Aracılığıyla paylaş

Azure Key Vault ile mevcut Azure Cosmos DB hesabınız için müşteri tarafından yönetilen anahtarları yapılandırma

  • Makale

ŞUNLAR IÇIN GEÇERLIDIR: NoSQL MongoDB Gremlin Masa

Yeni bir Azure Cosmos DB hesabı oluştururken Müşteri Tarafından Yönetilen Anahtarlar kullanılarak bekleyen veriler için ikinci bir şifreleme katmanının etkinleştirilmesi bir süredir Genel kullanıma sunulmuştur. Doğal bir sonraki adım olarak artık mevcut Azure Cosmos DB hesaplarında CMK'yi etkinleştirme özelliğine sahibiz.

Bu özellik, CMK'yi etkinleştirmek için yeni bir hesaba veri geçişi gereksinimini ortadan kaldırır. Müşterilerin güvenlik ve uyumluluk duruşunu geliştirmeye yardımcı olur.

CMK'nin etkinleştirilmesi, hesaptaki tüm mevcut verileri şifrelemek için zaman uyumsuz bir arka plan işlemine başlarken, yeni gelen veriler kalıcı hale gelmeden önce şifrelenir. Zaman uyumsuz işlemin başarılı olmasını beklemeniz gerekmez. Etkinleştirme işlemi, okuma/yazma iş yüklerinizi etkilememesi için kullanılmayan/yedek RU'ları kullanır. Hesabınız şifrelendiğinde kapasite planlaması için bu bağlantıya başvurabilirsiniz.

Mevcut hesaplarınızda CMK'yi etkinleştirerek başlayın

Önemli

Önkoşullar bölümünü ayrıntılı olarak inceleyin. Bunlar önemli noktalardır.

Önkoşullar

Yeni hesaplar için Müşteri Tarafından Yönetilen Anahtarlar yapılandırılırken gereken tüm önkoşul adımları, mevcut hesabınızda CMK'yi etkinleştirmek için geçerlidir. Buradaki adımlara bakın

Not

Azure Cosmos DB hesabınızda şifrelemeyi etkinleştirmenin belgenizin kimliğine küçük bir ek yük getireceğini ve belge kimliğinin en büyük boyutunun 1024 bayt yerine 990 baytla sınırlandığını unutmayın. Hesabınızda 990 bayttan büyük kimliklere sahip herhangi bir belge varsa, bu belgeler silinene kadar şifreleme işlemi başarısız olur.

Hesabınızın uyumlu olup olmadığını doğrulamak için, hesabınızı taramak için burada barındırılan konsol uygulamasını kullanabilirsiniz. API'nin seçili olmasına bakılmaksızın 'sqlEndpoint' hesap özelliğinizdeki uç noktayı kullandığınızdan emin olun.

Geçiş sırasında bunun için sunucu tarafı doğrulamasını devre dışı bırakmak istiyorsanız lütfen desteğe başvurun.

Mevcut hesabınızda CMK'yi etkinleştirme adımları

Mevcut bir hesapta CMK'yi etkinleştirmek için, yeni bir hesapta CMK'yi etkinleştirirken yaptığınız gibi keyVaultKeyUri özelliğinde key Vault anahtar tanımlayıcısı ayarlayan bir ARM şablonuyla hesabı güncelleştirin. Bu adım, aşağıdaki yüke sahip bir PATCH çağrısı düzenlenerek gerçekleştirilebilir:

    {
        "properties": {
        "keyVaultKeyUri": "<key-vault-key-uri>"
        }
    }

CMK'yi etkinleştirmek için bu CLI komutunun çıkışı, verilerin şifrelenmesinin tamamlanmasını bekler.

    az cosmosdb update --name "testaccount" --resource-group "testrg" --key-uri "https://keyvaultname.vault.azure.net/keys/key1"

Sürekli yedekleme veya Analiz deposu hesabıyla mevcut Azure Cosmos DB hesabınızda CMK'yi etkinleştirme adımları

Sürekli yedekleme ve belirli bir noktaya geri yüklemenin etkinleştirildiği mevcut hesapta CMK'yi etkinleştirmek için bazı ek adımları izlememiz gerekir. 1. adımdan 5. adıma geçin ve ardından mevcut hesapta CMK'yi etkinleştirmek için yönergeleri izleyin.

