Шифрование данных для отдельного сервера Базы данных Azure для PostgreSQL с использованием портала Azure

Область применения: отдельный сервер Базы данных Azure для PostgreSQL

Внимание

База данных Azure для PostgreSQL — одиночный сервер находится на пути выхода на пенсию. Настоятельно рекомендуется выполнить обновление до База данных Azure для PostgreSQL — гибкий сервер. Дополнительные сведения о миграции на База данных Azure для PostgreSQL — гибкий сервер см. в статье "Что происходит с одним сервером База данных Azure для PostgreSQL?".

Сведения о том, как с помощью портала Azure настроить шифрование данных и управлять им для отдельного сервера Базы данных Azure для PostgreSQL.

Необходимые условия для Azure CLI

• Подписка Azure и права администратора для нее.

• В Azure Key Vault создайте хранилище ключей и ключ, который будет использоваться для ключа, управляемого клиентом.

• Чтобы использовать ключ, управляемый клиентом, хранилище ключей должно иметь следующие свойства:

  • обратимое удаление;

    az resource update --id $(az keyvault show --name \ <key_vault_name> -test -o tsv | awk '{print $1}') --set \ properties.enableSoftDelete=true
    

  • Защита от очистки

    az keyvault update --name <key_vault_name> --resource-group <resource_group_name>  --enable-purge-protection true
    

• Чтобы использовать ключ в качестве управляемого клиентом, он должен иметь следующие атрибуты:

  • без даты окончания срока действия;
  • не отключено;
  • возможность выполнять операции получения, упаковки и распаковки ключа.

Задайте правильные разрешения для операций с ключами.

1. В Key Vault выберите Политики доступа>Добавить политику доступа.

   

2. Нажмите Разрешения ключей и выберите Get, Wrap, Unwrap и Субъект — это имя сервера PostgreSQL. Если субъект сервера не найден в списке существующих субъектов, его необходимо зарегистрировать. Вам будет предложено зарегистрировать субъект сервера, если не удастся настроить шифрование данных с первой попытки.

   

3. Выберите Сохранить.

Настройка шифрования данных для отдельного сервера Базы данных Azure для PostgreSQL

1. В Базе данных Azure для PostgreSQL выберите Шифрование данных, чтобы настроить ключ, управляемый клиентом.

   

2. Можно выбрать хранилище ключей и пару ключей или ввести идентификатор ключа.

   

3. Выберите Сохранить.

4. Чтобы все файлы (включая временные) были полностью зашифрованы, перезапустите сервер.

Использование шифрования данных для серверов восстановления или реплик

После шифрования отдельного сервера базы данных Azure для PostgreSQL с помощью управляемого ключа клиента, хранящегося в Key Vault, все создаваемые копии сервера также шифруются. Новую копию можно создать с помощью операции локального восстановления или геовосстановления либо с помощью операции реплики (локальной или между регионами). Чтобы создать зашифрованный восстановленный сервер для зашифрованного сервера PostgreSQL, выполните указанные ниже действия.

1. На сервере выберите Обзор>Восстановление.

   

   Или в случае сервера с поддержкой репликации в разделе Параметры выберите Репликация.

   

2. После завершения операции восстановления новый сервер будет зашифрован с помощью ключа главного сервера. Однако возможности и параметры на сервере отключены и сервер недоступен. Операции с данными выполнять невозможно, так как удостоверению нового сервера еще не было предоставлено разрешение на доступ к хранилищу ключей.

   

3. Чтобы сделать сервер доступным, выполните повторную проверку ключа на восстановленном сервере. Выберите Шифрование данных>Повторная проверка ключа.

   Примечание.

   Первая попытка повторной проверки будет неудачной, так как субъекту-службе нового сервера необходимо предоставить доступ к хранилищу ключей. Чтобы создать субъект-службу, выберите пункт Повторная проверка ключа, при этом появляется сообщение об ошибке, но создается субъект-служба. После этого вернитесь к шагам, описанным в начале этой статьи.

   

   Необходимо предоставить хранилищу ключей доступ к новому серверу. Дополнительные сведения см. в статье Включение разрешений Azure RBAC для Key Vault.

4. После регистрации субъекта-службы снова выполните повторную проверку ключа, и сервер возобновит нормальную работу.

   

Следующие шаги

Дополнительные сведения о шифровании данных см. в статье Шифрование данных на отдельном сервере Базы данных Azure для PostgreSQL с помощью ключа, управляемого клиентом.