Configuración del cifrado de datos

SE APLICA A: Azure Database for PostgreSQL con servidor flexible

En este artículo se proporcionan instrucciones paso a paso para configurar el cifrado de datos para un servidor flexible de Azure Database for PostgreSQL.

Importante

La selección de la clave de cifrado administrada por el cliente o el sistema para el cifrado de datos de un servidor flexible de Azure Database for PostgreSQL solo se puede realizar cuando se implementa el servidor.

En este artículo, aprenderá a crear un nuevo servidor y a configurar sus opciones de cifrado de datos. En el caso de los servidores existentes cuyo cifrado de datos está configurado para usar la clave de cifrado administrada por el cliente, aprenderá:

• Cómo seleccionar una identidad administrada asignada por el usuario diferente con la que el servicio accede a la clave de cifrado.
• Cómo especificar una clave de cifrado diferente o cómo rotar la clave de cifrado que se usa actualmente para el cifrado de datos.

Para obtener información sobre el cifrado de datos en el contexto del servidor flexible de Azure Database for PostgreSQL, consulte el cifrado de datos.

Configuración del cifrado de datos con claves administradas por el sistema durante el aprovisionamiento del servidor

Portal

Mediante Azure Portal:

1. Durante el aprovisionamiento de una nueva instancia del servidor flexible de Azure Database for PostgreSQL, en la ficha Seguridad.

   

2. En la Clave de cifrado de datos, seleccione el botón de opción Clave administrada por el servicio.

   

3. Si habilita el almacenamiento de copia de seguridad con redundancia geográfica para que se aprovisione junto con el servidor, el aspecto de la ficha Seguridad cambia ligeramente porque el servidor usa dos claves de cifrado independientes. Una para la región primaria en la que va a implementar el servidor y otra para la región emparejada a la que se replican de forma asincrónica las copias de seguridad del servidor.

   

CLI

Puede habilitar el cifrado de datos con la clave de cifrado asignada por el sistema al aprovisionar un nuevo servidor mediante el comando az postgres flexible-server create.

az postgres flexible-server create --resource-group <resource_group> --name <server> ...

Nota:

Observe que no haya ningún parámetro especial en el comando anterior para especificar que el servidor debe crearse con la clave asignada por el sistema para el cifrado de datos. El motivo es que el cifrado de datos con la clave asignada por el sistema es la opción predeterminada. El comando proporcionado anteriormente debe completarse con otros parámetros cuya presencia y valores varían en función de cómo desee configurar las demás características del servidor aprovisionado.

Configuración del cifrado de datos con la clave administrada por el cliente durante el aprovisionamiento del servidor

Portal

Mediante Azure Portal:

1. Cree una identidad administrada asignada por el usuario si todavía no tiene una. Si el servidor tiene habilitadas copias de seguridad con redundancia geográfica, debe crear en diferentes identidades. Cada una de esas identidades se usa para acceder a cada una de las dos claves de cifrado de datos.

   Nota:

   Aunque no es necesario, para mantener la resistencia regional, se recomienda crear la identidad administrada por el usuario en la misma región que el servidor. Si el servidor tiene habilitada la redundancia de copia de seguridad geográfica, se recomienda que la segunda identidad administrada por el usuario que se usó para acceder a la clave de cifrado de datos para las copias de seguridad con redundancia geográfica se cree en la región emparejada del servidor.

2. Cree una instancia de Azure Key Vault o cree un HSM administrado, si aún no tiene un almacén de claves creado. Asegúrese de cumplir los requisitos. Además, siga las recomendaciones antes de configurar el almacén de claves y antes de crear la clave y asignar los permisos necesarios a la identidad administrada asignada por el usuario. Si el servidor tiene habilitadas copias de seguridad con redundancia geográfica, debe crear un segundo almacén de claves. Ese segundo almacén de claves se usa para mantener la clave de cifrado de datos con la que se cifran las copias de seguridad copiadas en la región emparejada del servidor.

   Nota:

   El almacén de claves usado para mantener la clave de cifrado de datos debe implementarse en la misma región que el servidor. Y si el servidor tiene habilitada la copia de seguridad con redundancia geográfica, el almacén de claves que mantiene la clave de cifrado de datos para las copias de seguridad con redundancia geográfica se debe crear en la región emparejada del servidor.

