PostgreSQL için Azure Cosmos DB'de müşteri tarafından yönetilen anahtarlarla veri şifrelemeyi etkinleştirme

ŞUNLAR IÇIN GEÇERLIDIR: PostgreSQL için Azure Cosmos DB (PostgreSQL'e citus veritabanı uzantısıyla desteklenir)

Önkoşullar

• PostgreSQL için mevcut bir Azure Cosmos DB hesabı.
  • Azure aboneliğiniz varsa yeni bir hesap oluşturun.
  • Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.
  • Alternatif olarak, işlemeden önce Azure Cosmos DB'yi ücretsiz deneyebilirsiniz.

Müşteri tarafından yönetilen anahtarlarla veri şifrelemeyi etkinleştirme

Önemli

PostgreSQL için Azure Cosmos DB kümenizin dağıtılacağı bölgede aşağıdaki tüm kaynakları oluşturun.

1. Kullanıcı tarafından atanmış bir yönetilen kimlik oluşturun. Şu anda PostgreSQL için Azure Cosmos DB yalnızca kullanıcı tarafından atanan yönetilen kimlikleri destekler.

2. Azure Key Vault oluşturun ve aşağıdaki anahtar izinleriyle oluşturulan Kullanıcı Tarafından Atanan Yönetilen Kimliğe erişim ilkesi ekleyin: Alma, Anahtarı Açma ve Sarmalama.

3. Anahtar kasasında bir anahtar oluşturun (desteklenen anahtar türleri: RSA 2048, 3071, 4096).

4. PostgreSQL için Azure Cosmos DB kümesi oluşturulurken müşteri tarafından yönetilen anahtar şifreleme seçeneğini belirleyin ve 1, 2 ve 3. adımlarda oluşturulan uygun kullanıcı tarafından atanan yönetilen kimliği, anahtar kasasını ve anahtarı seçin.

Ayrıntılı adımlar

Kullanıcı tarafından atanan yönetilen kimlik

1. Genel arama çubuğunda Yönetilen kimlikler için arama yapın.

   

2. PostgreSQL için Azure Cosmos DB kümenizle aynı bölgede yeni bir kullanıcı tarafından atanan yönetilen kimlik oluşturun.

   

Kullanıcı tarafından atanan yönetilen kimlik hakkında daha fazla bilgi edinin.

Anahtar Kasası

PostgreSQL için Azure Cosmos DB ile müşteri tarafından yönetilen anahtarları kullanmak için Azure Key Vault örneğinde şifreleme anahtarlarınızı barındırmak için kullanmayı planladığınız iki özellik ayarlamanız gerekir: Geçici Silme ve Temizleme Koruması.

1. Yeni bir Azure Key Vault örneği oluşturursanız oluşturma sırasında şu özellikleri etkinleştirin:

   

2. Mevcut bir Azure Key Vault örneği kullanıyorsanız, Azure portalındaki Özellikler bölümüne bakarak bu özelliklerin etkinleştirildiğini doğrulayabilirsiniz. Bu özelliklerden herhangi biri etkinleştirilmediyse, aşağıdaki makalelerden birinde "Geçici silmeyi etkinleştirme" ve "Temizleme Korumasını Etkinleştirme" bölümlerine bakın.

   • PowerShell ile geçici silmeyi kullanma .
   • Azure CLI ile geçici silmeyi kullanma .

3. Silinen kasaların saklanması için Key Vault'un Günler için 90 gün ile ayarlanması gerekir. Mevcut anahtar kasası daha düşük bir sayı ile yapılandırılmışsa, bu ayar oluşturulduktan sonra değiştirilemeyecek şekilde yeni bir anahtar kasası oluşturmanız gerekir.

   Önemli

   Azure Key Vault örneğinizin tüm ağlardan genel erişime izin vermesi gerekir.

Key Vault'a Erişim İlkesi ekleme

1. Azure portalından, şifreleme anahtarlarınızı barındırmak için kullanmayı planladığınız Azure Key Vault örneğine gidin. Soldaki menüden Access yapılandırması'nı seçin. İzin modeli'nin altında Kasa erişim ilkesinin seçili olduğundan emin olun ve ardından Erişim ilkelerine git'i seçin.

   

2. +Oluştur'u seçin.

3. İzinler Sekmesinde, Anahtar izinleri açılan menüsünün altında Al, Anahtarı Kaldır ve Anahtar Sarmala izinlerini seçin.

   

4. Sorumlu sekmesinde, önkoşul adımında oluşturduğunuz Kullanıcı Tarafından Atanan Yönetilen Kimlik'i seçin.

5. Gözden Geçir ve oluştur'a gidip Oluştur'u seçin.

Anahtar Oluşturma/ İçeri Aktarma

1. Azure portalından, şifreleme anahtarlarınızı barındırmak için kullanmayı planladığınız Azure Key Vault örneğine gidin.

