Настройка шифрования данных в Базе данных Azure для PostgreSQL

В этой статье приведены пошаговые инструкции по настройке шифрования данных для гибкого экземпляра сервера Базы данных Azure для PostgreSQL.

Это важно

Единственный момент, в котором можно решить, следует ли использовать системный управляемый ключ или ключ, управляемый клиентом для шифрования данных, при создании сервера. После принятия этого решения и создания сервера нельзя переключаться между двумя параметрами.

Из этой статьи вы узнаете, как создать новый сервер и настроить его параметры шифрования данных. Для существующих серверов, шифрование данных которых настроено на использование управляемого клиентом ключа шифрования, вы узнаете:

• Как выбрать другое управляемое удостоверение, назначаемое пользователем, с помощью которого служба обращается к ключу шифрования.
• Как указать другой ключ шифрования или сменить ключ шифрования, используемый в настоящее время для шифрования данных.

Сведения о шифровании данных в контексте Базы данных Azure для PostgreSQL см. в разделе шифрования данных.

Настройка шифрования данных с помощью системного управляемого ключа во время подготовки сервера

Портал

Использование портала Azure:

1. Во время подготовки нового экземпляра гибкого сервера базы данных Azure для PostgreSQL шифрование данных настраивается на вкладке Безопасность. Для Ключ шифрования данных выберите переключатель Управляемый службой ключ.

   

2. Если вы включите геоизбыточное хранилище резервных копий для подготовки вместе с сервером, аспект вкладки "Безопасность " немного изменяется, так как сервер использует два отдельных ключа шифрования. Один для основного региона, в котором развертывается сервер, и один для парного региона, в который резервные копии сервера реплицируются асинхронно.

   

CLI

Вы можете включить шифрование данных с помощью назначенного системой ключа шифрования при подготовке нового сервера с помощью команды az postgres flexible-server create .

az postgres flexible-server create \
  --resource-group <resource_group> \
  --name <server> ...

Замечание

В предыдущей команде нет специального параметра, чтобы указать, что сервер должен быть создан с назначенным системой ключом для шифрования данных. Причина в том, что шифрование данных с назначенным системой ключом является параметром по умолчанию. Кроме того, обратите внимание, что необходимо выполнить команду, предоставленную другими параметрами, наличие и значения которых зависят от способа настройки других функций подготовленного сервера.

Настройка шифрования данных с помощью управляемого клиентом ключа во время подготовки сервера

Портал

Использование портала Azure:

1. Создайте управляемое удостоверение, назначаемое пользователем, если у вас еще нет. Если на сервере включена геоизбыточная резервная копия, необходимо создать для разных удостоверений. Каждый из этих удостоверений используется для доступа к каждому из двух ключей шифрования данных.

Замечание

Хотя это не обязательно, для поддержания региональной устойчивости рекомендуется создать управляемое удостоверение пользователя в том же регионе, что и сервер. Если у сервера включена избыточность геоизбыточного резервного копирования, рекомендуется создать в парном регионе сервера второй управляемый удостоверений, используемый для доступа к ключу шифрования данных для геоизбыточного резервного копирования.

1. Создайте хранилище ключей Azure или создайте управляемый модуль HSM, если у вас еще нет одного хранилища ключей. Убедитесь, что выполнены требования. Кроме того, следуйте рекомендациям перед настройкой хранилища ключей и перед созданием ключа и назначьте необходимые разрешения для управляемого удостоверения, назначаемого пользователем. Если на сервере включена геоизбыточная резервная копия, необходимо создать второе хранилище ключей. Это второе хранилище ключей используется для хранения ключа шифрования данных, с помощью которого резервные копии, скопированные в парный регион сервера, шифруются.

Замечание

Хранилище ключей, используемое для хранения ключа шифрования данных, должно быть развернуто в том же регионе, что и сервер. Если на сервере включена избыточность геоизбыточного резервного копирования, хранилище ключей, которое сохраняет ключ шифрования данных для геоизбыточного резервного копирования, необходимо создать в парном регионе сервера.

1. Создайте один ключ в хранилище ключей. Если на сервере включены геоизбыточные резервные копии, вам потребуется один ключ в каждом из хранилищ ключей. С помощью одного из этих ключей мы шифруем все данные сервера (включая все системные и пользовательские базы данных, временные файлы, журналы сервера, сегменты журналов записи и резервные копии). С помощью второго ключа мы шифруем копии резервных копий, которые асинхронно копируются в парном регионе сервера.

