Configurar criptografia de dados

APLICA-SE A: Banco de Dados do Azure para PostgreSQL - Servidor Flexível

Este artigo fornece instruções passo a passo para configurar a criptografia de dados para um banco de dados do Azure para servidor flexível PostgreSQL.

Importante

A seleção da chave de criptografia gerenciada pelo sistema ou pelo cliente para criptografia de dados de um servidor flexível do Banco de Dados do Azure para PostgreSQL só pode ser feita quando o servidor é implantado.

Neste artigo, você aprenderá a criar um novo servidor e configurar suas opções de criptografia de dados. Para servidores existentes, cuja criptografia de dados está configurada para usar a chave de criptografia gerenciada pelo cliente, você aprende:

• Como selecionar um usuário diferente atribuído identidade gerenciada com o qual o serviço acessa a chave de criptografia.
• Como especificar uma chave de criptografia diferente ou como girar a chave de criptografia usada atualmente para criptografia de dados.

Para saber mais sobre a criptografia de dados no contexto do Banco de Dados do Azure para PostgreSQL - Servidor Flexível, consulte a criptografia de dados.

Configurar a criptografia de dados com chave gerenciada pelo sistema durante o provisionamento do servidor

Portal

Usando o portal do Azure:

1. Durante o provisionamento de uma nova instância do Banco de Dados do Azure para o Servidor Flexível PostgreSQL, na guia Segurança .

   

2. Na chave de criptografia de dados, selecione o botão de opção Chave gerenciada pelo serviço.

   

3. Se você habilitar o armazenamento de backup com redundância geográfica para ser provisionado junto com o servidor, o aspeto da guia Segurança mudará ligeiramente porque o servidor usa duas chaves de criptografia separadas. Um para a região primária na qual você está implantando seu servidor e outro para a região emparelhada para a qual os backups do servidor são replicados de forma assíncrona.

   

CLI

Você pode habilitar a criptografia de dados com a chave de criptografia atribuída ao sistema, enquanto provisiona um novo servidor, através do comando az postgres flexible-server create .

az postgres flexible-server create --resource-group <resource_group> --name <server> ...

Nota

Observe que não há nenhum parâmetro especial no comando anterior para especificar que o servidor deve ser criado com a chave atribuída ao sistema para criptografia de dados. A razão é que a criptografia de dados com chave atribuída ao sistema é a opção padrão. Além disso, observe que você deve concluir o comando fornecido com outros parâmetros cuja presença e valores variariam dependendo de como você deseja configurar outros recursos do servidor provisionado.

Configurar a criptografia de dados com chave gerenciada pelo cliente durante o provisionamento do servidor

Portal

Usando o portal do Azure:

1. Crie uma identidade gerenciada atribuída ao usuário, se você ainda não tiver uma. Se o servidor tiver backups com redundância geográfica habilitados, você precisará criar identidades diferentes. Cada uma dessas identidades é usada para acessar cada uma das duas chaves de criptografia de dados.

   Nota

   Embora não seja necessário, para manter a resiliência regional, recomendamos que você crie a identidade gerenciada pelo usuário na mesma região do servidor. E se o seu servidor tiver a redundância de backup geográfico habilitada, recomendamos que a segunda identidade gerenciada pelo usuário, usada para acessar a chave de criptografia de dados para backups com redundância geográfica, seja criada na região emparelhada do servidor.

2. Crie um Cofre de Chaves do Azure ou crie um HSM gerenciado, se você ainda não tiver um armazenamento de chaves criado. Certifique-se de que cumpre os requisitos. Além disso, siga as recomendações antes de configurar o armazenamento de chaves e antes de criar a chave e atribuir as permissões necessárias à identidade gerenciada atribuída ao usuário. Se o servidor tiver backups com redundância geográfica habilitados, você precisará criar um segundo armazenamento de chaves. Esse segundo armazenamento de chaves é usado para manter a chave de criptografia de dados com a qual os backups copiados para a região emparelhada do servidor são criptografados.

   Nota

   O armazenamento de chaves usado para manter a chave de criptografia de dados deve ser implantado na mesma região do servidor. E se o servidor tiver a redundância de backup geográfico habilitada, o armazenamento de chaves que mantém a chave de criptografia de dados para backups com redundância geográfica deverá ser criado na região emparelhada do servidor.

