Aktivera datakryptering med kundhanterade nycklar i Azure Cosmos DB för PostgreSQL

GÄLLER FÖR: Azure Cosmos DB for PostgreSQL (drivs av Citus-databastillägget till PostgreSQL)

Förutsättningar

• Ett befintligt Azure Cosmos DB för PostgreSQL-konto.
  • Om du har en Azure-prenumeration skapar du ett nytt konto.
  • Om du inte har någon Azure-prenumeration skapar du ett kostnadsfritt konto innan du börjar.
  • Du kan också prova Azure Cosmos DB kostnadsfritt innan du checkar in.

Aktivera datakryptering med kundhanterade nycklar

Viktigt!

Skapa alla följande resurser i samma region där ditt Azure Cosmos DB for PostgreSQL-kluster ska distribueras.

1. Skapa en användartilldelad hanterad identitet. För närvarande stöder Azure Cosmos DB for PostgreSQL endast användartilldelade hanterade identiteter.

2. Skapa ett Azure Key Vault och lägg till en åtkomstprincip till den skapade användartilldelade hanterade identiteten med följande nyckelbehörigheter: Hämta, Packa upp nyckel och Radbryt nyckel.

3. Generera en nyckel i nyckelvalvet (nyckeltyper som stöds: RSA 2048, 3071, 4096).

4. Välj det kundhanterade nyckelkrypteringsalternativet när du skapar Azure Cosmos DB for PostgreSQL-klustret och välj lämplig användartilldelad hanterad identitet, nyckelvalv och nyckel som skapats i steg 1, 2 och 3.

Detaljerade steg

Användartilldelad hanterad identitet

1. Sök efter hanterade identiteter i fältet global sökning.

   

2. Skapa en ny användartilldelad hanterad identitet i samma region som ditt Azure Cosmos DB for PostgreSQL-kluster.

   

Läs mer om användartilldelad hanterad identitet.

Key Vault

Om du använder kundhanterade nycklar med Azure Cosmos DB for PostgreSQL måste du ange två egenskaper för den Azure Key Vault-instans som du planerar att använda som värd för krypteringsnycklarna: Mjuk borttagning och rensningsskydd.

1. Om du skapar en ny Azure Key Vault-instans aktiverar du dessa egenskaper när du skapar:

   

2. Om du använder en befintlig Azure Key Vault-instans kan du kontrollera att dessa egenskaper är aktiverade genom att titta på avsnittet Egenskaper på Azure Portal. Om någon av dessa egenskaper inte är aktiverade kan du läsa avsnitten "Aktivera mjuk borttagning" och "Aktivera rensningsskydd" i någon av följande artiklar.

   • Så här använder du mjuk borttagning med PowerShell.
   • Så här använder du mjuk borttagning med Azure CLI.

3. Key Vault måste anges med 90 dagar för dagar för att behålla borttagna valv. Om det befintliga nyckelvalvet har konfigurerats med ett lägre tal måste du skapa ett nytt nyckelvalv eftersom den här inställningen inte kan ändras när du har skapat det.

   Viktigt!

   Din Azure Key Vault-instans måste tillåta offentlig åtkomst från alla nätverk.

Lägga till en åtkomstprincip i Key Vault

1. Från Azure Portal går du till den Azure Key Vault-instans som du planerar att använda som värd för dina krypteringsnycklar. Välj Åtkomstkonfiguration på den vänstra menyn. Kontrollera att Åtkomstprincip för valv har valts under Behörighetsmodell och välj sedan Gå till åtkomstprinciper.

   

2. Välj + Skapa.

3. På fliken Behörigheter under listrutan Nyckelbehörigheter väljer du Behörigheter för Hämta, Packa upp nyckel och Radbryt nyckel.

   

4. På fliken Huvudnamn väljer du den användartilldelade hanterade identitet som du skapade i steget Krav.

5. Gå till Granska + skapa och välj Skapa.

Skapa/importera nyckel

1. Från Azure Portal går du till den Azure Key Vault-instans som du planerar att använda som värd för dina krypteringsnycklar.

2. Välj Nycklar på den vänstra menyn och välj sedan +Generera/importera.

   

3. Den kundhanterade nyckel som ska användas för kryptering av DEK kan bara vara asymmetrisk RSA-nyckeltyp. Alla RSA-nyckelstorlekar 2048, 3072 och 4096 stöds.

4. Nyckelaktiveringsdatumet (om det anges) måste vara ett datum och en tid i det förflutna. Förfallodatumet (om det anges) måste vara ett framtida datum och en framtida tid.

5. Nyckeln måste vara i tillståndet Aktiverad.

6. Om du importerar en befintlig nyckel till nyckelvalvet måste du ange den i de filformat som stöds (.pfx, .byok, .backup).

7. Om du roterar nyckeln manuellt bör den gamla nyckelversionen inte tas bort på minst 24 timmar.

Aktivera CMK-kryptering under etableringen av ett nytt kluster

Portal

1. När du har etablerat ett nytt Azure Cosmos DB for PostgreSQL-kluster går du till fliken Kryptering när du har angett nödvändig information under flikarna Grundläggande och Nätverk.

2. Välj Kundhanterad nyckel under alternativet Datakrypteringsnyckel .

3. Välj den användartilldelade hanterade identiteten som skapades i föregående avsnitt.

4. Välj det nyckelvalv som skapades i föregående steg, där åtkomstprincipen för den användarhanterade identiteten har valts i föregående steg.

5. Välj nyckeln som skapades i föregående steg och välj sedan Granska + skapa.

6. När klustret har skapats kontrollerar du att CMK-kryptering är aktiverat genom att gå till bladet Datakryptering i Azure Cosmos DB for PostgreSQL-klustret i Azure Portal.

Kommentar

Datakryptering kan bara konfigureras när ett nytt kluster skapas och kan inte uppdateras i ett befintligt kluster. En lösning för att uppdatera krypteringskonfigurationen i ett befintligt kluster är att utföra en klusteråterställning och konfigurera datakrypteringen när det nyligen återställde klustret skapas.

ARM-mall

   {
       "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "serverGroupName": {
               "type": "string"
           },
           "location": {
               "type": "string"
           },
           "administratorLoginPassword": {
               "type": "secureString"
           },
           "previewFeatures": {
               "type": "bool"
           },
           "postgresqlVersion": {
               "type": "string"
           },
           "coordinatorVcores": {
               "type": "int"
           },
           "coordinatorStorageSizeMB": {
               "type": "int"
           },
           "numWorkers": {
               "type": "int"
           },
           "workerVcores": {
               "type": "int"
           },
           "workerStorageSizeMB": {
               "type": "int"
           },
           "enableHa": {
               "type": "bool"
           },
           "enablePublicIpAccess": {
               "type": "bool"
           },
           "serverGroupTags": {
               "type": "object"
           },
           "userAssignedIdentityUrl": {
               "type": "string"
           },
           "encryptionKeyUrl": {
               "type": "string"
           }
       },
       "variables": {},
       "resources": [
           {
               "name": "[parameters('serverGroupName')]",
               "type": "Microsoft.DBforPostgreSQL/serverGroupsv2",
               "kind": "CosmosDBForPostgreSQL",
               "apiVersion": "2020-10-05-privatepreview",
               "identity":
               {
                   "type": "UserAssigned",
                   "userAssignedIdentities":
                   {
                       "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/yogkuleuapcmkmarlintest/providers/Microsoft.ManagedIdentity/userAssignedIdentities/marlincmktesteus2euapuai1": {}
                   }
               },
               "location": "[parameters('location')]",
               "tags": "[parameters('serverGroupTags')]",
               "properties": {
                   "createMode": "Default",
                   "administratorLogin": "citus",
                   "administratorLoginPassword": "[parameters('administratorLoginPassword')]",
                   "backupRetentionDays": 35,
                   "enableMx": false,
                   "enableZfs": false,
                   "previewFeatures": "[parameters('previewFeatures')]",
                   "postgresqlVersion": "[parameters('postgresqlVersion')]",
                   "dataencryption":
                   {
                       "primaryKeyUri": "[parameters('encryptionKeyUrl')]",
                       "primaryUserAssignedIdentityId": "[parameters('userAssignedIdentityUrl')]",
                       "type": "AzureKeyVault"
                   },
                   "serverRoleGroups": [
                       {
                           "name": "",
                           "role": "Coordinator",
                           "serverCount": 1,
                           "serverEdition": "GeneralPurpose",
                           "vCores": "[parameters('coordinatorVcores')]",
                           "storageQuotaInMb": "[parameters('coordinatorStorageSizeMB')]",
                           "enableHa": "[parameters('enableHa')]"
                       },
                       {
                           "name": "",
                           "role": "Worker",
                           "serverCount": "[parameters('numWorkers')]",
                           "serverEdition": "MemoryOptimized",
                           "vCores": "[parameters('workerVcores')]",
                           "storageQuotaInMb": "[parameters('workerStorageSizeMB')]",
                           "enableHa": "[parameters('enableHa')]",
                           "enablePublicIpAccess": "[parameters('enablePublicIpAccess')]"
                       }
                   ]
               },
               "dependsOn": []
           }
       ],
       "outputs": {}
   }

Hög tillgänglighet

När CMK-kryptering är aktiverat i det primära klustret krypteras alla HA-väntelägesnoder automatiskt av det primära klustrets nyckel.

Ändra krypteringskonfigurationen genom att utföra en PITR

Krypteringskonfigurationen kan ändras från tjänsthanterad kryptering till kundhanterad kryptering eller vice versa när du utför en klusteråterställningsåtgärd (PITR – återställning till tidpunkt).

Portal

1. Gå till bladet Datakryptering och välj Initiera återställningsåtgärd. Du kan också utföra PITR genom att välja alternativet Återställ på bladet Översikt .

2. Du kan ändra/konfigurera datakryptering på fliken Kryptering på sidan för klusteråterställning.

ARM-mall

   {
       "$schema": "http://schema.management.azure.com/schemas/2014-04-01-preview/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "location": {
               "type": "string"
           },
           "sourceLocation": {
               "type": "string"
           },
           "subscriptionId": {
               "type": "string"
           },
           "resourceGroupName": {
               "type": "string"
           },
           "serverGroupName": {
               "type": "string"
           },
           "sourceServerGroupName": {
               "type": "string"
           },
           "restorePointInTime": {
               "type": "string"
           },
           "encryptionKeyUrl": {
               "type": "string"
           },
           "userAssignedIdentityUrl": {
               "type": "string"
           }
       },
       "variables": {
           "api": "2020-02-14-privatepreview"
       },
       "resources": [
           {
               "apiVersion": "2020-10-05-privatepreview",
               "location": "[parameters('location')]",
               "name": "[parameters('serverGroupName')]",
               "identity":
               {
                   "type": "UserAssigned",
                   "userAssignedIdentities":
                   {
                       "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/yogkuleuapcmkmarlintest/providers/Microsoft.ManagedIdentity/userAssignedIdentities/marlincmktesteus2euapuai1": {}
                   }
               },
               "properties": {
                   "createMode": "PointInTimeRestore",
                   "sourceServerGroupName": "[parameters('sourceServerGroupName')]",
                   "pointInTimeUTC": "[parameters('restorePointInTime')]",
                   "sourceLocation": "[parameters('location')]",
                   "sourceSubscriptionId": "[parameters('subscriptionId')]",
                   "sourceResourceGroupName": "[parameters('resourceGroupName')]",
                   "enableMx": false,
                   "enableZfs": false,
                   "dataencryption":
                   {
                       "primaryKeyUri": "[parameters('encryptionKeyUrl')]",
                       "primaryUserAssignedIdentityId": "[parameters('userAssignedIdentityUrl')]",
                       "type": "AzureKeyVault"
                   },
               }
               "type": "Microsoft.DBforPostgreSQL/serverGroupsv2"
           }
       ]
   }

Övervaka den kundhanterade nyckeln i Key Vault

Om du vill övervaka databastillståndet och aktivera aviseringar för förlust av transparent datakrypteringsskyddsåtkomst konfigurerar du följande Azure-funktioner:

• Azure Resource Health: En otillgänglig databas som har förlorat åtkomsten till kundnyckeln visas som "otillgänglig" efter att den första anslutningen till databasen har nekats.

• Aktivitetslogg: När åtkomsten till kundnyckeln i det kundhanterade Nyckelvalvet misslyckas läggs poster till i aktivitetsloggen. Du kan återställa åtkomsten så snart som möjligt om du skapar aviseringar för dessa händelser.

• Åtgärdsgrupper: Definiera dessa grupper för att skicka meddelanden och aviseringar baserat på dina önskemål.

Nästa steg

• Lär dig mer om datakryptering med kundhanterade nycklar
• Kolla in CMK-gränser och begränsningar i Azure Cosmos DB för PostgreSQL