  1. Yönetilen kimliği cosmos hesabınızla yapılandırma Azure Cosmos DB hesabınız için Microsoft Entra Id ile yönetilen kimlikleri yapılandırma

  2. Önceki adımda eklenen yönetilen kimliğe işaret eden varsayılan kimliği ayarlamak için Cosmos hesabını güncelleştirme

    Sistem tarafından yönetilen kimlik için:

    az cosmosdb update--resource-group $resourceGroupName --name $accountName --default-identity "SystemAssignedIdentity"

    Kullanıcı tarafından yönetilen kimlik için:

    az cosmosdb update -n $sourceAccountName -g $resourceGroupName --default-identity "UserAssignedIdentity=/subscriptions/00000000-0000-0000-0000-00000000/resourcegroups/MyRG/providers/Microsoft.ManagedIdentity/userAssignedIdentities/MyID"

  3. Keyvault'ı buradaki belgelerde belirtildiği gibi yapılandırın

  4. Önceki adımda ayarlanan varsayılan kimlik için anahtar kasasına erişim ilkesi ekleme

  5. Anahtar kasası uri'sini ayarlamak için Cosmos hesabını güncelleştirin, bu güncelleştirme hesapta CMK'yi etkinleştirmeyi tetikler 

    az cosmosdb update --name $accountName --resource-group $resourceGroupName --key-uri $keyVaultKeyURI 

Bilinen sınırlamalar

  • Apache Cassandra için mevcut Azure Cosmos DB hesaplarında CMK'yi etkinleştirmeyi desteklemiyoruz.
  • CMK'yi etkinleştirme yalnızca Cosmos DB hesap düzeyinde kullanılabilir ve koleksiyonlarda kullanılamaz.
  • Gerçekleştirilmiş Görünümler ve tüm sürümler için etkinleştirilen ve değişiklik akışı modunu silen mevcut hesaplarda CMK'nin etkinleştirilmesini desteklemiyoruz.
  • CMK'yi etkinleştirmeden önce hesapta 990 bayttan büyük kimliklere sahip belgelerin olmaması gerektiğinden emin olun. Aksi takdirde, şifrelemeden sonra desteklenen en fazla 1024 bayt sınırı nedeniyle bir hata alırsınız.
  • Mevcut verilerin şifrelenmesi sırasında " bölge ekle" gibi denetim düzlemi eylemleri engellenir. Bu eylemlerin engeli kaldırılır ve şifreleme tamamlandıktan hemen sonra kullanılabilir.

Sonuçta elde edilen şifrelemenin ilerleme durumunu izleme

Mevcut bir hesapta CMK'yi etkinleştirmek, var olan tüm verileri şifreleyen bir arka plan görevini başlatan zaman uyumsuz bir işlemdir. Bu nedenle, CMK'yi etkinleştirmeye yönelik REST API isteği yanıtında bir "Azure-AsyncOperation" URL'si sağlar. BU URL'yi GET istekleriyle yoklama işlemi genel işlemin durumunu döndürür ve sonuç olarak Başarılı olur. Bu mekanizma bu makalede tam olarak açıklanmıştır.

Cosmos DB hesabı kullanılmaya devam edebilir ve zaman uyumsuz işlemin başarılı olması beklenmeden veriler yazılmaya devam edebilir. CMK'yi etkinleştirmeye yönelik CLI komutu, verilerin şifrelenmesinin tamamlanmasını bekler.

Mevcut bir Cosmos DB hesabının CMK'da kullanılmasına izin vermek için, hesabın "Büyük Kimlikler" olmadığından emin olmak için bir tarama yapılması gerekir. "Büyük Kimlik", 990 karakter uzunluğundan uzun bir belge kimliğidir. Bu tarama, CMK geçişi için zorunludur ve Microsoft tarafından otomatik olarak gerçekleştirilir. Bu işlem sırasında bir hata görebilirsiniz.

HATA: (InternalServerError) CMK Geçişi için belge tarama sırasında beklenmeyen hata. Lütfen işlemi yeniden deneyin.

Tarama işlemi koleksiyonda sağlanandan daha fazla RU kullandığında bu durum oluşur ve 429 hatası oluşur. Bu sorunun çözümü, RU'larını önemli ölçüde geçici olarak çarpmak olacaktır. Alternatif olarak, koleksiyonlarını taramak için burada barındırılan sağlanan konsol uygulamasını kullanabilirsiniz.

Not

Geçiş sırasında bunun için sunucu tarafı doğrulamasını devre dışı bırakmak istiyorsanız lütfen desteğe başvurun. Bu, yalnızca Büyük kimlik olmadığından eminseniz önerilir. Şifreleme sırasında Büyük Kimlik ile karşılaşılırsa, Büyük Kimlik belgesi giderilene kadar işlem durdurulacaktır.

Başka sorularınız varsa Microsoft Desteği ulaşın.

SSS

Şifreleme süresinin bağlı olduğu faktörler nelerdir?