2. Soldaki menüden Anahtarlar'ı ve ardından +Oluştur/İçeri Aktar'ı seçin.

   

3. DEK'yi şifrelemek için kullanılacak müşteri tarafından yönetilen anahtar yalnızca asimetrik RSA Anahtarı türü olabilir. Tüm RSA Anahtar boyutları 2048, 3072 ve 4096 desteklenir.

4. Anahtar etkinleştirme tarihi (ayarlandıysa) geçmişe ait bir tarih ve saat olmalıdır. Son kullanma tarihi (ayarlandıysa) gelecekteki bir tarih ve saat olmalıdır.

5. Anahtar Etkin durumda olmalıdır.

6. Mevcut bir anahtarı anahtar kasasına aktarıyorsanız, bunu desteklenen dosya biçimlerinde (.pfx, .byok, .backup) sağladığından emin olun.

7. Anahtarı el ile döndürecekseniz eski anahtar sürümü en az 24 saat silinmemelidir.

Yeni kümenin sağlanması sırasında CMK şifrelemesini etkinleştirme

Portal

1. PostgreSQL için yeni bir Azure Cosmos DB kümesinin sağlanması sırasında, Temel bilgiler ve Ağ sekmeleri altında gerekli bilgileri sağladıktan sonra Şifreleme sekmesine gidin.

2. Veri şifreleme anahtarı seçeneğinin altında Müşteri tarafından yönetilen anahtar'ı seçin.

3. Önceki bölümde oluşturulan kullanıcı tarafından atanan yönetilen kimliği seçin.

4. Önceki adımda oluşturulan ve önceki adımda kullanıcı tarafından yönetilen kimliğe erişim ilkesinin seçili olduğu anahtar kasasını seçin.

5. Önceki adımda oluşturulan anahtarı seçin ve ardından Gözden geçir ve oluştur'u seçin.

6. Küme oluşturulduktan sonra, Azure portalında PostgreSQL için Azure Cosmos DB kümesinin Veri Şifrelemesi dikey penceresine giderek CMK şifrelemesinin etkinleştirildiğini doğrulayın.

Dekont

Veri şifrelemesi yalnızca yeni bir küme oluşturulurken yapılandırılabilir ve mevcut bir kümede güncelleştirilemez. Mevcut kümede şifreleme yapılandırmasını güncelleştirmeye yönelik geçici bir çözüm, yeni geri yüklenen kümenin oluşturulması sırasında bir küme geri yüklemesi gerçekleştirmek ve veri şifrelemesini yapılandırmaktır.

ARM Şablonu

   {
       "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "serverGroupName": {
               "type": "string"
           },
           "location": {
               "type": "string"
           },
           "administratorLoginPassword": {
               "type": "secureString"
           },
           "previewFeatures": {
               "type": "bool"
           },
           "postgresqlVersion": {
               "type": "string"
           },
           "coordinatorVcores": {
               "type": "int"
           },
           "coordinatorStorageSizeMB": {
               "type": "int"
           },
           "numWorkers": {
               "type": "int"
           },
           "workerVcores": {
               "type": "int"
           },
           "workerStorageSizeMB": {
               "type": "int"
           },
           "enableHa": {
               "type": "bool"
           },
           "enablePublicIpAccess": {
               "type": "bool"
           },
           "serverGroupTags": {
               "type": "object"
           },
           "userAssignedIdentityUrl": {
               "type": "string"
           },
           "encryptionKeyUrl": {
               "type": "string"
           }
       },
       "variables": {},
       "resources": [
           {
               "name": "[parameters('serverGroupName')]",
               "type": "Microsoft.DBforPostgreSQL/serverGroupsv2",
               "kind": "CosmosDBForPostgreSQL",
               "apiVersion": "2020-10-05-privatepreview",
               "identity":
               {
                   "type": "UserAssigned",
                   "userAssignedIdentities":
                   {
                       "/subscriptions/04b0358b-392b-41d6-899e-b75cb292321e/resourcegroups/yogkuleuapcmkmarlintest/providers/Microsoft.ManagedIdentity/userAssignedIdentities/marlincmktesteus2euapuai1": {}
                   }
               },
               "location": "[parameters('location')]",
               "tags": "[parameters('serverGroupTags')]",
               "properties": {
                   "createMode": "Default",
                   "administratorLogin": "citus",
                   "administratorLoginPassword": "[parameters('administratorLoginPassword')]",
                   "backupRetentionDays": 35,
                   "enableMx": false,
                   "enableZfs": false,
                   "previewFeatures": "[parameters('previewFeatures')]",
                   "postgresqlVersion": "[parameters('postgresqlVersion')]",
                   "dataencryption":
                   {
                       "primaryKeyUri": "[parameters('encryptionKeyUrl')]",
                       "primaryUserAssignedIdentityId": "[parameters('userAssignedIdentityUrl')]",
                       "type": "AzureKeyVault"
                   },
                   "serverRoleGroups": [
                       {
                           "name": "",
                           "role": "Coordinator",
                           "serverCount": 1,
                           "serverEdition": "GeneralPurpose",
                           "vCores": "[parameters('coordinatorVcores')]",
                           "storageQuotaInMb": "[parameters('coordinatorStorageSizeMB')]",
                           "enableHa": "[parameters('enableHa')]"
                       },
                       {
                           "name": "",
                           "role": "Worker",
                           "serverCount": "[parameters('numWorkers')]",
                           "serverEdition": "MemoryOptimized",
                           "vCores": "[parameters('workerVcores')]",
                           "storageQuotaInMb": "[parameters('workerStorageSizeMB')]",
                           "enableHa": "[parameters('enableHa')]",
                           "enablePublicIpAccess": "[parameters('enablePublicIpAccess')]"
                       }
                   ]
               },
               "dependsOn": []
           }
       ],
       "outputs": {}
   }

