データ暗号化を構成する

適用対象: Azure Database for PostgreSQL - フレキシブル サーバー

この記事では、Azure Database for PostgreSQL フレキシブル サーバーのデータ暗号化を構成するための詳細な手順について説明します。

重要

Azure Database for PostgreSQL フレキシブル サーバーのデータ暗号化のためのシステムまたはカスタマー マネージド暗号化キーの選択は、サーバーを展開するときにのみ行うことができます。

この記事では、新しいサーバーを作成し、そのデータ暗号化オプションを構成する方法について学習します。 カスタマー マネージド暗号化キーを使用するようにデータ暗号化が構成されている既存のサーバーについて、以下の方法を学習します。

• サービスが暗号化キーにアクセスする際に使用する別のユーザー割り当てマネージド ID を選択する方法。
• 別の暗号化キーを指定する方法、またはデータ暗号化に現在使用されている暗号化キーをローテーションする方法。

Azure Database for PostgreSQL - フレキシブル サーバーのコンテキストでのデータ暗号化については、「データの暗号化」を参照してください。

サーバーのプロビジョニング中にシステム マネージド キーを使用してデータ暗号化を構成する

ポータル

Azure portal を使用して以下を実行します。

1. Azure Database for PostgreSQL フレキシブル サーバーの新しいインスタンスのプロビジョニング中に、[セキュリティ] タブに移動します。

   

2. [データ暗号化キー] で、[サービス マネージド キー] ラジオ ボタンを選択します。

   

3. geo 冗長バックアップ ストレージがサーバーと共にプロビジョニングされるように設定すると、サーバーが 2 つの別個の暗号化キーを使用するため、[セキュリティ] タブの表示が若干変わります。 1 つはサーバーを展開するプライマリ リージョン用、もう 1 つはサーバー バックアップが非同期的にレプリケートされるペア リージョン用です。

   

CLI

az postgres flexible-server create コマンドを使用して新しいサーバーをプロビジョニングしているときに、システム割り当て暗号化キーを使用したデータ暗号化を有効にすることができます。

az postgres flexible-server create --resource-group <resource_group> --name <server> ...

Note

上記のコマンドには、データ暗号化のためのシステム割り当てキーを使用してサーバーを作成する必要があることを指定する特別なパラメーターがないことに注意してください。 これは、システム割り当てキーを使用したデータ暗号化が既定のオプションであるためです。 また、このコマンドは他のパラメーターを指定して実行する必要があることにも注意してください。そのようなパラメーターの有無や値は、プロビジョニングされるサーバーのその他の機能をどのように構成するかによって異なります。

サーバーのプロビジョニング中にカスタマー マネージド キーを使用したデータ暗号化を構成する

ポータル

Azure portal を使用して以下を実行します。

1. まだお持ちでない場合は、ユーザー割り当てマネージド ID を作成します。 サーバーで geo 冗長バックアップが有効になっている場合は、異なる ID を作成する必要があります。 これらの各 ID は、2 つのデータ暗号化キーのそれぞれにアクセスするために使用されます。

   Note

   必須ではありませんが、リージョンの回復性を維持するために、サーバーと同じリージョンにユーザー マネージド ID を作成することをお勧めします。 また、サーバーで geo バックアップ冗長が有効になっている場合は、geo 冗長バックアップのデータ暗号化キーへのアクセスに使用する 2 番目のユーザー マネージド ID を、サーバーのペア リージョンに作成することをお勧めします。

2. キーストアがまだ作成されていない場合は、Azure Key Vault を 1 つ作成するか、マネージド HSM を 1 つ作成します。 要件を満たしていることを確認します。 また、キーストアを構成する前、およびキーを作成して、必要なアクセス許可をユーザー割り当てマネージド ID に割り当てる前に、推奨事項に従ってください。 サーバーで geo 冗長バックアップが有効になっている場合は、2 つ目のキーストアを作成する必要があります。 その 2 つ目のキーストアは、サーバーのペア リージョンにコピーされたバックアップを暗号化するときに使用するデータ暗号化キーを保持するために使用されます。

   Note

   データ暗号化キーを保持するために使用するキーストアは、サーバーと同じリージョンに配置する必要があります。 また、サーバーで geo バックアップ冗長が有効になっている場合は、geo 冗長バックアップのデータ暗号化キーを保持するキーストアを、サーバーのペア リージョンに作成する必要があります。