3. Crie uma chave no seu armazenamento de chaves. Se o servidor tiver backups com redundância geográfica habilitados, você precisará de uma chave em cada um dos armazenamentos de chaves. Com uma dessas chaves, criptografamos todos os dados do seu servidor (incluindo todos os bancos de dados do sistema e do usuário, arquivos temporários, logs do servidor, segmentos de log write-ahead e backups). Com a segunda chave, criptografamos as cópias dos backups que são copiadas de forma assíncrona na região emparelhada do seu servidor.

4. Durante o provisionamento de uma nova instância do Banco de Dados do Azure para o Servidor Flexível PostgreSQL, na guia Segurança .

   

5. Na chave de criptografia de dados, selecione o botão de opção Chave gerenciada pelo serviço.

   

6. Se você habilitar o armazenamento de backup com redundância geográfica para ser provisionado junto com o servidor, o aspeto da guia Segurança mudará ligeiramente porque o servidor usa duas chaves de criptografia separadas. Um para a região primária na qual você está implantando seu servidor e outro para a região emparelhada para a qual os backups do servidor são replicados de forma assíncrona.

   

7. Em Identidade gerenciada atribuída ao usuário, selecione Alterar identidade.

   

8. Entre a lista de identidades gerenciadas atribuídas pelo usuário, selecione aquela que você deseja que seu servidor use para acessar a chave de criptografia de dados armazenada em um Cofre de Chaves do Azure.

   

9. Selecione Adicionar.

   

10. Selecione Selecionar uma chave.

    

11. A assinatura é preenchida automaticamente com o nome da assinatura na qual o servidor está prestes a ser criado. O armazenamento de chaves que mantém a chave de criptografia de dados deve existir na mesma assinatura que o servidor.

    

12. Em Tipo de armazenamento de chaves, selecione o botão de opção correspondente ao tipo de armazenamento de chaves no qual você planeja armazenar a chave de criptografia de dados. Neste exemplo, escolhemos Cofre de chaves, mas a experiência é semelhante se você escolher HSM gerenciado.

    

13. Expanda Cofre de chaves (ou HSM gerenciado, se você selecionou esse tipo de armazenamento) e selecione a instância em que a chave de criptografia de dados existe.

    

    Nota

    Quando você expande a caixa suspensa, ela mostra Nenhum item disponível. Leva alguns segundos até listar todas as instâncias do cofre de chaves que são implantadas na mesma região que o servidor.

14. Expanda Chave e selecione o nome da chave que você deseja usar para criptografia de dados.

    

15. Expanda Versão e selecione o identificador da versão da chave que você deseja usar para criptografia de dados.

    

16. Selecione Selecionar.

    

17. Configure todas as outras configurações do novo servidor e selecione Revisar + criar.

    

CLI

Você pode habilitar a criptografia de dados com a chave de criptografia atribuída pelo usuário, enquanto provisiona um novo servidor, através do comando az postgres flexible-server create .

Se o servidor não tiver backups com redundância geográfica habilitados:

az postgres flexible-server create --resource-group <resource_group> --name <server> --geo-redundant-backup Disabled --identity <managed_identity_to_access_primary_encryption_key> --key <resource_identifier_of_primary_encryption_key> ...

Nota

O comando anterior precisa ser completado com outros parâmetros cuja presença e valores variam dependendo de como você deseja configurar outros recursos do servidor provisionado.

Se o seu servidor tiver backups com redundância geográfica habilitados:

az postgres flexible-server create --resource-group <resource_group> --name <server> --geo-redundant-backup Enabled --identity <managed_identity_to_access_primary_encryption_key> --key <resource_identifier_of_primary_encryption_key> --backup-identity <managed_identity_to_access_geo_backups_encryption_key> --backup-key <resource_identifier_of_geo_backups_encryption_key> ...

Nota

O comando anterior precisa ser completado com outros parâmetros cuja presença e valores variam dependendo de como você deseja configurar outros recursos do servidor provisionado.

Configurar a criptografia de dados com chave gerenciada pelo cliente em servidores existentes

O único ponto em que você pode decidir se deseja usar uma chave gerenciada pelo sistema ou uma chave gerenciada pelo cliente para criptografia de dados é na criação do servidor. Depois de tomar essa decisão e criar o servidor, você não pode alternar entre as duas opções. A única alternativa, se você quiser mudar de um para o outro, requer restaurar qualquer um dos backups disponíveis do servidor em um novo servidor. Ao configurar a restauração, você tem permissão para alterar a configuração de criptografia de dados do novo servidor.

