PostgreSQL için Azure Veritabanı'nda veri şifrelemeyi yapılandırma

Bu makalede PostgreSQL için Azure Veritabanı esnek sunucu örneği için veri şifrelemeyi yapılandırmaya yönelik adım adım yönergeler sağlanır.

Önemli

Veri şifrelemesi için sistem tarafından yönetilen anahtar mı yoksa müşteri tarafından yönetilen anahtar mı kullanmak istediğinize karar verebileceğiniz tek nokta, sunucu oluşturma işlemidir. Bu kararı verdikten ve sunucuyu oluşturduktan sonra iki seçenek arasında geçiş yapamazsınız.

Bu makalede, yeni bir sunucu oluşturmayı ve veri şifreleme seçeneklerini yapılandırmayı öğreneceksiniz. Veri şifrelemesi müşteri tarafından yönetilen şifreleme anahtarını kullanacak şekilde yapılandırılmış olan mevcut sunucular için şunları öğrenirsiniz:

• Hizmetin şifreleme anahtarına eriştiği farklı bir kullanıcı tarafından atanan yönetilen kimliği seçme.
• Farklı bir şifreleme anahtarı belirtme veya şu anda veri şifreleme için kullanılan şifreleme anahtarını döndürme.

PostgreSQL için Azure Veritabanı bağlamında veri şifreleme hakkında bilgi edinmek için bkz. veri şifreleme.

Sunucu sağlama sırasında sistem tarafından yönetilen anahtarla veri şifrelemeyi yapılandırma

Portal

Azure portalını kullanma:

1. PostgreSQL için Azure Veritabanı esnek sunucu örneği sağlanırken, güvenlik sekmesinde veri şifrelemesi yapılandırılır. Veri şifreleme anahtarı için Hizmet tarafından yönetilen anahtar radyo düğmesini seçin.

   

2. Coğrafi olarak yedekli yedekleme depolama alanının sunucuyla birlikte sağlanmasını etkinleştirirseniz, sunucu iki ayrı şifreleme anahtarı kullandığından Güvenlik sekmesinin yönü biraz değişir. Biri sunucunuzu dağıttığınız birincil bölge için, diğeri de sunucu yedeklemelerinin zaman uyumsuz olarak çoğaltıldığı eşleştirilmiş bölge için.

   

CLI

Az postgres flexible-server create komutu aracılığıyla yeni bir sunucu sağlarken sistem tarafından atanan şifreleme anahtarıyla veri şifrelemeyi etkinleştirebilirsiniz.

az postgres flexible-server create \
  --resource-group <resource_group> \
  --name <server> ...

Uyarı

Önceki komutta, sunucunun veri şifrelemesi için sistem tarafından atanan anahtarla oluşturulması gerektiğini belirten özel bir parametre yoktur. Bunun nedeni, sistem tarafından atanan anahtarla veri şifrelemenin varsayılan seçenek olmasıdır. Ayrıca, sağlanan sunucunun diğer özelliklerini nasıl yapılandırmak istediğinize bağlı olarak iletişim durumu ve değerleri değişebilecek diğer parametrelerle birlikte sağlanan komutu tamamlamanız gerektiğine dikkat edin.

Sunucu sağlama sırasında müşteri tarafından yönetilen anahtarla veri şifrelemeyi yapılandırma

Portal

Azure portalını kullanma:

1. Henüz bir kullanıcı tarafından atanan yönetilen kimliğiniz yoksa, bu kimliği oluşturun. Sunucunuzda coğrafi olarak yedekli yedeklemeler etkinleştirildiyse farklı kimlikler oluşturmanız gerekir. Bu kimliklerin her biri, iki veri şifreleme anahtarının her birine erişmek için kullanılır.

