Konfigurera datakryptering

GÄLLER FÖR: Azure Database for PostgreSQL – flexibel server

Den här artikeln innehåller stegvisa instruktioner för att konfigurera datakryptering för en flexibel Azure Database for PostgreSQL-server.

Viktigt!

Val av system- eller kundhanterad krypteringsnyckel för datakryptering av en flexibel Azure Database for PostgreSQL-server kan endast göras när servern distribueras.

I den här artikeln får du lära dig hur du skapar en ny server och konfigurerar dess datakrypteringsalternativ. För befintliga servrar, vars datakryptering är konfigurerad för att använda kundhanterad krypteringsnyckel, lär du dig:

• Så här väljer du en annan användartilldelad hanterad identitet som tjänsten kommer åt krypteringsnyckeln med.
• Så här anger du en annan krypteringsnyckel eller hur du roterar krypteringsnyckeln som för närvarande används för datakryptering.

Information om datakryptering i kontexten för Azure Database for PostgreSQL – flexibel server finns i datakryptering.

Konfigurera datakryptering med systemhanterad nyckel under serveretablering

Portal

Använd Azure Portal:

1. Under etableringen av en ny instans av Azure Database for PostgreSQL – flexibel server på fliken Säkerhet .

   

2. I datakrypteringsnyckeln väljer du alternativknappen Tjänsthanterad nyckel.

   

3. Om du aktiverar geo-redundant säkerhetskopieringslagring som ska etableras tillsammans med servern ändras aspekten av fliken Säkerhet något eftersom servern använder två separata krypteringsnycklar. En för den primära region där du distribuerar servern och en för den parkopplade region som serversäkerhetskopiorna asynkront replikeras till.

   

CLI

Du kan aktivera datakryptering med systemtilldelad krypteringsnyckel, samtidigt som du etablerar en ny server, via kommandot az postgres flexible-server create .

az postgres flexible-server create --resource-group <resource_group> --name <server> ...

Kommentar

Observera att det inte finns någon särskild parameter i föregående kommando för att ange att servern måste skapas med systemtilldelade nycklar för datakryptering. Anledningen är att datakryptering med systemtilldelade nycklar är standardalternativet. Observera också att du måste slutföra kommandot med andra parametrar vars närvaro och värden varierar beroende på hur du vill konfigurera andra funktioner på den etablerade servern.

Konfigurera datakryptering med kundhanterad nyckel under serveretablering

Portal

Använd Azure Portal:

1. Skapa en användartilldelad hanterad identitet om du inte har någon ännu. Om geo-redundanta säkerhetskopior är aktiverade på servern måste du skapa till olika identiteter. Var och en av dessa identiteter används för att komma åt var och en av de två datakrypteringsnycklarna.

   Kommentar

   Även om det inte krävs rekommenderar vi att du skapar den användarhanterade identiteten i samma region som servern för att upprätthålla regional återhämtning. Och om servern har geo-säkerhetskopieringsredundans aktiverad rekommenderar vi att den andra användarhanterade identiteten, som används för att komma åt datakrypteringsnyckeln för geo-redundanta säkerhetskopior, skapas i den kopplade regionen på servern.

2. Skapa ett Azure Key Vault eller skapa en hanterad HSM om du inte har skapat ett nyckelarkiv ännu. Se till att du uppfyller kraven. Följ också rekommendationerna innan du konfigurerar nyckelarkivet och innan du skapar nyckeln och tilldelar nödvändiga behörigheter till den användartilldelade hanterade identiteten. Om geo-redundanta säkerhetskopieringar är aktiverade på servern måste du skapa ett andra nyckelarkiv. Det andra nyckelarkivet används för att behålla datakrypteringsnyckeln som dina säkerhetskopior kopieras till den kopplade regionen på servern krypteras med.

   Kommentar

   Nyckelarkivet som används för att behålla datakrypteringsnyckeln måste distribueras i samma region som servern. Och om servern har geo-säkerhetskopieringsredundans aktiverad måste nyckelarkivet som behåller datakrypteringsnyckeln för geo-redundanta säkerhetskopior skapas i den parkopplade regionen på servern.

