Habilitar a criptografia de dados com chaves gerenciadas pelo cliente no Azure Cosmos DB para PostgreSQL

APLICA-SE A: Azure Cosmos DB para PostgreSQL (alimentado pela extensão de banco de dados Citus para PostgreSQL)

Pré-requisitos

• Uma conta existente do Azure Cosmos DB para PostgreSQL.
  • Se você tiver uma assinatura do Azure, crie uma nova conta.
  • Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.
  • Como alternativa, você pode experimentar o Azure Cosmos DB gratuitamente antes de confirmar.

Habilite a criptografia de dados com chaves gerenciadas pelo cliente

Importante

Crie todos os recursos a seguir na mesma região onde seu cluster do Azure Cosmos DB para PostgreSQL será implantado.

1. Crie uma identidade gerida atribuída pelo utilizador. Atualmente, o Azure Cosmos DB para PostgreSQL dá suporte apenas a identidades gerenciadas atribuídas pelo usuário.

2. Crie um Cofre da Chave do Azure e adicione uma política de acesso à Identidade Gerenciada Atribuída pelo Usuário criada com as seguintes permissões de chave: Get, Unwrap Key e Wrap Key.

3. Gere uma chave no cofre de chaves (tipos de chave suportados: RSA 2048, 3071, 4096).

4. Selecione a opção de criptografia de chave gerenciada pelo cliente durante a criação do cluster do Azure Cosmos DB para PostgreSQL e selecione a identidade gerenciada atribuída pelo usuário, o cofre de chaves e a chave criados nas etapas 1, 2 e 3.

Passos detalhados

Identidade gerida atribuída pelo utilizador

1. Pesquise identidades gerenciadas na barra de pesquisa global.

   

2. Crie uma nova identidade gerenciada atribuída ao usuário na mesma região do cluster do Azure Cosmos DB para PostgreSQL.

   

Saiba mais sobre a identidade gerenciada atribuída pelo usuário.

Key Vault

Usar chaves gerenciadas pelo cliente com o Azure Cosmos DB para PostgreSQL exige que você defina duas propriedades na instância do Cofre de Chaves do Azure que você planeja usar para hospedar suas chaves de criptografia: Proteção de Exclusão Suave e Proteção de Limpeza.

1. Se você criar uma nova instância do Azure Key Vault, habilite estas propriedades durante a criação:

   

2. Se estiver a utilizar uma instância existente do Azure Key Vault, pode verificar se estas propriedades estão ativadas consultando a secção Propriedades no portal do Azure. Se alguma dessas propriedades não estiver habilitada, consulte as seções "Habilitando exclusão flexível" e "Habilitando a proteção contra limpeza" em um dos artigos a seguir.

   • Como usar o soft-delete com o PowerShell.
   • Como usar a exclusão suave com a CLI do Azure.

3. A chave do Cofre deve ser definida com 90 dias para que os cofres sejam mantidos excluídos. Se o Cofre de chaves existente estiver configurado com um número menor, você precisará criar um novo cofre de chaves, pois essa configuração não poderá ser modificada após a criação.

   Importante

   Sua instância do Azure Key Vault deve permitir o acesso público de todas as redes.

Adicionar uma Política de Acesso ao Cofre da Chave

1. No portal do Azure, vá para a instância do Cofre de Chaves do Azure que você planeja usar para hospedar suas chaves de criptografia. Selecione Configuração de acesso no menu à esquerda. Verifique se a política de acesso do Vault está selecionada em Modelo de permissão e, em seguida, selecione Ir para políticas de acesso.

   

2. Selecione + Criar.

3. Na guia Permissões, no menu suspenso Permissões de chave, selecione Obter, Desembrulhar Chave e Encapsular Chave.

   

4. Na guia Principal, selecione a Identidade gerenciada atribuída ao usuário que você criou na etapa de pré-requisito.

5. Navegue até Rever + criar, selecione Criar.

Criar / Importar Chave

1. No portal do Azure, vá para a instância do Cofre de Chaves do Azure que você planeja usar para hospedar suas chaves de criptografia.

2. Selecione Teclas no menu esquerdo e, em seguida, selecione +Gerar/Importar.

   

3. A chave gerenciada pelo cliente a ser usada para criptografar a DEK só pode ser do tipo de chave RSA assimétrica. Todos os tamanhos de chave RSA 2048, 3072 e 4096 são suportados.

