驗證適用於 PostgreSQL 的 Azure 資料庫的資料加密

適用於：適用於 PostgreSQL 的 Azure 資料庫 - 單一伺服器

重要

適用於 PostgreSQL 的 Azure 資料庫 - 單一伺服器即將淘汰。 強烈建議您升級至 適用於 PostgreSQL 的 Azure 資料庫 - 彈性伺服器。 如需移轉至 適用於 PostgreSQL 的 Azure 資料庫 - 彈性伺服器的詳細資訊，請參閱單一伺服器 適用於 PostgreSQL 的 Azure 資料庫 發生什麼事？。

本文可協助您驗證使用客戶自控金鑰為適用於 PostgreSQL 的 Azure 資料庫進行的資料加密是否如預期運作。

檢查加密狀態

從入口網站

1. 如果您想要確認客戶的金鑰是否用於加密，請遵循下列步驟：

   • 在 Azure 入口網站中，瀏覽至 [Azure Key Vault]-> [金鑰]

   • 選取用於伺服器加密的金鑰。

   • 將金鑰的 [啟用] 狀態設定為 [否]。

     經過一段時間 (約 15 分鐘) 後，適用於 PostgreSQL 的 Azure 資料庫伺服器應該會處於 [無法存取] 的 狀態。 對伺服器執行的任何 I/O 作業都會失敗，這將驗證伺服器確實是以客戶金鑰加密的，但該金鑰目前無效。

     若要讓伺服器可供使用，您可以重新驗證金鑰。

   • 將 Key Vault 中的金鑰狀態設定為 [是]。

   • 在伺服器的 [資料加密] 上，選取 [重新驗證金鑰]。

   • 成功重新驗證金鑰後，伺服器的 [狀態] 會變更為 [可用]

2. 在 Azure 入口網站上，如果可以確定已設定加密金鑰，則資料會透過在 Azure 入口網站中使用的客戶金鑰來進行加密。

從 CLI

1. 我們可以使用 az CLI 命令，驗證適用於 PostgreSQL 的 Azure 資料庫伺服器所使用的主要資源。

   az postgres server key list --name  '<server_name>'  -g '<resource_group_name>'
   

   對於未設定資料加密集的伺服器，此命令會產生空的集合 []。

Azure 稽核報告

此外也可以檢閱稽核報告，其中提供了關於符合資料保護標準和法規需求的資訊。

下一步

若要深入了解資料加密，請參閱使用客戶自控金鑰，適用於 PostgreSQL 單一伺服器資料加密的 Azure 資料庫。