Criptografia de dados para o Banco de Dados do Azure para MySQL – Servidor Flexível usando o portal do Azure
Este tutorial mostra como você deve configurar e gerenciar a criptografia de dados para o Servidor Flexível do Banco de Dados do Azure para MySQL.
Neste tutorial, você aprenderá a:
Defina a criptografia de dados para o Servidor Flexível do Banco de Dados do Azure para MySQL.
Configure a criptografia de dados para restauração.
Configure a criptografia de dados para servidores de réplica.
Observação
A configuração de acesso do cofre de chaves do Azure agora dá suporte a dois tipos de modelos de permissão: Controle de acesso baseado em função do Azure e Política de acesso do cofre. O tutorial descreve como configurar a criptografia de dados para o Servidor Flexível do Banco de Dados do Azure para MySQL usando a política de acesso do Cofre. No entanto, você pode optar por usar o RBAC do Azure como modelo de permissão para conceder acesso ao Azure Key Vault. Para fazer isso, você precisa de qualquer função interna ou personalizada que tenha abaixo de três permissões e atribuí-la por meio de "atribuições de função" usando a guia Controle de acesso (IAM) no keyvault: a) KeyVault/vaults/keys/wrap/action b) KeyVault/vaults/keys/unwrap/action c) KeyVault/vaults/keys/read. Para o HSM gerenciado do cofre de chaves do Azure, você também precisará atribuir a atribuição de função "Usuário de Criptografia do Serviço de Criptografia do HSM Gerenciado" no RBAC.
Pré-requisitos
Uma conta do Azure com uma assinatura ativa.
Caso você não tenha uma assinatura do Azure, crie uma conta gratuita do Azure antes de começar.
Observação
Com uma conta gratuita do Azure, você já pode experimentar o Servidor Flexível do Banco de Dados do Azure para MySQL gratuitamente por 12 meses. Para mais informações, consulte Usar uma conta gratuita do Azure para experimentar o Banco de Dados do Azure para MySQL – servidor flexível gratuito.
Definir as permissões apropriadas para operações de chave
No Key Vault, selecione Políticas de Acesso e selecione Criar.
Na guia Permissões, selecione as seguintes Permissões de chave – Get, List, Wrap Key , Unwrap Key.
Na guia Entidade de Segurança, selecione a Identidade Gerenciada atribuída pelo usuário.
Selecione Criar.
Configurar a chave gerenciada pelo cliente
Para configurar a chave gerenciada pelo cliente, execute as etapas a seguir.
No portal, navegue até a instância do Servidor Flexível do Banco de Dados do Azure para MySQL e, em Segurança, selecione Criptografia de dados.
Na página Criptografia de dados, em Nenhuma identidade atribuída, selecione Alterar identidade.
Na caixa de diálogo Selecionar identidade gerenciada* atribuída pelo usuário , selecione a identidade demo-umi e selecione Adicionar**.
À direita do Método de seleção de chave, Selecione uma chave e especifique um cofre de chaves e um par de chaves ou selecione Inserir um identificador de chave.
Selecione Salvar.
Usar criptografia de dados para restauração
Para usar a criptografia de dados como parte de uma operação de restauração, execute as etapas a seguir.
No portal do Azure, na página de visão geral de navegação do servidor, selecione Restaurar.
Na guia Segurança, especifique a identidade e a chave.
Selecione Alterar identidade e escolha a Identidade gerenciada atribuída pelo usuário e clique em Adicionar para selecionar a Chave. Você pode selecionar um cofre de chaves e um par de chaves ou inserir um identificador de chaves
Usar criptografia de dados para servidores de réplica
Depois que a instância do Servidor Flexível do Banco de Dados do Azure para MySQL for criptografada com a chave gerenciada do cliente armazenada no Key Vault, qualquer cópia recém-criada do servidor também será criptografada.
Para a replicação de configuração, em Configurações, selecione Replicação e, em seguida, Adicionar réplica.
Na caixa de diálogo Adicionar servidor de Réplica ao Banco de Dados do Azure para MySQL, selecione a opção apropriada Computação e armazenamento e selecione OK.
Importante
Ao tentar criptografar o Servidor Flexível do Banco de Dados do Azure para MySQL com uma chave gerenciada pelo cliente que já tenha uma réplica, recomendamos configurar as réplicas também adicionando a identidade gerenciada e a chave.