Udostępnij za pośrednictwem


Włączanie szyfrowania danych przy użyciu kluczy zarządzanych przez klienta w usłudze Azure Cosmos DB for PostgreSQL

DOTYCZY: Usługa Azure Cosmos DB for PostgreSQL (obsługiwana przez rozszerzenie bazy danych Citus do bazy danych PostgreSQL)

Wymagania wstępne

Włączanie szyfrowania danych przy użyciu kluczy zarządzanych przez klienta

Ważne

Utwórz wszystkie następujące zasoby w tym samym regionie, w którym zostanie wdrożony klaster usługi Azure Cosmos DB for PostgreSQL.

  1. Utwórz tożsamość zarządzaną przypisaną przez użytkownika. Obecnie usługa Azure Cosmos DB for PostgreSQL obsługuje tylko tożsamości zarządzane przypisane przez użytkownika.

  2. Utwórz usługę Azure Key Vault i dodaj zasady dostępu do utworzonej tożsamości zarządzanej przypisanej przez użytkownika z następującymi uprawnieniami klucza: Pobierz, Odpakuj klucz i Opakuj klucz.

  3. Wygeneruj klucz w magazynie kluczy (obsługiwane typy kluczy: RSA 2048, 3071, 4096).

  4. Wybierz opcję szyfrowania kluczy zarządzanych przez klienta podczas tworzenia klastra usługi Azure Cosmos DB for PostgreSQL i wybierz odpowiednią tożsamość zarządzaną przypisaną przez użytkownika, magazyn kluczy i klucz utworzony w krokach 1, 2 i 3.

Szczegółowe procedury

Tożsamość zarządzana przypisana przez użytkownika

  1. Wyszukaj pozycję Tożsamości zarządzane na pasku wyszukiwania globalnego.

    Zrzut ekranu przedstawiający tożsamości zarządzane w witrynie Azure Portal.

  2. Utwórz nową tożsamość zarządzaną przypisaną przez użytkownika w tym samym regionie co klaster usługi Azure Cosmos DB for PostgreSQL.

    Zrzut ekranu przedstawiający stronę Tożsamości zarządzanej przypisanej przez użytkownika w witrynie Azure Portal.

Dowiedz się więcej o tożsamości zarządzanej przypisanej przez użytkownika.

Key Vault

Używanie kluczy zarządzanych przez klienta z usługą Azure Cosmos DB for PostgreSQL wymaga ustawienia dwóch właściwości w wystąpieniu usługi Azure Key Vault, które ma być używane do hostowania kluczy szyfrowania: Usuwanie nietrwałe i przeczyszczanie ochrony.

  1. Jeśli tworzysz nowe wystąpienie usługi Azure Key Vault, włącz te właściwości podczas tworzenia:

    Zrzut ekranu przedstawiający właściwości usługi Key Vault.

  2. Jeśli używasz istniejącego wystąpienia usługi Azure Key Vault, możesz sprawdzić, czy te właściwości są włączone, przeglądając sekcję Właściwości w witrynie Azure Portal. Jeśli którakolwiek z tych właściwości nie jest włączona, zobacz sekcje "Włączanie usuwania nietrwałego" i "Włączanie ochrony przed przeczyszczeniem" w jednym z poniższych artykułów.

  3. Magazyn kluczy musi być ustawiony z 90 dni na przechowywanie usuniętych magazynów przez dni. Jeśli istniejący magazyn kluczy jest skonfigurowany z mniejszą liczbą, należy utworzyć nowy magazyn kluczy, ponieważ tego ustawienia nie można zmodyfikować po utworzeniu.

    Ważne

    Wystąpienie usługi Azure Key Vault musi zezwalać na dostęp publiczny ze wszystkich sieci.

Dodawanie zasad dostępu do usługi Key Vault

  1. W witrynie Azure Portal przejdź do wystąpienia usługi Azure Key Vault, które ma być używane do hostowania kluczy szyfrowania. Wybierz pozycję Konfiguracja dostępu z menu po lewej stronie. Upewnij się, że w obszarze Model uprawnień wybrano zasady dostępu magazynu, a następnie wybierz pozycję Przejdź do zasad dostępu.

    Zrzut ekranu przedstawiający konfigurację dostępu usługi Key Vault.

  2. Wybierz + Utwórz.

  3. Na karcie Uprawnienia w menu rozwijanym Uprawnienia klucza wybierz pozycję Pobierz, Odpakuj klucz i Opakuj uprawnienia klucza.

    Zrzut ekranu przedstawiający ustawienia uprawnień usługi Key Vault.

  4. Na karcie Podmiot zabezpieczeń wybierz tożsamość zarządzaną przypisaną przez użytkownika utworzoną w kroku wymagań wstępnych.

