Datakryptering för Azure Database for PostgreSQL – enskild server med hjälp av Azure-portalen
GÄLLER FÖR: Azure Database for PostgreSQL – enskild server
Viktigt!
Azure Database for PostgreSQL – enskild server är på väg att dras tillbaka. Vi rekommenderar starkt att du uppgraderar till Azure Database for PostgreSQL – flexibel server. Mer information om hur du migrerar till Azure Database for PostgreSQL – flexibel server finns i Vad händer med Azure Database for PostgreSQL – enskild server?.
Lär dig hur du använder Azure-portalen för att konfigurera och hantera datakryptering för din Azure Database for PostgreSQL – enskild server.
Förutsättningar för Azure CLI
Du måste ha en Azure-prenumeration och vara administratör för den prenumerationen.
I Azure Key Vault skapar du ett nyckelvalv och en nyckel som ska användas för en kundhanterad nyckel.
Nyckelvalvet måste ha följande egenskaper att använda som en kundhanterad nyckel:
-
az resource update --id $(az keyvault show --name \ <key_vault_name> -test -o tsv | awk '{print $1}') --set \ properties.enableSoftDelete=true
-
az keyvault update --name <key_vault_name> --resource-group <resource_group_name> --enable-purge-protection true
-
Nyckeln måste ha följande attribut för att användas som en kundhanterad nyckel:
- Inget förfallodatum
- Inte aktiverat
- Kunna utföra åtgärder för att hämta, omsluta nyckel och packa upp nyckel
Ange rätt behörigheter för nyckelåtgärder
I Key Vault väljer du Åtkomstprinciper>Lägg till åtkomstprincip.
Välj Nyckelbehörigheter och välj Hämta, Radbryt, Packa upp och Huvudnamn, som är namnet på PostgreSQL-servern. Om serverobjektet inte finns i listan över befintliga huvudnamn måste du registrera det. Du uppmanas att registrera serverns huvudnamn när du försöker konfigurera datakryptering för första gången, och det misslyckas.
Välj Spara.
Ange datakryptering för Azure Database for PostgreSQL – enskild server
I Azure Database for PostgreSQL väljer du Datakryptering för att konfigurera den kundhanterade nyckeln.
Du kan antingen välja ett nyckelvalv och nyckelpar eller ange en nyckelidentifierare.
Välj Spara.
Starta om servern för att säkerställa att alla filer (inklusive temporära filer) är fullständigt krypterade.
Använda datakryptering för återställnings- eller replikservrar
När Azure Database for PostgreSQL – enskild server har krypterats med en kunds hanterade nyckel lagrad i Key Vault krypteras även alla nyligen skapade kopior av servern. Du kan göra den här nya kopian antingen via en lokal eller geo-återställningsåtgärd eller genom en replikåtgärd (lokal/mellan region). För en krypterad PostgreSQL-server kan du därför använda följande steg för att skapa en krypterad återställd server.
Välj Översiktsåterställning> på servern.
Eller för en replikeringsaktiverad server går du till rubriken Inställningar och väljer Replikering.
När återställningen är klar krypteras den nya servern som skapats med den primära serverns nyckel. Funktionerna och alternativen på servern är dock inaktiverade och servern är inte tillgänglig. Detta förhindrar datamanipulering eftersom den nya serverns identitet ännu inte har fått behörighet att komma åt nyckelvalvet.
Om du vill göra servern tillgänglig kan du återanvända nyckeln på den återställde servern. Välj Nyckel för omvaldering av datakryptering>.
Kommentar
Det första försöket att återuppta misslyckas eftersom den nya serverns tjänsthuvudnamn måste ges åtkomst till nyckelvalvet. Om du vill generera tjänstens huvudnamn väljer du Omvalidera nyckel, vilket visar ett fel men genererar tjänstens huvudnamn. Därefter kan du läsa de här stegen tidigare i den här artikeln.
Du måste ge nyckelvalvet åtkomst till den nya servern. Mer information finns i Aktivera Azure RBAC-behörigheter för Key Vault.
När du har registrerat tjänstens huvudnamn kan du återanvända nyckeln igen och servern återupptar sin normala funktionalitet.
Nästa steg
Mer information om datakryptering finns i Azure Database for PostgreSQL Datakryptering med enskild server med kundhanterad nyckel.