Uyarı

Gerekli olmasa da bölgesel dayanıklılığı korumak için, kullanıcı tarafından yönetilen kimliği sunucunuzla aynı bölgede oluşturmanızı öneririz. Sunucunuzda coğrafi yedekleme yedekliliği etkinleştirildiyse, coğrafi olarak yedekli yedeklemeler için veri şifreleme anahtarına erişmek için kullanılan ikinci kullanıcı tarafından yönetilen kimliğin sunucunun eşleştirilmiş bölgesinde oluşturulmasını öneririz.

1. Henüz bir anahtar deponuz oluşturulmadıysa bir Azure Key Vault oluşturun veya bir Yönetilen HSM oluşturun. Gereksinimleri karşıladığınızdan emin olun. Ayrıca, anahtar depoyu yapılandırmadan önce ve anahtarı oluşturup kullanıcı tarafından atanan yönetilen kimliğe gerekli izinleri atamadan önce önerileri izleyin. Sunucunuzda coğrafi olarak yedekli yedeklemeler etkinleştirildiyse ikinci bir anahtar deposu oluşturmanız gerekir. İkinci anahtar deposu, yedeklerinizin sunucunun eşleştirilmiş bölgesine kopyalandığı veri şifreleme anahtarının şifrelenmesini sağlamak için kullanılır.

Uyarı

Veri şifreleme anahtarını tutmak için kullanılan anahtar deposu, sunucunuzla aynı bölgede dağıtılmalıdır. Sunucunuzda coğrafi yedekleme yedekliliği etkinleştirildiyse, coğrafi olarak yedekli yedeklemeler için veri şifreleme anahtarını tutan anahtar deposu, sunucunun eşleştirilmiş bölgesinde oluşturulmalıdır.

1. Anahtar deponuzda bir anahtar oluşturun. Sunucunuzda coğrafi olarak yedekli yedeklemeler etkinleştirildiyse, anahtar depolarının her birinde bir anahtara ihtiyacınız vardır. Bu anahtarlardan biriyle, tüm sunucunuzun verilerini (tüm sistem ve kullanıcı veritabanları, geçici dosyalar, sunucu günlükleri, önceden yazma günlük segmentleri ve yedeklemeler dahil) şifreleriz. İkinci anahtarla, sunucunuzun eşleştirilmiş bölgesi üzerinden zaman uyumsuz olarak kopyalanan yedeklerin kopyalarını şifreleriz.

2. PostgreSQL için Azure Veritabanı esnek sunucu örneği sağlanırken, güvenlik sekmesinde veri şifrelemesi yapılandırılır. Veri şifreleme anahtarı için Müşteri tarafından yönetilen anahtar radyo düğmesini seçin.

   

3. Coğrafi olarak yedekli yedekleme depolama alanının sunucuyla birlikte sağlanmasını etkinleştirirseniz, sunucu iki ayrı şifreleme anahtarı kullandığından Güvenlik sekmesinin yönü biraz değişir. Biri sunucunuzu dağıttığınız birincil bölge için, diğeri de sunucu yedeklemelerinin zaman uyumsuz olarak çoğaltıldığı eşleştirilmiş bölge için.

   

4. Kullanıcı tarafından atanan yönetilen kimlik bölümünde Kimliği değiştir'i seçin.

   

5. Kullanıcı tarafından atanan yönetilen kimlikler listesinden, azure key vault'ta depolanan veri şifreleme anahtarına erişmek için sunucunuzun kullanmasını istediğiniz kimlikleri seçin.

   

6. Add (Ekle) seçeneğini belirleyin.

   

7. Geçerli sürüm el ile veya otomatik olarak döndürüldüğünde hizmetin seçilen anahtarın en güncel sürümüne başvuruyu otomatik olarak güncelleştirmesine izin vermek istiyorsanız Otomatik anahtar sürümü güncelleştirmesini kullan'ı seçin. Otomatik anahtar sürümü güncelleştirmelerini kullanmanın avantajlarını anlamak için bkz. otomatik anahtar sürümü güncelleştirmesi.

   

8. Anahtar seçin'i seçin.

   

9. Abonelik otomatik olarak sunucunuzun oluşturulmak üzere olduğu aboneliğin adıyla doldurulur. Veri şifreleme anahtarını tutan anahtar deposu, sunucuyla aynı abonelikte bulunmalıdır.

