Configurar a criptografia de dados

APLICA-SE A: Banco de dados do Azure para PostgreSQL – Servidor Flexível

Este artigo fornece instruções passo a passo para configurar a criptografia de dados para um servidor flexível do Banco de Dados do Azure para PostgreSQL.

Importante

A seleção entre a chave de criptografia gerenciada pelo sistema ou pelo cliente para criptografia de dados de um servidor flexível do Banco de Dados do Azure para PostgreSQL só pode ser feita no momento da implantação do servidor.

Neste artigo, você aprenderá como criar um novo servidor e configurar suas opções de criptografia de dados. Para servidores existentes, cuja criptografia de dados está configurada para usar uma chave de criptografia gerenciada pelo cliente, você aprenderá:

• Como selecionar uma identidade gerenciada atribuída pelo usuário diferente, com a qual o serviço acessará a chave de criptografia.
• Como especificar uma chave de criptografia diferente ou como fazer a rotação da chave de criptografia usada atualmente para criptografia de dados.

Para saber mais sobre criptografia de dados no contexto do Banco de Dados do Azure para PostgreSQL – Servidor Flexível, confira a seção criptografia de dados.

Configurar a criptografia de dados com chave gerenciada pelo sistema durante o provisionamento do servidor

Portal

Usando o portal do Azure:

1. Durante o provisionamento de uma nova instância do Banco de Dados PostgreSQL do Azure – Servidor flexível, na guia Segurança.

   

2. Em Chave de criptografia de dados, selecione o botão de opção Chave gerenciada pelo serviço.

   

3. Se você habilitar o armazenamento de backups com redundância geográfica junto com o servidor, a guia Segurança mudará um pouco porque o servidor usa duas chaves de criptografia distintas. Uma para a região primária na qual você está implantando seu servidor, e outra para a região emparelhada para a qual os backups do servidor são replicados de forma assíncrona.

   

CLI

Você pode habilitar a criptografia de dados com a chave de criptografia gerenciada pelo sistema, enquanto provisiona um novo servidor, por meio do comando az postgres flexible-server create.

az postgres flexible-server create --resource-group <resource_group> --name <server> ...

Observação

Observe que não há parâmetros especiais no comando anterior para especificar que o servidor deve ser criado com chave gerenciada pelo sistema para a criptografia de dados. Isso ocorre porque a criptografia de dados com chave atribuída pelo sistema é a opção padrão. Além disso, lembre-se de completar o comando fornecido com outros parâmetros cuja presença e valores variam dependendo de como você quer configurar outros recursos do servidor provisionado.

Configurar a criptografia de dados com chave gerenciada pelo cliente durante o provisionamento do servidor

Portal

Usando o portal do Azure:

1. Crie uma identidade gerenciada atribuída pelo usuário, caso ainda não tenha uma. Se o seu servidor tiver backups com redundância geográfica habilitados, você precisa criar duas identidades diferentes. Cada uma dessas identidades é usada para acessar cada uma das duas chaves de criptografia de dados.

   Observação

   Embora não seja obrigatório, recomendamos que você crie a identidade gerenciada pelo usuário na mesma região do servidor para manter a resiliência regional. E, se o seu servidor tiver a redundância de backup geográfico habilitada, recomendamos criar a segunda identidade gerenciada pelo usuário na região emparelhada do servidor. Essa identidade será usada para acessar a chave de criptografia de dados dos backups com redundância geográfica.

2. Crie um Azure Key Vault ou crie um HSM gerenciado, caso ainda não tenha criado um repositório de chaves. Verifique se você atende aos requisitos. Além disso, siga as recomendações antes de configurar o repositório de chaves, criar a chave e atribuir as permissões necessárias à identidade gerenciada atribuída pelo usuário. Se o seu servidor tiver backups com redundância geográfica habilitados, você precisará criar um segundo repositório de chaves. Esse segundo repositório de chaves será usado para armazenar a chave de criptografia de dados que criptografa os backups copiados para a região emparelhada do servidor.

   Observação

   O repositório de chaves usado para armazenar a chave de criptografia de dados deverá ser implantado na mesma região do seu servidor. Se o seu servidor tiver redundância de backup geográfico habilitada, crie o repositório de chaves na região emparelhada do servidor. Esse repositório armazenará a chave de criptografia de dados usada nos backups com redundância geográfica.