Para servidores existentes que foram implantados com criptografia de dados usando uma chave gerenciada pelo cliente, você pode fazer várias alterações de configuração. As coisas que podem ser alteradas são as referências às chaves usadas para criptografia e referências às identidades gerenciadas atribuídas pelo usuário usadas pelo serviço para acessar as chaves mantidas nos armazenamentos de chaves.

Você deve atualizar as referências que seu servidor flexível do Banco de Dados do Azure para PostgreSQL tem para uma chave:

• Quando a chave armazenada no armazenamento de chaves é girada, manual ou automaticamente.
• Quando você deseja usar a mesma chave ou uma chave diferente armazenada em um armazenamento de chaves diferente.

Você deve atualizar as identidades gerenciadas atribuídas ao usuário que são usadas pelo seu Banco de Dados do Azure para o servidor flexível PostgreSQL para acessar as chaves de criptografia:

• Sempre que quiser usar uma identidade diferente

Portal

Usando o portal do Azure:

1. Selecione seu Banco de Dados do Azure para servidor flexível PostgreSQL.

2. No menu de recursos, na seção Segurança , selecione Criptografia de dados.

   

3. Para alterar a identidade gerenciada atribuída ao usuário com a qual o servidor acessa o armazenamento de chaves no qual a chave é mantida, expanda a lista suspensa Identidade gerenciada atribuída ao usuário e selecione qualquer uma das identidades disponíveis.

   

   Nota

   As identidades mostradas na caixa de combinação são apenas aquelas que seu servidor flexível do Banco de Dados do Azure para PostgreSQL foi atribuído. Embora não seja necessário, para manter a resiliência regional, recomendamos que você selecione identidades gerenciadas pelo usuário na mesma região do servidor. E se o seu servidor tiver redundância de backup geográfico habilitada, recomendamos que a segunda identidade gerenciada pelo usuário, usada para acessar a chave de criptografia de dados para backups com redundância geográfica, exista na região emparelhada do servidor.

4. Se o usuário atribuído à identidade gerenciada que você deseja usar para acessar a chave de criptografia de dados não estiver atribuído ao seu banco de dados do Azure para servidor flexível PostgreSQL e nem mesmo existir como um recurso do Azure com seu objeto correspondente na ID do Microsoft Entra, você poderá criá-la selecionando Criar.

   

5. No painel Criar Identidade Gerenciada Atribuída ao Usuário, preencha os detalhes da identidade gerenciada atribuída ao usuário que você deseja criar e atribua automaticamente ao seu Banco de Dados do Azure para servidor flexível PostgreSQL para acessar a chave de criptografia de dados.

   

6. Se o usuário atribuído à identidade gerenciada que você deseja usar para acessar a chave de criptografia de dados não estiver atribuído ao seu servidor flexível do Banco de Dados do Azure para PostgreSQL, mas existir como um recurso do Azure com seu objeto correspondente na ID do Microsoft Entra, você poderá atribuí-la selecionando Selecionar.

   

7. Entre a lista de identidades gerenciadas atribuídas pelo usuário, selecione aquela que você deseja que seu servidor use para acessar a chave de criptografia de dados armazenada em um Cofre de Chaves do Azure.

   

8. Selecione Adicionar.

   

9. Se você girar a chave ou quiser usar uma chave diferente, deverá atualizar seu Banco de Dados do Azure para o servidor flexível PostgreSQL para que ele aponte para a nova versão da chave ou para a nova chave. Para fazer isso, você pode copiar o identificador de recurso da chave e colá-lo na caixa Identificador de chave.

   

10. Se o usuário que acessa o portal do Azure tiver permissões para acessar a chave armazenada no armazenamento de chaves, você poderá usar uma abordagem alternativa para escolher a nova chave ou a nova versão da chave. Para fazer isso, em Método de seleção de chave, selecione o botão de opção Selecionar uma chave .

    

11. Selecione Selecionar chave.

    

12. A assinatura é preenchida automaticamente com o nome da assinatura na qual o servidor está prestes a ser criado. O armazenamento de chaves que mantém a chave de criptografia de dados deve existir na mesma assinatura que o servidor.

    

13. Em Tipo de armazenamento de chaves, selecione o botão de opção correspondente ao tipo de armazenamento de chaves no qual você planeja armazenar a chave de criptografia de dados. Neste exemplo, escolhemos Cofre de chaves, mas a experiência é semelhante se você escolher HSM gerenciado.