4. A data de ativação da chave (se definida) deve ser uma data e hora no passado. A data de expiração (se definida) deve ser uma data e hora futuras.

5. A chave deve estar no estado Ativado.

6. Se estiver a importar uma chave existente para o cofre de chaves, certifique-se de que a fornece nos formatos de ficheiro suportados (.pfx, .byok, .backup).

7. Se você estiver girando manualmente a chave, a versão antiga da chave não deve ser excluída por pelo menos 24 horas.

Habilitar a criptografia CMK durante o provisionamento de um novo cluster

Portal

1. Durante o provisionamento de um novo cluster do Azure Cosmos DB para PostgreSQL, depois de fornecer as informações necessárias nas guias Noções básicas e Rede, navegue até a guia Criptografia .

2. Selecione Chave gerenciada pelo cliente na opção Chave de criptografia de dados.

3. Selecione a identidade gerenciada atribuída ao usuário criada na seção anterior.

4. Selecione o cofre de chaves criado na etapa anterior, que tem a política de acesso à identidade gerenciada pelo usuário selecionada na etapa anterior.

5. Selecione a chave criada na etapa anterior e, em seguida, selecione Revisar + criar.

6. Depois que o cluster for criado, verifique se a criptografia CMK está habilitada navegando até a folha Criptografia de Dados do cluster do Azure Cosmos DB para PostgreSQL no portal do Azure.

Nota

A criptografia de dados só pode ser configurada durante a criação de um novo cluster e não pode ser atualizada em um cluster existente. Uma solução alternativa para atualizar a configuração de criptografia em um cluster existente é executar uma restauração de cluster e configurar a criptografia de dados durante a criação do cluster recém-restaurado.

Modelo do ARM

   {
       "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "serverGroupName": {
               "type": "string"
           },
           "location": {
               "type": "string"
           },
           "administratorLoginPassword": {
               "type": "secureString"
           },
           "previewFeatures": {
               "type": "bool"
           },
           "postgresqlVersion": {
               "type": "string"
           },
           "coordinatorVcores": {
               "type": "int"
           },
           "coordinatorStorageSizeMB": {
               "type": "int"
           },
           "numWorkers": {
               "type": "int"
           },
           "workerVcores": {
               "type": "int"
           },
           "workerStorageSizeMB": {
               "type": "int"
           },
           "enableHa": {
               "type": "bool"
           },
           "enablePublicIpAccess": {
               "type": "bool"
           },
           "serverGroupTags": {
               "type": "object"
           },
           "userAssignedIdentityUrl": {
               "type": "string"
           },
           "encryptionKeyUrl": {
               "type": "string"
           }
       },
       "variables": {},
       "resources": [
           {
               "name": "[parameters('serverGroupName')]",
               "type": "Microsoft.DBforPostgreSQL/serverGroupsv2",
               "kind": "CosmosDBForPostgreSQL",
               "apiVersion": "2020-10-05-privatepreview",
               "identity":
               {
                   "type": "UserAssigned",
                   "userAssignedIdentities":
                   {
                       "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/yogkuleuapcmkmarlintest/providers/Microsoft.ManagedIdentity/userAssignedIdentities/marlincmktesteus2euapuai1": {}
                   }
               },
               "location": "[parameters('location')]",
               "tags": "[parameters('serverGroupTags')]",
               "properties": {
                   "createMode": "Default",
                   "administratorLogin": "citus",
                   "administratorLoginPassword": "[parameters('administratorLoginPassword')]",
                   "backupRetentionDays": 35,
                   "enableMx": false,
                   "enableZfs": false,
                   "previewFeatures": "[parameters('previewFeatures')]",
                   "postgresqlVersion": "[parameters('postgresqlVersion')]",
                   "dataencryption":
                   {
                       "primaryKeyUri": "[parameters('encryptionKeyUrl')]",
                       "primaryUserAssignedIdentityId": "[parameters('userAssignedIdentityUrl')]",
                       "type": "AzureKeyVault"
                   },
                   "serverRoleGroups": [
                       {
                           "name": "",
                           "role": "Coordinator",
                           "serverCount": 1,
                           "serverEdition": "GeneralPurpose",
                           "vCores": "[parameters('coordinatorVcores')]",
                           "storageQuotaInMb": "[parameters('coordinatorStorageSizeMB')]",
                           "enableHa": "[parameters('enableHa')]"
                       },
                       {
                           "name": "",
                           "role": "Worker",
                           "serverCount": "[parameters('numWorkers')]",
                           "serverEdition": "MemoryOptimized",
                           "vCores": "[parameters('workerVcores')]",
                           "storageQuotaInMb": "[parameters('workerStorageSizeMB')]",
                           "enableHa": "[parameters('enableHa')]",
                           "enablePublicIpAccess": "[parameters('enablePublicIpAccess')]"
                       }
                   ]
               },
               "dependsOn": []
           }
       ],
       "outputs": {}
   }

