Configurer le chiffrement des données

S’APPLIQUE À : Azure Database pour PostgreSQL : serveur flexible

Cet article fournit des instructions pas à pas pour la configuration du chiffrement des données pour un serveur flexible Azure Database pour PostgreSQL.

Important

Vous pouvez uniquement sélectionner la clé de chiffrement gérée par le système ou par le client pour le chiffrement des données d’un serveur flexible Azure Database pour PostgreSQL lorsque le serveur est déployé.

Dans cet article, vous apprendrez à créer un serveur et à configurer ses options de chiffrement des données. Pour les serveurs existants, dont le chiffrement des données est configuré pour utiliser la clé de chiffrement gérée par le client, vous découvrez :

• Comment sélectionner une autre identité managée affectée par l’utilisateur avec laquelle le service accède à la clé de chiffrement.
• Comment spécifier une autre clé de chiffrement ou comment faire pivoter la clé de chiffrement actuellement utilisée pour le chiffrement des données.

Pour en savoir plus sur le chiffrement des données dans le contexte d’Azure Database pour PostgreSQL – Serveur flexible, consultez Chiffrement des données.

Configurer le chiffrement des données avec une clé gérée par le système pendant l’approvisionnement du serveur

Portail

À l’aide du Portail Azure :

1. Lors de l’approvisionnement d’une nouvelle instance d’Azure Database pour PostgreSQL – Serveur flexible, sous l’onglet Sécurité.

   

2. Dans la clé de chiffrement des données, sélectionnez la case d’option Clé gérée par le service.

   

3. Si vous activez le stockage de sauvegarde géoredondant à approvisionner avec le serveur, l’aspect de l’onglet Sécurité change légèrement, car le serveur utilise deux clés de chiffrement distinctes. Une pour la région primaire dans laquelle vous déployez votre serveur et l’autre pour la région jumelée vers laquelle les sauvegardes de serveur sont répliquées de manière asynchrone.

   

INTERFACE DE LIGNE DE COMMANDE

Vous pouvez activer le chiffrement des données avec la clé de chiffrement affectée par le système, lors de l’approvisionnement d’un nouveau serveur, à l’aide de la commande az postgres flexible-server create.

az postgres flexible-server create --resource-group <resource_group> --name <server> ...

Remarque

Notez qu’il n’existe aucun paramètre spécial dans la commande précédente pour spécifier que le serveur doit être créé avec la clé affectée par le système pour le chiffrement des données. Cela est dû au fait que le chiffrement des données avec la clé affectée par le système est l’option par défaut. Notez également que vous devez exécuter la commande fournie avec d’autres paramètres dont la présence et les valeurs varient selon la façon dont vous souhaitez configurer d’autres fonctionnalités du serveur approvisionné.

Configurer le chiffrement des données avec une clé gérée par le client pendant l’approvisionnement du serveur

Portail

À l’aide du Portail Azure :

1. Si vous n’en avez pas encore, créez une identité gérée affectée par l’utilisateur. Si vos sauvegardes géoredondantes sont activées, vous devez créer d’autres identités. Chacune de ces identités est utilisée pour accéder à chacune des deux clés de chiffrement des données.

   Remarque

   Bien qu’il ne soit pas nécessaire de maintenir la résilience régionale, nous vous recommandons de créer l’identité managée par l’utilisateur dans la même région que votre serveur. Et si les sauvegardes géoredondantes sont activées pour votre serveur, nous vous recommandons de créer la deuxième identité managée par l’utilisateur, utilisée pour accéder à la clé de chiffrement des données pour les sauvegardes géoredondantes, dans la région jumelée du serveur.

2. Créez un coffre de clés Azure ou créez un HSM managé, si vous n’avez pas encore créé de magasin de clés. Assurez-vous que vous répondez aux exigences. Suivez également les recommandations avant de configurer le magasin de clés, puis avant de créer la clé et d’attribuer les autorisations requises à l’identité managée affectée par l’utilisateur. Si les sauvegardes géoredondantes sont activées pour votre serveur, vous devez créer un deuxième magasin de clés. Ce deuxième magasin de clés est utilisé pour conserver la clé de chiffrement des données avec laquelle vos sauvegardes copiées dans la région jumelée du serveur sont chiffrées.

   Remarque

   Le magasin de clés utilisé pour conserver la clé de chiffrement des données doit être déployé dans la même région que votre serveur. Et si la redondance des géo-sauvegardes est activée pour votre serveur, le magasin de clés qui conserve la clé de chiffrement des données pour les sauvegardes géoredondantes doit être créé dans la région jumelée du serveur.

