Konfigurasikan enkripsi data di Azure Database for PostgreSQL flexible server

Artikel ini menyediakan instruksi langkah demi langkah untuk mengonfigurasi enkripsi data untuk server fleksibel Azure Database for PostgreSQL.

Penting

Anda dapat memutuskan untuk menggunakan kunci yang dikelola sistem atau kunci yang dikelola pelanggan untuk enkripsi data hanya pada pembuatan server. Setelah Anda membuat keputusan tersebut dan membuat server, Anda tidak dapat beralih di antara dua opsi.

Dalam artikel ini, Anda mempelajari cara membuat server baru dan mengonfigurasi opsi enkripsi datanya. Untuk server yang sudah ada yang menggunakan kunci enkripsi yang dikelola pelanggan untuk enkripsi data, Anda mempelajari:

  • Cara memilih identitas terkelola yang ditetapkan pengguna yang berbeda untuk layanan guna mengakses kunci enkripsi.
  • Cara menentukan kunci enkripsi yang berbeda atau cara memutar kunci enkripsi yang saat ini digunakan untuk enkripsi data.

Untuk mempelajari tentang enkripsi data dalam konteks Azure Database for PostgreSQL, lihat enkripsi data.

Mengonfigurasi enkripsi data dengan kunci yang dikelola sistem selama provisi server

Gunakan portal Azure:

  1. Selama provisi server fleksibel Azure Database for PostgreSQL baru, konfigurasikan enkripsi data di tab Keamanan. Untuk Kunci enkripsi data, pilih opsi Kunci yang dikelola layanan.

    Cuplikan layar yang menunjukkan cara memilih kunci enkripsi terkelola sistem selama provisi server.

  2. Jika Anda mengaktifkan penyimpanan cadangan geo-redundan untuk disediakan bersama dengan server, aspek tab Keamanan sedikit berubah karena server menggunakan dua kunci enkripsi terpisah. Satu kunci digunakan untuk wilayah utama tempat Anda menerapkan server, dan satu kunci lainnya digunakan untuk wilayah pasangannya, tempat cadangan server direplikasi secara asinkron.

    Cuplikan layar yang menunjukkan cara memilih kunci enkripsi yang dikelola sistem selama provisi server, saat server diaktifkan untuk penyimpanan cadangan geo-redundan.

Mengonfigurasi enkripsi data dengan kunci yang dikelola pelanggan selama provisi server

Gunakan portal Azure:

  1. Buat identitas terkelola yang ditetapkan pengguna, jika Anda belum memilikinya. Jika server Anda mengaktifkan cadangan geo-redundan, Anda perlu membuat dua identitas yang berbeda. Masing-masing identitas tersebut mengakses masing-masing dari dua kunci enkripsi data.

Nota

Meskipun tidak diperlukan, untuk menjaga ketahanan regional, buat identitas terkelola pengguna di wilayah yang sama dengan server Anda. Jika server Anda mengaktifkan redundansi cadangan geografis, buat identitas terkelola pengguna kedua di wilayah server yang dipasangkan .

  1. Buat Azure Key Vault atau buat HSM Terkelola, jika Anda belum membuat penyimpanan kunci. Pastikan Anda memenuhi persyaratan. Selain itu, ikuti rekomendasi sebelum Anda mengonfigurasi penyimpanan kunci, dan sebelum Anda membuat kunci dan menetapkan izin yang diperlukan ke identitas terkelola yang ditetapkan pengguna. Jika server Anda mengaktifkan cadangan geo-redundan, Anda perlu membuat penyimpanan kunci kedua. Penyimpanan kunci kedua menyimpan kunci enkripsi data yang digunakan untuk mengenkripsi cadangan Anda yang disalin ke wilayah pasangan server.

Nota

Anda harus menyebarkan penyimpanan kunci yang menyimpan kunci enkripsi data di wilayah yang sama dengan server Anda. Jika server Anda mengaktifkan redundansi cadangan geografis, Anda harus membuat penyimpanan kunci yang menyimpan kunci enkripsi data untuk cadangan geo-redundan di wilayah server yang dipasangkan .

  1. Buat kunci di penyimpanan kunci Anda. Jika server Anda mengaktifkan cadangan geo-redundan, Anda memerlukan satu kunci di setiap penyimpanan kunci. Dengan menggunakan salah satu kunci ini, Anda mengenkripsi semua data server Anda (termasuk semua database sistem dan pengguna, file sementara, log server, segmen log write-ahead, dan cadangan). Dengan menggunakan kunci kedua, Anda mengenkripsi salinan backup yang disalin secara asinkron ke region yang dipasangkan dari server Anda.

  2. Selama provisi server fleksibel Azure Database for PostgreSQL baru, konfigurasikan enkripsi data di tab Keamanan. Untuk Kunci enkripsi data, pilih tombol radio kunci yang dikelola pelanggan.

