Felsöka datakryptering i Azure Database for MySQL

  • Artikel

GÄLLER FÖR: Azure Database for MySQL – enskild server

Viktigt!

Azure Database for MySQL – enskild server är på väg att dras tillbaka. Vi rekommenderar starkt att du uppgraderar till en flexibel Azure Database for MySQL-server. Mer information om hur du migrerar till en flexibel Azure Database for MySQL-server finns i Vad händer med Azure Database for MySQL – enskild server?

Den här artikeln beskriver hur du identifierar och löser vanliga problem som kan uppstå i Azure Database for MySQL när de konfigureras med datakryptering med hjälp av en kundhanterad nyckel.

Introduktion

När du konfigurerar datakryptering för att använda en kundhanterad nyckel i Azure Key Vault kräver servrar kontinuerlig åtkomst till nyckeln. Om servern förlorar åtkomsten till den kundhanterade nyckeln i Azure Key Vault nekar den alla anslutningar, returnerar lämpligt felmeddelande och ändrar dess tillstånd till Otillgängligt i Azure-portalen.

Om du inte längre behöver en otillgänglig Azure Database for MySQL-server kan du ta bort den för att sluta medföra kostnader. Inga andra åtgärder på servern tillåts förrän åtkomsten till nyckelvalvet har återställts och servern är tillgänglig. Det går inte heller att ändra datakrypteringsalternativet från Yes(kundhanterat) till No (tjänsthanterat) på en otillgänglig server när det krypteras med en kundhanterad nyckel. Du måste återskapa nyckeln manuellt innan servern är tillgänglig igen. Den här åtgärden är nödvändig för att skydda data från obehörig åtkomst medan behörigheter till den kundhanterade nyckeln återkallas.

Vanliga fel som gör att servern blir otillgänglig

Följande felkonfigurationer orsakar de flesta problem med datakryptering som använder Azure Key Vault-nycklar:

  • Nyckelvalvet är inte tillgängligt eller finns inte:

    • Nyckelvalvet togs bort av misstag.
    • Ett tillfälligt nätverksfel gör att nyckelvalvet inte är tillgängligt.

  • Du har inte behörighet att komma åt nyckelvalvet eller så finns inte nyckeln:

    • Nyckeln har upphört att gälla eller har tagits bort eller inaktiverats av misstag.
    • Den hanterade identiteten för Azure Database for MySQL-instansen togs bort av misstag.
    • Den hanterade identiteten för Azure Database for MySQL-instansen har otillräckliga nyckelbehörigheter. Behörigheterna inkluderar till exempel inte Get, Wrap och Unwrap.
    • De hanterade identitetsbehörigheterna till Azure Database for MySQL-instansen återkallades eller togs bort.

Identifiera och lösa vanliga fel

Fel i nyckelvalvet

Inaktiverat nyckelvalv

  • AzureKeyVaultKeyDisabledMessage
  • Förklaring: Det gick inte att slutföra åtgärden på servern eftersom Azure Key Vault-nyckeln är inaktiverad.

Behörigheter för nyckelvalv saknas

  • AzureKeyVaultMissingPermissionsMessage
  • Förklaring: Servern har inte de nödvändiga behörigheterna Get, Wrap och Unwrap till Azure Key Vault. Bevilja eventuella saknade behörigheter till tjänstens huvudnamn med ID.

Åtgärd

  • Bekräfta att den kundhanterade nyckeln finns i nyckelvalvet.
  • Identifiera nyckelvalvet och gå sedan till nyckelvalvet i Azure-portalen.
  • Kontrollera att nyckel-URI:n identifierar en nyckel som finns.

Nästa steg

Använd Azure-portalen för att konfigurera datakryptering med en kundhanterad nyckel i Azure Database for MySQL