Configurar a criptografia de dados no Banco de Dados do Azure para PostgreSQL

Este artigo fornece instruções passo a passo para configurar a criptografia de dados para uma instância de servidor flexível do Banco de Dados do Azure para PostgreSQL.

Importante

O único ponto em que você pode decidir se deseja usar uma chave gerenciada pelo sistema ou uma chave gerenciada pelo cliente para criptografia de dados é na criação do servidor. Depois de tomar essa decisão e criar o servidor, você não pode alternar entre as duas opções.

Neste artigo, você aprenderá a criar um novo servidor e configurar suas opções de criptografia de dados. Para servidores existentes, cuja criptografia de dados está configurada para usar a chave de criptografia gerenciada pelo cliente, você aprende:

• Como selecionar um usuário diferente atribuído identidade gerenciada com o qual o serviço acessa a chave de criptografia.
• Como especificar uma chave de criptografia diferente ou como girar a chave de criptografia usada atualmente para criptografia de dados.

Para saber mais sobre a criptografia de dados no contexto do Banco de Dados do Azure para PostgreSQL, consulte a criptografia de dados.

Configurar a criptografia de dados com chave gerenciada pelo sistema durante o provisionamento do servidor

Portal

Usando o portal do Azure:

1. Durante o provisionamento de uma nova instância de servidor flexível do Azure Database para PostgreSQL, a encriptação de dados é configurada no separador Segurança. Para Chave de encriptação de dados, selecione o botão de opção Chave gerida pelo serviço.

   

2. Se você habilitar o armazenamento de backup com redundância geográfica para ser provisionado junto com o servidor, o aspeto da guia Segurança mudará ligeiramente porque o servidor usa duas chaves de criptografia separadas. Um para a região primária na qual você está implantando seu servidor e outro para a região emparelhada para a qual os backups do servidor são replicados de forma assíncrona.

   

CLI

Você pode habilitar a criptografia de dados com a chave de criptografia atribuída ao sistema, enquanto provisiona um novo servidor, através do comando az postgres flexible-server create .

az postgres flexible-server create \
  --resource-group <resource_group> \
  --name <server> ...

Observação

Não há nenhum parâmetro especial no comando anterior para especificar que o servidor deve ser criado com a chave atribuída ao sistema para criptografia de dados. A razão é que a criptografia de dados com chave atribuída ao sistema é a opção padrão. Além disso, observe que você deve concluir o comando fornecido com outros parâmetros cuja presença e valores variariam dependendo de como você deseja configurar outros recursos do servidor provisionado.

Configurar a criptografia de dados com chave gerenciada pelo cliente durante o provisionamento do servidor

Portal

Usando o portal do Azure:

1. Crie uma identidade gerenciada atribuída ao usuário, se você ainda não tiver uma. Se o servidor tiver backups com redundância geográfica habilitados, você precisará criar identidades diferentes. Cada uma dessas identidades é usada para acessar cada uma das duas chaves de criptografia de dados.

Observação

Embora não seja necessário, para manter a resiliência regional, recomendamos que você crie a identidade gerenciada pelo usuário na mesma região do servidor. E se o seu servidor tiver a redundância de backup geográfico habilitada, recomendamos que a segunda identidade gerenciada pelo usuário, usada para acessar a chave de criptografia de dados para backups com redundância geográfica, seja criada na região emparelhada do servidor.

1. Crie um Cofre de Chaves do Azure ou crie um HSM gerenciado, se você ainda não tiver um armazenamento de chaves criado. Certifique-se de que cumpre os requisitos. Além disso, siga as recomendações antes de configurar o armazenamento de chaves e antes de criar a chave e atribuir as permissões necessárias à identidade gerenciada atribuída ao usuário. Se o servidor tiver backups com redundância geográfica habilitados, você precisará criar um segundo armazenamento de chaves. Esse segundo armazenamento de chaves é usado para manter a chave de criptografia de dados com a qual os backups copiados para a região emparelhada do servidor são criptografados.

Observação

O armazenamento de chaves usado para manter a chave de criptografia de dados deve ser implantado na mesma região do servidor. E se o servidor tiver a redundância de backup geográfico habilitada, o armazenamento de chaves que mantém a chave de criptografia de dados para backups com redundância geográfica deverá ser criado na região emparelhada do servidor.

1. Crie uma chave no seu armazenamento de chaves. Se o servidor tiver backups com redundância geográfica habilitados, você precisará de uma chave em cada um dos armazenamentos de chaves. Com uma dessas chaves, criptografamos todos os dados do seu servidor (incluindo todos os bancos de dados do sistema e do usuário, arquivos temporários, logs do servidor, segmentos de log write-ahead e backups). Com a segunda chave, criptografamos as cópias dos backups que são copiadas de forma assíncrona na região emparelhada do seu servidor.

