Abilitare la crittografia dei dati con chiavi gestite dal cliente in Azure Cosmos DB for PostgreSQL

SI APPLICA A: Azure Cosmos DB for PostgreSQL (con tecnologia basata sull'estensione di database Citus per PostgreSQL)

Prerequisiti

• Un account Azure Cosmos DB for PostgreSQL esistente.
  • Se si ha una sottoscrizione di Azure, creare un nuovo account.
  • Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.
  • In alternativa, è possibile provare Azure Cosmos DB gratuitamente prima di eseguire il commit.

Abilitare la crittografia dei dati con chiavi gestite dal cliente

Importante

Creare tutte le risorse seguenti nella stessa area in cui verrà distribuito il cluster di Azure Cosmos DB for PostgreSQL.

1. Creare un'identità gestita assegnata dall'utente. Attualmente, Azure Cosmos DB for PostgreSQL supporta solo le identità gestite assegnate dall'utente.

2. Creare un insieme di credenziali delle chiavi di Azure e aggiungere un criterio di accesso all'identità gestita assegnata dall'utente creata con le autorizzazioni delle chiavi seguenti: Ottieni, Annulla il wrapping della chiave ed Esegui il wrapping della chiave.

3. Generare una chiave nell'insieme di credenziali delle chiavi (tipi di chiave supportati: RSA 2048, 3071, 4096).

4. Selezionare l'opzione di crittografia della chiave gestita dal cliente durante la creazione del cluster di Azure Cosmos DB for PostgreSQL e selezionare l'identità gestita assegnata dall'utente appropriata, l'insieme di credenziali delle chiavi e la chiave creata nei passaggi 1, 2 e 3.

Procedura dettagliata

Identità gestita assegnata dall'utente

1. Cercare Identità gestite nella barra di ricerca globale.

   

2. Creare una nuova identità gestita assegnata dall'utente nella stessa area del cluster di Azure Cosmos DB for PostgreSQL.

   

Altre informazioni sulle identità gestite assegnate dall'utente.

Key Vault

Per usare le chiavi gestite dal cliente con Azure Cosmos DB for PostgreSQL, è necessario impostare due proprietà nell'istanza di Azure Key Vault che si intende usare per ospitare le chiavi di crittografia: Eliminazione temporanea e Protezione dalla rimozione definitiva.

1. Se si crea una nuova istanza di Azure Key Vault, abilitare queste proprietà durante la creazione:

   

2. Se si usa un'istanza di Azure Key Vault esistente, è possibile verificare che queste proprietà siano abilitate nella sezione Proprietà del portale di Azure. Se una di queste proprietà non è abilitata, vedere le sezioni "Abilitazione della funzione di eliminazione temporanea" e "Abilitazione della protezione dall'eliminazione" in uno degli articoli seguenti.

   • Come usare la funzionalità di eliminazione temporanea con PowerShell.
   • Come usare la funzionalità di eliminazione temporanea con l'interfaccia della riga di comando di Azure.

3. L'insieme di credenziali delle chiavi deve essere impostato con 90 giorni per Giorni per conservare gli insiemi di credenziali eliminati. Se l'insieme di credenziali delle chiavi esistente è configurato con un numero inferiore, sarà necessario creare un nuovo insieme di credenziali delle chiavi perché questa impostazione non può essere modificata dopo la creazione.

   Importante

   L'istanza di Azure Key Vault deve consentire l'accesso pubblico da tutte le reti.

Aggiungere un criterio di accesso per un insieme di credenziali delle chiavi

1. Dal portale di Azure passare all'istanza di Azure Key Vault che si intende usare per ospitare le chiavi di crittografia. Selezionare Configurazione dell'accesso dal menu a sinistra. Assicurarsi che l'opzione Criteri di accesso dell'insieme di credenziali sia selezionata in Modello di autorizzazione, quindi selezionare Vai ai criteri di accesso.

   

2. Seleziona + Crea.

3. Nella scheda Autorizzazioni nel menu a discesa Autorizzazioni chiave, selezionare Recupera, Annullare il wrapping della chiave ed Esegui il wrapping della chiave.

   

4. Nella scheda Entità di sicurezza, selezionare l'identità gestita assegnata dall'utente creata nel passaggio del prerequisito.

5. Passare alla scheda Rivedi e crea e selezionare Crea.

Creare / Importare una chiave

1. Dal portale di Azure passare all'istanza di Azure Key Vault che si intende usare per ospitare le chiavi di crittografia.