   

10. Anahtar deposu türü bölümünde, veri şifreleme anahtarını depolamayı planladığınız anahtar deposunun türüne karşılık gelen radyo düğmesini seçin. Bu örnekte Anahtar kasası'nı seçiyoruz ancak Yönetilen HSM'yi seçerseniz bu deneyim de benzerdir.

    

11. Anahtar kasası'nı (veya bu depolama türünü seçtiyseniz Yönetilen HSM) genişletin ve veri şifreleme anahtarının bulunduğu örneği seçin.

    

    Uyarı

    Açılan kutuyu genişlettiğiniz zaman Kullanılabilir öğe yok seçeneğini gösterir. Sunucuyla aynı bölgede dağıtılan tüm anahtar kasası örneklerinin listelendiği birkaç saniye sürer.

12. Anahtar'ı genişletin ve veri şifrelemesi için kullanmak istediğiniz anahtarın adını seçin.

    

13. Otomatik anahtar sürümü güncelleştirmesini kullan'ı seçmediyseniz anahtarın belirli bir sürümünü de seçmeniz gerekir. Bunu yapmak için Sürüm'i genişletin ve veri şifrelemesi için kullanmak istediğiniz anahtarın sürümünün tanımlayıcısını seçin.

    

14. Seç'i seçin.

    

15. Yeni sunucunun diğer tüm ayarlarını yapılandırın ve Gözden geçir ve oluştur'u seçin.

    

CLI

Az postgres flexible-server create komutu aracılığıyla yeni bir sunucu sağlarken kullanıcı tarafından atanan şifreleme anahtarıyla veri şifrelemeyi etkinleştirebilirsiniz.

Sunucunuzda coğrafi olarak yedekli yedeklemeler etkinleştirilmemişse:

az postgres flexible-server create \
  --resource-group <resource_group> \
  --name <server> \
  --geo-redundant-backup Disabled \
  --identity <managed_identity_to_access_primary_encryption_key> \
  --key <resource_identifier_of_primary_encryption_key> ...

Uyarı

Önceki komutun, sağlanan sunucunun diğer özelliklerini nasıl yapılandırmak istediğinize bağlı olarak iletişim durumu ve değerleri değişebilecek diğer parametrelerle tamamlanması gerekir.

Sunucunuzda coğrafi olarak yedekli yedeklemeler etkinleştirildiyse:

az postgres flexible-server create \
  --resource-group <resource_group> \
  --name <server> \
  --geo-redundant-backup Enabled \
  --identity <managed_identity_to_access_primary_encryption_key> \
  --key <resource_identifier_of_primary_encryption_key> \
  --backup-identity <managed_identity_to_access_geo_backups_encryption_key> \
  --backup-key <resource_identifier_of_geo_backups_encryption_key> ...

Uyarı

Önceki komutun, sağlanan sunucunun diğer özelliklerini nasıl yapılandırmak istediğinize bağlı olarak iletişim durumu ve değerleri değişebilecek diğer parametrelerle tamamlanması gerekir.

Mevcut sunucularda müşteri tarafından yönetilen anahtarla veri şifrelemeyi yapılandırma

Veri şifrelemesi için sistem tarafından yönetilen anahtar mı yoksa müşteri tarafından yönetilen anahtar mı kullanmak istediğinize karar verebileceğiniz tek nokta, sunucu oluşturma işlemidir. Bu kararı verdikten ve sunucuyu oluşturduktan sonra iki seçenek arasında geçiş yapamazsınız. Bir sunucudan diğerine geçmek istiyorsanız tek alternatif, sunucunun kullanılabilir yedeklerinden herhangi birinin yeni bir sunucuya geri yüklenmesini gerektirir. Geri yüklemeyi yapılandırırken yeni sunucunun veri şifreleme yapılandırmasını değiştirmenize izin verilir.

