Настройка шифрования данных

ОБЛАСТЬ ПРИМЕНЕНИЯ: База данных Azure для PostgreSQL — гибкий сервер

В этой статье приведены пошаговые инструкции по настройке шифрования данных для гибкого сервера База данных Azure для PostgreSQL.

Внимание

Выбор управляемого системой или клиента ключа шифрования для шифрования данных База данных Azure для PostgreSQL гибкого сервера можно сделать только при развертывании сервера.

Из этой статьи вы узнаете, как создать новый сервер и настроить его параметры шифрования данных. Для существующих серверов, шифрование данных которых настроено на использование управляемого клиентом ключа шифрования, вы узнаете:

• Как выбрать другое управляемое удостоверение, назначаемое пользователем, с помощью которого служба обращается к ключу шифрования.
• Как указать другой ключ шифрования или сменить ключ шифрования, используемый в настоящее время для шифрования данных.

Сведения о шифровании данных в контексте База данных Azure для PostgreSQL — гибкий сервер см. в разделе шифрования данных.

Настройка шифрования данных с помощью системного управляемого ключа во время подготовки сервера

Портал

В случае использования портала Azure выполните следующие действия:

1. Во время подготовки нового экземпляра База данных Azure для PostgreSQL гибкий сервер на вкладке "Безопасность".

   

2. В ключе шифрования данных нажмите переключатель управляемого службой ключа.

   

3. Если вы включите геоизбыточное хранилище резервных копий для подготовки вместе с сервером, аспект вкладки "Безопасность " немного изменяется, так как сервер использует два отдельных ключа шифрования. Один для основного региона, в котором развертывается сервер, и один для парного региона, в который резервные копии сервера реплицируются асинхронно.

   

CLI

Вы можете включить шифрование данных с помощью назначенного системой ключа шифрования при подготовке нового сервера с помощью команды az postgres flexible-server create .

az postgres flexible-server create --resource-group <resource_group> --name <server> ...

Примечание.

Обратите внимание, что в предыдущей команде нет специального параметра, чтобы указать, что сервер должен быть создан с помощью назначенного системой ключа для шифрования данных. Причина в том, что шифрование данных с назначенным системой ключом является параметром по умолчанию. Кроме того, обратите внимание, что необходимо выполнить команду, предоставленную другими параметрами, наличие и значения которых зависят от способа настройки других функций подготовленного сервера.

Настройка шифрования данных с помощью управляемого клиентом ключа во время подготовки сервера

Портал

В случае использования портала Azure выполните следующие действия:

1. Создайте управляемое удостоверение, назначаемое пользователем, если у вас еще нет. Если на сервере включена геоизбыточная резервная копия, необходимо создать для разных удостоверений. Каждый из этих удостоверений используется для доступа к каждому из двух ключей шифрования данных.

   Примечание.

   Хотя это не обязательно, для поддержания региональной устойчивости рекомендуется создать управляемое удостоверение пользователя в том же регионе, что и сервер. Если у сервера включена избыточность геоизбыточного резервного копирования, рекомендуется создать в парном регионе сервера второй управляемый удостоверений, используемый для доступа к ключу шифрования данных для геоизбыточного резервного копирования.

2. Создайте хранилище ключей Azure или создайте управляемый модуль HSM, если у вас еще нет одного хранилища ключей. Убедитесь, что выполнены требования. Кроме того, следуйте рекомендациям перед настройкой хранилища ключей и перед созданием ключа и назначьте необходимые разрешения для управляемого удостоверения, назначаемого пользователем. Если на сервере включена геоизбыточная резервная копия, необходимо создать второе хранилище ключей. Это второе хранилище ключей используется для хранения ключа шифрования данных, с помощью которого резервные копии, скопированные в парный регион сервера, шифруются.

   Примечание.

   Хранилище ключей, используемое для хранения ключа шифрования данных, должно быть развернуто в том же регионе, что и сервер. Если на сервере включена избыточность геоизбыточного резервного копирования, хранилище ключей, которое сохраняет ключ шифрования данных для геоизбыточного резервного копирования, необходимо создать в парном регионе сервера.

