Konfigurace šifrování dat

PLATÍ PRO: Flexibilní server Azure Database for PostgreSQL

Tento článek obsahuje podrobné pokyny ke konfiguraci šifrování dat pro flexibilní server Azure Database for PostgreSQL.

Důležité

Výběr šifrovacího klíče spravovaného systémem nebo zákazníkem pro šifrování dat flexibilního serveru Azure Database for PostgreSQL je možné provést pouze při nasazení serveru.

V tomto článku se dozvíte, jak vytvořit nový server a nakonfigurovat jeho možnosti šifrování dat. Pro stávající servery, jejichž šifrování dat je nakonfigurované pro použití šifrovacího klíče spravovaného zákazníkem, se naučíte:

• Jak vybrat jinou spravovanou identitu přiřazenou uživatelem, se kterou služba přistupuje k šifrovacímu klíči.
• Určení jiného šifrovacího klíče nebo otočení šifrovacího klíče, který se aktuálně používá pro šifrování dat

Další informace o šifrování dat v kontextu flexibilního serveru Azure Database for PostgreSQL najdete v tématu Šifrování dat.

Konfigurace šifrování dat pomocí klíče spravovaného systémem během zřizování serveru

Azure Portal

Pomocí webu Azure Portal:

1. Během zřizování nové instance flexibilního serveru Azure Database for PostgreSQL na kartě Zabezpečení

   

2. V šifrovacím klíči dat vyberte přepínač Klíč spravovaný službou.

   

3. Pokud povolíte zřízení geograficky redundantního úložiště zálohování společně se serverem, změní se aspekt karty Zabezpečení mírně, protože server používá dva samostatné šifrovací klíče. Jedna pro primární oblast, ve které nasazujete server, a jednu pro spárovanou oblast, do které se zálohy serveru asynchronně replikují.

   

Rozhraní příkazového řádku

Šifrování dat pomocí šifrovacího klíče přiřazeného systémem můžete povolit při zřizování nového serveru pomocí příkazu az postgres flexible-server create .

az postgres flexible-server create --resource-group <resource_group> --name <server> ...

Poznámka:

Všimněte si, že v předchozím příkazu není žádný speciální parametr, který určuje, že server musí být vytvořen pomocí klíče přiřazeného systémem pro šifrování dat. Důvodem je, že šifrování dat pomocí klíče přiřazeného systémem je výchozí možností. Všimněte si také, že musíte dokončit příkaz zadaný s dalšími parametry, jejichž přítomnost a hodnoty se budou lišit v závislosti na tom, jak chcete nakonfigurovat další funkce zřízeného serveru.

Konfigurace šifrování dat pomocí klíče spravovaného zákazníkem během zřizování serveru

Azure Portal

Pomocí webu Azure Portal:

1. Vytvořte jednu spravovanou identitu přiřazenou uživatelem, pokud ji ještě nemáte. Pokud má váš server povolené geograficky redundantní zálohy, musíte vytvořit různé identity. Každá z těchto identit se používá pro přístup ke každému ze dvou šifrovacích klíčů dat.

   Poznámka:

   I když to není nutné, abyste zachovali regionální odolnost, doporučujeme vytvořit identitu spravovanou uživatelem ve stejné oblasti jako váš server. A pokud má váš server povolenou redundanci geografického zálohování, doporučujeme, aby se ve spárované oblasti serveru vytvořila druhá identita spravovaná uživatelem, která se používá pro přístup k šifrovacímu klíči dat pro geograficky redundantní zálohy.

2. Vytvořte jednu službu Azure Key Vault nebo vytvořte jeden spravovaný HSM, pokud ještě nemáte vytvořené úložiště klíčů. Ujistěte se, že splňujete požadavky. Před konfigurací úložiště klíčů a před vytvořením klíče a přiřazením požadovaných oprávnění spravované identitě přiřazené uživatelem také postupujte podle doporučení . Pokud má váš server povolené geograficky redundantní zálohy, musíte vytvořit druhé úložiště klíčů. Druhé úložiště klíčů slouží k zachování šifrovacího klíče dat, pomocí kterého jsou vaše zálohy zkopírovány do spárované oblasti serveru zašifrované.

   Poznámka:

   Úložiště klíčů použité k zachování šifrovacího klíče dat musí být nasazené ve stejné oblasti jako váš server. Pokud má váš server povolenou redundanci geografického zálohování, úložiště klíčů, které uchovává šifrovací klíč dat pro geograficky redundantní zálohy, se musí vytvořit ve spárované oblasti serveru.

