你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

指标顾问服务静态数据加密

  • 项目

将数据保存到云时,指标顾问服务会自动加密数据。 指标顾问服务加密可保护数据,并帮助组织履行在安全性与合规性方面做出的承诺。

关于 Azure AI 服务加密

数据使用符合 FIPS 140-2256 位 AES 加密方法进行加密和解密。 加密和解密都是透明的,这意味着将替你管理加密和访问。 默认情况下,你的数据是安全的。 无需修改代码或应用程序即可利用加密。

关于加密密钥管理

默认情况下,订阅使用 Microsoft 托管的加密密钥。 你还可以使用自己的密钥(称为客户管理的密钥)来管理订阅。 使用客户管理的密钥可以更灵活地创建、轮换、禁用和撤销访问控制。 此外,你还可以审核用于保护数据的加密密钥。 如果为订阅配置了客户管理的密钥,则会提供双重加密。 借助这第二层保护,可以通过 Azure Key Vault 控制加密密钥。

指标顾问支持使用 BYOS(自带存储)进行 CMK 和双重加密。

使用 BYOS 创建指标顾问的步骤

步骤 1. 创建 Azure Database for PostgreSQL 并设置管理员

  • 创建用于 PostgreSQL 的 Azure 数据库

    登录到该Azure 门户并创建 Azure Database for PostgreSQL 的资源。 要注意的几个事项:

    1. 请选择“单个服务器”部署选项。
    2. 选择“数据源”时,请指定为“无”。
    3. 对于“位置”,请确保在与指标顾问资源相同的位置创建。
    4. “版本”应该设置为 11。
    5. “计算 + 存储”应选择至少具有 32 个 vCore 的“内存优化”SKU。

    创建用于 PostgreSQL 的 Azure 数据库

  • 为新建的 PG 设置 Active Directory 管理员

    成功创建 Azure Database for PostgreSQL 之后。 转到新创建的 Azure PG 资源的资源页。 选择“Active Directory 管理员”选项卡,将自己设置为管理员。

步骤 2. 创建一个指标顾问资源并启用托管标识

  • 在 Azure 门户中创建指标顾问资源

    再次转到 Azure 门户搜索“指标顾问”。 创建指标顾问时,切记以下事项:

    1. 选择与创建 Azure Database for PostgreSQL 相同的“区域”。
    2. 将“自带存储”标记为“是”,然后在下拉列表中选择刚才创建的 Azure Database for PostgreSQL。

  • 为指标顾问启用托管标识

    创建“指标顾问”资源后,选择“身份”并将“状态”设置为“开启”以启用托管标识。

  • 获取托管标识的应用程序 ID

    转到“Azure Active Directory”,然后选择“企业应用程序”。 将“应用程序名称”更改为“托管标识”,复制指标顾问的资源名称,然后搜索。 然后可以从查询结果中查看“应用程序 ID”,复制 ID。

步骤 3。 授予指标顾问访问你的 Azure Database for PostgreSQL 的权限

  • 为 Azure Database for PostgreSQL 上的托管标识授予“所有者”角色

  • 设置防火墙规则

    1. 将“允许访问 Azure 服务”设置为“是”。
    2. 添加用于登录到 Azure Database for PostgreSQL 的客户端 IP 地址。

  • 获取资源类型为“https://ossrdbms-aad.database.windows.net”的帐户的访问令牌。 访问令牌是通过你的帐户登录到 Azure Database for PostgreSQL 时所需的密码。 使用 az 客户端的示例:

    az login
az account get-access-token --resource https://ossrdbms-aad.database.windows.net

  • 获取令牌后,使用此令牌登录到 Azure Database for PostgreSQL。 将“servername”替换为可在 Azure Database for PostgreSQL 的“概述”部分中找到的名称。

    export PGPASSWORD=<access-token>
psql -h <servername> -U <adminaccount@servername> -d postgres

  • 登录后,执行以下命令,向指标顾问授予对 Azure Database for PostgreSQL 的访问权限。 将“appid”替换为在步骤 2 中获取的 appid。

    SET aad_validate_oids_in_tenant = off;
CREATE ROLE metricsadvisor WITH LOGIN PASSWORD '<appid>' IN ROLE azure_ad_user;
ALTER ROLE metricsadvisor CREATEDB;
GRANT azure_pg_admin TO metricsadvisor;

通过完成上述所有步骤,你已成功创建了一个支持 CMK 的指标顾问资源。 等待几分钟,直到指标顾问变为可访问。

后续步骤