共用方式為

使用 Azure 入口網站,針對適用於 MySQL 的 Azure 資料庫 - 彈性伺服器進行資料加密

  • 發行項

適用於:適用於 MySQL 的 Azure 資料庫 - 彈性伺服器

本教學課程說明如何對適用於 MySQL 的 Azure 資料庫彈性伺服器設定及管理資料加密。

在本教學課程中,您會了解如何:

  • 針對適用於 MySQL 的 Azure 資料庫彈性伺服器設定資料加密。

  • 針對還原設定資料加密。

  • 針對複本伺服器設定資料加密。

    注意

Azure 金鑰保存庫存取設定現在支援兩種類型的權限模型 - Azure 角色型存取控制保存庫存取原則。 本教學課程說明如何使用保存庫存取原則,針對適用於 MySQL 的 Azure 資料庫彈性伺服器設定資料加密。 不過,您可以選擇使用 Azure RBAC 作為權限模型來授與 Azure Key Vault 的存取權。 若要這樣做,您需要具有下列三個權限的任何內建或自訂角色,並使用 keyvault 中的存取控制 (IAM) 索引標籤透過「角色指派」進行指派:a) KeyVault/vaults/keys/wrap/action b) KeyVault/vaults/keys/unwrap/action c) KeyVault/vaults/keys/read

必要條件

設定金鑰作業的適當權限

  1. 在 Key Vault 中,選取 [存取原則],然後選取 [建立]

    Screenshot of Key Vault Access Policy in the Azure portal.

  2. 在 [權限] 索引標籤上,選取下列 [金鑰權限 - 取得]、[列出]、[包裝金鑰]、[解除包裝金鑰]

  3. 在 [主體] 索引標籤上,選取 [使用者指派的受控識別]。

    Screenshot of the principal tab in the Azure portal.

  4. 選取 建立

設定客戶自控金鑰

若要設定客戶自控金鑰,請執行下列步驟。

  1. 在入口網站中,瀏覽至適用於 MySQL 的 Azure 資料庫彈性伺服器執行個體,然後在 [安全性] 底下,選取 [資料加密]

    Screenshot of the data encryption page.

  2. 在 [資料加密] 頁面上,於 [未指派身分識別] 底下,選取 [變更身分識別]

  3. 在 [選取使用者指派的受控識別]** 對話方塊中,選取 demo-umi 身分識別,然後選取 [新增]**。

    Screenshot of selecting the demo-umi from the assigned managed identity page.

  4. 在 [金鑰選取方法] 右側,[選取金鑰] 並指定金鑰保存庫和金鑰組,或是選取 [輸入金鑰識別碼]

    Screenshot of the Select Key page in the Azure portal.

  5. 選取 [儲存]。

針對還原使用資料加密

若要在還原作業過程中使用資料加密,請執行下列步驟。

  1. 在 Azure 入口網站中的瀏覽伺服器 [概觀] 頁面上,選取 [還原]

    1. 在 [安全性] 索引標籤上,您可以指定身分識別和金鑰。

      Screenshot of overview page.

  2. 選取 [變更身分識別],然後選取 [使用者指派的受控識別],然後選取 [新增]若要選取金鑰,您可以選取 [金鑰保存庫] 和 [金鑰組],或輸入 [金鑰識別碼]

    SCreenshot of the change identity page.

針對複本伺服器使用資料加密

在適用於 MySQL 的 Azure 資料庫彈性伺服器執行個體使用儲存於 Key Vault 的客戶自控金鑰加密之後,任何新建立的伺服器複本也會一併加密。

  1. 若要設定複寫,請在 [設定] 底下,選取 [複寫],然後選取 [新增複本]

    Screenshot of the Replication page.

  2. 在 [將複本伺服器新增至適用於 MySQL 的 Azure 資料庫] 對話方塊中,選取適當的 [計算 + 儲存體] 選項,然後選取 [確定]

    Screenshot of the Compute + Storage page.

    重要

    嘗試使用已具有複本的客戶受控金鑰來加密適用於 MySQL 的 Azure 資料庫彈性伺服器時,建議您一樣藉由新增受控識別和金鑰來設定複本。

下一步