3. Vytvořte v úložišti klíčů jeden klíč. Pokud má váš server povolené geograficky redundantní zálohy, potřebujete na každém úložišti klíčů jeden klíč. Pomocí jednoho z těchto klíčů zašifrujeme všechna data vašeho serveru (včetně všech systémových a uživatelských databází, dočasných souborů, protokolů serveru, segmentů protokolů pro zápis a záloh). Pomocí druhého klíče zašifrujeme kopie záloh, které se asynchronně kopírují přes spárovanou oblast vašeho serveru.

4. Během zřizování nové instance flexibilního serveru Azure Database for PostgreSQL na kartě Zabezpečení

   

5. V šifrovacím klíči dat vyberte přepínač Klíč spravovaný službou.

   

6. Pokud povolíte zřízení geograficky redundantního úložiště zálohování společně se serverem, změní se aspekt karty Zabezpečení mírně, protože server používá dva samostatné šifrovací klíče. Jedna pro primární oblast, ve které nasazujete server, a jednu pro spárovanou oblast, do které se zálohy serveru asynchronně replikují.

   

7. Ve spravované identitě přiřazené uživatelem vyberte Změnit identitu.

   

8. V seznamu spravovaných identit přiřazených uživatelem vyberte ten, který má váš server použít pro přístup k šifrovacímu klíči dat uloženému ve službě Azure Key Vault.

   

9. Vyberte Přidat.

   

10. Vyberte klávesu.

    

11. Předplatné se automaticky vyplní názvem předplatného, na kterém se má váš server vytvořit. Úložiště klíčů, které uchovává šifrovací klíč dat, musí existovat ve stejném předplatném jako server.

    

12. V části Typ úložiště klíčů vyberte přepínač odpovídající typu úložiště klíčů, do kterého chcete šifrovací klíč dat uložit. V tomto příkladu zvolíme trezor klíčů, ale prostředí je podobné, pokud zvolíte Managed HSM.

    

13. Rozbalte trezor klíčů (nebo spravovaný HSM, pokud jste vybrali tento typ úložiště) a vyberte instanci, ve které existuje šifrovací klíč dat.

    

    Poznámka:

    Když rozbalíte rozevírací seznam, zobrazí se žádné dostupné položky. Trvá několik sekund, než vypíše všechny instance trezoru klíčů, které jsou nasazené ve stejné oblasti jako server.

14. Rozbalte klíč a vyberte název klíče, který chcete použít pro šifrování dat.

    

15. Rozbalte položku Verze a vyberte identifikátor verze klíče, který chcete použít pro šifrování dat.

    

16. Zvolte Zvolit.

    

17. Nakonfigurujte všechna ostatní nastavení nového serveru a vyberte Zkontrolovat a vytvořit.

    

Rozhraní příkazového řádku

Šifrování dat pomocí šifrovacího klíče přiřazeného uživatelem můžete povolit při zřizování nového serveru pomocí příkazu az postgres flexible-server create .

Pokud váš server nemá povolené geograficky redundantní zálohy:

az postgres flexible-server create --resource-group <resource_group> --name <server> --geo-redundant-backup Disabled --identity <managed_identity_to_access_primary_encryption_key> --key <resource_identifier_of_primary_encryption_key> ...

Poznámka:

Předchozí příkaz musí být dokončen s dalšími parametry, jejichž přítomnost a hodnoty se budou lišit v závislosti na tom, jak chcete nakonfigurovat další funkce zřízeného serveru.

Pokud má váš server povolené geograficky redundantní zálohy:

az postgres flexible-server create --resource-group <resource_group> --name <server> --geo-redundant-backup Enabled --identity <managed_identity_to_access_primary_encryption_key> --key <resource_identifier_of_primary_encryption_key> --backup-identity <managed_identity_to_access_geo_backups_encryption_key> --backup-key <resource_identifier_of_geo_backups_encryption_key> ...

Poznámka:

Předchozí příkaz musí být dokončen s dalšími parametry, jejichž přítomnost a hodnoty se budou lišit v závislosti na tom, jak chcete nakonfigurovat další funkce zřízeného serveru.

Konfigurace šifrování dat pomocí klíče spravovaného zákazníkem na existujících serverech

Jediným bodem, ve kterém se můžete rozhodnout, jestli chcete k šifrování dat použít systémový spravovaný klíč nebo klíč spravovaný zákazníkem, je vytvoření serveru. Jakmile provedete toto rozhodnutí a vytvoříte server, nemůžete mezi těmito dvěma možnostmi přepínat. Jedinou alternativou, pokud chcete přejít z jedné na druhou, je nutné obnovit všechny zálohy, které jsou k dispozici na nový server. Při konfiguraci obnovení můžete změnit konfiguraci šifrování dat nového serveru.