3. Cree una clave en el almacén de claves. Si el servidor tiene habilitadas copias de seguridad con redundancia geográfica, necesita una clave en cada uno de los almacenes de claves. Con una de estas claves, ciframos todos los datos del servidor (incluidas todas las bases de datos de usuario y del sistema, los archivos temporales, los registros de servidor, los segmentos de registro de escritura previa y las copias de seguridad). Con la segunda clave, ciframos las copias de las copias de seguridad que se copian de forma asincrónica en la región emparejada del servidor.

4. Durante el aprovisionamiento de una nueva instancia del servidor flexible de Azure Database for PostgreSQL, en la ficha Seguridad.

   

5. En la Clave de cifrado de datos, seleccione el botón de opción Clave administrada por el servicio.

   

6. Si habilita el almacenamiento de copia de seguridad con redundancia geográfica para que se aprovisione junto con el servidor, el aspecto de la ficha Seguridad cambia ligeramente porque el servidor usa dos claves de cifrado independientes. Una para la región primaria en la que va a implementar el servidor y otra para la región emparejada a la que se replican de forma asincrónica las copias de seguridad del servidor.

   

7. En Identidad administrada asignada por el usuario, seleccione Cambiar identidad.

   

8. Entre la lista de identidades administradas asignadas por el usuario, seleccione la que desea que use el servidor para acceder a la clave de cifrado de datos almacenada en una instancia de Azure Key Vault.

   

9. Seleccione Agregar.

   

10. Seleccione Seleccionar una clave.

    

11. Suscripción se rellena automáticamente con el nombre de la suscripción en la que se va a crear el servidor. El almacén de claves que mantiene la clave de cifrado de datos debe existir en la misma suscripción que el servidor.

    

12. En Tipo de almacén de claves, seleccione el botón de opción correspondiente al tipo de almacén de claves en el que planea almacenar la clave de cifrado de datos. En este ejemplo, se elige Almacén de claves, pero la experiencia es similar si elige HSM administrado.

    

13. Expanda Almacén de claves (o HSM administrado, si seleccionó ese tipo de almacenamiento) y seleccione la instancia en la que existe la clave de cifrado de datos.

    

    Nota:

    Al expandir el cuadro desplegable, muestra No hay elementos disponibles. Tarda unos segundos hasta que se enumeran todas las instancias del almacén de claves que se implementan en la misma región que el servidor.

14. Expanda Clave y seleccione el nombre de la clave que desea usar para el cifrado de datos.

    

15. Expanda Versión y seleccione el identificador de la versión de la clave que desea usar para el cifrado de datos.

    

16. Elija Seleccionar.

    

17. Configure todas las demás opciones del nuevo servidor y seleccione Revisar y crear.

    

CLI

Puede habilitar el cifrado de datos con la clave de cifrado asignada por el usuario al aprovisionar un nuevo servidor mediante el comando az postgres flexible-server create.

Si el servidor no tiene habilitadas las copias de seguridad con redundancia geográfica:

az postgres flexible-server create --resource-group <resource_group> --name <server> --geo-redundant-backup Disabled --identity <managed_identity_to_access_primary_encryption_key> --key <resource_identifier_of_primary_encryption_key> ...

Nota:

El comando anterior debe completarse con otros parámetros cuya presencia y valores varían en función de cómo desee configurar las demás características del servidor aprovisionado.

Si el servidor tiene habilitadas las copias de seguridad con redundancia geográfica:

az postgres flexible-server create --resource-group <resource_group> --name <server> --geo-redundant-backup Enabled --identity <managed_identity_to_access_primary_encryption_key> --key <resource_identifier_of_primary_encryption_key> --backup-identity <managed_identity_to_access_geo_backups_encryption_key> --backup-key <resource_identifier_of_geo_backups_encryption_key> ...

Nota:

El comando anterior debe completarse con otros parámetros cuya presencia y valores varían en función de cómo desee configurar las demás características del servidor aprovisionado.

Configuración del cifrado de datos con la clave administrada por el cliente en servidores existentes

El único punto en el que puede decidir si desea usar una clave administrada por el sistema o una clave administrada por el cliente para el cifrado de datos, está en la creación del servidor. Una vez que tome esa decisión y cree el servidor, no puede cambiar entre las dos opciones. La única alternativa, si desea cambiar de una a otra, requiere restaurar cualquiera de las copias de seguridad del servidor disponibles en un nuevo servidor. Al configurar la restauración, puede cambiar la configuración de cifrado de datos del nuevo servidor.