Müşteri tarafından yönetilen anahtar kullanılarak veri şifrelemesi ile dağıtılan mevcut sunucular için çeşitli yapılandırma değişiklikleri yapmanıza izin verilir. Değiştirilebilen öğeler, şifreleme için kullanılan anahtarlara başvurular ve hizmet tarafından anahtar depolarında tutulan anahtarlara erişmek için kullanılan kullanıcı tarafından atanan yönetilen kimliklere başvurulardır.

Azure Database for PostgreSQL esnek sunucu örneğinizin bir anahtara olan referanslarını güncellemeniz gerekir.

• Anahtar deposunda depolanan anahtar el ile veya otomatik olarak döndürüldüğünde ve PostgreSQL için Azure Veritabanı esnek sunucu örneğiniz anahtarın belirli bir sürümüne işaret eder. Bir anahtarı işaret ediyorsanız ancak anahtarın belirli bir sürümüne işaret ediyorsanız (otomatik anahtar sürümü güncelleştirmesini kullan etkinse) hizmet, anahtar el ile veya otomatik olarak döndürüldüğünde otomatik olarak anahtarın en güncel sürümüne başvurmayı üstlenir.
• Aynı veya farklı bir anahtar deposunda depolanan farklı bir anahtarı kullanmak istediğinizde.

Farklı bir kimlik kullanmak istediğinizde şifreleme anahtarlarına erişmek için PostgreSQL için Azure Veritabanı esnek sunucu örneğiniz tarafından kullanılan kullanıcı tarafından atanan yönetilen kimlikleri güncelleştirmeniz gerekir.

Portal

Azure portalını kullanma:

1. PostgreSQL için Azure Veritabanı esnek sunucu örneğinizi seçin.

2. Kaynak menüsündeki Güvenlik'in altında Veri şifreleme'yi seçin.

   

3. Sunucunun anahtarın tutulduğu anahtar deposuna eriştiği kullanıcı tarafından atanan yönetilen kimliği değiştirmek için Kullanıcı tarafından atanan yönetilen kimlik açılan listesini genişletin ve kullanılabilir kimliklerden birini seçin.

   

   Uyarı

   Açılır listede gösterilen kimlikler, yalnızca PostgreSQL için Azure Veritabanı esnek sunucu örneğinize atanan kimliklerdir. Gerekli olmasa da bölgesel dayanıklılığı korumak için sunucunuzla aynı bölgede kullanıcı tarafından yönetilen kimlikler seçmenizi öneririz. Sunucunuzda coğrafi yedekleme yedekliliği etkinleştirildiyse, coğrafi olarak yedekli yedeklemeler için veri şifreleme anahtarına erişmek için kullanılan ikinci kullanıcı tarafından yönetilen kimliğin sunucunun eşleştirilmiş bölgesinde mevcut olmasını öneririz.

4. Veri şifreleme anahtarına erişmek için kullanmak istediğiniz kullanıcı tarafından atanan yönetilen kimlik PostgreSQL için Azure Veritabanı esnek sunucu örneğine atanmamışsa ve Microsoft Entra Id'de buna karşılık gelen nesnesine sahip bir Azure kaynağı olarak bile mevcut değilse Oluştur'u seçerek oluşturabilirsiniz.

   

5. Kullanıcı Tarafından Atanan Yönetilen Kimlik Oluştur panelinde, oluşturmak istediğiniz kullanıcı tarafından atanan yönetilen kimliğin ayrıntılarını tamamlayın ve veri şifreleme anahtarına erişmek için PostgreSQL için Azure Veritabanı esnek sunucu örneğine otomatik olarak atayın.

   

6. Veri şifreleme anahtarına erişmek için kullanmak istediğiniz kullanıcı tarafından atanan yönetilen kimlik PostgreSQL için Azure Veritabanı esnek sunucu örneğine atanmamışsa ancak Microsoft Entra Id'de buna karşılık gelen nesnesine sahip bir Azure kaynağı olarak mevcutsa, Seç'i seçerek bunu atayabilirsiniz.