3. Crie uma chave no repositório de chaves. Se o seu servidor tiver backups com redundância geográfica habilitados, você precisará de uma chave em cada um dos repositórios de chaves. Com uma dessas chaves, criptografamos todos os dados do seu servidor, incluindo todos os bancos de dados do sistema e do usuário, arquivos temporários, logs do servidor, segmentos de logs write-ahead e backups. Com a segunda chave, criptografamos as cópias dos backups que são copiadas de forma assíncrona para a região emparelhada do servidor.

4. Durante o provisionamento de uma nova instância do Banco de Dados PostgreSQL do Azure – Servidor flexível, na guia Segurança.

   

5. Em Chave de criptografia de dados, selecione o botão de opção Chave gerenciada pelo serviço.

   

6. Se você habilitar o armazenamento de backups com redundância geográfica junto com o servidor, a guia Segurança mudará um pouco porque o servidor usa duas chaves de criptografia distintas. Uma para a região primária na qual você está implantando seu servidor, e outra para a região emparelhada para a qual os backups do servidor são replicados de forma assíncrona.

   

7. Em Identidade gerenciada atribuída pelo usuário, selecione Alterar identidade.

   

8. Na lista de identidades gerenciadas atribuídas pelo usuário, selecione aquela que deseja que o servidor use para acessar a chave de criptografia de dados armazenada em um Azure Key Vault.

   

9. Selecione Adicionar.

   

10. Selecione Selecionar uma chave.

    

11. A Assinatura é preenchida automaticamente com o nome da assinatura na qual seu servidor será criado. O repositório de chaves que armazena a chave de criptografia de dados deve existir na mesma assinatura do servidor.

    

12. Em Tipo de repositório de chaves, selecione o botão de opção correspondente ao tipo de repositório de chaves em que planeja armazenar a chave de criptografia de dados. Neste exemplo, escolhemos o Cofre de chaves, mas o processo é semelhante para HSM gerenciado.

    

13. Expanda o Cofre de chaves (ou o HSM gerenciado, caso tenha escolhido esse tipo de repositório) e selecione a instância onde a chave de criptografia de dados está armazenada.

    

    Observação

    Quando você expandir a caixa de seleção, a mensagem Nenhum item disponível será exibida. Aguarde alguns segundos para que todas as instâncias do cofre de chaves implantadas na mesma região do servidor sejam listadas.

14. Expanda Chave e selecione o nome da chave que quer usar para a criptografia de dados.

    

15. Expanda Versão e selecione o identificador da versão da chave que deseja usar para a criptografia de dados.

    

16. Escolha Selecionar.

    

17. Configure todas as outras opções do novo servidor e clique em Revisar + criar.

    

CLI

Você pode habilitar a criptografia de dados com a chave de criptografia gerenciada pelo usuário, enquanto provisiona um novo servidor, por meio do comando az postgres flexible-server create.

Se o seu servidor não tiver backups com redundância geográfica habilitados:

az postgres flexible-server create --resource-group <resource_group> --name <server> --geo-redundant-backup Disabled --identity <managed_identity_to_access_primary_encryption_key> --key <resource_identifier_of_primary_encryption_key> ...

Observação

O comando anterior precisa ser preenchido com outros parâmetros cuja presença e valores variam dependendo de como você deseja configurar outros recursos do servidor provisionado.

Se o seu servidor tiver backups com redundância geográfica habilitados:

az postgres flexible-server create --resource-group <resource_group> --name <server> --geo-redundant-backup Enabled --identity <managed_identity_to_access_primary_encryption_key> --key <resource_identifier_of_primary_encryption_key> --backup-identity <managed_identity_to_access_geo_backups_encryption_key> --backup-key <resource_identifier_of_geo_backups_encryption_key> ...

Observação

O comando anterior precisa ser preenchido com outros parâmetros cuja presença e valores variam dependendo de como você deseja configurar outros recursos do servidor provisionado.

Configurar a criptografia de dados com chave gerenciada pelo cliente em servidores existentes

A decisão de usar uma chave gerenciada pelo sistema ou pelo cliente para criptografia de dados só pode ser tomada no momento da criação do servidor. Depois de tomar essa decisão e criar o servidor, você não poderá alternar entre essas opções. A única alternativa para mudar de uma configuração para outra é restaurar qualquer um dos backups disponíveis do servidor em um novo servidor. Ao configurar a restauração, você pode alterar a configuração de criptografia de dados do novo servidor.