3. キーストアにキーを 1 つ作成します。 サーバーで geo 冗長バックアップが有効になっている場合は、各キーストアにキーが 1 つ必要になります。 これらのキーのいずれかを使用して、サーバーのすべてのデータ (すべてのシステムとユーザー データベース、一時ファイル、サーバー ログ、先書きログ セグメント、バックアップを含む) を暗号化します。 2 番目のキーを使用して、サーバーのペア リージョンに非同期でコピーされるバックアップのコピーを暗号化します。

4. Azure Database for PostgreSQL フレキシブル サーバーの新しいインスタンスのプロビジョニング中に、[セキュリティ] タブに移動します。

   

5. [データ暗号化キー] で、[サービス マネージド キー] ラジオ ボタンを選択します。

   

6. geo 冗長バックアップ ストレージがサーバーと共にプロビジョニングされるように設定すると、サーバーが 2 つの別個の暗号化キーを使用するため、[セキュリティ] タブの表示が若干変わります。 1 つはサーバーを展開するプライマリ リージョン用、もう 1 つはサーバー バックアップが非同期的にレプリケートされるペア リージョン用です。

   

7. [ユーザー割り当てマネージド ID] で、[ID の変更] を選択します。

   

8. ユーザー割り当てマネージド ID の一覧から、Azure Key Vault に格納されているデータ暗号化キーにアクセスする際にサーバーで使用するものを選択します。

   

9. [追加] を選択します。

   

10. [キーの選択] を選択します。

    

11. [サブスクリプション] には、サーバーが作成されるサブスクリプションの名前が自動的に入力されます。 データ暗号化キーを保持するキーストアは、サーバーと同じサブスクリプションに存在する必要があります。

    

12. [キー ストアの種類] で、データ暗号化キーを格納する予定のキーストアの種類に対応するラジオ ボタンを選択します。 この例では、[キー コンテナー] を選択しますが、[マネージド HSM] を選択した場合でもエクスペリエンスは同様です。

    

13. [キー コンテナー] (または、[マネージド HSM] (そのストレージの種類を選択した場合)) を展開し、データ暗号化キーが存在するインスタンスを選択します。

    

    Note

    ドロップダウン ボックスを展開すると、[使用できる項目がありません] と表示されます。 サーバーと同じリージョンに展開されているキー コンテナーのすべてのインスタンスが一覧表示されるまで、数秒かかります。

14. [キー] を展開し、データ暗号化に使用するキーの名前を選択します。

    

15. [バージョン] を展開し、データ暗号化に使用するキーのバージョンの識別子を選択します。

    

16. [選択] を選択します。

    

17. 新しいサーバーの他のすべての設定を構成し、[確認と作成] を選択します。

    

CLI

az postgres flexible-server create コマンドを介して新しいサーバーをプロビジョニングしているときに、ユーザー割り当て暗号化キーを使用したデータ暗号化を有効にすることができます。

サーバーで geo 冗長バックアップが有効になっていない場合:

az postgres flexible-server create --resource-group <resource_group> --name <server> --geo-redundant-backup Disabled --identity <managed_identity_to_access_primary_encryption_key> --key <resource_identifier_of_primary_encryption_key> ...

Note

上記のコマンドは他のパラメーターと一緒に実行する必要があります。そのようなパラメーターの有無や値は、プロビジョニングされるサーバーのその他の機能をどのように構成するかによって異なります。

サーバーで geo 冗長バックアップが有効になっている場合:

az postgres flexible-server create --resource-group <resource_group> --name <server> --geo-redundant-backup Enabled --identity <managed_identity_to_access_primary_encryption_key> --key <resource_identifier_of_primary_encryption_key> --backup-identity <managed_identity_to_access_geo_backups_encryption_key> --backup-key <resource_identifier_of_geo_backups_encryption_key> ...