3. Skapa en nyckel i nyckelarkivet. Om geo-redundanta säkerhetskopior är aktiverade på servern behöver du en nyckel i vart och ett av nyckelarkiven. Med en av dessa nycklar krypterar vi alla serverns data (inklusive alla system- och användardatabaser, temporära filer, serverloggar, loggsegment och säkerhetskopior). Med den andra nyckeln krypterar vi kopiorna av säkerhetskopiorna som asynkront kopieras över den parkopplade regionen på servern.

4. Under etableringen av en ny instans av Azure Database for PostgreSQL – flexibel server på fliken Säkerhet .

   

5. I datakrypteringsnyckeln väljer du alternativknappen Tjänsthanterad nyckel.

   

6. Om du aktiverar geo-redundant säkerhetskopieringslagring som ska etableras tillsammans med servern ändras aspekten av fliken Säkerhet något eftersom servern använder två separata krypteringsnycklar. En för den primära region där du distribuerar servern och en för den parkopplade region som serversäkerhetskopiorna asynkront replikeras till.

   

7. I Användartilldelad hanterad identitet väljer du Ändra identitet.

   

8. I listan över användartilldelade hanterade identiteter väljer du den som du vill att servern ska använda för att komma åt datakrypteringsnyckeln som lagras i ett Azure Key Vault.

   

9. Markera Lägga till.

   

10. Välj Välj en nyckel.

    

11. Prenumerationen fylls automatiskt i med namnet på den prenumeration där servern är på väg att skapas. Nyckelarkivet som behåller datakrypteringsnyckeln måste finnas i samma prenumeration som servern.

    

12. I Nyckellagringstyp väljer du den alternativknapp som motsvarar den typ av nyckellager där du planerar att lagra datakrypteringsnyckeln. I det här exemplet väljer vi Nyckelvalv, men upplevelsen är liknande om du väljer Hanterad HSM.

    

13. Expandera Key Vault (eller Managed HSM, om du valde den lagringstypen) och välj den instans där datakrypteringsnyckeln finns.

    

    Kommentar

    När du expanderar listrutan visas Inga tillgängliga objekt. Det tar några sekunder innan den visar alla instanser av nyckelvalvet som distribueras i samma region som servern.

14. Expandera Nyckel och välj namnet på den nyckel som du vill använda för datakryptering.

    

15. Expandera Version och välj identifieraren för den version av nyckeln som du vill använda för datakryptering.

    

16. Välj Välj.

    

17. Konfigurera alla andra inställningar för den nya servern och välj Granska + skapa.

    

CLI

Du kan aktivera datakryptering med användartilldelad krypteringsnyckel medan du etablerar en ny server via kommandot az postgres flexible-server create .

Om servern inte har geo-redundanta säkerhetskopieringar aktiverade:

az postgres flexible-server create --resource-group <resource_group> --name <server> --geo-redundant-backup Disabled --identity <managed_identity_to_access_primary_encryption_key> --key <resource_identifier_of_primary_encryption_key> ...

Kommentar

Föregående kommando måste slutföras med andra parametrar vars närvaro och värden varierar beroende på hur du vill konfigurera andra funktioner för den etablerade servern.

Om din server har geo-redundanta säkerhetskopieringar aktiverade:

az postgres flexible-server create --resource-group <resource_group> --name <server> --geo-redundant-backup Enabled --identity <managed_identity_to_access_primary_encryption_key> --key <resource_identifier_of_primary_encryption_key> --backup-identity <managed_identity_to_access_geo_backups_encryption_key> --backup-key <resource_identifier_of_geo_backups_encryption_key> ...

Kommentar

Föregående kommando måste slutföras med andra parametrar vars närvaro och värden varierar beroende på hur du vill konfigurera andra funktioner för den etablerade servern.

Konfigurera datakryptering med kundhanterad nyckel på befintliga servrar

Den enda punkt där du kan bestämma om du vill använda en systemhanterad nyckel eller en kundhanterad nyckel för datakryptering är när servern skapas. När du har fattat det beslutet och skapat servern kan du inte växla mellan de två alternativen. Det enda alternativet, om du vill ändra från en till en annan, kräver att någon av de säkerhetskopior som är tillgängliga för servern återställs till en ny server. När du konfigurerar återställningen kan du ändra datakrypteringskonfigurationen för den nya servern.