2. Durante o provisionamento de uma nova instância de servidor flexível do Banco de Dados do Azure para PostgreSQL, a criptografia de dados é configurada na guia Segurança . Em Chave de criptografia de dados, selecione o botão de opção Chave gerenciada pelo cliente .

   

3. Se você habilitar o armazenamento de backup com redundância geográfica para ser provisionado junto com o servidor, o aspeto da guia Segurança mudará ligeiramente porque o servidor usa duas chaves de criptografia separadas. Um para a região primária na qual você está implantando seu servidor e outro para a região emparelhada para a qual os backups do servidor são replicados de forma assíncrona.

   

4. Em Identidade gerenciada atribuída ao usuário, selecione Alterar identidade.

   

5. Entre a lista de identidades gerenciadas atribuídas pelo usuário, selecione aquela que você deseja que seu servidor use para acessar a chave de criptografia de dados armazenada em um Cofre de Chaves do Azure.

   

6. Selecione Adicionar.

   

7. Selecione Usar atualização automática da versão da chave, se preferir permitir que o serviço atualize automaticamente a referência para a versão mais atual da chave escolhida, sempre que a versão atual for girada manualmente ou automaticamente. Para entender os benefícios do uso de atualizações automáticas de versão de chave, consulte Atualização automática de versão de chave.

   

8. Selecione Selecionar uma chave.

   

9. A assinatura é preenchida automaticamente com o nome da assinatura na qual o servidor está prestes a ser criado. O armazenamento de chaves que mantém a chave de criptografia de dados deve existir na mesma assinatura que o servidor.

   

10. Em Tipo de armazenamento de chaves, selecione o botão de opção correspondente ao tipo de armazenamento de chaves no qual você planeja armazenar a chave de criptografia de dados. Neste exemplo, escolhemos Cofre de chaves, mas a experiência é semelhante se você escolher HSM gerenciado.

    

11. Expanda Cofre de chaves (ou HSM gerenciado, se você selecionou esse tipo de armazenamento) e selecione a instância em que a chave de criptografia de dados existe.

    

    Observação

    Quando você expande a caixa suspensa, ela mostra Nenhum item disponível. Leva alguns segundos até listar todas as instâncias do cofre de chaves que são implantadas na mesma região que o servidor.

12. Expanda Chave e selecione o nome da chave que você deseja usar para criptografia de dados.

    

13. Se você não selecionou Usar atualização automática da versão da chave, também deverá selecionar uma versão específica da chave. Para fazer isso, expanda Versão e selecione o identificador da versão da chave que você deseja usar para criptografia de dados.

    

14. Selecione Selecionar.

    

15. Configure todas as outras configurações do novo servidor e selecione Revisar + criar.

    

CLI

Você pode habilitar a criptografia de dados com a chave de criptografia atribuída pelo usuário, enquanto provisiona um novo servidor, através do comando az postgres flexible-server create .

Se o servidor não tiver backups com redundância geográfica habilitados:

az postgres flexible-server create \
  --resource-group <resource_group> \
  --name <server> \
  --geo-redundant-backup Disabled \
  --identity <managed_identity_to_access_primary_encryption_key> \
  --key <resource_identifier_of_primary_encryption_key> ...

Observação

O comando anterior precisa ser completado com outros parâmetros cuja presença e valores variam dependendo de como você deseja configurar outros recursos do servidor provisionado.

Se o seu servidor tiver backups com redundância geográfica habilitados:

az postgres flexible-server create \
  --resource-group <resource_group> \
  --name <server> \
  --geo-redundant-backup Enabled \
  --identity <managed_identity_to_access_primary_encryption_key> \
  --key <resource_identifier_of_primary_encryption_key> \
  --backup-identity <managed_identity_to_access_geo_backups_encryption_key> \
  --backup-key <resource_identifier_of_geo_backups_encryption_key> ...

Observação

O comando anterior precisa ser completado com outros parâmetros cuja presença e valores variam dependendo de como você deseja configurar outros recursos do servidor provisionado.

Configurar a criptografia de dados com chave gerenciada pelo cliente em servidores existentes

O único ponto em que você pode decidir se deseja usar uma chave gerenciada pelo sistema ou uma chave gerenciada pelo cliente para criptografia de dados é na criação do servidor. Depois de tomar essa decisão e criar o servidor, você não pode alternar entre as duas opções. A única alternativa, se você quiser mudar de um para o outro, requer restaurar qualquer um dos backups disponíveis do servidor em um novo servidor. Ao configurar a restauração, você tem permissão para alterar a configuração de criptografia de dados do novo servidor.

Para servidores existentes que foram implantados com criptografia de dados usando uma chave gerenciada pelo cliente, você pode fazer várias alterações de configuração. As coisas que podem ser alteradas são as referências às chaves usadas para criptografia e referências às identidades gerenciadas atribuídas pelo usuário usadas pelo serviço para acessar as chaves mantidas nos armazenamentos de chaves.