Note

上記のコマンドは他のパラメーターと一緒に実行する必要があります。そのようなパラメーターの有無や値は、プロビジョニングされるサーバーのその他の機能をどのように構成するかによって異なります。

既存のサーバーでカスタマー マネージド キーを使用したデータ暗号化を構成する

データ暗号化にシステム マネージド キーとカスタマー マネージド キーのどちらを使用するかを決定できる時点は、サーバーの作成時のみです。 その決定を行い、サーバーを作成したら、2 つのオプション間の切り替えを行うことはできません。 一方から他方に変更したい場合、唯一の代替手段では、サーバーの使用可能なバックアップのいずれかを新しいサーバーに復元する必要があります。 復元を構成するときに、新しいサーバーのデータ暗号化構成を変更することができます。

カスタマー マネージド キーを使用したデータ暗号化で展開された既存のサーバーでは、いくつかの構成変更を実行できます。 変更できるのは、暗号化に使用されるキーへの参照と、キーストアに保持されているキーにアクセスするためにサービスによって使用されるユーザー割り当てマネージド ID への参照です。

次の場合に、Azure Database for PostgreSQL フレキシブル サーバーが保持しているキーへの参照を更新する必要があります。

• キーストアに格納されているキーを手動または自動でローテーションする場合。
• 別のキーストアに格納されている同じキーまたは別のキーを使用する場合。

次の場合に、Azure Database for PostgreSQL フレキシブル サーバーが暗号化キーにアクセスするために使用するユーザー割り当てマネージド ID を更新する必要があります。

• 別の ID を使用する場合。

ポータル

Azure portal を使用して以下を実行します。

1. お使いの Azure Database for PostgreSQL フレキシブル サーバーを選択します。

2. リソース メニューの [セキュリティ] セクションで、[データ暗号化] を選択します。

   

3. キーが保持されているキーストアにサーバーがアクセスする際に使用するユーザー割り当てマネージド ID を変更するには、[ユーザー割り当てマネージド ID] ドロップダウンを展開し、使用可能な任意の ID を選択します。

   

   Note

   コンボ ボックスに表示される ID は、Azure Database for PostgreSQL フレキシブル サーバーに割り当てられた ID のみです。 必須ではありませんが、リージョンの回復性を維持するために、サーバーと同じリージョンでユーザー マネージド ID を選択することをお勧めします。 また、サーバーで geo バックアップ冗長が有効になっている場合は、geo 冗長バックアップのデータ暗号化キーへのアクセスに使用する 2 番目のユーザー マネージド ID が、サーバーのペア リージョンに存在することが推奨されます。

4. データ暗号化キーへのアクセスに使用するユーザー割り当てマネージド ID が、Azure Database for PostgreSQL フレキシブル サーバーに割り当てられておらず、Microsoft Entra ID 内の対応するオブジェクトを持つ Azure リソースとしても存在しない場合は、[作成] を選択して作成できます。

   

5. [ユーザー割り当てマネージド ID の作成] パネルで、作成するユーザー割り当てマネージド ID の詳細を入力し、データ暗号化キーにアクセスするために Azure Database for PostgreSQL フレキシブル サーバーに自動的に割り当てます。

   

6. データ暗号化キーへのアクセスに使用するユーザー割り当てマネージド ID が、Azure Database for PostgreSQL フレキシブル サーバーに割り当てられていないが、Microsoft Entra ID 内の対応するオブジェクトを持つ Azure リソースとして存在する場合は、[選択] を選択してそれを割り当てることができます。

   

7. ユーザー割り当てマネージド ID の一覧から、Azure Key Vault に格納されているデータ暗号化キーにアクセスする際にサーバーで使用するものを選択します。

   

8. [追加] を選択します。

   

9. キーをローテーションする場合、または別のキーを使用する場合は、Azure Database for PostgreSQL フレキシブル サーバーを更新して、新しいキー バージョンまたは新しいキーを指すようにする必要があります。 これを行うには、キーのリソース識別子をコピーして、[キー識別子] ボックスに貼り付けます。

   

10. Azure portal にアクセスするユーザーに、キーストアに格納されているキーにアクセスするためのアクセス許可がある場合は、別の方法を使用して、新しいキーまたは新しいキー バージョンを選択できます。 これを行うには、[キーの選択方法] で、[キーの選択] ラジオ ボタンを選択します。

    

11. [キーの選択] を選択します。

    

12. [サブスクリプション] には、サーバーが作成されるサブスクリプションの名前が自動的に入力されます。 データ暗号化キーを保持するキーストアは、サーバーと同じサブスクリプションに存在する必要があります。

    

13. [キー ストアの種類] で、データ暗号化キーを格納する予定のキーストアの種類に対応するラジオ ボタンを選択します。 この例では、[キー コンテナー] を選択しますが、[マネージド HSM] を選択した場合でもエクスペリエンスは同様です。