För befintliga servrar som har distribuerats med datakryptering med hjälp av en kundhanterad nyckel får du göra flera konfigurationsändringar. Saker som kan ändras är referenser till de nycklar som används för kryptering och referenser till de användartilldelade hanterade identiteter som används av tjänsten för att komma åt nycklarna som lagras i nyckelarkiven.

Du måste uppdatera referenser som din flexibla Azure Database for PostgreSQL-server har till en nyckel:

• När nyckeln som lagras i nyckelarkivet roteras, antingen manuellt eller automatiskt.
• När du vill använda samma eller en annan nyckel som lagras i ett annat nyckelarkiv.

Du måste uppdatera de användartilldelade hanterade identiteterna som används av din flexibla Azure Database for PostgreSQL-server för att få åtkomst till krypteringsnycklarna:

• När du vill använda en annan identitet

Portal

Använd Azure Portal:

1. Välj din flexibla Azure Database for PostgreSQL-server.

2. I resursmenyn går du till avsnittet Säkerhet och väljer Datakryptering.

   

3. Om du vill ändra den användartilldelade hanterade identitet som servern har åtkomst till nyckelarkivet där nyckeln sparas expanderar du listrutan Användartilldelad hanterad identitet och väljer någon av de tillgängliga identiteterna.

   

   Kommentar

   Identiteter som visas i kombinationsrutan är bara de som din flexibla Azure Database for PostgreSQL-server tilldelades. Även om det inte krävs rekommenderar vi att du väljer användarhanterade identiteter i samma region som servern för att upprätthålla regional återhämtning. Och om servern har geo-säkerhetskopieringsredundans aktiverad rekommenderar vi att den andra användarhanterade identiteten, som används för att komma åt datakrypteringsnyckeln för geo-redundanta säkerhetskopior, finns i den parkopplade regionen på servern.

4. Om den användartilldelade hanterade identitet som du vill använda för att komma åt datakrypteringsnyckeln inte har tilldelats din flexibla Azure Database for PostgreSQL-server och den inte ens finns som en Azure-resurs med motsvarande objekt i Microsoft Entra-ID kan du skapa den genom att välja Skapa.

   

5. I panelen Skapa användartilldelad hanterad identitet fyller du i informationen om den användartilldelade hanterade identitet som du vill skapa och tilldelar automatiskt till din flexibla Azure Database for PostgreSQL-server för åtkomst till datakrypteringsnyckeln.

   

6. Om den användartilldelade hanterade identitet som du vill använda för att komma åt datakrypteringsnyckeln inte har tilldelats din flexibla Azure Database for PostgreSQL-server, men den finns som en Azure-resurs med motsvarande objekt i Microsoft Entra-ID, kan du tilldela den genom att välja Välj.

   

7. I listan över användartilldelade hanterade identiteter väljer du den som du vill att servern ska använda för att komma åt datakrypteringsnyckeln som lagras i ett Azure Key Vault.

   

8. Markera Lägga till.

   

9. Om du roterar nyckeln eller om du vill använda en annan nyckel måste du uppdatera din flexibla Azure Database for PostgreSQL-server så att den pekar på den nya nyckelversionen eller den nya nyckeln. För att göra det kan du kopiera resursidentifieraren för nyckeln och klistra in den i rutan Nyckelidentifierare .

   

10. Om användaren som har åtkomst till Azure Portal har behörighet att komma åt nyckeln som lagras i nyckelarkivet kan du använda en alternativ metod för att välja den nya nyckeln eller den nya nyckelversionen. Det gör du genom att välja alternativknappen Välj en nyckel i Nyckelvalsmetod.

    

11. Välj Välj nyckel.

    

12. Prenumerationen fylls automatiskt i med namnet på den prenumeration där servern är på väg att skapas. Nyckelarkivet som behåller datakrypteringsnyckeln måste finnas i samma prenumeration som servern.

    

13. I Nyckellagringstyp väljer du den alternativknapp som motsvarar den typ av nyckellager där du planerar att lagra datakrypteringsnyckeln. I det här exemplet väljer vi Nyckelvalv, men upplevelsen är liknande om du väljer Hanterad HSM.

    

14. Expandera Key Vault (eller Managed HSM, om du valde den lagringstypen) och välj den instans där datakrypteringsnyckeln finns.

    

    Kommentar

    När du expanderar listrutan visas Inga tillgängliga objekt. Det tar några sekunder innan den visar alla instanser av nyckelvalvet som distribueras i samma region som servern.

15. Expandera Nyckel och välj namnet på den nyckel som du vill använda för datakryptering.

    

16. Expandera Version och välj identifieraren för den version av nyckeln som du vill använda för datakryptering.

    

17. Välj Välj.

    

18. När du är nöjd med ändringarna väljer du Spara.

    

CLI

Du kan konfigurera datakryptering med användartilldelad krypteringsnyckel för en befintlig server via kommandot az postgres flexible-server update .

az postgres flexible-server update --resource-group <resource_group> --name <server> --identity <managed_identity_to_access_primary_encryption_key> --key <resource_identifier_of_primary_encryption_key> ...

Kommentar

Det tidigare kommandot kan behöva slutföras med andra parametrar vars närvaro och värden varierar beroende på hur du vill konfigurera andra funktioner på den befintliga servern.

Oavsett om du bara vill ändra den användartilldelade hanterade identiteten som används för att komma åt nyckeln, eller om du bara vill ändra nyckeln som används för datakryptering, eller om du vill ändra båda samtidigt, måste du ange både parametrar --identity och --key (eller --backup-identity för --backup-key geo-redundanta säkerhetskopior). Om du anger något av följande fel, men inte båda, får du något av följande fel:

User assigned identity and keyvault key need to be provided together. Please provide --identity and --key together.

User assigned identity and keyvault key need to be provided together. Please provide --backup-identity and --backup-key together.

Om nyckeln som pekar på värdet som skickas till parametern --key (eller --backup-key för geo-redundanta säkerhetskopior) inte finns, eller om den användartilldelade hanterade identiteten vars resursidentifierare skickas till parametern --identity (malm --backup-identity för geo-redundanta säkerhetskopior) inte har de behörigheter som krävs för att komma åt nyckeln får du följande fel:

Code: AzureKeyVaultKeyNameNotFound
Message: The operation could not be completed because the Azure Key Vault Key name '<key_vault_resource>' does not exist or User Assigned Identity does not have Get access to the Key (https://learn.microsoft.com/en-us/azure/postgresql/flexible-server/concepts-data-encryption#requirements-for-configuring-data-encryption-for-azure-database-for-postgresql-flexible-server).

Om din server har geo-redundanta säkerhetskopior aktiverade kan du konfigurera nyckeln som används för kryptering av geo-redundanta säkerhetskopior och den identitet som används för att komma åt nyckeln. Om du vill göra det kan du använda parametrarna --backup-identity och --backup-key .

az postgres flexible-server update --resource-group <resource_group> --name <server> --backup-identity <managed_identity_to_access_georedundant_encryption_key> --backup-key <resource_identifier_of_georedundant_encryption_key> ...

Om du skickar parametrarna --backup-identity och --backup-key till az postgres flexible server update kommandot och refererar till en befintlig server som inte har geo-redundant säkerhetskopiering aktiverad får du följande fel:

Geo-redundant backup is not enabled. You cannot provide Geo-location user assigned identity and keyvault key.

Identiteter som skickas till parametrarna --identity och --backup-identity , om de finns och är giltiga, läggs automatiskt till i listan över användartilldelade hanterade identiteter som är associerade med din flexibla Azure Database for PostgreSQL-server. Så är fallet, även om kommandot senare misslyckas med något annat fel. I sådana fall kanske du vill använda az postgres flexible-server identity-kommandon för att lista, tilldela eller ta bort användartilldelade hanterade identiteter som tilldelats till din flexibla Azure Database for PostgreSQL-server. Mer information om hur du konfigurerar användartilldelade hanterade identiteter i din flexibla Azure Database for PostgreSQL-server finns i Associera användartilldelade hanterade identiteter med befintliga servrar, koppla bort användartilldelade hanterade identiteter till befintliga servrar och visa associerade användartilldelade hanterade identiteter.

Relaterat innehåll

• Datakryptering.