    Cuplikan layar yang memperlihatkan cara memilih kunci enkripsi yang dikelola pelanggan selama provisi server.

  3. Jika Anda mengaktifkan penyimpanan cadangan geo-redundan untuk disediakan bersama dengan server, aspek tab Keamanan sedikit berubah karena server menggunakan dua kunci enkripsi terpisah. Satu kunci digunakan untuk wilayah utama tempat Anda menerapkan server, dan satu kunci lainnya digunakan untuk wilayah pasangan tempat cadangan server direplikasi secara asinkron.

    Cuplikan layar yang menunjukkan cara memilih kunci enkripsi yang dikelola pelanggan selama provisi server, saat server diaktifkan untuk penyimpanan cadangan geo-redundan.

  4. Di Identitas terkelola yang ditetapkan pengguna, pilih Ubah identitas.

    Cuplikan layar yang memperlihatkan cara memilih identitas terkelola yang ditetapkan pengguna untuk mengakses kunci enkripsi data untuk data lokasi server.

  5. Dari daftar identitas terkelola yang ditetapkan pengguna, pilih identitas yang Anda inginkan untuk digunakan server Anda untuk mengakses kunci enkripsi data yang disimpan dalam Azure Key Vault.

    Cuplikan layar yang memperlihatkan cara memilih identitas terkelola yang ditetapkan pengguna tempat server mengakses kunci enkripsi data.

  6. Pilih Tambahkan.

    Cuplikan layar yang memperlihatkan lokasi tombol Tambahkan untuk menetapkan identitas tempat server mengakses kunci enkripsi data.

  7. Pilih Gunakan pembaruan versi kunci otomatis, jika Anda lebih suka membiarkan layanan memperbarui referensi secara otomatis ke versi terbaru dari kunci yang dipilih, setiap kali versi saat ini diputar secara manual atau otomatis. Untuk memahami manfaat menggunakan pembaruan versi kunci otomatis, lihat pembaruan versi kunci otomatis.

    Cuplikan layar yang memperlihatkan cara mengaktifkan pembaruan versi kunci otomatis.

  8. Pilih Pilih kunci.

    Cuplikan layar yang memperlihatkan cara memilih kunci enkripsi data.

  9. Langganan secara otomatis diisi dengan nama langganan tempat server Anda akan dibuat. Penyimpanan kunci yang menyimpan kunci enkripsi data harus ada dalam langganan yang sama dengan server.

    Cuplikan layar yang memperlihatkan cara memilih langganan tempat penyimpanan kunci harus ada.

  10. Di Jenis penyimpanan kunci, pilih tombol radio yang sesuai dengan jenis penyimpanan kunci tempat Anda berencana untuk menyimpan kunci enkripsi data. Dalam contoh ini, pilih Key vault, tetapi langkahnya serupa jika Anda memilih Managed HSM.

    Cuplikan layar yang memperlihatkan cara memilih jenis penyimpanan yang menyimpan kunci enkripsi data.

  11. Perluas Brankas kunci (atau HSM Terkelola, jika Anda memilih jenis penyimpanan tersebut), dan pilih instans tempat kunci enkripsi data ada.

    Cuplikan layar yang memperlihatkan cara memilih penyimpanan kunci yang menyimpan kunci enkripsi data.

    Nota

    Saat Anda memperluas kotak dropdown, kotak dropdown menunjukkan Tidak ada item yang tersedia. Perlu beberapa detik hingga sistem menampilkan semua instans Key Vault yang diterapkan di wilayah yang sama dengan server.

  12. Perluas Kunci, dan pilih nama kunci yang ingin Anda gunakan untuk enkripsi data.

    Cuplikan layar yang memperlihatkan cara memilih kunci enkripsi data.

  13. Jika Anda tidak memilih Gunakan pembaruan versi kunci otomatis, Anda juga harus memilih versi kunci tertentu. Untuk melakukannya, perluas Versi, dan pilih pengidentifikasi versi kunci yang ingin Anda gunakan untuk enkripsi data.

    Cuplikan layar yang memperlihatkan cara memilih versi untuk menggunakan kunci enkripsi data.

  14. Pilih Pilih.

    Cuplikan layar yang memperlihatkan cara memilih kunci yang dipilih.

  15. Konfigurasikan semua pengaturan lain dari server baru dan pilih Tinjau + buat.

    Cuplikan layar yang memperlihatkan cara menyelesaikan pembuatan server.

Mengonfigurasi enkripsi data dengan kunci yang dikelola pelanggan di server yang ada

Anda memutuskan apakah akan menggunakan kunci yang dikelola sistem atau kunci yang dikelola pelanggan untuk enkripsi data pada pembuatan server. Setelah Anda membuat keputusan tersebut dan membuat server, Anda tidak dapat beralih di antara dua opsi. Satu-satunya alternatif, jika Anda ingin mengubah dari satu ke yang lain, memerlukan pemulihan salah satu cadangan yang tersedia dari server ke server baru. Saat mengonfigurasi pemulihan, Anda dapat mengubah konfigurasi enkripsi data server baru.