Você deve atualizar as referências que a sua instância de servidor flexível do Azure Database para PostgreSQL tem relativas a uma chave:

• Quando a chave armazenada no cofre de chaves é rodada, manualmente ou automaticamente, e a sua instância de servidor flexível do Banco de Dados do Azure para PostgreSQL aponta para uma versão específica da chave. Se você estiver apontando para uma chave, mas não para uma versão específica da chave (é quando você tem a opção Usar atualização automática da versão da chave habilitada), o serviço cuidará de referenciar automaticamente a versão mais atual da chave, sempre que a chave for girada manual ou automaticamente.
• Quando você deseja usar a mesma chave ou uma chave diferente armazenada em um armazenamento de chaves diferente.

Você deve atualizar as identidades gerenciadas atribuídas ao usuário que são usadas pela instância flexível do servidor do Banco de Dados do Azure para PostgreSQL para acessar as chaves de criptografia sempre que quiser usar uma identidade diferente.

Portal

Usando o portal do Azure:

1. Selecione a sua instância de servidor flexível do Azure Database para PostgreSQL.

2. No menu de recursos, em Segurança, selecione Criptografia de dados.

   

3. Para alterar a identidade gerenciada atribuída ao usuário com a qual o servidor acessa o armazenamento de chaves no qual a chave é mantida, expanda a lista suspensa Identidade gerenciada atribuída ao usuário e selecione qualquer uma das identidades disponíveis.

   

   Observação

   As identidades mostradas na caixa de seleção são apenas aquelas que foram atribuídas à instância de servidor flexível do Banco de Dados do Azure para PostgreSQL. Embora não seja necessário, para manter a resiliência regional, recomendamos que você selecione identidades gerenciadas pelo usuário na mesma região do servidor. E se o seu servidor tiver redundância de backup geográfico habilitada, recomendamos que a segunda identidade gerenciada pelo usuário, usada para acessar a chave de criptografia de dados para backups com redundância geográfica, exista na região emparelhada do servidor.

4. Se a identidade gerida atribuída ao utilizador que pretende usar para aceder à chave de encriptação de dados não estiver atribuída à sua instância de servidor flexível do Azure Database for PostgreSQL e não existir sequer como um recurso do Azure com o seu objeto correspondente no Microsoft Entra ID, pode criá-la selecionando Criar.

   

5. No painel Criar Identidade Gerenciada Atribuída ao Usuário , preencha os detalhes da identidade gerenciada atribuída ao usuário que você deseja criar e atribua automaticamente à sua instância de servidor flexível do Banco de Dados do Azure para PostgreSQL para acessar a chave de criptografia de dados.

   

6. Se a identidade gerida atribuída ao utilizador que deseja usar para acessar a chave de criptografia de dados não estiver atribuída à instância de servidor flexível do Azure Database para PostgreSQL, mas existir como um recurso do Azure com o seu objeto correspondente no Microsoft Entra ID, pode atribuí-la selecionando Selecionar.

   

7. Entre a lista de identidades gerenciadas atribuídas pelo usuário, selecione aquela que você deseja que seu servidor use para acessar a chave de criptografia de dados armazenada em um Cofre de Chaves do Azure.

   

8. Selecione Adicionar.

   

9. Selecione Usar atualização automática da versão da chave, se preferir permitir que o serviço atualize automaticamente a referência para a versão mais atual da chave escolhida, sempre que a versão atual for girada manualmente ou automaticamente. Para entender os benefícios do uso de atualizações automáticas de versão de chave, consulte [atualização automática de versão de chave](concepts-data-encryption.md##CMK atualizações de versão de chave).

   

10. Se você girar a chave e não tiver a opção Usar atualização automática da versão da chave habilitada. Ou, se quiser usar uma chave diferente, atualize o Banco de Dados do Azure para instância flexível do servidor PostgreSQL, para que ela aponte para a nova versão da chave ou para a nova chave. Para fazer isso, você pode copiar o identificador de recurso da chave e colá-lo na caixa Identificador de chave .

    

11. Se o usuário que acessa o portal do Azure tiver permissões para acessar a chave armazenada no armazenamento de chaves, você poderá usar uma abordagem alternativa para escolher a nova chave ou a nova versão da chave. Para fazer isso, em Método de seleção de chave, selecione o botão de opção Selecionar uma chave .

    

12. Selecione Selecionar chave.

    

13. A assinatura é preenchida automaticamente com o nome da assinatura na qual o servidor está prestes a ser criado. O armazenamento de chaves que mantém a chave de criptografia de dados deve existir na mesma assinatura que o servidor.

