Konfigurowanie szyfrowania danych na serwerze elastycznym Azure Database for PostgreSQL

Ten artykuł zawiera instrukcje krok po kroku dotyczące konfigurowania szyfrowania danych dla elastycznego serwera usługi Azure Database for PostgreSQL.

Ważne

Możesz zdecydować się na użycie klucza zarządzanego przez system lub klucza zarządzanego przez klienta na potrzeby szyfrowania danych tylko podczas tworzenia serwera. Po podjęciu tej decyzji i utworzeniu serwera nie można przełączać się między dwiema opcjami.

Z tego artykułu dowiesz się, jak utworzyć nowy serwer i skonfigurować opcje szyfrowania danych. W przypadku istniejących serwerów korzystających z klucza szyfrowania zarządzanego przez klienta na potrzeby szyfrowania danych nauczysz się:

  • Jak wybrać inną tożsamość zarządzaną przypisaną przez użytkownika dla usługi w celu uzyskania dostępu do klucza szyfrowania.
  • Jak określić inny klucz szyfrowania lub sposób rotacji klucza szyfrowania używanego obecnie na potrzeby szyfrowania danych.

Aby dowiedzieć się więcej na temat szyfrowania danych w kontekście Azure Database for PostgreSQL, zobacz Szyfrowanie danych.

Konfigurowanie szyfrowania danych przy użyciu klucza zarządzanego przez system podczas aprowizacji serwera

Użyj portalu Azure:

  1. Podczas aprowizowania nowego serwera elastycznego Azure Database for PostgreSQL skonfiguruj szyfrowanie danych na karcie Zabezpieczenia. W polu Klucz szyfrowania danych wybierz opcję Klucz zarządzany przez usługę.

    Zrzut ekranu przedstawiający sposób wybierania klucza szyfrowania zarządzanego przez system podczas aprowizacji serwera.

  2. Jeśli włączysz obsługę magazynu kopii zapasowych z redundancją geograficzną, który ma być aprowizowany razem z serwerem, wygląd karty Zabezpieczenia nieco się zmienia, ponieważ serwer używa dwóch oddzielnych kluczy szyfrowania. Jednym z kluczy jest region podstawowy, w którym wdrażasz serwer, a jednym z nich jest sparowany region, w którym kopie zapasowe serwera są replikowane asynchronicznie.

    Zrzut ekranu przedstawiający sposób wybierania klucza szyfrowania zarządzanego przez system podczas aprowizacji serwera, gdy serwer jest włączony dla magazynu kopii zapasowych geograficznie nadmiarowych.

Konfigurowanie szyfrowania danych przy użyciu klucza zarządzanego przez klienta podczas aprowizacji serwera

Użyj portalu Azure:

  1. Utwórz tożsamość zarządzaną przypisaną przez użytkownika, jeśli jeszcze jej nie masz. Jeśli serwer ma włączone geograficznie nadmiarowe kopie zapasowe, musisz utworzyć dwie różne tożsamości. Każda z tych tożsamości uzyskuje dostęp do każdego z dwóch kluczy szyfrowania danych.

Uwaga / Notatka

Mimo że nie jest to wymagane, aby zachować odporność regionalną, utwórz tożsamość zarządzaną użytkownika w tym samym regionie co serwer. Jeśli na serwerze włączono nadmiarowość geograficzną kopii zapasowych, utwórz drugą tożsamość zarządzaną przez użytkownika w regionie sparowanym serwera.

  1. Utwórz Azure Key Vault lub utwórz zarządzany moduł HSM, jeśli nie masz jeszcze utworzonego magazynu kluczy. Upewnij się, że spełniasz wymagania. Ponadto przed skonfigurowaniem magazynu kluczy oraz przed utworzeniem klucza i przypisaniem wymaganych uprawnień do tożsamości zarządzanej przypisanej przez użytkownika zapoznaj się z zaleceniami. Jeśli serwer ma włączone geograficznie nadmiarowe kopie zapasowe, należy utworzyć drugi magazyn kluczy. Ten drugi magazyn kluczy przechowuje klucz szyfrowania danych, który szyfruje kopie zapasowe skopiowane do sparowanego regionu serwera.