2. Во время подготовки нового гибкого серверного экземпляра базы данных Azure для PostgreSQL шифрование данных настраивается на вкладке "Безопасность". Для ключа шифрования данных выберите радиокнопку "Управляемый клиентом".

   

3. Если вы включите геоизбыточное хранилище резервных копий для подготовки вместе с сервером, аспект вкладки "Безопасность " немного изменяется, так как сервер использует два отдельных ключа шифрования. Один для основного региона, в котором развертывается сервер, и один для парного региона, в который резервные копии сервера реплицируются асинхронно.

   

4. В управляемом удостоверении, назначаемом пользователем, выберите "Изменить удостоверение".

   

5. В списке назначенных пользователем управляемых удостоверений выберите нужный сервер для доступа к ключу шифрования данных, хранящимся в Azure Key Vault.

   

6. Нажмите кнопку "Добавить".

   

7. Выберите "Использовать автоматическое обновление версии ключа", если вы предпочитаете автоматически обновлять ссылку на самую текущую версию выбранного ключа, если текущая версия поворачивается вручную или автоматически. Чтобы понять преимущества использования автоматического обновления версий ключей, ознакомьтесь с автоматическим обновлением версии ключа.

   

8. Выберите ключ.

   

9. Подписка автоматически заполняется именем подписки, на которой будет создан сервер. Хранилище ключей, которое сохраняет ключ шифрования данных, должно существовать в той же подписке, что и сервер.

   

10. В типе хранилища ключей выберите переключатель, соответствующий типу хранилища ключей, в котором планируется сохранить ключ шифрования данных. В этом примере мы выбираем хранилище ключей, но при выборе управляемого устройства HSM аналогичный интерфейс.

    

11. Разверните хранилище ключей (или управляемый HSM, если выбран этот тип хранилища) и выберите экземпляр, в котором существует ключ шифрования данных.

    

    Замечание

    При развертывании раскрывающегося списка отображаются недоступные элементы. Это займет несколько секунд, пока он не выводит список всех экземпляров хранилища ключей, развернутых в том же регионе, что и сервер.

12. Разверните ключ и выберите имя ключа, который требуется использовать для шифрования данных.

    

13. Если вы не выбрали автоматическое обновление версии ключа, необходимо также выбрать определенную версию ключа. Для этого разверните версию и выберите идентификатор версии ключа, который требуется использовать для шифрования данных.

    

14. Нажмите кнопку "Выбрать".

    

15. Настройте все остальные параметры нового сервера и выберите "Проверить и создать".

    

CLI

Вы можете включить шифрование данных с помощью ключа шифрования, назначенного пользователем, при подготовке нового сервера с помощью команды az postgres flexible-server create .

Если у сервера нет геоизбыточного резервного копирования:

az postgres flexible-server create \
  --resource-group <resource_group> \
  --name <server> \
  --geo-redundant-backup Disabled \
  --identity <managed_identity_to_access_primary_encryption_key> \
  --key <resource_identifier_of_primary_encryption_key> ...

Замечание

Предыдущая команда должна быть завершена с другими параметрами, наличие и значения которых зависят от способа настройки других функций подготовленного сервера.

Если на сервере включены геоизбыточные резервные копии:

az postgres flexible-server create \
  --resource-group <resource_group> \
  --name <server> \
  --geo-redundant-backup Enabled \
  --identity <managed_identity_to_access_primary_encryption_key> \
  --key <resource_identifier_of_primary_encryption_key> \
  --backup-identity <managed_identity_to_access_geo_backups_encryption_key> \
  --backup-key <resource_identifier_of_geo_backups_encryption_key> ...

Замечание

Предыдущая команда должна быть завершена с другими параметрами, наличие и значения которых зависят от способа настройки других функций подготовленного сервера.

Настройка шифрования данных с помощью управляемого клиентом ключа на существующих серверах

Единственный момент, в котором можно решить, следует ли использовать системный управляемый ключ или ключ, управляемый клиентом для шифрования данных, при создании сервера. После принятия этого решения и создания сервера нельзя переключаться между двумя параметрами. Единственный вариант, если вы хотите изменить один на другой, требует восстановления любой из резервных копий, доступных на новом сервере. При настройке восстановления можно изменить конфигурацию шифрования данных нового сервера.

Для существующих серверов, которые были развернуты с шифрованием данных с помощью управляемого клиентом ключа, можно выполнить несколько изменений конфигурации. Изменения — это ссылки на ключи, используемые для шифрования, и ссылки на назначенные пользователем управляемые удостоверения, используемые службой для доступа к ключам, хранящихся в хранилищах ключей.