    

14. Em Tipo de armazenamento de chaves, selecione o botão de opção correspondente ao tipo de armazenamento de chaves no qual você planeja armazenar a chave de criptografia de dados. Neste exemplo, escolhemos Cofre de chaves, mas a experiência é semelhante se você escolher HSM gerenciado.

    

15. Expanda Cofre de chaves (ou HSM gerenciado, se você selecionou esse tipo de armazenamento) e selecione a instância em que a chave de criptografia de dados existe.

    

    Observação

    Quando você expande a caixa suspensa, ela mostra Nenhum item disponível. Leva alguns segundos até listar todas as instâncias do cofre de chaves que são implantadas na mesma região que o servidor.

16. Expanda Chave e selecione o nome da chave que você deseja usar para criptografia de dados.

    

17. Se você não selecionou Usar atualização automática da versão da chave, também deverá selecionar uma versão específica da chave. Para fazer isso, expanda Versão e selecione o identificador da versão da chave que você deseja usar para criptografia de dados.

    

18. Selecione Selecionar.

    

19. Quando estiver satisfeito com as alterações feitas, selecione Salvar.

    

CLI

Você pode configurar a criptografia de dados com a chave de criptografia atribuída pelo usuário, para um servidor existente, através do comando az postgres flexible-server update .

az postgres flexible-server update \
  --resource-group <resource_group> \
  --name <server> \
  --identity <managed_identity_to_access_primary_encryption_key> \
  --key <resource_identifier_of_primary_encryption_key> ...

Observação

O comando anterior pode precisar ser completado com outros parâmetros cuja presença e valores variariam dependendo de como você deseja configurar outros recursos do servidor existente.

Se você deseja alterar apenas a identidade gerenciada atribuída ao usuário usada para acessar a chave, ou se deseja alterar apenas a chave usada para criptografia de dados, ou se deseja alterar ambos ao mesmo tempo, é necessário fornecer parâmetros --identity e --key (ou --backup-identity e --backup-key para backups com redundância geográfica). Se você fornecer um, mas não ambos, obterá qualquer um dos seguintes erros:

User assigned identity and keyvault key need to be provided together. Please provide --identity and --key together.

User assigned identity and keyvault key need to be provided together. Please provide --backup-identity and --backup-key together.

Se a chave apontada pelo valor passado para o --key parâmetro (ou --backup-key para backups com redundância geográfica) não existir, ou se o usuário atribuído à identidade gerenciada cujo identificador de recurso é passado para o --identity parâmetro (minério --backup-identity para backups com redundância geográfica) não tiver as permissões necessárias para acessar a chave, você receberá o seguinte erro:

Code: AzureKeyVaultKeyNameNotFound
Message: The operation could not be completed because the Azure Key Vault Key name '<key_vault_resource>' does not exist or User Assigned Identity does not have Get access to the Key (/azure/postgresql/flexible-server/concepts-data-encryption#requirements-for-configuring-data-encryption-for-azure-database-for-postgresql-flexible-server).

Se o servidor tiver backups com redundância geográfica habilitados, você poderá configurar a chave usada para criptografia de backups com redundância geográfica e a identidade usada para acessar essa chave. Para fazer isso, você pode usar os --backup-identity parâmetros e --backup-key .

az postgres flexible-server update \
  --resource-group <resource_group> \
  --name <server> \
  --backup-identity <managed_identity_to_access_georedundant_encryption_key> \
  --backup-key <resource_identifier_of_georedundant_encryption_key> ...

Se você passar os parâmetros --backup-identity e --backup-key para o az postgres flexible server update comando, e se referir a um servidor existente que não tem backup com redundância geográfica habilitado, você receberá o seguinte erro:

Geo-redundant backup is not enabled. You cannot provide Geo-location user assigned identity and keyvault key.

As identidades transmitidas para os parâmetros --identity e --backup-identity, se existirem e forem válidas, são automaticamente adicionadas à lista de identidades geridas pelo utilizador atribuídas à sua instância de servidor flexível da Base de Dados Azure para PostgreSQL. Este é o caso, mesmo se o comando mais tarde falhar com algum outro erro. Nesses casos, convém usar os comandos az postgres flexible-server identity para listar, atribuir ou remover identidades gerenciadas atribuídas ao usuário atribuídas à sua instância de servidor flexível do Banco de Dados do Azure para PostgreSQL. Para saber mais sobre como configurar identidades gerenciadas atribuídas pelo usuário em seu Banco de Dados do Azure para instância de servidor flexível do PostgreSQL, consulte Associar identidades gerenciadas atribuídas pelo usuário a servidores existentes, dissociar identidades gerenciadas atribuídas pelo usuário a servidores existentes e mostrar as identidades gerenciadas atribuídas ao usuário associado.

Conteúdo relacionado

• Encriptação de dados