3. Créez une clé dans votre magasin de clés. Si vos sauvegardes géoredondantes sont activées, vous avez besoin d’une clé sur chacun des magasins de clés. Avec l’une de ces clés, nous chiffrerons toutes les données de votre serveur (y compris toutes les bases de données système et utilisateur, les fichiers temporaires, les journaux d’activité du serveur, les segments de journaux d’écriture avant et les sauvegardes). Avec la deuxième clé, nous chiffrerons les copies des sauvegardes qui sont copiées de manière asynchrone sur la région jumelée de votre serveur.

4. Lors de l’approvisionnement d’une nouvelle instance d’Azure Database pour PostgreSQL – Serveur flexible, sous l’onglet Sécurité.

   

5. Dans la clé de chiffrement des données, sélectionnez la case d’option Clé gérée par le service.

   

6. Si vous activez le stockage de sauvegarde géoredondant à approvisionner avec le serveur, l’aspect de l’onglet Sécurité change légèrement, car le serveur utilise deux clés de chiffrement distinctes. Une pour la région primaire dans laquelle vous déployez votre serveur et l’autre pour la région jumelée vers laquelle les sauvegardes de serveur sont répliquées de manière asynchrone.

   

7. Dans Identité managée affectée par l’utilisateur, sélectionnez Modifier l’identité.

   

8. Parmi la liste des identités managées affectées par l’utilisateur, sélectionnez celle que vous souhaitez que votre serveur utilise pour accéder à la clé de chiffrement des données stockée dans un coffre de clés Azure.

   

9. Sélectionnez Ajouter.

   

10. Sélectionnez Sélectionner une clé.

    

11. Le champ abonnement est automatiquement rempli avec le nom de l’abonnement sur lequel votre serveur est sur le point d’être créé. Le magasin de clés qui conserve la clé de chiffrement des données doit exister dans le même abonnement que le serveur.

    

12. Dans le champ Type de magasin de clés, sélectionnez la case d’option correspondant au type de magasin de clés dans lequel vous envisagez de stocker la clé de chiffrement des données. Dans cet exemple, nous choisissons Coffre de clés, mais l’expérience est similaire si vous choisissez HSM managé.

    

13. Développez Coffre de clés (ou HSM managé, si vous avez sélectionné ce type de stockage), puis sélectionnez l’instance dans laquelle existe la clé de chiffrement des données.

    

    Remarque

    Lorsque vous développez la zone du menu déroulant, elle affiche Aucun élément disponible. Il faut quelques secondes pour que toutes les instances du coffre de clés déployées dans la même région que le serveur soit répertoriées.

14. Développez Clé, puis sélectionnez le nom de la clé que vous souhaitez utiliser pour le chiffrement des données.

    

15. Développez Version, puis sélectionnez l’identificateur de la version de la clé que vous souhaitez utiliser pour le chiffrement des données.

    

16. Sélectionnez Sélectionner.

    

17. Configurez tous les autres paramètres du nouveau serveur et sélectionnez Vérifier + créer.

    

INTERFACE DE LIGNE DE COMMANDE

Vous pouvez activer le chiffrement des données avec la clé de chiffrement affectée par l’utilisateur, lors de l’approvisionnement d’un nouveau serveur, à l’aide de la commande az postgres flexible-server create.

Si les sauvegardes géoredondantes ne sont pas activées sur votre serveur :

az postgres flexible-server create --resource-group <resource_group> --name <server> --geo-redundant-backup Disabled --identity <managed_identity_to_access_primary_encryption_key> --key <resource_identifier_of_primary_encryption_key> ...

Remarque

La commande fournie ci-dessus doit être exécutée avec d’autres paramètres dont la présence et les valeurs varient selon la façon dont vous souhaitez configurer d’autres fonctionnalités du serveur approvisionné.

Si les sauvegardes géoredondantes sont activées sur votre serveur :

az postgres flexible-server create --resource-group <resource_group> --name <server> --geo-redundant-backup Enabled --identity <managed_identity_to_access_primary_encryption_key> --key <resource_identifier_of_primary_encryption_key> --backup-identity <managed_identity_to_access_geo_backups_encryption_key> --backup-key <resource_identifier_of_geo_backups_encryption_key> ...

Remarque

La commande fournie ci-dessus doit être exécutée avec d’autres paramètres dont la présence et les valeurs varient selon la façon dont vous souhaitez configurer d’autres fonctionnalités du serveur approvisionné.

Configurer le chiffrement des données avec une clé gérée par le client sur des serveurs existants

Le seul moment auquel vous pouvez décider si vous souhaitez utiliser une clé gérée par le système ou une clé gérée par le client pour le chiffrement des données, c’est à la création du serveur. Une fois que vous avez décidé et créé le serveur, vous ne pouvez pas basculer entre les deux options. La seule alternative, si vous souhaitez passer d’une option à l’autre, nécessite la restauration de l’une des sauvegardes disponibles du serveur sur un nouveau serveur. Lors de la configuration de la restauration, vous êtes autorisé à modifier la configuration du chiffrement des données du nouveau serveur.