Необходимо обновить ссылки на то, что гибкий экземпляр сервера Базы данных Azure для PostgreSQL должен иметь ключ:

• Если ключ, хранящийся в хранилище ключей, поворачивается вручную или автоматически, а гибкий экземпляр сервера базы данных Azure для PostgreSQL указывает на определенную версию ключа. Если вы указываете на ключ, но не на определенную версию ключа (то есть при использовании автоматического обновления версии ключа), служба будет автоматически ссылаться на самую текущую версию ключа, всякий раз, когда ключ будет поворачиваться вручную или автоматически.
• Если вы хотите использовать тот же или другой ключ, хранящийся в другом хранилище ключей.

Необходимо обновить управляемые идентичности, назначенные пользователем, используемые вашим гибким экземпляром сервера Azure Database для PostgreSQL, чтобы получить доступ к ключам шифрования каждый раз, когда вы хотите использовать другую идентичность.

Портал

Использование портала Azure:

1. Выберите гибкий экземпляр сервера Базы данных Azure для PostgreSQL.

2. В меню ресурсов в разделе "Безопасность" выберите "Шифрование данных".

   

3. Чтобы изменить назначенное пользователем управляемое удостоверение, с помощью которого сервер обращается к хранилищу ключей, в котором хранится ключ, разверните раскрывающийся список управляемых удостоверений , назначенных пользователем, и выберите все доступные удостоверения.

   

   Замечание

   Удостоверения, отображаемые в поле со списком, это только те, которые были назначены вашему экземпляру гибкого сервера базы данных Azure для PostgreSQL. Хотя это не обязательно, для обеспечения региональной устойчивости рекомендуется выбрать управляемые пользователем удостоверения в том же регионе, что и сервер. И если на сервере включена избыточность геоизбыточного резервного копирования, рекомендуется использовать второе управляемое удостоверение пользователя, используемое для доступа к ключу шифрования данных для геоизбыточного резервного копирования, существует в парном регионе сервера.

4. Если назначаемое пользователем управляемое удостоверение, которое вы хотите использовать для доступа к ключу шифрования данных, не назначено гибкому экземпляру базы данных Azure для PostgreSQL, и он даже не существует в качестве ресурса Azure с соответствующим объектом в идентификаторе Microsoft Entra ID, его можно создать, выбрав "Создать".

   

5. В панели Создание управляемого удостоверения, назначенного пользователем заполните детали управляемого удостоверения, назначенного пользователем, которое вы хотите создать, и автоматически назначьте его на экземпляр гибкого сервера базы данных Azure для PostgreSQL, чтобы получить доступ к ключу шифрования данных.

   

6. Если назначаемое пользователем управляемое удостоверение, которое вы хотите использовать для доступа к ключу шифрования данных, не назначено гибкому экземпляру сервера Базы данных Azure для PostgreSQL, но оно существует в качестве ресурса Azure с соответствующим объектом в идентификаторе Microsoft Entra, его можно назначить, нажав кнопку Select.

   

7. В списке назначенных пользователем управляемых удостоверений выберите нужный сервер для доступа к ключу шифрования данных, хранящимся в Azure Key Vault.

   

8. Нажмите кнопку "Добавить".

   

9. Выберите "Использовать автоматическое обновление версии ключа", если вы предпочитаете автоматически обновлять ссылку на самую текущую версию выбранного ключа, если текущая версия поворачивается вручную или автоматически. Сведения о преимуществах использования автоматического обновления версий ключей см. в статье [автоматическое обновление версии ключа](concepts-data-encryption.md##CMK обновления версий ключа).

   

10. Если вы смените ключ и не включили автоматическое обновление версии ключа . Или если вы хотите использовать другой ключ, необходимо обновить гибкий экземпляр сервера Базы данных Azure для PostgreSQL, чтобы он указывает на новую версию ключа или новый ключ. Для этого можно скопировать идентификатор ресурса ключа и вставить его в поле идентификатора ключа .

    

11. Если у пользователя, доступ к порталу Azure, есть разрешения на доступ к ключу, хранящейся в хранилище ключей, можно использовать альтернативный подход для выбора нового ключа или новой версии ключа. Для этого в методе выбора клавиш выберите переключатель "Выбрать клавишу ".

    

12. Выберите "Выбрать ключ".

    

13. Подписка автоматически заполняется именем подписки, на которой будет создан сервер. Хранилище ключей, которое сохраняет ключ шифрования данных, должно существовать в той же подписке, что и сервер.