Untuk server yang sudah ada yang Anda sebarkan dengan enkripsi data dengan menggunakan kunci yang dikelola pelanggan, Anda dapat membuat beberapa perubahan konfigurasi. Anda dapat mengubah referensi ke kunci yang digunakan untuk enkripsi, serta referensi ke identitas terkelola yang ditetapkan pengguna yang digunakan layanan untuk mengakses kunci yang disimpan di penyimpanan kunci.

Anda harus memperbarui referensi server fleksibel Azure Database for PostgreSQL Anda terhadap sebuah kunci:

  • Saat kunci yang disimpan di penyimpanan kunci dirotasi, baik secara manual maupun otomatis, dan Azure Database for PostgreSQL Flexible Server Anda mengacu pada versi kunci tertentu. Jika Anda menunjuk ke kunci, tetapi tidak ke versi kunci tertentu (saat itulah Anda mengaktifkan Gunakan pembaruan versi kunci otomatis ), layanan secara otomatis mereferensikan versi kunci terbaru setiap kali kunci diputar secara manual atau otomatis.
  • Saat Anda ingin menggunakan kunci yang sama atau berbeda yang disimpan di penyimpanan kunci yang berbeda.

Anda harus memperbarui identitas terkelola yang ditetapkan pengguna yang digunakan server fleksibel Azure Database for PostgreSQL Anda untuk mengakses kunci enkripsi setiap kali Anda ingin menggunakan identitas yang berbeda.

Gunakan portal Azure:

  1. Pilih Azure Database untuk server fleksibel PostgreSQL Anda.

  2. Di menu sumber daya, di bawah bagian Keamanan , pilih Enkripsi data.

    Cuplikan layar yang memperlihatkan cara masuk ke enkripsi Data untuk server yang sudah ada.

  3. Untuk mengubah identitas terkelola yang ditetapkan pengguna yang digunakan server untuk mengakses penyimpanan kunci, perluas menu dropdown Identitas terkelola yang ditetapkan pengguna , dan pilih salah satu identitas yang tersedia.

    Cuplikan layar yang memperlihatkan cara memilih salah satu identitas terkelola yang ditetapkan pengguna yang terkait dengan server.

    Nota

    Kotak kombo hanya menampilkan identitas yang ditetapkan oleh server fleksibel Azure Database for PostgreSQL Anda. Meskipun tidak diperlukan, untuk menjaga ketahanan regional, pilih identitas terkelola pengguna di wilayah yang sama dengan server Anda. Jika server Anda mengaktifkan redundansi cadangan geografis, identitas terkelola yang ditetapkan pengguna kedua, yang digunakan untuk mengakses kunci enkripsi data untuk cadangan yang redundan secara geografis, harus ada di wilayah berpasangan server.

  4. Jika identitas terkelola yang ditetapkan pengguna dan ingin Anda gunakan untuk mengakses kunci enkripsi data belum ditetapkan ke server fleksibel Azure Database for PostgreSQL Anda, dan identitas tersebut belum ada sebagai sumber daya Azure dengan objek terkaitnya di Microsoft Entra ID, buat identitas tersebut dengan memilih Create.

    Cuplikan layar yang memperlihatkan cara membuat identitas terkelola yang ditetapkan pengguna baru di Azure dan ID Microsoft Entra, secara otomatis menetapkannya ke server fleksibel Azure Database for PostgreSQL Anda, dan menggunakannya untuk mengakses kunci enkripsi data.

  5. Di panel Buat Identitas Terkelola yang Ditetapkan Pengguna, masukkan detail identitas terkelola yang ditetapkan pengguna yang ingin Anda buat, dan tetapkan secara otomatis ke server fleksibel Azure Database for PostgreSQL Anda untuk mengakses kunci enkripsi data.

    Cuplikan layar yang memperlihatkan cara memberikan detail untuk identitas terkelola yang ditetapkan pengguna baru.

  6. Jika identitas terkelola yang ditetapkan pengguna yang ingin Anda gunakan untuk mengakses kunci enkripsi data tidak ditetapkan ke server fleksibel Azure Database for PostgreSQL Anda, tetapi ada sebagai sumber daya Azure dengan objek yang sesuai di Microsoft Entra ID, tetapkan identitas tersebut dengan memilih Pilih.

    Cuplikan layar yang memperlihatkan cara memilih identitas terkelola yang ditetapkan pengguna yang ada di Azure dan ID Microsoft Entra, secara otomatis menetapkannya ke server fleksibel Azure Database for PostgreSQL Anda, dan menggunakannya untuk mengakses kunci enkripsi data.