Elevada disponibilidade

Quando a criptografia CMK é habilitada no cluster primário, todos os nós em espera HA são automaticamente criptografados pela chave do cluster primário.

Alterando a configuração de criptografia executando um PITR

A configuração de criptografia pode ser alterada de criptografia gerenciada por serviço para criptografia gerenciada pelo cliente ou vice-versa durante a execução de uma operação de restauração de cluster (PITR - restauração point-in-time).

Portal

1. Navegue até a folha Criptografia de dados e selecione Iniciar operação de restauração. Como alternativa, você pode executar o PITR selecionando a opção Restaurar na folha Visão geral .

2. Você pode alterar/configurar a criptografia de dados na guia Criptografia da página de restauração do cluster.

Modelo do ARM

   {
       "$schema": "http://schema.management.azure.com/schemas/2014-04-01-preview/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "location": {
               "type": "string"
           },
           "sourceLocation": {
               "type": "string"
           },
           "subscriptionId": {
               "type": "string"
           },
           "resourceGroupName": {
               "type": "string"
           },
           "serverGroupName": {
               "type": "string"
           },
           "sourceServerGroupName": {
               "type": "string"
           },
           "restorePointInTime": {
               "type": "string"
           },
           "encryptionKeyUrl": {
               "type": "string"
           },
           "userAssignedIdentityUrl": {
               "type": "string"
           }
       },
       "variables": {
           "api": "2020-02-14-privatepreview"
       },
       "resources": [
           {
               "apiVersion": "2020-10-05-privatepreview",
               "location": "[parameters('location')]",
               "name": "[parameters('serverGroupName')]",
               "identity":
               {
                   "type": "UserAssigned",
                   "userAssignedIdentities":
                   {
                       "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/yogkuleuapcmkmarlintest/providers/Microsoft.ManagedIdentity/userAssignedIdentities/marlincmktesteus2euapuai1": {}
                   }
               },
               "properties": {
                   "createMode": "PointInTimeRestore",
                   "sourceServerGroupName": "[parameters('sourceServerGroupName')]",
                   "pointInTimeUTC": "[parameters('restorePointInTime')]",
                   "sourceLocation": "[parameters('location')]",
                   "sourceSubscriptionId": "[parameters('subscriptionId')]",
                   "sourceResourceGroupName": "[parameters('resourceGroupName')]",
                   "enableMx": false,
                   "enableZfs": false,
                   "dataencryption":
                   {
                       "primaryKeyUri": "[parameters('encryptionKeyUrl')]",
                       "primaryUserAssignedIdentityId": "[parameters('userAssignedIdentityUrl')]",
                       "type": "AzureKeyVault"
                   },
               }
               "type": "Microsoft.DBforPostgreSQL/serverGroupsv2"
           }
       ]
   }

Monitorar a chave gerenciada pelo cliente no Cofre da Chave

Para monitorar o estado do banco de dados e habilitar o alerta para a perda de acesso transparente do protetor de criptografia de dados, configure os seguintes recursos do Azure:

• Azure Resource Health: um banco de dados inacessível que perdeu o acesso à Chave do Cliente é exibido como "Inacessível" após a primeira conexão com o banco de dados ter sido negada.

• Registo de atividades: Quando o acesso à Chave do Cliente no Cofre de Chaves gerido pelo cliente falha, são adicionadas entradas ao registo de atividades. Você pode restabelecer o acesso o mais rápido possível, se criar alertas para esses eventos.

• Grupos de ação: defina esses grupos para enviar notificações e alertas com base em sua preferência.

Próximos passos

• Saiba mais sobre a criptografia de dados com chaves gerenciadas pelo cliente
• Confira os limites e limitações da CMK no Azure Cosmos DB para PostgreSQL