3. Создайте один ключ в хранилище ключей. Если на сервере включены геоизбыточные резервные копии, вам потребуется один ключ в каждом из хранилищ ключей. С помощью одного из этих ключей мы шифруем все данные сервера (включая все системные и пользовательские базы данных, временные файлы, журналы сервера, сегменты журналов записи и резервные копии). С помощью второго ключа мы шифруем копии резервных копий, которые асинхронно копируются в парном регионе сервера.

4. Во время подготовки нового экземпляра База данных Azure для PostgreSQL гибкий сервер на вкладке "Безопасность".

   

5. В ключе шифрования данных нажмите переключатель управляемого службой ключа.

   

6. Если вы включите геоизбыточное хранилище резервных копий для подготовки вместе с сервером, аспект вкладки "Безопасность " немного изменяется, так как сервер использует два отдельных ключа шифрования. Один для основного региона, в котором развертывается сервер, и один для парного региона, в который резервные копии сервера реплицируются асинхронно.

   

7. В управляемом удостоверении, назначаемом пользователем, выберите "Изменить удостоверение".

   

8. В списке назначенных пользователем управляемых удостоверений выберите нужный сервер для доступа к ключу шифрования данных, хранящимся в Azure Key Vault.

   

9. Выберите Добавить.

   

10. Выберите ключ.

    

11. Подписка автоматически заполняется именем подписки, на которой будет создан сервер. Хранилище ключей, которое сохраняет ключ шифрования данных, должно существовать в той же подписке, что и сервер.

    

12. В типе хранилища ключей выберите переключатель, соответствующий типу хранилища ключей, в котором планируется сохранить ключ шифрования данных. В этом примере мы выбираем хранилище ключей, но при выборе управляемого устройства HSM аналогичный интерфейс.

    

13. Разверните хранилище ключей (или управляемый HSM, если выбран этот тип хранилища) и выберите экземпляр, в котором существует ключ шифрования данных.

    

    Примечание.

    При развертывании раскрывающегося списка отображаются недоступные элементы. Это займет несколько секунд, пока он не выводит список всех экземпляров хранилища ключей, развернутых в том же регионе, что и сервер.

14. Разверните ключ и выберите имя ключа, который требуется использовать для шифрования данных.

    

15. Разверните версию и выберите идентификатор версии ключа, который требуется использовать для шифрования данных.

    

16. Выберите Выбрать.

    

17. Настройте все остальные параметры нового сервера и выберите "Проверить и создать".

    

CLI

Вы можете включить шифрование данных с помощью ключа шифрования, назначенного пользователем, при подготовке нового сервера с помощью команды az postgres flexible-server create .

Если у сервера нет геоизбыточного резервного копирования:

az postgres flexible-server create --resource-group <resource_group> --name <server> --geo-redundant-backup Disabled --identity <managed_identity_to_access_primary_encryption_key> --key <resource_identifier_of_primary_encryption_key> ...

Примечание.

Предыдущая команда должна быть завершена с другими параметрами, наличие и значения которых зависят от способа настройки других функций подготовленного сервера.

Если на сервере включены геоизбыточные резервные копии:

az postgres flexible-server create --resource-group <resource_group> --name <server> --geo-redundant-backup Enabled --identity <managed_identity_to_access_primary_encryption_key> --key <resource_identifier_of_primary_encryption_key> --backup-identity <managed_identity_to_access_geo_backups_encryption_key> --backup-key <resource_identifier_of_geo_backups_encryption_key> ...

Примечание.

Предыдущая команда должна быть завершена с другими параметрами, наличие и значения которых зависят от способа настройки других функций подготовленного сервера.

Настройка шифрования данных с помощью управляемого клиентом ключа на существующих серверах

Единственный момент, в котором можно решить, следует ли использовать системный управляемый ключ или ключ, управляемый клиентом для шифрования данных, при создании сервера. После принятия этого решения и создания сервера нельзя переключаться между двумя параметрами. Единственный вариант, если вы хотите изменить один на другой, требует восстановления любой из резервных копий, доступных на новом сервере. При настройке восстановления можно изменить конфигурацию шифрования данных нового сервера.

