共用方式為

使用 Azure 入口網站對適用於 MySQL 的 Azure 資料庫進行數據加密

本文說明如何設定和管理適用於 MySQL 的 Azure 資料庫的數據加密,其著重於待用加密,以保護儲存在資料庫中的數據。

在本文中,您將學會如何:

  • 設定適用於 MySQL 的 Azure 資料庫的數據加密。
  • 針對還原設定資料加密。
  • 針對複本伺服器設定資料加密。

Azure 金鑰保存庫存取設定現在支援兩種類型的權限模型 - Azure 角色型存取控制保存庫存取原則。 本文說明如何使用保存庫存取原則來設定適用於 MySQL 的 Azure 資料庫的數據加密。

您可以選擇使用 Azure RBAC 作為許可權模型,以授與 Azure Key Vault 的存取權。 若要這樣做,您需要具有下列三個許可權的內建或自定義角色,並使用keyvault中的 [存取控制][IAM] 索引卷標,透過「角色指派」來指派它:

  • KeyVault/vaults/keys/wrap/action
  • KeyVault/vaults/keys/unwrap/action
  • KeyVault/vaults/keys/read。 針對 Azure Key Vault 受控 HSM,您也必須在 RBAC 中指派「受控 HSM 加密貨幣服務加密使用者」角色指派。

加密類型

適用於 MySQL 的 Azure 資料庫支援兩種主要加密類型,以協助保護您的數據。 待用加密 可確保儲存在資料庫中的所有數據,包括備份和記錄,都會透過在磁碟上加密來防止未經授權的存取。 傳輸中的加密 (也稱為通訊加密)會在用戶端應用程式與資料庫伺服器之間移動時保護數據,通常是使用 TLS/SSL 通訊協定。 這些加密類型會一起為您的資料儲存和傳輸時提供完整的保護。

  • 待用加密:保護儲存在資料庫、備份和記錄中的數據。 這是本文的主要焦點。
  • 通訊加密(傳輸中的加密):在用戶端與伺服器之間移動時保護數據,通常是使用 TLS/SSL 通訊協定。

先決條件

  • 具有有效訂用帳戶的 Azure 帳戶。
  • 如果您沒有 Azure 訂閱,請在開始之前先建立 Azure 免費帳戶

    > [!注意] > 使用 Azure 免費帳戶,您現在可以免費試用適用於 MySQL 的 Azure 資料庫彈性伺服器 12 個月。 如需詳細資訊,請參閱 使用 Azure 免費帳戶免費試用適用於 MySQL 的 Azure 資料庫 - 彈性伺服器

設定金鑰作業的適當權限

  1. 在 Key Vault 中,選取 [存取原則],然後選取 [建立]

螢幕擷取畫面:Azure 入口網站中的 Key Vault 存取原則。

  1. 在 [權限] 索引標籤上,選取下列 [金鑰權限 - 取得]、[列出]、[包裝金鑰]、[解除包裝金鑰]

  2. 在 [主體] 索引標籤上,選取 [使用者指派的受控識別]。

螢幕擷取畫面:Azure 入口網站中的 [主體] 索引標籤。

  1. 選取 [建立]

設定客戶自控金鑰

若要設定客戶管理的金鑰,請遵循下列步驟。

  1. 在入口網站中,瀏覽至適用於 MySQL 的 Azure 資料庫彈性伺服器執行個體,然後在 [安全性] 底下,選取 [資料加密]

螢幕擷取畫面:資料加密頁面。

  1. 在 [資料加密] 頁面上,於 [未指派身分識別] 底下,選取 [變更身分識別]

  2. [選取使用者指派]* 受控識別 對話方塊中,選取 [demo-umi]身分識別,然後選取 [新增**]。

螢幕擷取畫面:從指派的受控識別頁面選取 demo-umi。

  1. 在 [金鑰選取方法] 右側,[選取金鑰] 並指定金鑰保存庫和金鑰組,或是選取 [輸入金鑰識別碼]

顯示使用者之金鑰選取方法的螢幕擷取畫面。

  1. 選取 [儲存]

針對還原使用資料加密

若要在還原作業中使用數據加密,請遵循下列步驟。

  1. 在 Azure 入口網站中,瀏覽至伺服器的 [概觀] 頁面,然後選取 [ 還原]。     1.在 [ 安全性] 索引標籤上,您可以指定身分識別和密鑰。

螢幕擷取畫面:概觀頁面。

  1. 選取 [變更身分識別],然後選取 [使用者指派的受控識別],然後選取 [新增]若要選取金鑰,您可以選取 [金鑰保存庫][金鑰組],或輸入 金鑰識別元

螢幕擷取畫面:變更身分識別頁面。

針對複本伺服器使用資料加密

在適用於 MySQL 的 Azure 資料庫彈性伺服器執行個體使用儲存於 Key Vault 的客戶自控金鑰加密之後,任何新建立的伺服器複本也會一併加密。

  1. 若要設定複寫,請在 [設定] 底下,選取 [複寫],然後選取 [新增複本]

螢幕擷取畫面:[複寫] 頁面。

  1. 在 [將複本伺服器新增至適用於 MySQL 的 Azure 資料庫] 對話方塊中,選取適當的 [計算 + 儲存體] 選項,然後選取 [確定]

螢幕擷取畫面:[計算 + 儲存體] 頁面。

    > [!重要] 嘗試使用已擁有複本的客戶管理密鑰來加密適用於 MySQL 的 Azure 資料庫彈性伺服器時,建議您新增受控識別和密鑰來設定一或多個復本。

相關內容

  • Last updated on