   

7. Kullanıcı tarafından atanan yönetilen kimlikler listesinden, azure key vault'ta depolanan veri şifreleme anahtarına erişmek için sunucunuzun kullanmasını istediğiniz kimlikleri seçin.

   

8. Add (Ekle) seçeneğini belirleyin.

   

9. Geçerli sürüm el ile veya otomatik olarak döndürüldüğünde hizmetin seçilen anahtarın en güncel sürümüne başvuruyu otomatik olarak güncelleştirmesine izin vermek istiyorsanız Otomatik anahtar sürümü güncelleştirmesini kullan'ı seçin. Otomatik anahtar sürüm güncelleştirmelerini kullanmanın avantajlarını anlamak için bkz. [otomatik anahtar sürüm güncelleştirmesi](concepts-data-encryption.md##CMK anahtar sürümü güncelleştirmeleri).

   

10. Anahtarı döndürürseniz ve Otomatik anahtar sürümü güncelleştirmesini kullan etkin değilse. Veya farklı bir anahtar kullanmak istiyorsanız, PostgreSQL için Azure Veritabanı esnek sunucu örneğinizi yeni anahtar sürümüne veya yeni anahtara işaret etmesi için güncelleştirmeniz gerekir. Bunu yapmak için anahtarın kaynak tanımlayıcısını kopyalayabilir ve Anahtar tanımlayıcısı kutusuna yapıştırabilirsiniz.

    

11. Azure portalına erişen kullanıcının anahtar deposunda depolanan anahtara erişme izinleri varsa, yeni anahtarı veya yeni anahtar sürümünü seçmek için alternatif bir yaklaşım kullanabilirsiniz. Bunu yapmak için Anahtar seçimi yöntemi'ndeTuş seçin radyo düğmesini seçin.

    

12. Anahtar seç'i seçin.

    

13. Abonelik otomatik olarak sunucunuzun oluşturulmak üzere olduğu aboneliğin adıyla doldurulur. Veri şifreleme anahtarını tutan anahtar deposu, sunucuyla aynı abonelikte bulunmalıdır.

    

14. Anahtar deposu türü bölümünde, veri şifreleme anahtarını depolamayı planladığınız anahtar deposunun türüne karşılık gelen radyo düğmesini seçin. Bu örnekte Anahtar kasası'nı seçiyoruz ancak Yönetilen HSM'yi seçerseniz bu deneyim de benzerdir.

    

15. Anahtar kasası'nı (veya bu depolama türünü seçtiyseniz Yönetilen HSM) genişletin ve veri şifreleme anahtarının bulunduğu örneği seçin.

    

    Uyarı

    Açılan kutuyu genişlettiğiniz zaman Kullanılabilir öğe yok seçeneğini gösterir. Sunucuyla aynı bölgede dağıtılan tüm anahtar kasası örneklerinin listelendiği birkaç saniye sürer.

16. Anahtar'ı genişletin ve veri şifrelemesi için kullanmak istediğiniz anahtarın adını seçin.

    

17. Otomatik anahtar sürümü güncelleştirmesini kullan'ı seçmediyseniz anahtarın belirli bir sürümünü de seçmeniz gerekir. Bunu yapmak için Sürüm'i genişletin ve veri şifrelemesi için kullanmak istediğiniz anahtarın sürümünün tanımlayıcısını seçin.

    

18. Seç'i seçin.

    

19. Yapılan değişikliklerden memnun olduktan sonra Kaydet'i seçin.

    

CLI

Az postgres flexible-server update komutu aracılığıyla mevcut bir sunucu için kullanıcı tarafından atanan şifreleme anahtarıyla veri şifrelemesi yapılandırabilirsiniz.

az postgres flexible-server update \
  --resource-group <resource_group> \
  --name <server> \
  --identity <managed_identity_to_access_primary_encryption_key> \
  --key <resource_identifier_of_primary_encryption_key> ...