Для существующих серверов, которые были развернуты с шифрованием данных с помощью управляемого клиентом ключа, можно выполнить несколько изменений конфигурации. Изменения — это ссылки на ключи, используемые для шифрования, и ссылки на назначенные пользователем управляемые удостоверения, используемые службой для доступа к ключам, хранящихся в хранилищах ключей.

Необходимо обновить ссылки на то, что База данных Azure для PostgreSQL гибкий сервер должен иметь ключ:

• Когда ключ, хранящийся в хранилище ключей, поворачивается вручную или автоматически.
• Если вы хотите использовать тот же или другой ключ, хранящийся в другом хранилище ключей.

Для доступа к ключам шифрования необходимо обновить назначенные пользователем управляемые удостоверения, которые используются База данных Azure для PostgreSQL гибким сервером:

• Всякий раз, когда вы хотите использовать другое удостоверение

Портал

В случае использования портала Azure выполните следующие действия:

1. Выберите гибкий сервер База данных Azure для PostgreSQL.

2. В меню ресурсов в разделе "Безопасность " выберите шифрование данных.

   

3. Чтобы изменить назначенное пользователем управляемое удостоверение, с помощью которого сервер обращается к хранилищу ключей, в котором хранится ключ, разверните раскрывающийся список управляемых удостоверений , назначенных пользователем, и выберите все доступные удостоверения.

   

   Примечание.

   Удостоверения, отображаемые в поле со списком, являются только теми, которые были назначены База данных Azure для PostgreSQL гибким сервером. Хотя это не обязательно, для обеспечения региональной устойчивости рекомендуется выбрать управляемые пользователем удостоверения в том же регионе, что и сервер. И если на сервере включена избыточность геоизбыточного резервного копирования, рекомендуется использовать второе управляемое удостоверение пользователя, используемое для доступа к ключу шифрования данных для геоизбыточного резервного копирования, существует в парном регионе сервера.

4. Если назначаемое пользователем управляемое удостоверение, которое вы хотите использовать для доступа к ключу шифрования данных, не назначено вашему База данных Azure для PostgreSQL гибкому серверу, и он даже не существует в качестве ресурса Azure с соответствующим объектом в идентификаторе Microsoft Entra, его можно создать, нажав кнопку Create.

   

5. На панели создания управляемого удостоверения, назначаемого пользователем, заполните сведения о назначенном пользователем управляемом удостоверении, которое вы хотите создать, и автоматически назначьте гибкому серверу База данных Azure для PostgreSQL доступ к ключу шифрования данных.

   

6. Если назначаемое пользователем управляемое удостоверение, которое вы хотите использовать для доступа к ключу шифрования данных, не назначается вашему База данных Azure для PostgreSQL гибкому серверу, но оно существует как ресурс Azure с соответствующим объектом в идентификаторе Microsoft Entra ID, его можно назначить, нажав кнопку Select.

   

7. В списке назначенных пользователем управляемых удостоверений выберите нужный сервер для доступа к ключу шифрования данных, хранящимся в Azure Key Vault.

   

8. Выберите Добавить.

   

9. Если вы смените ключ или хотите использовать другой ключ, необходимо обновить База данных Azure для PostgreSQL гибкий сервер, чтобы он указывает на новую версию ключа или новый ключ. Для этого можно скопировать идентификатор ресурса ключа и вставить его в поле идентификатора ключа.

   

10. Если у пользователя, доступ к портал Azure есть разрешения на доступ к ключу, хранящейся в хранилище ключей, можно использовать альтернативный подход для выбора нового ключа или новой версии ключа. Для этого в методе выбора клавиш выберите переключатель " Выбрать клавишу ".

    

11. Выберите "Выбрать ключ".

    

12. Подписка автоматически заполняется именем подписки, на которой будет создан сервер. Хранилище ключей, которое сохраняет ключ шифрования данных, должно существовать в той же подписке, что и сервер.

    

13. В типе хранилища ключей выберите переключатель, соответствующий типу хранилища ключей, в котором планируется сохранить ключ шифрования данных. В этом примере мы выбираем хранилище ключей, но при выборе управляемого устройства HSM аналогичный интерфейс.