  5. Przejdź do pozycji Przejrzyj i utwórz wybierz pozycję Utwórz.

Tworzenie/importowanie klucza

  1. W witrynie Azure Portal przejdź do wystąpienia usługi Azure Key Vault, które ma być używane do hostowania kluczy szyfrowania.

  2. Wybierz pozycję Klucze z menu po lewej stronie, a następnie wybierz pozycję +Generuj/Importuj.

    Zrzut ekranu przedstawiający stronę Generowanie klucza.

  3. Klucz zarządzany przez klienta, który ma być używany do szyfrowania klucza DEK, może być tylko asymetryczny typ klucza RSA. Obsługiwane są wszystkie rozmiary kluczy RSA 2048, 3072 i 4096.

  4. Data aktywacji klucza (jeśli ustawiona) musi być datą i godziną w przeszłości. Data wygaśnięcia (jeśli jest ustawiona) musi być w przyszłości datą i godziną.

  5. Klucz musi być w stanie Włączone.

  6. Jeśli importujesz istniejący klucz do magazynu kluczy, upewnij się, że został on w obsługiwanych formatach plików (.pfx, .byok, .backup).

  7. Jeśli ręcznie obracasz klucz, stara wersja klucza nie powinna być usuwana przez co najmniej 24 godziny.

Włączanie szyfrowania CMK podczas aprowizacji nowego klastra

  1. Podczas aprowizacji nowego klastra usługi Azure Cosmos DB for PostgreSQL po podaniu niezbędnych informacji na kartach Podstawy i sieć przejdź do karty Szyfrowanie . Zrzut ekranu przedstawiający stronę konfiguracji enrytionu.

  2. Wybierz pozycję Klucz zarządzany przez klienta w obszarze Opcja Klucz szyfrowania danych.

  3. Wybierz tożsamość zarządzaną przypisaną przez użytkownika utworzoną w poprzedniej sekcji.

  4. Wybierz magazyn kluczy utworzony w poprzednim kroku, który ma zasady dostępu do tożsamości zarządzanej użytkownika wybranej w poprzednim kroku.

  5. Wybierz klucz utworzony w poprzednim kroku, a następnie wybierz pozycję Przejrzyj i utwórz.

  6. Po utworzeniu klastra sprawdź, czy szyfrowanie cmK jest włączone, przechodząc do bloku Szyfrowanie danych klastra usługi Azure Cosmos DB for PostgreSQL w witrynie Azure Portal. Zrzut ekranu przedstawiający kartę szyfrowania danych.

Uwaga

Szyfrowanie danych można skonfigurować tylko podczas tworzenia nowego klastra i nie można go zaktualizować w istniejącym klastrze. Obejściem aktualizacji konfiguracji szyfrowania w istniejącym klastrze jest wykonanie przywracania klastra i skonfigurowanie szyfrowania danych podczas tworzenia nowo przywróconego klastra.

Wysoka dostępność

Po włączeniu szyfrowania cmK w klastrze podstawowym wszystkie węzły rezerwowe wysokiej dostępności są automatycznie szyfrowane przez klucz klastra podstawowego.

Zmiana konfiguracji szyfrowania przez wykonanie przywracania do punktu w czasie

Konfigurację szyfrowania można zmienić z szyfrowania zarządzanego przez usługę na szyfrowanie zarządzane przez klienta lub na odwrót podczas wykonywania operacji przywracania klastra (PITR — przywracanie do punktu w czasie).

  1. Przejdź do bloku Szyfrowanie danych i wybierz pozycję Zainicjuj operację przywracania. Alternatywnie możesz wykonać funkcję PITR, wybierając opcję Przywróć w bloku Przegląd . Zrzut ekranu przedstawiający pitr.

  2. Szyfrowanie danych można zmienić/skonfigurować na karcie Szyfrowanie na stronie przywracania klastra.

Monitorowanie klucza zarządzanego przez klienta w usłudze Key Vault

Aby monitorować stan bazy danych i włączyć alerty dotyczące utraty dostępu funkcji ochrony przezroczystego szyfrowania danych, skonfiguruj następujące funkcje platformy Azure:

  • Azure Resource Health: niedostępna baza danych, która utraciła dostęp do klucza klienta, jest wyświetlana jako "Niedostępna" po odmowie pierwszego połączenia z bazą danych.

  • Dziennik aktywności: w przypadku niepowodzenia dostępu do klucza klienta w zarządzanym przez klienta usłudze Key Vault wpisy są dodawane do dziennika aktywności. Dostęp można przywrócić tak szybko, jak to możliwe, jeśli utworzysz alerty dla tych zdarzeń.

  • Grupy akcji: zdefiniuj te grupy, aby wysyłać powiadomienia i alerty na podstawie preferencji.

Następne kroki