Para servidores existentes que foram implantados com criptografia de dados usando uma chave gerenciada pelo cliente, você pode realizar diversas alterações de configuração. É possível alterar as referências às chaves usadas para criptografia e as referências às identidades gerenciadas atribuídas pelo usuário usadas pelo serviço para acessar as chaves armazenadas nos repositórios de chaves.

Você deve atualizar as referências que o servidor flexível do Banco de Dados do Azure para PostgreSQL tem a uma chave:

• Quando fizer a rotação manual ou automática da chave armazenada no repositório de chaves.
• Quando quiser usar a mesma chave ou uma chave diferente armazenada em um outro repositório de chaves.

Você deve atualizar as identidades gerenciadas atribuídas pelo usuário, que são usadas pelo seu servidor flexível do Banco de Dados do Azure para PostgreSQL para acessar as chaves de criptografia:

• Sempre que você quiser usar uma identidade diferente

Portal

Usando o portal do Azure:

1. Selecione o servidor flexível do Banco de Dados do Azure para PostgreSQL.

2. No menu de recursos, na seção Segurança, selecione Criptografia de dados.

   

3. Para alterar a identidade gerenciada atribuída pelo usuário que o servidor utiliza para acessar o repositório de chaves onde a chave está armazenada, expanda o menu de seleção de Identidade gerenciada atribuída pelo usuário e selecione qualquer uma das identidades disponíveis.

   

   Observação

   As identidades mostradas na caixa de combinação são apenas aquelas atribuídas ao seu servidor flexível do Banco de Dados do Azure para PostgreSQL. Embora não seja obrigatório, recomendamos que você selecione identidades gerenciadas pelo usuário que estejam na mesma região do servidor para manter a resiliência regional. E, se o seu servidor tiver a redundância de backup geográfico habilitada, recomendamos que a segunda identidade gerenciada pelo usuário esteja na região emparelhada do servidor. Essa identidade será usada para acessar a chave de criptografia de dados dos backups com redundância geográfica.

4. Se a identidade gerenciada atribuída pelo usuário que você deseja usar para acessar a chave de criptografia de dados não estiver atribuída ao servidor flexível do Banco de Dados do Azure para PostgreSQL, e não existir como um recurso do Azure com seu objeto correspondente no Microsoft Entra ID, você pode criá-la selecionando a opção Criar.

   

5. No painel Criar Identidade Gerenciada Atribuída pelo Usuário, preencha os detalhes da identidade gerenciada atribuída pelo usuário que você deseja criar e atribua automaticamente ao servidor flexível do Banco de Dados do Azure para PostgreSQL para acessar a chave de criptografia de dados.

   

6. Se a identidade gerenciada atribuída pelo usuário que você deseja usar para acessar a chave de criptografia de dados não estiver atribuída ao servidor flexível do Banco de Dados do Azure para PostgreSQL, mas existir como um recurso do Azure com seu objeto correspondente no Microsoft Entra ID, você pode atribuí-la escolhendo a opção Selecionar.

   

7. Na lista de identidades gerenciadas atribuídas pelo usuário, selecione aquela que deseja que o servidor use para acessar a chave de criptografia de dados armazenada em um Azure Key Vault.

   

8. Selecione Adicionar.

   

9. Se você fizer a rotação da chave ou quiser usar uma chave diferente, deverá atualizar o servidor flexível do Banco de Dados do Azure para PostgreSQL para que ele aponte para a nova versão da chave ou para a nova chave. Para fazer isso, copie o identificador de recurso da chave e cole-o na caixa Identificador de chave.

   

10. Se o usuário que acessa o portal do Azure tiver permissões para acessar a chave armazenada no repositório de chaves, você pode usar um método alternativo para escolher a nova chave ou nova versão da chave. Para isso, em Método de seleção da chave, selecione o botão de opção Selecionar uma chave.

    

11. Escolha Selecionar chave.

    

12. A Assinatura é preenchida automaticamente com o nome da assinatura na qual seu servidor será criado. O repositório de chaves que armazena a chave de criptografia de dados deve existir na mesma assinatura do servidor.

    

13. Em Tipo de repositório de chaves, selecione o botão de opção correspondente ao tipo de repositório de chaves em que planeja armazenar a chave de criptografia de dados. Neste exemplo, escolhemos o Cofre de chaves, mas o processo é semelhante para HSM gerenciado.

