次の方法で共有


Azure Database for MySQL のデータ暗号化 - Azure portal を使用したフレキシブル サーバー

適用対象: Azure Database for MySQL - フレキシブル サーバー

このチュートリアルでは、Azure Database for MySQL - フレキシブル サーバーのデータ暗号化を設定および管理する方法について説明します。

このチュートリアルでは、次の作業を行う方法について説明します。

  • Azure Database for MySQL フレキシブル サーバーのデータ暗号化の設定

  • 復元用のデータ暗号化を構成します。

  • レプリカ サーバー用のデータ暗号化を構成します。

    Note

    Azure Key Vault のアクセス構成で、Azure ロールベースのアクセス制御Vault アクセス ポリシーの 2 種類のアクセス許可モデルがサポートされるようになりました。 このチュートリアルでは、Vault アクセス ポリシーを使用して Azure Database for MySQL - フレキシブル サーバーのデータ暗号化を構成する方法について説明します。 ただし、アクセス許可モデルとして Azure RBAC を使用して、Azure Key Vault へのアクセス権を付与することもできます。 これを行うには、次の 3 つのアクセス許可を持つ組み込みロールまたはカスタム役割が必要です。また、Key Vault の [Access control (IAM)] (アクセス制御 (IAM)) タブを使用して、"ロールの割り当て" を介してこのロールを割り当てる必要があります。 a) KeyVault/vaults/keys/wrap/action b) KeyVault/vaults/keys/unwrap/action c) KeyVault/vaults/keys/read。 Azure Key Vault マネージド HSM の場合は、RBAC で "Managed HSM Crypto Service Encryption User" ロールの割り当てを割り当てる必要もあります。

前提条件

キー操作に対する適切なアクセス許可を設定する

  1. Key Vault で、[アクセス ポリシー] を選択し、[作成] を選択します。

    Azure portal の Key Vault アクセス ポリシーのスクリーンショット。

  2. [アクセス許可] タブで、主な アクセス許可である GetListWrap KeyUnwrap Key を選択します。

  3. [プリンシパル] タブで、ユーザー割り当てマネージド ID を選択します。

    Azure portal の [プリンシパル] タブのスクリーンショット。

  4. [作成] を選択します

カスタマー マネージド キーを構成する

カスタマー マネージド キーを設定するには、次の手順に従います。

  1. ポータルで、Azure Database for MySQL - フレキシブル サーバー インスタンスに移動し、[セキュリティ][データ暗号化] を選択します。

    データ暗号化ページのスクリーンショット。

  2. [データ暗号化] ページの [ID が割り当てられていない] で、[ID の変更] を選択します。

  3. [ユーザー割り当て** マネージド ID の 選択] ダイアログ ボックスで、demo-umi ID を選択し、[追加] を選択します。

    割り当てられたマネージド ID ページから demo-umi を選択しているスクリーンショット。

  4. [キーの選択方法] の右側で、キーを選択してキー コンテナーとキー ペアを指定するか、[キー識別子の入力] を選択します。

    ユーザーを表示するキー選択方法のスクリーンショット。

  5. [保存] を選択します。

復元用のデータ暗号化を使用する

復元操作の一部としてデータ暗号化を使用するには、次の手順を実行します。

  1. Azure portal で、サーバーの [概要] ページの [復元] を選択します。

    1. [セキュリティ] タブで、ID とキーを指定します。

      [概要] ページのスクリーンショット。

  2. [ID の変更] を選択し、[ユーザー割り当てマネージド ID] を選択し、[追加] を選択してキーを選択しますキー コンテナーキー ペアを選択するか、キー識別子を入力できます

    変更 ID ページのスクリーンショット。

レプリカ サーバー用のデータ暗号化を使用する

Key Vault に格納されている顧客のマネージド キーで Azure Database for MySQL フレキシブル サーバー インスタンスが暗号化された後、新しく作成されたサーバーのコピーも暗号化されます。

  1. レプリケーションを構成するには、[設定][レプリケーション] を選択し、[レプリカの追加] を選択します。

    [レプリケーション] ページのスクリーンショット。

  2. [レプリカ サーバーを Azure Database for MySQL に追加する] ダイアログ ボックスで、適切な [コンピューティング + ストレージ] オプションを選択し、[OK] を選択します。

    [コンピューティングとストレージ] ページのスクリーンショット。

    重要

    既にレプリカがあるカスタマー マネージド キーを使用して Azure Database for MySQL フレキシブル サーバーを暗号化する場合は、マネージド ID とキーを追加することでレプリカの構成も行うことをお勧めします。