En el caso de los servidores existentes que se implementaron con cifrado de datos mediante una clave administrada por el cliente, puede realizar varios cambios de configuración. Los elementos que se pueden cambiar son las referencias a las claves usadas para el cifrado y las referencias a las identidades administradas asignadas por el usuario usadas por el servicio para acceder a las claves guardadas en los almacenes de claves.

Debe actualizar las referencias que el servidor flexible de Azure Database for PostgreSQL tiene en una clave:

• Al rotar la clave almacenada en el almacén de claves, ya sea manual o automáticamente.
• Si desea usar la misma clave o una clave diferente almacenada en un almacén de claves diferente.

Debe actualizar las identidades administradas asignadas por el usuario que usa el servidor flexible de Azure Database for PostgreSQL para acceder a las claves de cifrado:

• Siempre que quiera usar una identidad diferente

Portal

Mediante Azure Portal:

1. Seleccione su servidor flexible de Azure Database for PostgreSQL.

2. En el menú de recursos, en la sección Seguridad, seleccione Cifrado de datos.

   

3. Para cambiar la identidad administrada asignada por el usuario con la que el servidor accede al almacén de claves en el que se mantiene la clave, expanda la lista desplegable Identidad administrada asignada por el usuario y seleccione cualquiera de las identidades disponibles.

   

   Nota:

   Las identidades que se muestran en el cuadro combinado son solo las que se asignaron al servidor flexible de Azure Database for PostgreSQL. Aunque no es necesario, para mantener la resistencia regional, se recomienda seleccionar identidades administradas por el usuario en la misma región que el servidor. Si el servidor tiene habilitada la copia de seguridad con redundancia geográfica, se recomienda que la segunda identidad administrada por el usuario usada para acceder a la clave de cifrado de datos para las copias de seguridad con redundancia geográfica exista en la región emparejada del servidor.

4. Si la identidad administrada asignada por el usuario que desea usar para acceder a la clave de cifrado de datos no está asignada al servidor flexible de Azure Database for PostgreSQL y ni siquiera existe como un recurso de Azure con su objeto correspondiente en Microsoft Entra ID, puede crearla seleccionando Crear.

   

5. En el panel Crear identidad administrada asignada por el usuario, complete los detalles de la identidad administrada asignada por el usuario que desea crear y asigne automáticamente al servidor flexible de Azure Database for PostgreSQL para acceder a la clave de cifrado de datos.

   

6. Si la identidad administrada asignada por el usuario que desea usar para acceder a la clave de cifrado de datos no está asignada al servidor flexible de Azure Database for PostgreSQL, pero existe como un recurso de Azure con su objeto correspondiente en Microsoft Entra ID, puede asignarla seleccionando Seleccionar.

   

7. Entre la lista de identidades administradas asignadas por el usuario, seleccione la que desea que use el servidor para acceder a la clave de cifrado de datos almacenada en una instancia de Azure Key Vault.

   

8. Seleccione Agregar.

   

9. Si rota la clave o desea usar otra clave, debe actualizar el servidor flexible de Azure Database for PostgreSQL para que apunte a la nueva versión de la clave o a la nueva clave. Para ello, puede copiar el identificador de recurso de la clave y pegarlo en el cuadro Identificador de clave.

   

10. Si el usuario que accede a Azure Portal tiene permisos para acceder a la clave almacenada en el almacén de claves, puede usar un enfoque alternativo para elegir la nueva clave o la nueva versión de la clave. Para ello, en el Método de selección de claves, seleccione el botón de opción Seleccionar una tecla.

    

11. Elija Seleccionar clave.

    

12. Suscripción se rellena automáticamente con el nombre de la suscripción en la que se va a crear el servidor. El almacén de claves que mantiene la clave de cifrado de datos debe existir en la misma suscripción que el servidor.

    

13. En Tipo de almacén de claves, seleccione el botón de opción correspondiente al tipo de almacén de claves en el que planea almacenar la clave de cifrado de datos. En este ejemplo, se elige Almacén de claves, pero la experiencia es similar si elige HSM administrado.