U stávajících serverů nasazených s šifrováním dat pomocí klíče spravovaného zákazníkem můžete provést několik změn konfigurace. Věci, které je možné změnit, jsou odkazy na klíče používané k šifrování a odkazy na spravované identity přiřazené uživatelem, které služba používá pro přístup ke klíčům uloženým v úložištích klíčů.

Musíte aktualizovat odkazy, které má flexibilní server Azure Database for PostgreSQL na klíč:

• Když se klíč uložený v úložišti klíčů otočí ručně nebo automaticky.
• Pokud chcete použít stejný nebo jiný klíč uložený v jiném úložišti klíčů.

Pro přístup k šifrovacím klíčům musíte aktualizovat spravované identity přiřazené uživatelem, které používá flexibilní server Azure Database for PostgreSQL:

• Vždy, když chcete použít jinou identitu

Azure Portal

Pomocí webu Azure Portal:

1. Vyberte flexibilní server Azure Database for PostgreSQL.

2. V nabídce prostředků v části Zabezpečení vyberte Šifrování dat.

   

3. Pokud chcete změnit spravovanou identitu přiřazenou uživatelem, se kterou server přistupuje k úložišti klíčů, ve kterém se klíč uchovává, rozbalte rozevírací seznam Spravovaná identita přiřazená uživatelem a vyberte některou z dostupných identit.

   

   Poznámka:

   Identity zobrazené v poli se seznamem jsou jenom ty, které jste přiřadili flexibilnímu serveru Azure Database for PostgreSQL. I když to není nutné, abyste zachovali regionální odolnost, doporučujeme vybrat identity spravované uživatelem ve stejné oblasti jako váš server. A pokud má váš server povolenou redundanci geografického zálohování, doporučujeme, aby ve spárované oblasti serveru existovala druhá identita spravovaná uživatelem, která se používá pro přístup k šifrovacímu klíči dat pro geograficky redundantní zálohy.

4. Pokud spravovaná identita přiřazená uživatelem, kterou chcete použít pro přístup k šifrovacímu klíči dat, není přiřazená k flexibilnímu serveru Azure Database for PostgreSQL a neexistuje ani jako prostředek Azure s odpovídajícím objektem v Microsoft Entra ID, můžete ho vytvořit výběrem možnosti Vytvořit.

   

5. Na panelu Vytvořit spravovanou identitu přiřazenou uživatelem vyplňte podrobnosti o spravované identitě přiřazené uživatelem, kterou chcete vytvořit, a automaticky přiřaďte flexibilnímu serveru Azure Database for PostgreSQL pro přístup k šifrovacímu klíči dat.

   

6. Pokud spravovaná identita přiřazená uživatelem, kterou chcete použít pro přístup k šifrovacímu klíči dat, není přiřazená k flexibilnímu serveru Azure Database for PostgreSQL, ale existuje jako prostředek Azure s odpovídajícím objektem v ID Microsoft Entra, můžete ji přiřadit výběrem možnosti Vybrat.

   

7. V seznamu spravovaných identit přiřazených uživatelem vyberte ten, který má váš server použít pro přístup k šifrovacímu klíči dat uloženému ve službě Azure Key Vault.

   

8. Vyberte Přidat.

   

9. Pokud klíč otočíte nebo chcete použít jiný klíč, musíte flexibilní server Azure Database for PostgreSQL aktualizovat tak, aby odkazovat na novou verzi klíče nebo nový klíč. Uděláte to tak, že zkopírujete identifikátor prostředku klíče a vložíte ho do pole Identifikátor klíče.

   

10. Pokud má uživatel, který přistupuje k webu Azure Portal, oprávnění pro přístup ke klíči uloženému v úložišti klíčů, můžete použít alternativní přístup k výběru nového klíče nebo nové verze klíče. Uděláte to tak, že v metodě výběru klíče vyberete přepínač Vybrat klíč.

    

11. Vyberte klávesu Vybrat.

    

12. Předplatné se automaticky vyplní názvem předplatného, na kterém se má váš server vytvořit. Úložiště klíčů, které uchovává šifrovací klíč dat, musí existovat ve stejném předplatném jako server.

    

13. V části Typ úložiště klíčů vyberte přepínač odpovídající typu úložiště klíčů, do kterého chcete šifrovací klíč dat uložit. V tomto příkladu zvolíme trezor klíčů, ale prostředí je podobné, pokud zvolíte Managed HSM.

