Шифрование данных для База данных Azure для MySQL — гибкий сервер с помощью портал Azure
В этом руководстве показано, как настроить шифрование данных для гибкого сервера База данных Azure для MySQL и управлять ими.
В этом руководстве описано следующее:
Задайте шифрование данных для гибкого сервера База данных Azure для MySQL.
Настройте шифрование данных для восстановления.
настройка шифрования данных для серверов реплик.
Примечание.
Конфигурация доступа к хранилищу ключей Azure теперь поддерживает два типа моделей разрешений : управление доступом на основе ролей Azure и политика доступа к Хранилищу. В этом руководстве описывается настройка шифрования данных для База данных Azure для MySQL гибкого сервера с помощью политики доступа к Хранилищу. Однако вы можете использовать Azure RBAC в качестве модели разрешений для предоставления доступа к Azure Key Vault. Для этого вам нужна любая встроенная или настраиваемая роль, которая имеет следующие три разрешения и назначьте ее с помощью вкладки "Назначения ролей" с помощью вкладки "Управление доступом" (IAM) в keyvault/a) KeyVault/vaults/key/action b) KeyVault/keyVault/action c) KeyVault/vaults/key/read. Для управляемого HSM хранилища ключей Azure также потребуется назначить назначение роли "Управляемый пользователь шифрования криптослужбы HSM" в RBAC.
Необходимые компоненты
Учетная запись Azure с активной подпиской.
Если у вас еще нет подписки Azure, создайте бесплатную учетную запись Azure, прежде чем начинать работу.
Примечание.
С бесплатной учетной записью Azure теперь можно попробовать База данных Azure для MySQL гибкий сервер бесплатно в течение 12 месяцев. Дополнительные сведения см. в статье "Использование бесплатной учетной записи Azure", чтобы бесплатно попробовать База данных Azure для MySQL — гибкий сервер.
Настройка соответствующих разрешений для ключевых операций
В Key Vault выберите элемент Политики доступа и нажмите кнопку Создать.
На вкладке Разрешения выберите следующие разрешения ключа: Get, List, Wrap Key, Unwrap Key.
На вкладке Субъект выберите элемент "Управляемое удостоверение, назначаемое пользователем".
Нажмите кнопку создания.
Настройка ключей, управляемых клиентом
Чтобы настроить управляемый клиентом ключ, выполните следующие действия.
На портале перейдите к экземпляру гибкого сервера База данных Azure для MySQL, а затем в разделе "Безопасность" выберите шифрование данных.
На странице Шифрование данных в разделе Удостоверение не назначено выберите элемент Изменить удостоверение.
В диалоговом окне "Выбор назначенного пользователем* управляемого удостоверения" выберите демонстрационную идентификацию umi и нажмите кнопку "Добавить**".
Справа от элемента Метод выбора ключа выберите элемент Выбрать ключ и укажите хранилище ключей и пару ключей или выберите элемент Введите идентификатор ключа.
Выберите Сохранить.
Использование шифрования данных для восстановления
Чтобы использовать шифрование данных в рамках операции восстановления, выполните следующие действия.
На портале Azure на странице обзора для навигации по серверу выберите элемент Восстановить.
На вкладке Безопасность укажите удостоверение и ключ.
Выберите "Изменить удостоверение" и выберите управляемое удостоверение, назначаемое пользователем, и выберите "Добавить" для выбора ключа, можно выбрать хранилище ключей и пару ключей или ввести идентификатор ключа.
Использование шифрования данных для серверов-реплик
После шифрования экземпляра гибкого сервера База данных Azure для MySQL с помощью управляемого ключа клиента, хранящегося в Key Vault, также шифруется любая только что созданная копия сервера.
Чтобы настроить репликацию, в разделе Параметры последовательно выберите элементы Репликация и Добавить реплику.
В диалоговом окне "Добавление сервера реплики в Базу данных Azure для MySQL" выберите соответствующий параметр Вычислительная среда и хранилище, а затем нажмите кнопку ОК.
Внимание
При попытке зашифровать гибкий сервер База данных Azure для MySQL с помощью управляемого клиентом ключа, который уже имеет реплики, рекомендуется также настроить реплики, добавив управляемое удостоверение и ключ.