Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Artikel ini menyediakan instruksi langkah demi langkah untuk mengonfigurasi enkripsi data untuk server fleksibel Azure Database for PostgreSQL.
Penting
Anda dapat memutuskan untuk menggunakan kunci yang dikelola sistem atau kunci yang dikelola pelanggan untuk enkripsi data hanya pada pembuatan server. Setelah Anda membuat keputusan tersebut dan membuat server, Anda tidak dapat beralih di antara dua opsi.
Dalam artikel ini, Anda mempelajari cara membuat server baru dan mengonfigurasi opsi enkripsi datanya. Untuk server yang sudah ada yang menggunakan kunci enkripsi yang dikelola pelanggan untuk enkripsi data, Anda mempelajari:
- Cara memilih identitas terkelola yang ditetapkan pengguna yang berbeda untuk layanan guna mengakses kunci enkripsi.
- Cara menentukan kunci enkripsi yang berbeda atau cara memutar kunci enkripsi yang saat ini digunakan untuk enkripsi data.
Untuk mempelajari tentang enkripsi data dalam konteks Azure Database for PostgreSQL, lihat enkripsi data.
Mengonfigurasi enkripsi data dengan kunci yang dikelola sistem selama provisi server
Selama provisi server fleksibel Azure Database for PostgreSQL baru, konfigurasikan enkripsi data di tab Keamanan. Untuk Kunci enkripsi data, pilih opsi Kunci yang dikelola layanan.
Jika Anda mengaktifkan penyimpanan cadangan geo-redundan untuk disediakan bersama dengan server, aspek tab Keamanan sedikit berubah karena server menggunakan dua kunci enkripsi terpisah. Satu kunci digunakan untuk wilayah utama tempat Anda menerapkan server, dan satu kunci lainnya digunakan untuk wilayah pasangannya, tempat cadangan server direplikasi secara asinkron.
Mengonfigurasi enkripsi data dengan kunci yang dikelola pelanggan selama provisi server
- Buat identitas terkelola yang ditetapkan pengguna, jika Anda belum memilikinya. Jika server Anda mengaktifkan cadangan geo-redundan, Anda perlu membuat dua identitas yang berbeda. Masing-masing identitas tersebut mengakses masing-masing dari dua kunci enkripsi data.
Nota
Meskipun tidak diperlukan, untuk menjaga ketahanan regional, buat identitas terkelola pengguna di wilayah yang sama dengan server Anda. Jika server Anda mengaktifkan redundansi cadangan geografis, buat identitas terkelola pengguna kedua di wilayah server yang dipasangkan .
- Buat Azure Key Vault atau buat HSM Terkelola, jika Anda belum membuat penyimpanan kunci. Pastikan Anda memenuhi persyaratan. Selain itu, ikuti rekomendasi sebelum Anda mengonfigurasi penyimpanan kunci, dan sebelum Anda membuat kunci dan menetapkan izin yang diperlukan ke identitas terkelola yang ditetapkan pengguna. Jika server Anda mengaktifkan cadangan geo-redundan, Anda perlu membuat penyimpanan kunci kedua. Penyimpanan kunci kedua menyimpan kunci enkripsi data yang digunakan untuk mengenkripsi cadangan Anda yang disalin ke wilayah pasangan server.
Nota
Anda harus menyebarkan penyimpanan kunci yang menyimpan kunci enkripsi data di wilayah yang sama dengan server Anda. Jika server Anda mengaktifkan redundansi cadangan geografis, Anda harus membuat penyimpanan kunci yang menyimpan kunci enkripsi data untuk cadangan geo-redundan di wilayah server yang dipasangkan .
Buat kunci di penyimpanan kunci Anda. Jika server Anda mengaktifkan cadangan geo-redundan, Anda memerlukan satu kunci di setiap penyimpanan kunci. Dengan menggunakan salah satu kunci ini, Anda mengenkripsi semua data server Anda (termasuk semua database sistem dan pengguna, file sementara, log server, segmen log write-ahead, dan cadangan). Dengan menggunakan kunci kedua, Anda mengenkripsi salinan backup yang disalin secara asinkron ke region yang dipasangkan dari server Anda.
Selama provisi server fleksibel Azure Database for PostgreSQL baru, konfigurasikan enkripsi data di tab Keamanan. Untuk Kunci enkripsi data, pilih tombol radio kunci yang dikelola pelanggan.
Jika Anda mengaktifkan penyimpanan cadangan geo-redundan untuk disediakan bersama dengan server, aspek tab Keamanan sedikit berubah karena server menggunakan dua kunci enkripsi terpisah. Satu kunci digunakan untuk wilayah utama tempat Anda menerapkan server, dan satu kunci lainnya digunakan untuk wilayah pasangan tempat cadangan server direplikasi secara asinkron.