    

14. Разверните хранилище ключей (или управляемый HSM, если выбран этот тип хранилища) и выберите экземпляр, в котором существует ключ шифрования данных.

    

    Примечание.

    При развертывании раскрывающегося списка отображаются недоступные элементы. Это займет несколько секунд, пока он не выводит список всех экземпляров хранилища ключей, развернутых в том же регионе, что и сервер.

15. Разверните ключ и выберите имя ключа, который требуется использовать для шифрования данных.

    

16. Разверните версию и выберите идентификатор версии ключа, который требуется использовать для шифрования данных.

    

17. Выберите Выбрать.

    

18. После внесения изменений нажмите кнопку "Сохранить".

    

CLI

Вы можете настроить шифрование данных с помощью ключа шифрования, назначаемого пользователем, для существующего сервера, с помощью команды az postgres flexible-server update .

az postgres flexible-server update --resource-group <resource_group> --name <server> --identity <managed_identity_to_access_primary_encryption_key> --key <resource_identifier_of_primary_encryption_key> ...

Примечание.

Предыдущая команда может быть завершена с другими параметрами, наличие и значения которых зависят от способа настройки других функций существующего сервера.

Хотите ли вы изменить только назначенное пользователем управляемое удостоверение, используемое для доступа к ключу, или вы хотите изменить ключ, используемый только для шифрования данных, или вы хотите изменить оба в то же время, необходимо предоставить оба параметра --identity и --key (или или --backup-key --backup-identity для геоизбыточного резервного копирования). Если указать один из них, но не оба, вы получите следующие ошибки:

User assigned identity and keyvault key need to be provided together. Please provide --identity and --key together.

User assigned identity and keyvault key need to be provided together. Please provide --backup-identity and --backup-key together.

Если ключ, указывающий на значение, переданное --key параметру (или для геоизбыточного резервного копирования), не существует, или --backup-key если назначаемое пользователем управляемое удостоверение, идентификатор ресурса которого передается --identity параметру (ore --backup-identity для геоизбыточного резервного копирования) не имеет необходимых разрешений для доступа к ключу, вы получите следующую ошибку:

Code: AzureKeyVaultKeyNameNotFound
Message: The operation could not be completed because the Azure Key Vault Key name '<key_vault_resource>' does not exist or User Assigned Identity does not have Get access to the Key (https://learn.microsoft.com/en-us/azure/postgresql/flexible-server/concepts-data-encryption#requirements-for-configuring-data-encryption-for-azure-database-for-postgresql-flexible-server).

Если на сервере включена геоизбыточная резервная копия, можно настроить ключ, используемый для шифрования геоизбыточного резервного копирования, и удостоверение, используемое для доступа к такому ключу. Для этого можно использовать --backup-identity параметры и --backup-key параметры.

az postgres flexible-server update --resource-group <resource_group> --name <server> --backup-identity <managed_identity_to_access_georedundant_encryption_key> --backup-key <resource_identifier_of_georedundant_encryption_key> ...

Если вы передаете параметры --backup-identity и --backup-key az postgres flexible server update команду и ссылаетесь на существующий сервер, который не включает геоизбыточное резервное копирование, вы получите следующую ошибку:

Geo-redundant backup is not enabled. You cannot provide Geo-location user assigned identity and keyvault key.

Удостоверения, передаваемые --identity в параметры и --backup-identity существующие и допустимые, автоматически добавляются в список назначенных пользователем управляемых удостоверений, связанных с вашим База данных Azure для PostgreSQL гибким сервером. Это так, даже если команда позже завершается ошибкой. В таких случаях может потребоваться использовать команды az postgres гибкого удостоверения сервера для перечисления, назначения или удаления назначенных пользователем управляемых удостоверений, назначенных вашему База данных Azure для PostgreSQL гибкому серверу. Дополнительные сведения о настройке управляемых удостоверений, назначенных пользователем, на База данных Azure для PostgreSQL гибком сервере, см. в статье связывание управляемых удостоверений, назначенных пользователем, с существующими серверами, а также отображение назначенных пользователем управляемых удостоверений.

Связанный контент

• Шифрование данных.