    

14. В типе хранилища ключей выберите переключатель, соответствующий типу хранилища ключей, в котором планируется сохранить ключ шифрования данных. В этом примере мы выбираем хранилище ключей, но при выборе управляемого устройства HSM аналогичный интерфейс.

    

15. Разверните хранилище ключей (или управляемый HSM, если выбран этот тип хранилища) и выберите экземпляр, в котором существует ключ шифрования данных.

    

    Замечание

    При развертывании раскрывающегося списка отображаются недоступные элементы. Это займет несколько секунд, пока он не выводит список всех экземпляров хранилища ключей, развернутых в том же регионе, что и сервер.

16. Разверните ключ и выберите имя ключа, который требуется использовать для шифрования данных.

    

17. Если вы не выбрали автоматическое обновление версии ключа, необходимо также выбрать определенную версию ключа. Для этого разверните версию и выберите идентификатор версии ключа, который требуется использовать для шифрования данных.

    

18. Нажмите кнопку "Выбрать".

    

19. После внесения изменений нажмите кнопку "Сохранить".

    

CLI

Вы можете настроить шифрование данных с помощью ключа шифрования, назначаемого пользователем, для существующего сервера, с помощью команды az postgres flexible-server update .

az postgres flexible-server update \
  --resource-group <resource_group> \
  --name <server> \
  --identity <managed_identity_to_access_primary_encryption_key> \
  --key <resource_identifier_of_primary_encryption_key> ...

Замечание

Предыдущая команда может быть завершена с другими параметрами, наличие и значения которых зависят от способа настройки других функций существующего сервера.

Хотите ли вы изменить только назначенное пользователем управляемое удостоверение, используемое для доступа к ключу, или вы хотите изменить ключ, используемый только для шифрования данных, или вы хотите изменить оба в то же время, необходимо предоставить оба параметра --identity и --key (или или --backup-identity--backup-key для геоизбыточного резервного копирования). Если указать один из них, но не оба, вы получите следующие ошибки:

User assigned identity and keyvault key need to be provided together. Please provide --identity and --key together.

User assigned identity and keyvault key need to be provided together. Please provide --backup-identity and --backup-key together.

Если ключ, указывающий на значение, переданное --key параметру (или для геоизбыточного резервного копирования), не существует, или --backup-key если назначаемое пользователем управляемое удостоверение, идентификатор ресурса которого передается --identity параметру (ore --backup-identity для геоизбыточного резервного копирования) не имеет необходимых разрешений для доступа к ключу, вы получите следующую ошибку:

Code: AzureKeyVaultKeyNameNotFound
Message: The operation could not be completed because the Azure Key Vault Key name '<key_vault_resource>' does not exist or User Assigned Identity does not have Get access to the Key (/azure/postgresql/flexible-server/concepts-data-encryption#requirements-for-configuring-data-encryption-for-azure-database-for-postgresql-flexible-server).

Если на сервере включена геоизбыточная резервная копия, можно настроить ключ, используемый для шифрования геоизбыточного резервного копирования, и удостоверение, используемое для доступа к такому ключу. Для этого можно использовать --backup-identity параметры и --backup-key параметры.

az postgres flexible-server update \
  --resource-group <resource_group> \
  --name <server> \
  --backup-identity <managed_identity_to_access_georedundant_encryption_key> \
  --backup-key <resource_identifier_of_georedundant_encryption_key> ...

Если вы передаете параметры --backup-identity и --backup-keyaz postgres flexible server update команду и ссылаетесь на существующий сервер, который не включает геоизбыточное резервное копирование, вы получите следующую ошибку:

Geo-redundant backup is not enabled. You cannot provide Geo-location user assigned identity and keyvault key.

Удостоверения, передаваемые в параметры --identity и --backup-identity, если они существуют и допустимы, автоматически добавляются в список управляемых удостоверений, назначенных пользователем, связанных с гибким экземпляром сервера Базы данных Azure для PostgreSQL. Это остается фактом, даже если команда позже все равно закончится другой ошибкой. В таких случаях может потребоваться использовать команды az postgres flexible-server identity для перечисления, назначения или удаления управляемых удостоверений, назначенных пользователем, для экземпляра гибкого сервера Azure Database для PostgreSQL. Дополнительные сведения о настройке управляемых удостоверений, назначенных пользователем, в гибком экземпляре сервера Базы данных Azure для PostgreSQL см. в статьях связывание управляемых удостоверений, назначенных пользователем, с существующими серверами, отсоединение управляемых удостоверений, назначенных пользователем, от существующих серверов и просмотр управляемых удостоверений, назначенных пользователем.

Связанный контент

• Шифрование данных