    

14. Expanda o Cofre de chaves (ou o HSM gerenciado, caso tenha escolhido esse tipo de repositório) e selecione a instância onde a chave de criptografia de dados está armazenada.

    

    Observação

    Quando você expandir a caixa de seleção, a mensagem Nenhum item disponível será exibida. Aguarde alguns segundos para que todas as instâncias do cofre de chaves implantadas na mesma região do servidor sejam listadas.

15. Expanda Chave e selecione o nome da chave que quer usar para a criptografia de dados.

    

16. Expanda Versão e selecione o identificador da versão da chave que deseja usar para a criptografia de dados.

    

17. Escolha Selecionar.

    

18. Quando finalizar as alterações, selecione Salvar.

    

CLI

Você pode configurar a criptografia de dados com uma chave de criptografia atribuída pelo usuário em um servidor existente, usando o comando az postgres flexible-server update.

az postgres flexible-server update --resource-group <resource_group> --name <server> --identity <managed_identity_to_access_primary_encryption_key> --key <resource_identifier_of_primary_encryption_key> ...

Observação

O comando anterior pode precisar ser preenchido com outros parâmetros cuja presença e valores variam dependendo de como você deseja configurar outros recursos do servidor existente.

Se você quiser apenas alterar a identidade gerenciada atribuída pelo usuário usada para acessar a chave, apenas alterar a chave usada para a criptografia de dados ou alterar ambas ao mesmo tempo, você precisará fornecer ambos os parâmetros --identity e --key (ou --backup-identity e --backup-key para backups com redundância geográfica). Se você fornecer apenas um, em vez de ambos, receberá um dos seguintes erros:

User assigned identity and keyvault key need to be provided together. Please provide --identity and --key together.

User assigned identity and keyvault key need to be provided together. Please provide --backup-identity and --backup-key together.

Se a chave apontada pelo valor passado para o parâmetro --key (ou --backup-key para backups com redundância geográfica) não existir, ou se a identidade gerenciada atribuída pelo usuário, cujo identificador de recurso foi passado para o parâmetro --identity (ou --backup-identity para backups com redundância geográfica), não tiver as permissões necessárias para acessar a chave, você receberá o seguinte erro:

Code: AzureKeyVaultKeyNameNotFound
Message: The operation could not be completed because the Azure Key Vault Key name '<key_vault_resource>' does not exist or User Assigned Identity does not have Get access to the Key (https://learn.microsoft.com/en-us/azure/postgresql/flexible-server/concepts-data-encryption#requirements-for-configuring-data-encryption-for-azure-database-for-postgresql-flexible-server).

Se o servidor tiver backups com redundância geográfica habilitados, você poderá configurar a chave usada para a criptografia dos backups com redundância geográfica e a identidade usada para acessar essa chave. Para isso, use os parâmetros --backup-identity e --backup-key.

az postgres flexible-server update --resource-group <resource_group> --name <server> --backup-identity <managed_identity_to_access_georedundant_encryption_key> --backup-key <resource_identifier_of_georedundant_encryption_key> ...

Se você passar os parâmetros --backup-identity e --backup-key para o comando az postgres flexible server update e referir-se a um servidor existente que não tenha backup com redundância habilitado, você receberá o seguinte erro:

Geo-redundant backup is not enabled. You cannot provide Geo-location user assigned identity and keyvault key.

As identidades passadas para os parâmetros --identity e --backup-identity, se existirem e forem válidas, serão automaticamente adicionadas à lista de identidades gerenciadas atribuídas pelo usuário associadas ao servidor flexível do Banco de Dados do Azure para PostgreSQL. Isso ocorre mesmo que o comando falhe posteriormente com algum outro erro. Nesses casos, pode ser útil usar os comandos az postgres flexible-server identity para listar, atribuir ou remover identidades gerenciadas atribuídas pelo usuário associadas ao servidor flexível do Banco de Dados do Azure para PostgreSQL. Para saber mais sobre como configurar identidades gerenciadas atribuídas pelo usuário no seu servidor flexível do Banco de Dados do Azure para PostgreSQL, confira as páginas Associar identidades gerenciadas atribuídas pelo usuário a servidores existentes, Desassociar identidades gerenciadas atribuídas pelo usuário de servidores existentes e Exibir as identidades gerenciadas atribuídas pelo usuário associadas.

Conteúdo relacionado

• Criptografia de dados.