Azure Database for PostgreSQL - Flexible Server maken en beheren met gegevens die zijn versleuteld met door de klant beheerde sleutels (CMK) met behulp van de Azure CLI

VAN TOEPASSING OP: Azure Database for PostgreSQL - Flexibele server

Notitie

ONDERSTAANDe CLI-voorbeelden zijn gebaseerd op 2.45.0-versie van Cli-bibliotheken voor flexibele Servers van Azure Database for PostgreSQL

In dit artikel leert u hoe u een flexibele Azure Database for PostgreSQL-server maakt en beheert met gegevens die zijn versleuteld door door de klant beheerde sleutels met behulp van de Azure CLI. Zie het overzicht voor meer informatie over de cmk-functie (door de klant beheerde sleutels) met flexibele Azure Database for PostgreSQL-server.

Door de klant beheerde sleutel instellen tijdens het maken van de server

Vereisten:

• U moet een Azure-abonnement hebben en een beheerder van dat abonnement zijn.

Volg de onderstaande stappen om CMK in te schakelen tijdens het maken van een exemplaar van een flexibele Azure Database for PostgreSQL-server met behulp van Azure CLI.

1. Maak een sleutelkluis en een sleutel die moet worden gebruikt voor een door de klant beheerde sleutel. Schakel ook beveiliging tegen opschonen en voorlopig verwijderen in de sleutelkluis in.

     az keyvault create -g <resource_group> -n <vault_name> --location <azure_region> --enable-purge-protection true

2. Maak in de gemaakte Azure Key Vault de sleutel die wordt gebruikt voor de gegevensversleuteling van het flexibele serverexemplaren van Azure Database for PostgreSQL.

     keyIdentifier=$(az keyvault key create --name <key_name> -p software --vault-name <vault_name> --query key.kid -o tsv)

3. Een beheerde identiteit maken die wordt gebruikt om de sleutel op te halen uit Azure Key Vault.

 identityPrincipalId=$(az identity create -g <resource_group> --name <identity_name> --location <azure_region> --query principalId -o tsv)

4. Voeg toegangsbeleid toe met sleutelmachtigingen van wrapKey, unwrapKey, get, list in Azure KeyVault aan de beheerde identiteit die u hierboven hebt gemaakt.

az keyvault set-policy -g <resource_group> -n <vault_name>  --object-id $identityPrincipalId --key-permissions wrapKey unwrapKey get list

5. Maak ten slotte een exemplaar van een flexibele Azure Database for PostgreSQL-server waarvoor cmk-versleuteling is ingeschakeld.

az postgres flexible-server create -g <resource_group> -n <postgres_server_name> --location <azure_region>  --key $keyIdentifier --identity <identity_name>

Door de klant beheerde sleutel bijwerken op het exemplaar van azure Database for PostgreSQL flexibele server met CMK

Vereisten:

• U moet een Azure-abonnement hebben en een beheerder van dat abonnement zijn.
• Key Vault met sleutel in regio waar het flexibele serverexemplaren van Azure Database for PostgreSQL worden gemaakt. Volg deze zelfstudie om Key Vault te maken en sleutel te genereren.

Volg de onderstaande stappen om de sleutel of identiteit te wijzigen/te draaien na het maken van een server met gegevensversleuteling.

1. Sleutel/identiteit wijzigen voor gegevensversleuteling voor bestaande server. Eerst de nieuwe sleutel-id ophalen:

 newKeyIdentifier=$(az keyvault key show --vault-name <vault_name> --name <key_name>  --query key.kid -o tsv)

2. De server bijwerken met een nieuwe sleutel en/of identiteit.

  az postgres flexible-server update --resource-group <resource_group> --name <server_name> --key $newKeyIdentifier --identity <identity_name>

Volgende stappen

• Een Azure Database for PostgreSQL - Flexible Server beheren met behulp van de Azure CLI