Uyarı

Önceki komutun, var olan sunucunun diğer özelliklerini nasıl yapılandırmak istediğinize bağlı olarak iletişim durumu ve değerleri değişebilecek diğer parametrelerle tamamlanması gerekebilir.

Anahtara erişmek için yalnızca kullanıcı tarafından atanan yönetilen kimliği değiştirmek veya yalnızca veri şifreleme için kullanılan anahtarı değiştirmek veya her ikisini de aynı anda değiştirmek istiyorsanız, hem parametreleri hem --identity de (veya --key coğrafi olarak yedekli yedeklemeler --backup-identity için) --backup-key sağlamanız gerekir. İki hatadan birini sağlar ancak ikisini birden sağlamazsanız aşağıdaki hatalardan herhangi birini alırsınız:

User assigned identity and keyvault key need to be provided together. Please provide --identity and --key together.

User assigned identity and keyvault key need to be provided together. Please provide --backup-identity and --backup-key together.

Parametresine --key geçirilen değerin işaret ettiği anahtar (veya --backup-key coğrafi olarak yedekli yedeklemeler için) yoksa veya kaynak tanımlayıcısı parametreye --identity geçirilen kullanıcı tarafından atanan yönetilen kimlik (coğrafi olarak yedekli yedeklemeler için ore --backup-identity ) anahtara erişmek için gerekli izinlere sahip değilse, aşağıdaki hatayı alırsınız:

Code: AzureKeyVaultKeyNameNotFound
Message: The operation could not be completed because the Azure Key Vault Key name '<key_vault_resource>' does not exist or User Assigned Identity does not have Get access to the Key (/azure/postgresql/flexible-server/concepts-data-encryption#requirements-for-configuring-data-encryption-for-azure-database-for-postgresql-flexible-server).

Sunucunuzda coğrafi olarak yedekli yedeklemeler etkinleştirildiyse, coğrafi olarak yedekli yedeklemeleri şifrelemek için kullanılan anahtarı ve bu anahtara erişmek için kullanılan kimliği yapılandırabilirsiniz. Bunu yapmak için ve --backup-identity parametrelerini kullanabilirsiniz--backup-key.

az postgres flexible-server update \
  --resource-group <resource_group> \
  --name <server> \
  --backup-identity <managed_identity_to_access_georedundant_encryption_key> \
  --backup-key <resource_identifier_of_georedundant_encryption_key> ...

parametreleri --backup-identity ve --backup-keyaz postgres flexible server update komutunu geçirirseniz ve coğrafi olarak yedekli yedekleme etkinleştirilmemiş mevcut bir sunucuya başvurursanız, aşağıdaki hatayı alırsınız:

Geo-redundant backup is not enabled. You cannot provide Geo-location user assigned identity and keyvault key.

Kimlikler, eğer varsa ve geçerliyse, --identity ve --backup-identity parametrelerine geçirildiklerinde, PostgreSQL için Azure Veritabanı esnek sunucu örneğinizle ilişkili kullanıcı tarafından atanan yönetilen kimlikler listesine otomatik olarak eklenir. Komut daha sonra başka bir hatayla başarısız olsa bile bu durum geçerlidir. Böyle durumlarda, Azure Database for PostgreSQL esnek sunucu örneğinize atanan kullanıcı tarafından atanan yönetilen kimlikleri listelemek, atamak veya kaldırmak için az postgres flexible-server identity komutlarını kullanmak isteyebilirsiniz. PostgreSQL için Azure Veritabanı esnek sunucu örneğinizde kullanıcı tarafından atanan yönetilen kimlikleri yapılandırma hakkında daha fazla bilgi edinmek için bkz. Kullanıcı tarafından atanan yönetilen kimlikleri mevcut sunucularla ilişkilendirme, kullanıcı tarafından atanan yönetilen kimlikleri mevcut sunucularla ilişkilendirme ve ilişkili kullanıcı tarafından atanan yönetilen kimlikleri gösterme.

İlgili içerik

• Veri şifreleme