Yüksek kullanılabilirlik

Birincil kümede CMK şifrelemesi etkinleştirildiğinde, tüm HA bekleme düğümleri birincil kümenin anahtarı tarafından otomatik olarak şifrelenir.

PITR gerçekleştirerek şifreleme yapılandırmasını değiştirme

Şifreleme yapılandırması, bir küme geri yükleme işlemi (PITR - belirli bir noktaya geri yükleme) gerçekleştirilirken hizmet tarafından yönetilen şifrelemeden müşteri tarafından yönetilen şifrelemeye veya tersine değiştirilebilir.

Portal

1. Veri şifreleme dikey penceresine gidin ve Geri yükleme işlemini başlat'ı seçin. Alternatif olarak, Genel Bakış dikey penceresinde Geri Yükle seçeneğini belirleyerek PITR gerçekleştirebilirsiniz.

2. Veri şifrelemesini küme geri yükleme sayfasının Şifreleme sekmesinde değiştirebilir/yapılandırabilirsiniz.

ARM Şablonu

   {
       "$schema": "http://schema.management.azure.com/schemas/2014-04-01-preview/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "location": {
               "type": "string"
           },
           "sourceLocation": {
               "type": "string"
           },
           "subscriptionId": {
               "type": "string"
           },
           "resourceGroupName": {
               "type": "string"
           },
           "serverGroupName": {
               "type": "string"
           },
           "sourceServerGroupName": {
               "type": "string"
           },
           "restorePointInTime": {
               "type": "string"
           },
           "encryptionKeyUrl": {
               "type": "string"
           },
           "userAssignedIdentityUrl": {
               "type": "string"
           }
       },
       "variables": {
           "api": "2020-02-14-privatepreview"
       },
       "resources": [
           {
               "apiVersion": "2020-10-05-privatepreview",
               "location": "[parameters('location')]",
               "name": "[parameters('serverGroupName')]",
               "identity":
               {
                   "type": "UserAssigned",
                   "userAssignedIdentities":
                   {
                       "/subscriptions/04b0358b-392b-41d6-899e-b75cb292321e/resourcegroups/yogkuleuapcmkmarlintest/providers/Microsoft.ManagedIdentity/userAssignedIdentities/marlincmktesteus2euapuai1": {}
                   }
               },
               "properties": {
                   "createMode": "PointInTimeRestore",
                   "sourceServerGroupName": "[parameters('sourceServerGroupName')]",
                   "pointInTimeUTC": "[parameters('restorePointInTime')]",
                   "sourceLocation": "[parameters('location')]",
                   "sourceSubscriptionId": "[parameters('subscriptionId')]",
                   "sourceResourceGroupName": "[parameters('resourceGroupName')]",
                   "enableMx": false,
                   "enableZfs": false,
                   "dataencryption":
                   {
                       "primaryKeyUri": "[parameters('encryptionKeyUrl')]",
                       "primaryUserAssignedIdentityId": "[parameters('userAssignedIdentityUrl')]",
                       "type": "AzureKeyVault"
                   },
               }
               "type": "Microsoft.DBforPostgreSQL/serverGroupsv2"
           }
       ]
   }

Key Vault'ta müşteri tarafından yönetilen anahtarı izleme

Veritabanı durumunu izlemek ve saydam veri şifreleme koruyucusu erişiminin kaybıyla ilgili uyarıyı etkinleştirmek için aşağıdaki Azure özelliklerini yapılandırın:

• Azure Kaynak Durumu: Müşteri Anahtarına erişimi kaybedilen erişilemez bir veritabanı, veritabanına ilk bağlantı reddedildikten sonra "Erişilemez" olarak gösterilir.

• Etkinlik günlüğü: Müşteri tarafından yönetilen Anahtar Kasası'nda Müşteri Anahtarına erişim başarısız olduğunda, girişler etkinlik günlüğüne eklenir. Bu olaylar için uyarılar oluşturursanız, erişimi mümkün olan en kısa sürede yeniden devreye alabilirsiniz.

• Eylem grupları: Tercihinize göre size bildirim ve uyarı göndermek için bu grupları tanımlayın.

Sonraki adımlar

• Müşteri tarafından yönetilen anahtarlarla veri şifreleme hakkında bilgi edinin
• PostgreSQL için Azure Cosmos DB'de CMK sınırlarına ve sınırlamalarına göz atın