2. Selezionare Chiavi dal menu a sinistra, quindi selezionare +Genera/Importa.

   

3. La chiave gestita dal cliente da usare per la crittografia della chiave DEK può essere solo di tipo RSA asimmetrico. Sono supportate tutte le dimensioni della chiave RSA: 2048, 3072 e 4096.

4. La data di attivazione della chiave (se impostata) deve essere una data/ora nel passato. La data di scadenza (se impostata) deve essere una data/ora nel futuro.

5. La chiave deve avere lo stato Abilitato.

6. Se si importa una chiave esistente nell'insieme di credenziali delle chiavi, assicurarsi di specificarla nei formati di file supportati (.pfx, .byok o .backup).

7. Se si ruota manualmente la chiave, la versione della chiave precedente non deve essere eliminata per almeno 24 ore.

Abilitare la crittografia della chiave gestita dal cliente durante il provisioning di un nuovo cluster

Portale

1. Durante il provisioning di un nuovo cluster di Azure Cosmos DB for PostgreSQL, dopo aver fornito le informazioni necessarie nelle schede Informazioni di base e Networking, passare alla scheda Crittografia.

2. Selezionare Chiave gestita dal cliente nell'opzione Chiave di crittografia dei dati.

3. Selezionare l'identità gestita assegnata dall'utente creata nella sezione precedente.

4. Selezionare l'insieme di credenziali delle chiavi creato nel passaggio precedente, con i criteri di accesso all'identità gestita dall'utente selezionati nel passaggio precedente.

5. Selezionare la chiave creata nel passaggio precedente, quindi fare clic su Rivedi e crea.

6. Dopo aver creato il cluster, verificare che la crittografia della chiave gestita dal cliente sia abilitata passando al pannello Crittografia dei dati del cluster di Azure Cosmos DB for PostgreSQL nel portale di Azure.

Nota

La crittografia dei dati può essere configurata solo durante la creazione di un nuovo cluster e non può essere aggiornata in un cluster esistente. Una soluzione alternativa per aggiornare la configurazione della crittografia in un cluster esistente consiste nell'eseguire un ripristino del cluster e nel configurare la crittografia dei dati durante la creazione del cluster appena ripristinato.

Modello ARM

   {
       "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "serverGroupName": {
               "type": "string"
           },
           "location": {
               "type": "string"
           },
           "administratorLoginPassword": {
               "type": "secureString"
           },
           "previewFeatures": {
               "type": "bool"
           },
           "postgresqlVersion": {
               "type": "string"
           },
           "coordinatorVcores": {
               "type": "int"
           },
           "coordinatorStorageSizeMB": {
               "type": "int"
           },
           "numWorkers": {
               "type": "int"
           },
           "workerVcores": {
               "type": "int"
           },
           "workerStorageSizeMB": {
               "type": "int"
           },
           "enableHa": {
               "type": "bool"
           },
           "enablePublicIpAccess": {
               "type": "bool"
           },
           "serverGroupTags": {
               "type": "object"
           },
           "userAssignedIdentityUrl": {
               "type": "string"
           },
           "encryptionKeyUrl": {
               "type": "string"
           }
       },
       "variables": {},
       "resources": [
           {
               "name": "[parameters('serverGroupName')]",
               "type": "Microsoft.DBforPostgreSQL/serverGroupsv2",
               "kind": "CosmosDBForPostgreSQL",
               "apiVersion": "2020-10-05-privatepreview",
               "identity":
               {
                   "type": "UserAssigned",
                   "userAssignedIdentities":
                   {
                       "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/yogkuleuapcmkmarlintest/providers/Microsoft.ManagedIdentity/userAssignedIdentities/marlincmktesteus2euapuai1": {}
                   }
               },
               "location": "[parameters('location')]",
               "tags": "[parameters('serverGroupTags')]",
               "properties": {
                   "createMode": "Default",
                   "administratorLogin": "citus",
                   "administratorLoginPassword": "[parameters('administratorLoginPassword')]",
                   "backupRetentionDays": 35,
                   "enableMx": false,
                   "enableZfs": false,
                   "previewFeatures": "[parameters('previewFeatures')]",
                   "postgresqlVersion": "[parameters('postgresqlVersion')]",
                   "dataencryption":
                   {
                       "primaryKeyUri": "[parameters('encryptionKeyUrl')]",
                       "primaryUserAssignedIdentityId": "[parameters('userAssignedIdentityUrl')]",
                       "type": "AzureKeyVault"
                   },
                   "serverRoleGroups": [
                       {
                           "name": "",
                           "role": "Coordinator",
                           "serverCount": 1,
                           "serverEdition": "GeneralPurpose",
                           "vCores": "[parameters('coordinatorVcores')]",
                           "storageQuotaInMb": "[parameters('coordinatorStorageSizeMB')]",
                           "enableHa": "[parameters('enableHa')]"
                       },
                       {
                           "name": "",
                           "role": "Worker",
                           "serverCount": "[parameters('numWorkers')]",
                           "serverEdition": "MemoryOptimized",
                           "vCores": "[parameters('workerVcores')]",
                           "storageQuotaInMb": "[parameters('workerStorageSizeMB')]",
                           "enableHa": "[parameters('enableHa')]",
                           "enablePublicIpAccess": "[parameters('enablePublicIpAccess')]"
                       }
                   ]
               },
               "dependsOn": []
           }
       ],
       "outputs": {}
   }

