sempre que quiser usar uma identidade diferente.

Portais

Usando o portal do Azure:

1. Selecione o seu servidor flexível do Azure Database for PostgreSQL.

2. No menu de recursos, em Segurança, selecione Criptografia de dados.

   

3. Para alterar a identidade gerida de usuário com a qual o servidor acede ao armazenamento de chaves onde a chave é guardada, expanda a lista suspensa Identidade gerida de usuário e selecione qualquer uma das identidades disponíveis.

   

   Observação

   As identidades mostradas na caixa de combinação são apenas aquelas que seu servidor flexível do Banco de Dados do Azure para PostgreSQL foi atribuído. Embora não seja necessário, para manter a resiliência regional, recomendamos que você selecione identidades gerenciadas pelo usuário na mesma região do servidor. E se o seu servidor tiver redundância de backup geográfico habilitada, recomendamos que a segunda identidade gerenciada pelo usuário, usada para acessar a chave de criptografia de dados para backups com redundância geográfica, exista na região emparelhada do servidor.

4. Se o usuário atribuído à identidade gerenciada que você deseja usar para acessar a chave de criptografia de dados não estiver atribuído ao seu banco de dados do Azure para servidor flexível PostgreSQL e nem mesmo existir como um recurso do Azure com seu objeto correspondente na ID do Microsoft Entra, você poderá criá-la selecionando Criar.

   

5. No painel Criar Identidade Gerenciada Atribuída ao Usuário , preencha os detalhes da identidade gerenciada atribuída ao usuário que você deseja criar e atribua automaticamente ao seu Banco de Dados do Azure para servidor flexível PostgreSQL para acessar a chave de criptografia de dados.

   

6. Se a identidade gerida do utilizador que pretende usar para aceder à chave de encriptação de dados não estiver atribuída ao seu servidor flexível do Azure Database for PostgreSQL, mas existir como um recurso do Azure com o seu objeto correspondente no Microsoft Entra ID, pode atribuí-la selecionando Selecionar.

   

7. Entre a lista de identidades gerenciadas atribuídas pelo usuário, selecione aquela que você deseja que seu servidor use para acessar a chave de criptografia de dados armazenada em um Cofre de Chaves do Azure.

   

8. Selecione Adicionar.

   

9. Selecione Usar atualização automática da versão da chave, se preferir permitir que o serviço atualize automaticamente a referência para a versão mais atual da chave escolhida, sempre que a versão atual for girada manualmente ou automaticamente. Para compreender os benefícios das atualizações automáticas de versões de chave, consulte [atualização automática de versões de chave](concepts-data-encryption.md##CMK atualizações de versão de chave).

   

10. Se girares a chave e não tiveres Usar atualização automática da versão da chave ativado. Ou, se quiser usar uma chave diferente, atualize o Banco de Dados do Azure para o servidor flexível PostgreSQL, para que ele aponte para a nova versão da chave ou para a nova chave. Para fazer isso, você pode copiar o identificador de recurso da chave e colá-lo na caixa Identificador de chave .

    

11. Se o usuário que acessa o portal do Azure tiver permissões para acessar a chave armazenada no armazenamento de chaves, você poderá usar uma abordagem alternativa para escolher a nova chave ou a nova versão da chave. Para fazer isso, no Método de seleção de chave, selecione a opção Selecionar uma chave.

    

12. Selecione Selecionar chave.

    

13. A assinatura é preenchida automaticamente com o nome da assinatura na qual o servidor está prestes a ser criado. O armazenamento de chaves que mantém a chave de criptografia de dados deve existir na mesma assinatura que o servidor.

    

14. Em Tipo de armazenamento de chaves, selecione o botão de opção correspondente ao tipo de armazenamento de chaves no qual você planeja armazenar a chave de criptografia de dados. Neste exemplo, escolhemos Cofre de chaves, mas a experiência é semelhante se você escolher HSM gerenciado.

    

15. Expanda Cofre de chaves (ou HSM gerenciado, se você selecionou esse tipo de armazenamento) e selecione a instância em que a chave de criptografia de dados existe.

    

    Observação

    Quando expandes a lista desdobrável, ela mostra Nenhum item disponível. Leva alguns segundos até listar todas as instâncias do cofre de chaves que são implantadas na mesma região que o servidor.

