共用方式為


針對適用於 MySQL 的 Azure 資料庫中的資料加密問題進行疑難排解

適用於: 適用於 MySQL 的 Azure 資料庫 - 單一伺服器

重要

適用於 MySQL 的 Azure 資料庫單一伺服器位於淘汰路徑上。 強烈建議您升級至適用於 MySQL 的 Azure 資料庫彈性伺服器。 如需移轉至適用於 MySQL 的 Azure 資料庫彈性伺服器的詳細資訊,請參閱適用於 MySQL 的 Azure 資料庫單一伺服器會發生什麼事

本文說明如何識別並解決使用客戶自控金鑰設定資料加密時,適用於 MySQL 的 Azure 資料庫中可能發生的常見問題。

簡介

若要在 Azure Key Vault 中使用客戶自控金鑰,設定資料加密時,伺服器需要持續存取該金鑰。 如果伺服器無法存取 Azure Key Vault 中的客戶自控金鑰,即會拒絕所有連線,傳回適當的錯誤訊息,而且在 Azure 入口網站中,伺服器的狀態會變更為無法存取

如果不再需要無法存取的適用於 MySQL 的 Azure 資料庫伺服器,您可以刪除伺服器,停止產生成本。 還原金鑰保存庫的存取權並可使用伺服器前,伺服器上不允許執行其他動作。 使用客戶自控金鑰加密時,在無法存取的伺服器上也無法將資料加密選項從 Yes (客戶自控) 變更為 No (服務管理)。 您必須手動重新驗證金鑰,才能再次存取伺服器。 客戶自控金鑰權限遭到撤銷時,請採取此動作防止未經授權存取資料。

導致伺服器無法存取的常見錯誤

下列設定錯誤導致使用 Azure Key Vault 金鑰大部分的資料加密問題:

  • 金鑰保存庫無法使用或不存在:

    • 意外刪除金鑰保存庫。
    • 間歇網路錯誤導致無法使用金鑰保存庫。
  • 您沒有存取金鑰保存庫的權限或金鑰不存在:

    • 金鑰已過期、遭到意外刪除或停用。
    • 適用於 MySQL 的 Azure 資料庫執行個體的受控識別遭到意外刪除。
    • 適用於 MySQL 的 Azure 資料庫執行個體的受控識別的金鑰權限不足。 例如,權限不包括「取得」、「包裝」和「解除包裝」。
    • 適用於 MySQL 的 Azure 資料庫執行個體的受控識別權限遭到撤銷或刪除。

識別及解決常見的錯誤

金鑰保存庫相關的錯誤

已停用金鑰保存庫

  • AzureKeyVaultKeyDisabledMessage
  • 說明:無法在伺服器上完成此作業,因為已停用 Azure Key Vault 金鑰。

遺漏金鑰保存庫權限

  • AzureKeyVaultMissingPermissionsMessage
  • 說明:伺服器沒有 Azure Key Vault 必要的「取得」、「包裝」和「解除包裝」權限。 使用識別碼授與服務主體任何遺漏的權限。

風險降低

  • 確認客戶自控金鑰存在於金鑰保存庫中。
  • 識別金鑰保存庫,並在 Azure 入口網站中移至該金鑰保存庫。
  • 確定金鑰 URI 會識別已存在的金鑰。

下一步

使用 Azure 入口網站,在適用於 MySQL 的 Azure 資料庫上以客戶自控金鑰設定資料加密