Disponibilità elevata

Quando la crittografia della chiave gestita dal cliente è abilitata nel cluster primario, tutti i nodi in standby a disponibilità elevata vengono crittografati automaticamente dalla chiave del cluster primario.

Modifica della configurazione della crittografia tramite esecuzione di un ripristino temporizzato

La configurazione della crittografia può essere modificata dalla crittografia gestita dal servizio alla crittografia gestita dal cliente o viceversa durante l'esecuzione di un'operazione di ripristino del cluster (ripristino temporizzato).

Portale

1. Passare al pannello Crittografia dei dati e selezionare Avvia l'operazione di ripristino. In alternativa, è possibile eseguire il ripristino temporizzato selezionando l'opzione Ripristina nel pannello Panoramica.

2. È possibile modificare/configurare la crittografia dei dati nella scheda Crittografia della pagina di ripristino del cluster.

Modello ARM

   {
       "$schema": "http://schema.management.azure.com/schemas/2014-04-01-preview/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "location": {
               "type": "string"
           },
           "sourceLocation": {
               "type": "string"
           },
           "subscriptionId": {
               "type": "string"
           },
           "resourceGroupName": {
               "type": "string"
           },
           "serverGroupName": {
               "type": "string"
           },
           "sourceServerGroupName": {
               "type": "string"
           },
           "restorePointInTime": {
               "type": "string"
           },
           "encryptionKeyUrl": {
               "type": "string"
           },
           "userAssignedIdentityUrl": {
               "type": "string"
           }
       },
       "variables": {
           "api": "2020-02-14-privatepreview"
       },
       "resources": [
           {
               "apiVersion": "2020-10-05-privatepreview",
               "location": "[parameters('location')]",
               "name": "[parameters('serverGroupName')]",
               "identity":
               {
                   "type": "UserAssigned",
                   "userAssignedIdentities":
                   {
                       "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/yogkuleuapcmkmarlintest/providers/Microsoft.ManagedIdentity/userAssignedIdentities/marlincmktesteus2euapuai1": {}
                   }
               },
               "properties": {
                   "createMode": "PointInTimeRestore",
                   "sourceServerGroupName": "[parameters('sourceServerGroupName')]",
                   "pointInTimeUTC": "[parameters('restorePointInTime')]",
                   "sourceLocation": "[parameters('location')]",
                   "sourceSubscriptionId": "[parameters('subscriptionId')]",
                   "sourceResourceGroupName": "[parameters('resourceGroupName')]",
                   "enableMx": false,
                   "enableZfs": false,
                   "dataencryption":
                   {
                       "primaryKeyUri": "[parameters('encryptionKeyUrl')]",
                       "primaryUserAssignedIdentityId": "[parameters('userAssignedIdentityUrl')]",
                       "type": "AzureKeyVault"
                   },
               }
               "type": "Microsoft.DBforPostgreSQL/serverGroupsv2"
           }
       ]
   }

Monitorare la chiave gestita dal cliente in Key Vault

Per monitorare lo stato del database e abilitare gli avvisi per la perdita dell'accesso alla protezione di Transparent Data Encryption, configurare le funzionalità di Azure seguenti:

• Integrità risorse di Azure: un database inaccessibile che ha perso l'accesso alla chiave del cliente viene indicato come "Inaccessibile" dopo che viene negata la prima connessione al database.

• Log attività: quando l'accesso alla chiave del cliente nell'istanza di Key Vault gestita dal cliente non riesce, nel log attività vengono aggiunte voci. Se si creano avvisi per questi eventi, è possibile ripristinare l'accesso tempestivamente.

• Gruppi di azioni: definire questi gruppi per l'invio di notifiche e avvisi in base alle preferenze.

Passaggi successivi

• Informazioni sulla crittografia dei dati con chiavi gestite dal cliente
• Vedere Limiti e limitazioni delle chiavi gestite dal cliente di Azure Cosmos DB for PostgreSQL