    

14. Rozbalte trezor klíčů (nebo spravovaný HSM, pokud jste vybrali tento typ úložiště) a vyberte instanci, ve které existuje šifrovací klíč dat.

    

    Poznámka:

    Když rozbalíte rozevírací seznam, zobrazí se žádné dostupné položky. Trvá několik sekund, než vypíše všechny instance trezoru klíčů, které jsou nasazené ve stejné oblasti jako server.

15. Rozbalte klíč a vyberte název klíče, který chcete použít pro šifrování dat.

    

16. Rozbalte položku Verze a vyberte identifikátor verze klíče, který chcete použít pro šifrování dat.

    

17. Zvolte Zvolit.

    

18. Jakmile budete spokojeni s provedenými změnami, vyberte Uložit.

    

Rozhraní příkazového řádku

Pomocí příkazu az postgres flexible-server update můžete nakonfigurovat šifrování dat pomocí šifrovacího klíče přiřazeného uživatelem pro existující server.

az postgres flexible-server update --resource-group <resource_group> --name <server> --identity <managed_identity_to_access_primary_encryption_key> --key <resource_identifier_of_primary_encryption_key> ...

Poznámka:

Předchozí příkaz může být potřeba dokončit s dalšími parametry, jejichž přítomnost a hodnoty se budou lišit v závislosti na tom, jak chcete nakonfigurovat další funkce existujícího serveru.

Ať už chcete změnit jenom spravovanou identitu přiřazenou uživatelem, která se používá pro přístup ke klíči, nebo chcete změnit jenom klíč použitý pro šifrování dat, nebo chcete změnit obojí najednou, musíte zadat parametry i --identity --key (nebo --backup-identity i --backup-key pro geograficky redundantní zálohy). Pokud zadáte jednu, ale ne obojí, zobrazí se některá z následujících chyb:

User assigned identity and keyvault key need to be provided together. Please provide --identity and --key together.

User assigned identity and keyvault key need to be provided together. Please provide --backup-identity and --backup-key together.

Pokud klíč odkazovaný hodnotou předanou parametru --key (nebo --backup-key pro geograficky redundantní zálohy) neexistuje nebo pokud spravovaná identita přiřazená uživatelem, jejíž identifikátor prostředku se předá parametru --identity (ore --backup-identity pro geograficky redundantní zálohy), nemá požadovaná oprávnění pro přístup ke klíči, zobrazí se následující chyba:

Code: AzureKeyVaultKeyNameNotFound
Message: The operation could not be completed because the Azure Key Vault Key name '<key_vault_resource>' does not exist or User Assigned Identity does not have Get access to the Key (https://learn.microsoft.com/en-us/azure/postgresql/flexible-server/concepts-data-encryption#requirements-for-configuring-data-encryption-for-azure-database-for-postgresql-flexible-server).

Pokud má váš server povolené geograficky redundantní zálohy, můžete nakonfigurovat klíč použitý pro šifrování geograficky redundantních záloh a identitu použitou pro přístup k housku. K tomu můžete použít --backup-identity parametry a --backup-key parametry.

az postgres flexible-server update --resource-group <resource_group> --name <server> --backup-identity <managed_identity_to_access_georedundant_encryption_key> --backup-key <resource_identifier_of_georedundant_encryption_key> ...

Pokud předáte parametry --backup-identity a --backup-key az postgres flexible server update příkaz a odkazujete na existující server, který nemá povolené geograficky redundantní zálohování, zobrazí se následující chyba:

Geo-redundant backup is not enabled. You cannot provide Geo-location user assigned identity and keyvault key.

Identity předané do --identity a --backup-identity parametrů, pokud existují a jsou platné, se automaticky přidají do seznamu spravovaných identit přiřazených uživatelem přidružených k flexibilnímu serveru Azure Database for PostgreSQL. To je případ, i když příkaz později selže s jinou chybou. V takových případech můžete chtít použít příkazy az postgres flexible-server identity k výpisu, přiřazení nebo odebrání spravovaných identit přiřazených uživatelem přiřazeným k flexibilnímu serveru Azure Database for PostgreSQL. Další informace o konfiguraci spravovaných identit přiřazených uživatelem na flexibilním serveru Azure Database for PostgreSQL najdete v tématu Přidružení spravovaných identit přiřazených uživatelem k existujícím serverům, zrušení přidružení spravovaných identit přiřazených uživatelem k existujícím serverům a zobrazení přidružených spravovaných identit přiřazených uživatelem.

Související obsah

• Šifrování dat: