你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用 Azure 门户为 Azure Database for MySQL 灵活服务器执行数据加密

本教程介绍如何设置和管理 Azure Database for MySQL 灵活服务器的数据加密。

在本教程中,你将了解如何执行以下操作:

  • 为 Azure Database for MySQL 灵活服务器设置数据加密。

  • 为还原配置数据加密。

  • 为副本服务器配置数据加密。

    注意

    Azure 密钥保管库访问配置现在支持两种类型的权限模型:Azure 基于角色的访问控制保管库访问策略。 本教程介绍如何使用保管库访问策略为 Azure Database for MySQL 灵活服务器配置数据加密。 但是,可以选择使用 Azure RBAC 作为权限模型来授予对 Azure 密钥保管库的访问权限。 为此,需要具有以下三个权限的任何内置或自定义角色,并使用 keyvault 中的“访问控制 (IAM)”选项卡分配该角色:a) KeyVault/vaults/keys/wrap/action b) KeyVault/vaults/keys/unwrap/action c) KeyVault/vaults/keys/read。 对于 Azure 密钥保管库托管 HSM,还需要在 RBAC 中分配“托管 HSM 加密服务加密用户”角色分配。

先决条件

为密钥操作设置正确的权限

  1. 在密钥保管库中,选择“访问策略”,然后选择“创建”。

    Azure 门户中的密钥保管库访问策略的屏幕截图。

  2. 在“权限”选项卡上,选择以下密钥权限:“获取”、“列出”、“包装密钥”、“解包密钥”。

  3. 在“主体”选项卡上,选择“用户分配的托管标识”。

    Azure 门户中的主体选项卡的屏幕截图。

  4. 选择“创建”。

配置客户管理的密钥

若要设置客户管理的密钥,请执行以下步骤。

  1. 在门户中,导航到 Azure Database for MySQL 灵活服务器实例,然后在“安全性”下选择“数据加密”。

    数据加密页的屏幕截图。

  2. 在“数据加密”页中的“未分配标识”下,选择“更改标识”。

  3. 在“选择用户分配*的托管标识”对话框中选择“demo-umi”标识,然后选择“添加**”。

    在分配的托管标识页中选择 demo-umi 的屏幕截图。

  4. 在“密钥选择方法”的右侧,选择“选择密钥”并指定密钥保管库和密钥对,或者选择“输入密钥标识符”。

    用于显示用户的密钥选择方法的屏幕截图。

  5. 选择“保存”。

使用数据加密进行还原

要将数据加密用作还原操作的一部分,请执行以下步骤。

  1. 在 Azure 门户中,在你的服务器的导航“概述”页上,选择“还原”。

    1. 在“安全性”选项卡上,指定标识和密钥。

      概述页的屏幕截图。

  2. 选择“更改标识”,选择“用户分配的托管标识”,然后选择“添加若要选择密钥,可以选择密钥保管库密钥对,或输入密钥标识符

    更改标识页的屏幕截图。

为副本服务器使用数据加密

在使用客户存储在 Key Vault 中的托管密钥对 Azure Database for MySQL 灵活服务器实例进行加密后,还将对服务器的任何新创建的副本进行加密。

  1. 若要配置复制,请在“设置”下选择“复制”,然后选择“添加副本”。

    “复制”页的屏幕截图。

  2. 在“将副本服务器添加到 Azure Database for MySQL”对话框中,选择相应的“计算 + 存储”选项,然后选择“确定”。

    “计算 + 存储”页的屏幕截图。

    重要

    尝试使用已有副本的客户管理的密钥对 Azure Database for MySQL 灵活服务器进行加密时,我们建议同时通过添加托管标识和密钥来配置副本。