Pour les serveurs existants déployés avec le chiffrement des données à l’aide d’une clé gérée par le client, vous êtes autorisé à effectuer plusieurs modifications de configuration. Les éléments qui peuvent être modifiés sont les références aux clés utilisées pour le chiffrement et les références aux identités managées affectées par l’utilisateur utilisées par le service pour accéder aux clés conservées dans les magasins de clés.

Vous devez mettre à jour les références pour lesquelles votre serveur flexible Azure Database pour PostgreSQL a une clé :

• Lorsque la clé stockée dans le magasin de clés est pivotée, manuellement ou automatiquement.
• Lorsque vous souhaitez utiliser la même clé ou une clé différente stockée dans un autre magasin de clés.

Vous devez mettre à jour les identités managées affectées par l’utilisateur qui sont utilisées par votre serveur flexible Azure Database pour PostgreSQL pour accéder aux clés de chiffrement :

• Chaque fois que vous souhaitez utiliser une identité différente

Portail

À l’aide du Portail Azure :

1. Sélectionnez votre serveur flexible Azure Database pour PostgreSQL.

2. Dans le menu Ressources, sous la section Sécurité, sélectionnez Chiffrement des données.

   

3. Pour modifier l’identité managée affectée par l’utilisateur avec laquelle le serveur accède au magasin de clés dans lequel la clé est conservée, développez le menu déroulant Identité managée affectée par l’utilisateur, puis sélectionnez l’une des identités disponibles.

   

   Remarque

   Les identités affichées dans la zone du menu déroulant ne sont que celles attribuées à votre serveur flexible Azure Database pour PostgreSQL. Bien que cela ne soit pas nécessaire, pour maintenir la résilience régionale, nous vous recommandons de sélectionner des identités managées par l’utilisateur dans la même région que votre serveur. Et si la redondance de géo-sauvegarde est activée pour votre serveur, nous vous recommandons d’utiliser la deuxième identité managée par l’utilisateur, utilisée pour accéder à la clé de chiffrement des données pour les sauvegardes géoredondantes, dans la région jumelée du serveur.

4. Si l’identité managée affectée par l’utilisateur que vous souhaitez utiliser pour accéder à la clé de chiffrement des données n’est pas affectée à votre serveur flexible Azure Database pour PostgreSQL et qu’elle n’existe même pas en tant que ressource Azure avec son objet correspondant dans Microsoft Entra ID, vous pouvez la créer en sélectionnant Créer.

   

5. Dans le volet Créer une identité managée affectée par l’utilisateur, renseignez les détails de l’identité managée affectée par l’utilisateur que vous souhaitez créer et affecter automatiquement à votre serveur flexible Azure Database pour PostgreSQL pour accéder à la clé de chiffrement des données.

   

6. Si l’identité managée affectée par l’utilisateur que vous souhaitez utiliser pour accéder à la clé de chiffrement des données n’est pas affectée à votre serveur flexible Azure Database pour PostgreSQL, mais qu’elle existe en tant que ressource Azure avec son objet correspondant dans Microsoft Entra ID, vous pouvez l’affecter en sélectionnant Sélectionner.

   

7. Parmi la liste des identités managées affectées par l’utilisateur, sélectionnez celle que vous souhaitez que votre serveur utilise pour accéder à la clé de chiffrement des données stockée dans un coffre de clés Azure.

   

8. Sélectionnez Ajouter.

   

9. Si vous faites pivoter la clé ou que vous souhaitez utiliser une autre clé, vous devez mettre à jour votre serveur flexible Azure Database pour PostgreSQL afin qu’il pointe vers la nouvelle version de la clé ou la nouvelle clé. Pour ce faire, vous pouvez copier l’identificateur de ressource de la clé et le coller dans la zone Identificateur de clé.

   

10. Si l’utilisateur accédant au portail Azure dispose des autorisations nécessaires pour accéder à la clé stockée dans le magasin de clés, vous pouvez utiliser une autre approche pour choisir la nouvelle clé ou la nouvelle version de la clé. Pour ce faire, dans Méthode de sélection de clé, sélectionnez la case d’option Sélectionner une clé.

    

11. Sélectionnez Sélectionner une clé.

    

12. Le champ abonnement est automatiquement rempli avec le nom de l’abonnement sur lequel votre serveur est sur le point d’être créé. Le magasin de clés qui conserve la clé de chiffrement des données doit exister dans le même abonnement que le serveur.

    

13. Dans le champ Type de magasin de clés, sélectionnez la case d’option correspondant au type de magasin de clés dans lequel vous envisagez de stocker la clé de chiffrement des données. Dans cet exemple, nous choisissons Coffre de clés, mais l’expérience est similaire si vous choisissez HSM managé.