Di Identitas terkelola yang ditetapkan pengguna, pilih Ubah identitas.
Dari daftar identitas terkelola yang ditetapkan pengguna, pilih identitas yang Anda inginkan untuk digunakan server Anda untuk mengakses kunci enkripsi data yang disimpan dalam Azure Key Vault.
Pilih Tambahkan.
Pilih Gunakan pembaruan versi kunci otomatis, jika Anda lebih suka membiarkan layanan memperbarui referensi secara otomatis ke versi terbaru dari kunci yang dipilih, setiap kali versi saat ini diputar secara manual atau otomatis. Untuk memahami manfaat menggunakan pembaruan versi kunci otomatis, lihat pembaruan versi kunci otomatis.
Pilih Pilih kunci.
Langganan secara otomatis diisi dengan nama langganan tempat server Anda akan dibuat. Penyimpanan kunci yang menyimpan kunci enkripsi data harus ada dalam langganan yang sama dengan server.
Di Jenis penyimpanan kunci, pilih tombol radio yang sesuai dengan jenis penyimpanan kunci tempat Anda berencana untuk menyimpan kunci enkripsi data. Dalam contoh ini, pilih Key vault, tetapi langkahnya serupa jika Anda memilih Managed HSM.
Perluas Brankas kunci (atau HSM Terkelola, jika Anda memilih jenis penyimpanan tersebut), dan pilih instans tempat kunci enkripsi data ada.
Nota
Saat Anda memperluas kotak dropdown, kotak dropdown menunjukkan Tidak ada item yang tersedia. Perlu beberapa detik hingga sistem menampilkan semua instans Key Vault yang diterapkan di wilayah yang sama dengan server.
Perluas Kunci, dan pilih nama kunci yang ingin Anda gunakan untuk enkripsi data.
Jika Anda tidak memilih Gunakan pembaruan versi kunci otomatis, Anda juga harus memilih versi kunci tertentu. Untuk melakukannya, perluas Versi, dan pilih pengidentifikasi versi kunci yang ingin Anda gunakan untuk enkripsi data.
Pilih Pilih.
Konfigurasikan semua pengaturan lain dari server baru dan pilih Tinjau + buat.
Mengonfigurasi enkripsi data dengan kunci yang dikelola pelanggan di server yang ada
Anda memutuskan apakah akan menggunakan kunci yang dikelola sistem atau kunci yang dikelola pelanggan untuk enkripsi data pada pembuatan server. Setelah Anda membuat keputusan tersebut dan membuat server, Anda tidak dapat beralih di antara dua opsi. Satu-satunya alternatif, jika Anda ingin mengubah dari satu ke yang lain, memerlukan pemulihan salah satu cadangan yang tersedia dari server ke server baru. Saat mengonfigurasi pemulihan, Anda dapat mengubah konfigurasi enkripsi data server baru.
Untuk server yang sudah ada yang Anda sebarkan dengan enkripsi data dengan menggunakan kunci yang dikelola pelanggan, Anda dapat membuat beberapa perubahan konfigurasi. Anda dapat mengubah referensi ke kunci yang digunakan untuk enkripsi, serta referensi ke identitas terkelola yang ditetapkan pengguna yang digunakan layanan untuk mengakses kunci yang disimpan di penyimpanan kunci.
Anda harus memperbarui referensi server fleksibel Azure Database for PostgreSQL Anda terhadap sebuah kunci:
- Saat kunci yang disimpan di penyimpanan kunci dirotasi, baik secara manual maupun otomatis, dan Azure Database for PostgreSQL Flexible Server Anda mengacu pada versi kunci tertentu. Jika Anda menunjuk ke kunci, tetapi tidak ke versi kunci tertentu (saat itulah Anda mengaktifkan Gunakan pembaruan versi kunci otomatis ), layanan secara otomatis mereferensikan versi kunci terbaru setiap kali kunci diputar secara manual atau otomatis.
- Saat Anda ingin menggunakan kunci yang sama atau berbeda yang disimpan di penyimpanan kunci yang berbeda.
Anda harus memperbarui identitas terkelola yang ditetapkan pengguna yang digunakan server fleksibel Azure Database for PostgreSQL Anda untuk mengakses kunci enkripsi setiap kali Anda ingin menggunakan identitas yang berbeda.
Pilih Azure Database untuk server fleksibel PostgreSQL Anda.
Di menu sumber daya, di bawah bagian Keamanan , pilih Enkripsi data.