    

14. Expanda Cofre de chaves (ou HSM gerenciado, se você selecionou esse tipo de armazenamento) e selecione a instância em que a chave de criptografia de dados existe.

    

    Nota

    Quando você expande a caixa suspensa, ela mostra Nenhum item disponível. Leva alguns segundos até listar todas as instâncias do cofre de chaves que são implantadas na mesma região que o servidor.

15. Expanda Chave e selecione o nome da chave que você deseja usar para criptografia de dados.

    

16. Expanda Versão e selecione o identificador da versão da chave que você deseja usar para criptografia de dados.

    

17. Selecione Selecionar.

    

18. Quando estiver satisfeito com as alterações feitas, selecione Salvar.

    

CLI

Você pode configurar a criptografia de dados com a chave de criptografia atribuída pelo usuário, para um servidor existente, através do comando az postgres flexible-server update .

az postgres flexible-server update --resource-group <resource_group> --name <server> --identity <managed_identity_to_access_primary_encryption_key> --key <resource_identifier_of_primary_encryption_key> ...

Nota

O comando anterior pode precisar ser completado com outros parâmetros cuja presença e valores variariam dependendo de como você deseja configurar outros recursos do servidor existente.

Se você deseja alterar apenas a identidade gerenciada atribuída ao usuário usada para acessar a chave, ou se deseja alterar apenas a chave usada para criptografia de dados, ou se deseja alterar ambos ao mesmo tempo, é necessário fornecer parâmetros --identity e --key (ou --backup-identity e --backup-key para backups com redundância geográfica). Se você fornecer um, mas não ambos, obterá qualquer um dos seguintes erros:

User assigned identity and keyvault key need to be provided together. Please provide --identity and --key together.

User assigned identity and keyvault key need to be provided together. Please provide --backup-identity and --backup-key together.

Se a chave apontada pelo valor passado para o --key parâmetro (ou --backup-key para backups com redundância geográfica) não existir, ou se o usuário atribuído à identidade gerenciada cujo identificador de recurso é passado para o --identity parâmetro (minério --backup-identity para backups com redundância geográfica) não tiver as permissões necessárias para acessar a chave, você receberá o seguinte erro:

Code: AzureKeyVaultKeyNameNotFound
Message: The operation could not be completed because the Azure Key Vault Key name '<key_vault_resource>' does not exist or User Assigned Identity does not have Get access to the Key (https://learn.microsoft.com/en-us/azure/postgresql/flexible-server/concepts-data-encryption#requirements-for-configuring-data-encryption-for-azure-database-for-postgresql-flexible-server).

Se o servidor tiver backups com redundância geográfica habilitados, você poderá configurar a chave usada para criptografia de backups com redundância geográfica e a identidade usada para acessar essa chave. Para fazer isso, você pode usar os --backup-identity parâmetros e --backup-key .

az postgres flexible-server update --resource-group <resource_group> --name <server> --backup-identity <managed_identity_to_access_georedundant_encryption_key> --backup-key <resource_identifier_of_georedundant_encryption_key> ...

Se você passar os parâmetros --backup-identity e --backup-key para o az postgres flexible server update comando, e se referir a um servidor existente que não tem backup com redundância geográfica habilitado, você receberá o seguinte erro:

Geo-redundant backup is not enabled. You cannot provide Geo-location user assigned identity and keyvault key.

As identidades passadas para os --identity parâmetros e --backup-identity , se existirem e forem válidas, serão adicionadas automaticamente à lista de identidades gerenciadas atribuídas pelo usuário associadas ao seu servidor flexível do Banco de Dados do Azure para PostgreSQL. Esse é o caso, mesmo que o comando mais tarde falhe com algum outro erro. Nesses casos, convém usar os comandos az postgres flexible-server identity para listar, atribuir ou remover identidades gerenciadas atribuídas ao usuário atribuídas ao seu banco de dados do Azure para servidor flexível PostgreSQL. Para saber mais sobre como configurar identidades gerenciadas atribuídas pelo usuário em seu Banco de Dados do Azure para servidor flexível PostgreSQL, consulte Associar identidades gerenciadas atribuídas pelo usuário a servidores existentes, dissociar identidades gerenciadas atribuídas pelo usuário a servidores existentes e mostrar as identidades gerenciadas atribuídas ao usuário associado.

Conteúdos relacionados

• Encriptação de dados.