    

14. Développez Coffre de clés (ou HSM managé, si vous avez sélectionné ce type de stockage), puis sélectionnez l’instance dans laquelle existe la clé de chiffrement des données.

    

    Remarque

    Lorsque vous développez la zone du menu déroulant, elle affiche Aucun élément disponible. Il faut quelques secondes pour que toutes les instances du coffre de clés déployées dans la même région que le serveur soit répertoriées.

15. Développez Clé, puis sélectionnez le nom de la clé que vous souhaitez utiliser pour le chiffrement des données.

    

16. Développez Version, puis sélectionnez l’identificateur de la version de la clé que vous souhaitez utiliser pour le chiffrement des données.

    

17. Sélectionnez Sélectionner.

    

18. Une fois satisfait des modifications apportées, sélectionnez Enregistrer.

    

INTERFACE DE LIGNE DE COMMANDE

Vous pouvez configurer le chiffrement des données avec la clé de chiffrement affectée par l’utilisateur, pour un serveur existant, à l’aide de la commande az postgres flexible-server update .

az postgres flexible-server update --resource-group <resource_group> --name <server> --identity <managed_identity_to_access_primary_encryption_key> --key <resource_identifier_of_primary_encryption_key> ...

Remarque

Les commandes suivantes doivent être exécutées avec d’autres paramètres dont la présence et les valeurs varient selon la façon dont vous souhaitez configurer d’autres fonctionnalités du serveur existant.

Que vous souhaitiez uniquement modifier l’identité managée affectée par l’utilisateur utilisée pour accéder à la clé, ou que vous souhaitiez uniquement modifier la clé utilisée pour le chiffrement des données ou que vous souhaitez modifier les deux en même temps, vous devez fournir les paramètres --identity et --key (ou --backup-identity et --backup-key pour les sauvegardes géoredondantes). Si vous fournissez l’une ou l’autre, mais pas les deux, vous obtenez l’une des erreurs suivantes :

User assigned identity and keyvault key need to be provided together. Please provide --identity and --key together.

User assigned identity and keyvault key need to be provided together. Please provide --backup-identity and --backup-key together.

Si la clé pointée par la valeur transmise au paramètre --key (ou --backup-key pour les sauvegardes géoredondantes) n’existe pas, ou si l’identité managée affectée par l’utilisateur dont l’identificateur de ressource est passé au paramètre --identity (ou --backup-identity pour les sauvegardes géoredondantes) n’a pas les autorisations requises pour accéder à la clé, vous obtenez l’erreur suivante :

Code: AzureKeyVaultKeyNameNotFound
Message: The operation could not be completed because the Azure Key Vault Key name '<key_vault_resource>' does not exist or User Assigned Identity does not have Get access to the Key (https://learn.microsoft.com/en-us/azure/postgresql/flexible-server/concepts-data-encryption#requirements-for-configuring-data-encryption-for-azure-database-for-postgresql-flexible-server).

Si vos sauvegardes géoredondantes sont activées, vous pouvez configurer la clé utilisée pour le chiffrement des sauvegardes géoredondantes et l’identité utilisée pour accéder à cette clé. Pour ce faire, vous pouvez utiliser les paramètres --backup-identity et --backup-key.

az postgres flexible-server update --resource-group <resource_group> --name <server> --backup-identity <managed_identity_to_access_georedundant_encryption_key> --backup-key <resource_identifier_of_georedundant_encryption_key> ...

Si vous transmettez les paramètres --backup-identity et --backup-key à la commande az postgres flexible server update, puis reportez-vous à un serveur existant qui n’a pas de sauvegarde géoredondante activée, vous obtenez l’erreur suivante :

Geo-redundant backup is not enabled. You cannot provide Geo-location user assigned identity and keyvault key.

Les identités transmises aux paramètres --identity et --backup-identity, s’ils existent et sont valides, sont automatiquement ajoutées à la liste des identités managées affectées par l’utilisateur associées à votre serveur flexible Azure Database pour PostgreSQL. C’est le cas, même si la commande échoue ultérieurement avec une autre erreur. Dans ce cas, vous pouvez utiliser les commandes az postgres flexible-server identity pour répertorier, affecter ou supprimer les identités managées affectées par l’utilisateur affectées à votre serveur flexible Azure Database pour PostgreSQL. Pour en savoir plus sur la configuration des identités managées affectées par l’utilisateur dans votre serveur flexible Azure Database pour PostgreSQL, reportez-vous à associer des identités managées affectées par l’utilisateur à des serveurs existants, dissociez les identités managées affectées par l’utilisateur à des serveurs existants et affichez les identités managées affectées par l’utilisateur associées.

Contenu connexe

• Chiffrement des données.