Datakryptering för Azure Database for MySQL med hjälp av Azure-portalen

  • Artikel

GÄLLER FÖR: Azure Database for MySQL – enskild server

Viktigt!

Azure Database for MySQL – enskild server är på väg att dras tillbaka. Vi rekommenderar starkt att du uppgraderar till en flexibel Azure Database for MySQL-server. Mer information om hur du migrerar till en flexibel Azure Database for MySQL-server finns i Vad händer med Azure Database for MySQL – enskild server?

Lär dig hur du använder Azure-portalen för att konfigurera och hantera datakryptering för din Azure Database for MySQL.

Förutsättningar för Azure CLI

  • Du måste ha en Azure-prenumeration och vara administratör för den prenumerationen.

  • I Azure Key Vault skapar du ett nyckelvalv och en nyckel som ska användas för en kundhanterad nyckel.

  • Nyckelvalvet måste ha följande egenskaper att använda som en kundhanterad nyckel:

    • Mjuk borttagning

      az resource update --id $(az keyvault show --name \ <key_vault_name> -o tsv | awk '{print $1}') --set \ properties.enableSoftDelete=true

    • Rensa skyddat

      az keyvault update --name <key_vault_name> --resource-group <resource_group_name>  --enable-purge-protection true

    • Kvarhållningsdagar inställda på 90 dagar

      az keyvault update --name <key_vault_name> --resource-group <resource_group_name>  --retention-days 90

  • Nyckeln måste ha följande attribut för att användas som en kundhanterad nyckel:

    • Inget förfallodatum
    • Inte aktiverat
    • Utföra åtgärder för att hämta, omsluta och packa upp
    • recoverylevel-attribut inställt på Återställningsbar (detta kräver mjuk borttagning aktiverat med kvarhållningsperioden inställd på 90 dagar)
    • Rensningsskydd aktiverat

    Du kan verifiera ovanstående attribut för nyckeln med hjälp av följande kommando:

    az keyvault key show --vault-name <key_vault_name> -n <key_name>

  • Azure Database for MySQL – enskild server ska vara på prisnivån Generell användning eller Minnesoptimerad och på generell lagring v2. Innan du fortsätter läser du begränsningar för datakryptering med kundhanterade nycklar.

Ange rätt behörigheter för nyckelåtgärder

  1. I Key Vault väljer du Åtkomstprinciper>Lägg till åtkomstprincip.

    Screenshot of Key Vault, with Access policies and Add Access Policy highlighted

  2. Välj Nyckelbehörigheter och välj Hämta, Radbryt, Packa upp och Huvudnamn, som är namnet på MySQL-servern. Om serverobjektet inte finns i listan över befintliga huvudnamn måste du registrera det. Du uppmanas att registrera serverns huvudnamn när du försöker konfigurera datakryptering för första gången, och det misslyckas.

    Access policy overview

  3. Välj Spara.

Ange datakryptering för Azure Database for MySQL

  1. I Azure Database for MySQL väljer du Datakryptering för att konfigurera den kundhanterade nyckeln.

    Screenshot of Azure Database for MySQL, with Data encryption highlighted

  2. Du kan antingen välja ett nyckelvalv och nyckelpar eller ange en nyckelidentifierare.

    Screenshot of Azure Database for MySQL, with data encryption options highlighted

  3. Välj Spara.

  4. Starta om servern för att säkerställa att alla filer (inklusive temporära filer) är fullständigt krypterade.

Använda datakryptering för återställnings- eller replikservrar

När Azure Database for MySQL har krypterats med en kunds hanterade nyckel som lagras i Key Vault krypteras även alla nyligen skapade kopior av servern. Du kan göra den här nya kopian antingen via en lokal eller geo-återställningsåtgärd eller genom en replikåtgärd (lokal/mellan region). Så för en krypterad MySQL-server kan du använda följande steg för att skapa en krypterad återställd server.

  1. Välj Översiktsåterställning> på servern.

    Screenshot of Azure Database for MySQL, with Overview and Restore highlighted

    Eller för en replikeringsaktiverad server under rubriken Inställningar väljer du Replikering.

    Screenshot of Azure Database for MySQL, with Replication highlighted

  2. När återställningen är klar krypteras den nya servern som skapats med den primära serverns nyckel. Funktionerna och alternativen på servern är dock inaktiverade och servern är inte tillgänglig. Detta förhindrar datamanipulering eftersom den nya serverns identitet ännu inte har fått behörighet att komma åt nyckelvalvet.

    Screenshot of Azure Database for MySQL, with Inaccessible status highlighted

  3. Om du vill göra servern tillgänglig kan du återanvända nyckeln på den återställde servern. Välj Datakryptering>Omvalidera nyckel.

    Kommentar

    Det första försöket att återuppta misslyckas eftersom den nya serverns tjänsthuvudnamn måste ges åtkomst till nyckelvalvet. Om du vill generera tjänstens huvudnamn väljer du Omvalidera nyckel, vilket visar ett fel men genererar tjänstens huvudnamn. Därefter kan du läsa de här stegen tidigare i den här artikeln.

    Screenshot of Azure Database for MySQL, with revalidation step highlighted

    Du måste ge nyckelvalvet åtkomst till den nya servern. Mer information finns i Tilldela en key vault-åtkomstprincip.

  4. När du har registrerat tjänstens huvudnamn kan du återanvända nyckeln igen och servern återupptar sin normala funktionalitet.

    Screenshot of Azure Database for MySQL, showing restored functionality

Nästa steg