CMK'nin etkinleştirilmesi zaman uyumsuz bir işlemdir ve kullanılabilir durumdaki yeterli kullanılmayan RU'ya bağlıdır. Yoğun olmayan saatlerde CMK'yi etkinleştirmenizi öneririz ve mümkünse şifrelemeyi hızlandırmak için el kullanmadan önce RU'ları artırabilirsiniz. Ayrıca veri boyutunun doğrudan bir işlevidir.

Kapalı kalma süresi için kendimizi frenlememiz gerekiyor mu?

CMK'nin etkinleştirilmesi, tüm verileri şifrelemek için arka plan, zaman uyumsuz bir işlem başlatıyor. Zaman uyumsuz işlemin başarılı olmasını beklemeniz gerekmez. Azure Cosmos DB hesabı okuma ve yazma işlemleri için kullanılabilir ve kapalı kalma süresine gerek yoktur.

CMK tetiklendikten sonra RU'ları artırabilir misiniz?

CMK'yi tetiklemeden önce RU'ları artırmanız önerilir. CMK tetiklendikten sonra, şifreleme tamamlanana kadar bazı denetim düzlemi işlemleri engellenir. Bu blok, CMK tetiklendiğinde kullanıcının RU'ları artırmasını engelleyebilir.

Mevcut bir Cosmos DB hesabının CMK'da kullanılmasına izin vermek için, microsoft tarafından daha önce listelenen bilinen sınırlamalardan birini ele almak için otomatik olarak Büyük Kimlik taraması yapılması zorunludur. Bu işlem ayrıca ek RU'lar kullanır ve hata 429'un önüne geçmek için RU'ları önemli ölçüde çarpmak iyi bir fikirdir.

CMK'yi tetikledikten sonra şifrelemeyi tersine çevirmenin veya devre dışı bırakmanın bir yolu var mı?

CMK kullanan veri şifreleme işlemi tetiklendikten sonra geri alınamaz.

Mevcut hesapta CMK kullanarak şifrelemeyi etkinleştirmenin veri boyutu ve okuma/yazma işlemleri üzerinde bir etkisi olacak mı?

Beklediğiniz gibi, CMK etkinleştirildiğinde ek şifreleme/şifre çözme işlemlerine uyum sağlamak için veri boyutu ve RU'larda küçük bir artış olur.

CMK'yi etkinleştirmeden önce verileri yedeklemeli misiniz?

CMK'nin etkinleştirilmesi veri kaybı tehdidi oluşturmaz.

Eski yedeklemeler düzenli yedeklemenin bir parçası olarak mı alınır?

Hayır Eski düzenli yedeklemeler şifrelenmez. CMK etkinleştirildikten sonra yeni oluşturulan yedeklemeler şifrelenir.

Sürekli yedekleme için etkinleştirilen mevcut hesaplardaki davranış nedir?

CMK açıldığında, sürekli yedeklemeler için şifreleme de açılır. CMK açıldıktan sonra, ileriye dönük tüm geri yüklenen hesaplar CMK etkinleştirilir.

PITR özellikli hesapta CMK etkinleştirildiyse ve hesabı CMK'nin devre dışı bırakıldığı zamana geri yüklediğimizde davranış nedir?

Bu durumda CMK, aşağıdaki nedenlerle geri yüklenen hedef hesapta açıkça etkinleştirilir:

  • Hesapta CMK etkinleştirildikten sonra CMK'yi devre dışı bırakma seçeneği yoktur.
  • Bu davranış, cmk etkin hesabın düzenli yedekleme ile geçerli geri yükleme tasarımına uygun

CMK geçişi devam ederken kullanıcı anahtarı iptal ettiğinde ne olur?

CMK şifrelemesi tetiklendiğinde anahtarın durumu denetlenır. Azure Anahtar Kasası'ndaki anahtar düzgün durumdaysa şifreleme başlatılır ve işlem daha fazla kontrol edilmeden tamamlanır. Anahtar iptal edilmiş veya Azure anahtar kasası silinmiş veya kullanılamıyor olsa bile şifreleme işlemi başarılı olur.

Mevcut üretim hesabımızda CMK şifrelemesini etkinleştirebilir miyiz?

Evet. Önkoşul bölümünü ayrıntılı olarak inceleyin. Tüm senaryoları ilk olarak üretim dışı hesaplarda test etmeniz önerilir ve alıştıktan sonra üretim hesaplarını göz önünde bulundurabilirsiniz.

Sonraki adımlar

  • Azure Cosmos DB'de veri şifreleme hakkında daha fazla bilgi edinin.
  • Kendi anahtarlarınızla ikinci bir şifreleme katmanı eklemeyi seçebilirsiniz. Daha fazla bilgi edinmek için müşteri tarafından yönetilen anahtarlar makalesine bakın.
  • Microsoft sertifikaları hakkında daha fazla bilgi için bkz . Azure Güven Merkezi.