    

14. Expanda Almacén de claves (o HSM administrado, si seleccionó ese tipo de almacenamiento) y seleccione la instancia en la que existe la clave de cifrado de datos.

    

    Nota:

    Al expandir el cuadro desplegable, muestra No hay elementos disponibles. Tarda unos segundos hasta que se enumeran todas las instancias del almacén de claves que se implementan en la misma región que el servidor.

15. Expanda Clave y seleccione el nombre de la clave que desea usar para el cifrado de datos.

    

16. Expanda Versión y seleccione el identificador de la versión de la clave que desea usar para el cifrado de datos.

    

17. Elija Seleccionar.

    

18. Una vez satisfecho con los cambios realizados, seleccione Guardar.

    

CLI

Puede configurar el cifrado de datos con la clave de cifrado asignada por el usuario para un servidor existente a través del comando az postgres flexible-server update.

az postgres flexible-server update --resource-group <resource_group> --name <server> --identity <managed_identity_to_access_primary_encryption_key> --key <resource_identifier_of_primary_encryption_key> ...

Nota:

Los siguientes comandos deben completarse con otros parámetros cuya presencia y valores varían en función de cómo desee configurar las demás características del servidor existente.

Tanto si solo desea cambiar la identidad administrada asignada por el usuario que se usa para acceder a la clave, como si solo quiere cambiar la clave usada para el cifrado de datos, o si desea cambiar ambas al mismo tiempo, es necesario proporcionar los parámetros --identity y --key (o --backup-identity y --backup-key para las copias de seguridad con redundancia geográfica). Si proporciona uno pero no ambos, obtendrá cualquiera de los siguientes errores:

User assigned identity and keyvault key need to be provided together. Please provide --identity and --key together.

User assigned identity and keyvault key need to be provided together. Please provide --backup-identity and --backup-key together.

Si no existe la clave apuntada por el valor pasado al parámetro --key (o --backup-key para las copias de seguridad con redundancia geográfica) o si la identidad administrada asignada por el usuario cuyo identificador de recurso se pasa al parámetro --identity (o --backup-identity para las copias de seguridad con redundancia geográfica) no tiene los permisos necesarios para acceder a la clave, obtendrá el siguiente error:

Code: AzureKeyVaultKeyNameNotFound
Message: The operation could not be completed because the Azure Key Vault Key name '<key_vault_resource>' does not exist or User Assigned Identity does not have Get access to the Key (https://learn.microsoft.com/en-us/azure/postgresql/flexible-server/concepts-data-encryption#requirements-for-configuring-data-encryption-for-azure-database-for-postgresql-flexible-server).

Si el servidor tiene habilitadas copias de seguridad con redundancia geográfica, puede configurar la clave usada para el cifrado de copias de seguridad con redundancia geográfica y la identidad usada para acceder a esa clave. Para hacerlo, puede usar los parámetros --backup-identity y --backup-key.

az postgres flexible-server update --resource-group <resource_group> --name <server> --backup-identity <managed_identity_to_access_georedundant_encryption_key> --backup-key <resource_identifier_of_georedundant_encryption_key> ...

Si pasa los parámetros --backup-identity y --backup-key al comando az postgres flexible server update y hace referencia a un servidor existente que no tiene habilitada la copia de seguridad con redundancia geográfica, obtendrá el siguiente error:

Geo-redundant backup is not enabled. You cannot provide Geo-location user assigned identity and keyvault key.

Las identidades pasadas a los parámetros --identity y --backup-identity, si existen y son válidas, se agregan automáticamente a la lista de identidades administradas asignadas por el usuario asociadas al servidor flexible de Azure Database for PostgreSQL. Ese es el caso, incluso si el comando produce algún otro error más adelante. En tales casos, es posible que quiera usar los comandos az postgres flexible-server identity para enumerar, asignar o quitar identidades administradas asignadas por el usuario asignadas al servidor flexible de Azure Database for PostgreSQL. Para más información sobre la configuración de identidades administradas asignadas por el usuario en el servidor flexible de Azure Database for PostgreSQL, consulte Asociación de identidades administradas asignadas por el usuario a servidores existentes, Desasociar las identidades administradas asignadas por el usuario a los servidores existentes y Mostrar las identidades administradas asignadas por el usuario asociado.

Contenido relacionado

• Cifrado de datos: