Skapa och hantera Azure Database for PostgreSQL – flexibel server med data krypterade av kundhanterade nycklar (CMK) med hjälp av Azure CLI

GÄLLER FÖR: Azure Database for PostgreSQL – flexibel server

Kommentar

CLI-exemplen nedan baseras på 2.45.0-versionen av Azure Database for PostgreSQL–cli-bibliotek för flexibel server

I den här artikeln lär du dig hur du skapar och hanterar flexibel Azure Database for PostgreSQL-server med data som krypterats av kundhanterade nycklar med hjälp av Azure CLI. Mer information om funktionen kundhanterade nycklar (CMK) med flexibel Azure Database for PostgreSQL-server finns i översikten.

Konfigurera kundhanterad nyckel när servern skapas

Förutsättningar:

• Du måste ha en Azure-prenumeration och vara administratör för den prenumerationen.

Följ stegen nedan för att aktivera CMK när du skapar en flexibel Azure Database for PostgreSQL-serverinstans med Azure CLI.

1. Skapa ett nyckelvalv och en nyckel som ska användas för en kundhanterad nyckel. Aktivera även rensningsskydd och mjuk borttagning i nyckelvalvet.

     az keyvault create -g <resource_group> -n <vault_name> --location <azure_region> --enable-purge-protection true

2. I det skapade Azure Key Vault skapar du nyckeln som ska användas för datakryptering av Azure Database for PostgreSQL– flexibel serverinstans.

     keyIdentifier=$(az keyvault key create --name <key_name> -p software --vault-name <vault_name> --query key.kid -o tsv)

3. Skapa hanterad identitet som ska användas för att hämta nyckeln från Azure Key Vault.

 identityPrincipalId=$(az identity create -g <resource_group> --name <identity_name> --location <azure_region> --query principalId -o tsv)

4. Lägg till åtkomstprincip med viktiga behörigheter wrapKey, unwrapKey, get, list i Azure KeyVault till den hanterade identitet som du skapade ovan.

az keyvault set-policy -g <resource_group> -n <vault_name>  --object-id $identityPrincipalId --key-permissions wrapKey unwrapKey get list

5. Skapa slutligen en flexibel Azure Database for PostgreSQL-serverinstans med CMK-baserad kryptering aktiverad.

az postgres flexible-server create -g <resource_group> -n <postgres_server_name> --location <azure_region>  --key $keyIdentifier --identity <identity_name>

Uppdatera kundhanterad nyckel på cmk-aktiverad Azure Database for PostgreSQL– flexibel serverinstans

Förutsättningar:

• Du måste ha en Azure-prenumeration och vara administratör för den prenumerationen.
• Key Vault med nyckel i en region där den flexibla serverinstansen Azure Database for PostgreSQL skapas. Följ den här självstudien för att skapa Key Vault och generera nyckeln.

Följ stegen nedan för att ändra\rotera nyckel eller identitet efter att servern har skapats med datakryptering.

1. Ändra nyckel/identitet för datakryptering för befintlig server. Först hämtar du den nya nyckelidentifieraren:

 newKeyIdentifier=$(az keyvault key show --vault-name <vault_name> --name <key_name>  --query key.kid -o tsv)

2. Uppdatera servern med ny nyckel och\eller identitet.

  az postgres flexible-server update --resource-group <resource_group> --name <server_name> --key $newKeyIdentifier --identity <identity_name>

Nästa steg

• Hantera en Azure Database for PostgreSQL – flexibel server med hjälp av Azure CLI