Azure Database for MySQL のデータ暗号化 - Azure portal を使用したフレキシブル サーバー
適用対象: Azure Database for MySQL - フレキシブル サーバー
このチュートリアルでは、Azure Database for MySQL - フレキシブル サーバーのデータ暗号化を設定および管理する方法について説明します。
このチュートリアルでは、次の作業を行う方法について説明します。
Azure Database for MySQL フレキシブル サーバーのデータ暗号化の設定
復元用のデータ暗号化を構成します。
レプリカ サーバー用のデータ暗号化を構成します。
Note
Azure Key Vault のアクセス構成で、Azure ロールベースのアクセス制御とVault アクセス ポリシーの 2 種類のアクセス許可モデルがサポートされるようになりました。 このチュートリアルでは、Vault アクセス ポリシーを使用して Azure Database for MySQL - フレキシブル サーバーのデータ暗号化を構成する方法について説明します。 ただし、アクセス許可モデルとして Azure RBAC を使用して、Azure Key Vault へのアクセス権を付与することもできます。 これを行うには、次の 3 つのアクセス許可を持つ組み込みロールまたはカスタム役割が必要です。また、Key Vault の [Access control (IAM)] (アクセス制御 (IAM)) タブを使用して、"ロールの割り当て" を介してこのロールを割り当てる必要があります。 a) KeyVault/vaults/keys/wrap/action b) KeyVault/vaults/keys/unwrap/action c) KeyVault/vaults/keys/read。 Azure Key Vault マネージド HSM の場合は、RBAC で "Managed HSM Crypto Service Encryption User" ロールの割り当てを割り当てる必要もあります。
前提条件
アクティブなサブスクリプションが含まれる Azure アカウント。
Azure サブスクリプションをお持ちでない場合は、開始する前に Azure 無料アカウントを作成してください。
Note
Azure 無料アカウントがあれば、Azure Database for MySQL フレキシブル サーバーを 12 か月間無料でお試しいただけます。 詳細については、Azure Database for MySQL フレキシブル サーバーの無料トライアルに関するページを参照してください。
キー操作に対する適切なアクセス許可を設定する
Key Vault で、[アクセス ポリシー] を選択し、[作成] を選択します。
[アクセス許可] タブで、主な アクセス許可である Get、List、Wrap Key、Unwrap Key を選択します。
[プリンシパル] タブで、ユーザー割り当てマネージド ID を選択します。
[作成] を選択します
カスタマー マネージド キーを構成する
カスタマー マネージド キーを設定するには、次の手順に従います。
ポータルで、Azure Database for MySQL - フレキシブル サーバー インスタンスに移動し、[セキュリティ] で [データ暗号化] を選択します。
[データ暗号化] ページの [ID が割り当てられていない] で、[ID の変更] を選択します。
[ユーザー割り当て** マネージド ID の 選択] ダイアログ ボックスで、demo-umi ID を選択し、[追加] を選択します。
[キーの選択方法] の右側で、キーを選択してキー コンテナーとキー ペアを指定するか、[キー識別子の入力] を選択します。
[保存] を選択します。
復元用のデータ暗号化を使用する
復元操作の一部としてデータ暗号化を使用するには、次の手順を実行します。
Azure portal で、サーバーの [概要] ページの [復元] を選択します。
[ID の変更] を選択し、[ユーザー割り当てマネージド ID] を選択し、[追加] を選択してキーを選択します。キー コンテナーとキー ペアを選択するか、キー識別子を入力できます
レプリカ サーバー用のデータ暗号化を使用する
Key Vault に格納されている顧客のマネージド キーで Azure Database for MySQL フレキシブル サーバー インスタンスが暗号化された後、新しく作成されたサーバーのコピーも暗号化されます。
レプリケーションを構成するには、[設定] で [レプリケーション] を選択し、[レプリカの追加] を選択します。
[レプリカ サーバーを Azure Database for MySQL に追加する] ダイアログ ボックスで、適切な [コンピューティング + ストレージ] オプションを選択し、[OK] を選択します。
重要
既にレプリカがあるカスタマー マネージド キーを使用して Azure Database for MySQL フレキシブル サーバーを暗号化する場合は、マネージド ID とキーを追加することでレプリカの構成も行うことをお勧めします。