    

14. [キー コンテナー] (または、[マネージド HSM] (そのストレージの種類を選択した場合)) を展開し、データ暗号化キーが存在するインスタンスを選択します。

    

    Note

    ドロップダウン ボックスを展開すると、[使用できる項目がありません] と表示されます。 サーバーと同じリージョンに展開されているキー コンテナーのすべてのインスタンスが一覧表示されるまで、数秒かかります。

15. [キー] を展開し、データ暗号化に使用するキーの名前を選択します。

    

16. [バージョン] を展開し、データ暗号化に使用するキーのバージョンの識別子を選択します。

    

17. [選択] を選択します。

    

18. 変更内容に問題がない場合は、[保存] を選択します。

    

CLI

az postgres flexible-server update コマンドを使用して、既存のサーバーに対して、ユーザー割り当て暗号化キーを使用したデータ暗号化を構成できます。

az postgres flexible-server update --resource-group <resource_group> --name <server> --identity <managed_identity_to_access_primary_encryption_key> --key <resource_identifier_of_primary_encryption_key> ...

Note

上記のコマンドは他のパラメーターと一緒に実行する必要がある場合があります。そのようなパラメーターの有無や値は、既存のサーバーのその他の機能をどのように構成するかによって異なります。

キーへのアクセスに使用するユーザー割り当てマネージド ID のみを変更する場合でも、データ暗号化に使用するキーのみを変更する場合でも、同時に両方を変更する場合でも、--identity と --key の両方のパラメーター (または、geo 冗長バックアップの場合は --backup-identity と --backup-key) を指定する必要があります。 いずれか一方のみを指定した場合、次のいずれかのエラーが表示されます。

User assigned identity and keyvault key need to be provided together. Please provide --identity and --key together.

User assigned identity and keyvault key need to be provided together. Please provide --backup-identity and --backup-key together.

--key パラメーター (または、geo 冗長バックアップの場合は --backup-key) に渡された値が指すキーが存在しない場合、またはリソース識別子が --identity パラメーター (または、geo 冗長バックアップの場合は --backup-identity) に渡されるユーザー割り当てマネージド ID にキーへのアクセスに必要なアクセス許可がない場合は、次のエラーが表示されます。

Code: AzureKeyVaultKeyNameNotFound
Message: The operation could not be completed because the Azure Key Vault Key name '<key_vault_resource>' does not exist or User Assigned Identity does not have Get access to the Key (https://learn.microsoft.com/en-us/azure/postgresql/flexible-server/concepts-data-encryption#requirements-for-configuring-data-encryption-for-azure-database-for-postgresql-flexible-server).

サーバーで geo 冗長バックアップが有効になっている場合は、geo 冗長バックアップの暗号化に使用するキーと、そのキーへのアクセスに使用する ID を構成できます。 これを行うには、--backup-identity および --backup-key パラメーターを使用します。

az postgres flexible-server update --resource-group <resource_group> --name <server> --backup-identity <managed_identity_to_access_georedundant_encryption_key> --backup-key <resource_identifier_of_georedundant_encryption_key> ...

パラメーター --backup-identity と --backup-key を az postgres flexible server update コマンドに渡し、geo 冗長バックアップが有効になっていない既存のサーバーを参照すると、次のエラーが表示されます。

Geo-redundant backup is not enabled. You cannot provide Geo-location user assigned identity and keyvault key.

--identity および --backup-identity パラメーターに渡された ID (それらが存在し、有効な場合) は、Azure Database for PostgreSQL フレキシブル サーバーに関連付けられているユーザー割り当てマネージド ID の一覧に自動的に追加されます。 これは、コマンドが後で他のエラーで失敗した場合でも行われます。 このような場合は、az postgres flexible-server identity コマンドを使用して、Azure Database for PostgreSQL フレキシブル サーバーに割り当てられたユーザー割り当てマネージド ID を一覧表示、割り当て、または削除することができます。 Azure Database for PostgreSQL フレキシブル サーバーでのユーザー割り当てマネージド ID の構成の詳細については、「ユーザー割り当てマネージド ID を既存のサーバーに関連付ける」、「既存のサーバーのユーザー割り当てマネージド ID の関連付けを解除する」、および「関連付けられているユーザー割り当てマネージド ID を表示する」を参照してください。.

関連するコンテンツ

• データの暗号化。