Шифрование данных для База данных Azure для MySQL — гибкий сервер с помощью портал Azure
ОБЛАСТЬ ПРИМЕНЕНИЯ: База данных Azure для MySQL — гибкий сервер
В этом руководстве показано, как настроить шифрование данных и управлять ими для База данных Azure для MySQL гибкого сервера.
В этом руководстве описано следующее:
настройка шифрования данных для гибкого сервера Базы данных Azure для MySQL;
Настройте шифрование данных для восстановления.
настройка шифрования данных для серверов реплик.
Примечание.
Конфигурация доступа к хранилищу ключей Azure теперь поддерживает два типа моделей разрешений : управление доступом на основе ролей Azure и политика доступа к Хранилищу. В этом руководстве описывается настройка шифрования данных для гибкого сервера База данных Azure для MySQL с помощью политики доступа к Хранилищу. Однако вы можете использовать Azure RBAC в качестве модели разрешений для предоставления доступа к Azure Key Vault. Для этого вам нужна любая встроенная или настраиваемая роль, которая имеет следующие три разрешения и назначьте ее с помощью вкладки "Назначения ролей" с помощью вкладки "Управление доступом" (IAM) в keyvault/a) KeyVault/vaults/key/action b) KeyVault/keyVault/action c) KeyVault/vaults/key/read. Для управляемого HSM хранилища ключей Azure также потребуется назначить назначение роли "Управляемый пользователь шифрования криптослужбы HSM" в RBAC.
Необходимые компоненты
Учетная запись Azure с активной подпиской.
Если у вас еще нет подписки Azure, создайте бесплатную учетную запись Azure, прежде чем начинать работу.
Примечание.
С бесплатной учетной записью Azure теперь можно попробовать База данных Azure для MySQL гибкий сервер бесплатно в течение 12 месяцев. Дополнительные сведения см. в статье "Попробовать База данных Azure для MySQL гибкий сервер бесплатно".
Настройка соответствующих разрешений для ключевых операций
В Key Vault выберите элемент Политики доступа и нажмите кнопку Создать.
На вкладке Разрешения выберите следующие разрешения ключа: Get, List, Wrap Key, Unwrap Key.
На вкладке Субъект выберите элемент "Управляемое удостоверение, назначаемое пользователем".
Нажмите кнопку создания.
Настройка ключей, управляемых клиентом
Чтобы настроить управляемый клиентом ключ, выполните следующие действия.
На портале перейдите к База данных Azure для MySQL гибкому экземпляру сервера, а затем в разделе "Безопасность" выберите шифрование данных.
На странице Шифрование данных в разделе Удостоверение не назначено выберите элемент Изменить удостоверение.
В диалоговом окне выбора управляемого удостоверения,** назначаемого пользователем, выберите демонстрационное удостоверение UMI и нажмите кнопку "Добавить"**.
Справа от элемента Метод выбора ключа выберите элемент Выбрать ключ и укажите хранилище ключей и пару ключей или выберите элемент Введите идентификатор ключа.
Выберите Сохранить.
Использование шифрования данных для восстановления
Чтобы использовать шифрование данных в рамках операции восстановления, выполните следующие действия.
На портале Azure на странице обзора для навигации по серверу выберите элемент Восстановить.
Выберите элементы Изменить удостоверение и Управляемое удостоверение, назначаемое пользователем, а затем нажмите кнопку Добавить.Чтобы выбрать ключ, вы можете выбрать хранилище ключей и пару ключей или ввести идентификатор ключа.
Использование шифрования данных для серверов-реплик
После шифрования База данных Azure для MySQL гибкого экземпляра сервера с помощью управляемого ключа клиента, хранящегося в Key Vault, также шифруется любая только что созданная копия сервера.
Чтобы настроить репликацию, в разделе Параметры последовательно выберите элементы Репликация и Добавить реплику.
В диалоговом окне "Добавление сервера реплики в Базу данных Azure для MySQL" выберите соответствующий параметр Вычислительная среда и хранилище, а затем нажмите кнопку ОК.
Внимание
При попытке зашифровать гибкий сервер Базы данных Azure для MySQL, у которого уже есть реплики, с использованием ключа, управляемого клиентом, рекомендуется повторить эту настройку для каждой реплики, добавив управляемое удостоверение и ключ.