次の方法で共有


Azure Database for MySQL でのデータ暗号化のトラブルシューティング

適用対象: Azure Database for MySQL - 単一サーバー

重要

Azure Database for MySQL シングル サーバーは廃止パスにあります。 Azure Database for MySQL フレキシブル サーバーにアップグレードすることを強くお勧めします。 Azure Database for MySQL フレキシブル サーバーへの移行の詳細については、Azure Database for MySQL シングル サーバーの現状に関するページを参照してください

この記事では、カスタマー マネージド キーを使用してデータ暗号化を構成した場合に Azure Database for MySQL で発生する可能性がある一般的な問題を特定し、解決する方法について説明します。

はじめに

Azure Key Vault でカスタマー マネージド キーを使用するようにデータ暗号化を構成する場合、サーバーにはキーへの継続的なアクセスが必要となります。 サーバーが Azure Key Vault のカスタマー マネージド キーにアクセスできなくなると、すべての接続が拒否され、該当するエラー メッセージが表示されて、Azure portal ではその状態が [アクセス不可] に変わります。

アクセスできない Azure Database for MySQL サーバーが不要になった場合は、それを削除してコストを発生させないようにすることができます。 キー コンテナーへのアクセスが復元され、サーバーが使用できるようになるまで、サーバーに対する他のすべての操作は許可されません。 また、アクセスできないサーバーがカスタマー マネージド キーで暗号化されている場合は、そのサーバーで Yes (カスタマー マネージド) から No (サービス マネージド) にデータ暗号化オプションを変更することもできません。 サーバーに再度アクセスできるようにするには、キーを手動で再検証する必要があります。 このアクションは、カスタマー マネージド キーへのアクセス許可が取り消されている間、データを不正アクセスから保護するために必要です。

サーバーにアクセスできなくなる原因となる一般的なエラー

Azure Key Vault キーを使用するデータ暗号化に関するほとんどの問題は、次のような構成ミスにより発生します。

  • キー コンテナーが使用できない、または存在しない。

    • キー コンテナーが誤って削除された。
    • 間欠的なネットワーク エラーのために、キー コンテナーを使用できない。
  • キー コンテナーへのアクセス許可がない、またはキーが存在しない。

    • キーの有効期限が切れたか、誤って削除または無効化された。
    • Azure Database for MySQL インスタンスのマネージド ID が誤って削除された。
    • Azure Database for MySQL インスタンスのマネージド ID の、キーのアクセス許可が不十分である。 たとえば、アクセス許可に取得、ラップ、ラップ解除が含まれていない。
    • Azure Database for MySQL インスタンスに対するマネージド ID のアクセス許可が取り消されたか、削除された。

一般的なエラーの識別と解決

Key Vault でのエラー

無効な Key Vault

  • AzureKeyVaultKeyDisabledMessage
  • 説明:Azure Key Vault キーが無効になっているため、サーバーで操作を完了できませんでした。

Key Vault アクセス許可がない

  • AzureKeyVaultMissingPermissionsMessage
  • 説明:サーバーに、Azure Key Vault に対して必要な取得、ラップ、およびラップ解除のアクセス許可がありません。 ID でサービス プリンシパルに欠落しているアクセス許可を付与します。

対応策

  • カスタマー マネージド キーが、キー コンテナーに存在することを確認します。
  • キー コンテナーを識別した後、Azure portal でそのキー コンテナーに移動します。
  • キー URI により、存在するキーが特定されていることを確認します。

次のステップ

Azure portal を使用して、Azure Database for MySQL でカスタマー マネージド キーによるデータ暗号化を設定します