16. Expanda Chave e selecione o nome da chave que você deseja usar para criptografia de dados.

    

17. Se você não selecionou Usar atualização automática da versão da chave, também deverá selecionar uma versão específica da chave. Para fazer isso, expanda Versão e selecione o identificador da versão da chave que você deseja usar para criptografia de dados.

    

18. Selecione Selecione.

    

19. Quando estiver satisfeito com as alterações feitas, selecione Salvar.

    

CLI

Você pode configurar a criptografia de dados com a chave de criptografia atribuída pelo usuário, para um servidor existente, através do comando az postgres flexible-server update .

az postgres flexible-server update \
  --resource-group <resource_group> \
  --name <server> \
  --identity <managed_identity_to_access_primary_encryption_key> \
  --key <resource_identifier_of_primary_encryption_key> ...

Observação

O comando anterior pode precisar ser completado com outros parâmetros cuja presença e valores variariam dependendo de como você deseja configurar outros recursos do servidor existente.

Se você deseja alterar apenas a identidade gerenciada atribuída ao usuário usada para acessar a chave, ou se deseja alterar apenas a chave usada para criptografia de dados, ou se deseja alterar ambos ao mesmo tempo, é necessário fornecer parâmetros --identity e --key (ou --backup-identity e --backup-key para backups com redundância geográfica). Se você fornecer um, mas não ambos, obterá qualquer um dos seguintes erros:

User assigned identity and keyvault key need to be provided together. Please provide --identity and --key together.

User assigned identity and keyvault key need to be provided together. Please provide --backup-identity and --backup-key together.

Se a chave apontada pelo valor passado para o parâmetro --key (ou --backup-key para backups com redundância geográfica) não existir, ou se o utilizador atribuído à identidade gerida, cujo identificador de recurso é passado para o parâmetro --identity (ou --backup-identity para backups com redundância geográfica), não tiver as permissões necessárias para aceder à chave, receberá o seguinte erro:

Code: AzureKeyVaultKeyNameNotFound
Message: The operation could not be completed because the Azure Key Vault Key name '<key_vault_resource>' does not exist or User Assigned Identity does not have Get access to the Key (/azure/postgresql/flexible-server/concepts-data-encryption#requirements-for-configuring-data-encryption-for-azure-database-for-postgresql-flexible-server).

Se o servidor tiver backups com redundância geográfica habilitados, você poderá configurar a chave usada para criptografia de backups com redundância geográfica e a identidade usada para acessar essa chave. Para fazer isso, você pode usar os --backup-identity parâmetros e --backup-key .

az postgres flexible-server update \
  --resource-group <resource_group> \
  --name <server> \
  --backup-identity <managed_identity_to_access_georedundant_encryption_key> \
  --backup-key <resource_identifier_of_georedundant_encryption_key> ...

Se você passar os parâmetros --backup-identity e --backup-key para o az postgres flexible server update comando, e se referir a um servidor existente que não tem backup com redundância geográfica habilitado, você receberá o seguinte erro:

Geo-redundant backup is not enabled. You cannot provide Geo-location user assigned identity and keyvault key.

As identidades passadas para os parâmetros --identity e --backup-identity, se existirem e forem válidas, serão adicionadas automaticamente à lista de identidades geridas atribuídas pelo utilizador associadas ao seu servidor flexível do Banco de Dados do Azure para PostgreSQL. Este é o caso, mesmo se o comando mais tarde falhar com algum outro erro. Nesses casos, convém usar os comandos az postgres flexible-server identity para listar, atribuir ou remover identidades gerenciadas atribuídas ao usuário atribuídas ao seu banco de dados do Azure para servidor flexível PostgreSQL. Para saber mais sobre como configurar identidades gerenciadas atribuídas pelo usuário em seu Banco de Dados do Azure para servidor flexível PostgreSQL, consulte Associar identidades gerenciadas atribuídas pelo usuário a servidores existentes, dissociar identidades gerenciadas atribuídas pelo usuário a servidores existentes e mostrar as identidades gerenciadas atribuídas ao usuário associado.

Conteúdo relacionado

• Encriptação de dados