Untuk mengubah identitas terkelola yang ditetapkan pengguna yang digunakan server untuk mengakses penyimpanan kunci, perluas menu dropdown Identitas terkelola yang ditetapkan pengguna , dan pilih salah satu identitas yang tersedia.
Nota
Kotak kombo hanya menampilkan identitas yang ditetapkan oleh server fleksibel Azure Database for PostgreSQL Anda. Meskipun tidak diperlukan, untuk menjaga ketahanan regional, pilih identitas terkelola pengguna di wilayah yang sama dengan server Anda. Jika server Anda mengaktifkan redundansi cadangan geografis, identitas terkelola yang ditetapkan pengguna kedua, yang digunakan untuk mengakses kunci enkripsi data untuk cadangan yang redundan secara geografis, harus ada di wilayah berpasangan server.
Jika identitas terkelola yang ditetapkan pengguna dan ingin Anda gunakan untuk mengakses kunci enkripsi data belum ditetapkan ke server fleksibel Azure Database for PostgreSQL Anda, dan identitas tersebut belum ada sebagai sumber daya Azure dengan objek terkaitnya di Microsoft Entra ID, buat identitas tersebut dengan memilih Create.
Di panel Buat Identitas Terkelola yang Ditetapkan Pengguna, masukkan detail identitas terkelola yang ditetapkan pengguna yang ingin Anda buat, dan tetapkan secara otomatis ke server fleksibel Azure Database for PostgreSQL Anda untuk mengakses kunci enkripsi data.
Jika identitas terkelola yang ditetapkan pengguna yang ingin Anda gunakan untuk mengakses kunci enkripsi data tidak ditetapkan ke server fleksibel Azure Database for PostgreSQL Anda, tetapi ada sebagai sumber daya Azure dengan objek yang sesuai di Microsoft Entra ID, tetapkan identitas tersebut dengan memilih Pilih.
Dari daftar identitas terkelola yang ditetapkan pengguna, pilih identitas yang Anda inginkan untuk digunakan server Anda untuk mengakses kunci enkripsi data yang disimpan dalam Azure Key Vault.
Pilih Tambahkan.
Pilih Gunakan pembaruan versi kunci otomatis jika Anda ingin layanan memperbarui referensi secara otomatis ke versi terbaru dari kunci yang dipilih setiap kali versi saat ini diputar secara manual atau otomatis. Untuk memahami manfaat menggunakan pembaruan versi kunci otomatis, lihat [pembaruan versi kunci otomatis](.. . /security/security-data-encryption.md##CMK pembaruan versi kunci).
Jika Anda memutar kunci dan tidak mengaktifkan Gunakan pembaruan versi kunci otomatis. Atau jika Anda ingin menggunakan kunci yang berbeda, perbarui server fleksibel Azure Database for PostgreSQL Anda sehingga menunjuk ke versi kunci baru atau kunci baru. Untuk melakukannya, salin pengenal sumber daya kunci, lalu tempelkan ke kotak Pengenal kunci.
Jika pengguna yang mengakses portal Microsoft Azure memiliki izin untuk mengakses kunci yang disimpan di penyimpanan kunci, Anda dapat menggunakan pendekatan alternatif untuk memilih kunci baru atau versi kunci baru. Untuk melakukannya, dalam Metode pemilihan kunci, pilih tombol radio Pilih kunci .
Pilih Pilih kunci.
Langganan secara otomatis diisi dengan nama langganan tempat server Anda akan dibuat. Penyimpanan kunci yang menyimpan kunci enkripsi data harus ada dalam langganan yang sama dengan server.
Di Jenis penyimpanan kunci, pilih tombol radio yang sesuai dengan jenis penyimpanan kunci tempat Anda berencana untuk menyimpan kunci enkripsi data. Dalam contoh ini, pilih Key vault, tetapi langkahnya serupa jika Anda memilih Managed HSM.
Perluas Brankas kunci (atau HSM Terkelola, jika Anda memilih jenis penyimpanan tersebut), dan pilih instans tempat kunci enkripsi data ada.
Nota
Saat Anda memperluas kotak dropdown, kotak dropdown menunjukkan Tidak ada item yang tersedia. Perlu beberapa detik hingga sistem menampilkan semua instans Key Vault yang diterapkan di wilayah yang sama dengan server.
Perluas Kunci, dan pilih nama kunci yang ingin Anda gunakan untuk enkripsi data.
Jika Anda tidak memilih Gunakan pembaruan versi kunci otomatis, Anda juga harus memilih versi kunci tertentu. Untuk melakukannya, perluas Versi, dan pilih pengidentifikasi versi kunci yang ingin Anda gunakan untuk enkripsi data.
Pilih Pilih.
Saat Anda puas dengan perubahan, pilih Simpan.