  7. Dari daftar identitas terkelola yang ditetapkan pengguna, pilih identitas yang Anda inginkan untuk digunakan server Anda untuk mengakses kunci enkripsi data yang disimpan dalam Azure Key Vault.

    Cuplikan layar yang memperlihatkan cara memilih identitas terkelola yang ditetapkan pengguna yang ada untuk menetapkannya ke server fleksibel Azure Database for PostgreSQL Anda, dan menggunakannya untuk mengakses kunci enkripsi data.

  8. Pilih Tambahkan.

    Cuplikan layar yang memperlihatkan cara menambahkan identitas terkelola yang ditetapkan pengguna yang dipilih.

  9. Pilih Gunakan pembaruan versi kunci otomatis jika Anda ingin layanan memperbarui referensi secara otomatis ke versi terbaru dari kunci yang dipilih setiap kali versi saat ini diputar secara manual atau otomatis. Untuk memahami manfaat menggunakan pembaruan versi kunci otomatis, lihat [pembaruan versi kunci otomatis](.. . /security/security-data-encryption.md##CMK pembaruan versi kunci).

    Cuplikan layar yang memperlihatkan cara mengaktifkan pembaruan versi kunci otomatis.

  10. Jika Anda memutar kunci dan tidak mengaktifkan Gunakan pembaruan versi kunci otomatis. Atau jika Anda ingin menggunakan kunci yang berbeda, perbarui server fleksibel Azure Database for PostgreSQL Anda sehingga menunjuk ke versi kunci baru atau kunci baru. Untuk melakukannya, salin pengenal sumber daya kunci, lalu tempelkan ke kotak Pengenal kunci.

    Cuplikan layar yang memperlihatkan tempat menempelkan pengidentifikasi sumber daya kunci baru atau versi kunci baru yang harus digunakan server untuk enkripsi data.

  11. Jika pengguna yang mengakses portal Microsoft Azure memiliki izin untuk mengakses kunci yang disimpan di penyimpanan kunci, Anda dapat menggunakan pendekatan alternatif untuk memilih kunci baru atau versi kunci baru. Untuk melakukannya, dalam Metode pemilihan kunci, pilih tombol radio Pilih kunci .

    Cuplikan layar yang memperlihatkan cara mengaktifkan metode yang lebih ramah pengguna untuk memilih kunci enkripsi data yang akan digunakan untuk enkripsi data.

  12. Pilih Pilih kunci.

    Cuplikan layar yang memperlihatkan cara memilih kunci enkripsi data.

  13. Langganan secara otomatis diisi dengan nama langganan tempat server Anda akan dibuat. Penyimpanan kunci yang menyimpan kunci enkripsi data harus ada dalam langganan yang sama dengan server.

    Cuplikan layar yang memperlihatkan cara memilih langganan tempat penyimpanan kunci harus ada.

  14. Di Jenis penyimpanan kunci, pilih tombol radio yang sesuai dengan jenis penyimpanan kunci tempat Anda berencana untuk menyimpan kunci enkripsi data. Dalam contoh ini, pilih Key vault, tetapi langkahnya serupa jika Anda memilih Managed HSM.

    Cuplikan layar yang memperlihatkan cara memilih jenis penyimpanan yang menyimpan kunci enkripsi data.

  15. Perluas Brankas kunci (atau HSM Terkelola, jika Anda memilih jenis penyimpanan tersebut), dan pilih instans tempat kunci enkripsi data ada.

    Cuplikan layar yang memperlihatkan cara memilih penyimpanan kunci yang menyimpan kunci enkripsi data.

    Nota

    Saat Anda memperluas kotak dropdown, kotak dropdown menunjukkan Tidak ada item yang tersedia. Perlu beberapa detik hingga sistem menampilkan semua instans Key Vault yang diterapkan di wilayah yang sama dengan server.

  16. Perluas Kunci, dan pilih nama kunci yang ingin Anda gunakan untuk enkripsi data.

    Cuplikan layar yang memperlihatkan cara memilih kunci enkripsi data.

  17. Jika Anda tidak memilih Gunakan pembaruan versi kunci otomatis, Anda juga harus memilih versi kunci tertentu. Untuk melakukannya, perluas Versi, dan pilih pengidentifikasi versi kunci yang ingin Anda gunakan untuk enkripsi data.

    Cuplikan layar yang memperlihatkan cara memilih versi untuk menggunakan kunci enkripsi data.

  18. Pilih Pilih.

    Cuplikan layar yang memperlihatkan cara memilih kunci yang dipilih.

  19. Saat Anda puas dengan perubahan, pilih Simpan.

    Cuplikan layar yang memperlihatkan cara menyimpan perubahan yang dilakukan pada konfigurasi enkripsi data.