Uwaga / Notatka

Musisz wdrożyć magazyn kluczy, który przechowuje klucz szyfrowania danych w tym samym regionie co serwer. Jeśli serwer ma włączoną nadmiarowość geograficzną kopii zapasowej, należy utworzyć magazyn kluczy, który przechowuje klucz szyfrowania danych dla geograficznie nadmiarowych kopii zapasowych w sparowanym regionie serwera.

  1. Utwórz klucz w Twoim magazynie kluczy. Jeśli serwer ma włączone geograficznie nadmiarowe kopie zapasowe, potrzebny jest jeden klucz w każdym z magazynów kluczy. Za pomocą jednego z tych kluczy szyfrujesz wszystkie dane serwera (w tym wszystkie bazy danych systemu i użytkowników, pliki tymczasowe, dzienniki serwera, segmenty dzienników z wyprzedzeniem zapisu i kopie zapasowe). Za pomocą drugiego klucza szyfrujesz kopie zapasowe, które są asynchronicznie kopiowane do sparowanego regionu serwera.

  2. Podczas aprowizowania nowego serwera elastycznego Azure Database for PostgreSQL skonfiguruj szyfrowanie danych na karcie Zabezpieczenia. W polu Klucz szyfrowania danych wybierz przycisk radiowy Klucz zarządzany przez klienta.

    Zrzut ekranu przedstawiający sposób wybierania klucza szyfrowania zarządzanego przez klienta podczas aprowizacji serwera.

  3. Jeśli włączysz obsługę magazynu kopii zapasowych z redundancją geograficzną, który ma być aprowizowany razem z serwerem, wygląd karty Zabezpieczenia nieco się zmienia, ponieważ serwer używa dwóch oddzielnych kluczy szyfrowania. Jednym z kluczy jest region podstawowy, w którym wdrażasz serwer, a jednym z nich jest sparowany region, w którym kopie zapasowe serwera są replikowane asynchronicznie.

    Zrzut ekranu przedstawiający sposób wybierania klucza szyfrowania zarządzanego przez klienta podczas aprowizacji serwera, gdy serwer jest włączony dla magazynu kopii zapasowych geograficznie nadmiarowych.

  4. W obszarze Tożsamość zarządzana przypisana przez użytkownika wybierz pozycję Zmień tożsamość.

    Zrzut ekranu przedstawiający sposób wybierania tożsamości zarządzanej przypisanej przez użytkownika w celu uzyskania dostępu do klucza szyfrowania danych dla danych lokalizacji serwera.

  5. Z listy tożsamości zarządzanych przypisanych przez użytkownika wybierz tę, której serwer ma używać do uzyskiwania dostępu do klucza szyfrowania danych przechowywanego w Azure Key Vault.

    Zrzut ekranu przedstawiający sposób wybierania tożsamości zarządzanej przypisanej przez użytkownika, za pomocą której serwer uzyskuje dostęp do klucza szyfrowania danych.

  6. Wybierz Dodaj.

    Zrzut ekranu przedstawiający lokalizację przycisku Dodaj w celu przypisania tożsamości, za pomocą której serwer uzyskuje dostęp do klucza szyfrowania danych.

  7. Wybierz pozycję Użyj automatycznej aktualizacji wersji klucza, jeśli wolisz zezwolić usłudze na automatyczne aktualizowanie odwołania do najnowszej wersji wybranego klucza, za każdym razem, gdy bieżąca wersja jest obracana ręcznie lub automatycznie. Aby zrozumieć zalety korzystania z automatycznych aktualizacji wersji klucza, zobacz automatyczna aktualizacja wersji klucza.

    Zrzut ekranu przedstawiający sposób włączania automatycznych aktualizacji wersji klucza.

  8. Wybierz klucz.

    Zrzut ekranu przedstawiający sposób wybierania klucza szyfrowania danych.

  9. Subskrypcja jest wypełniana automatycznie nazwą subskrypcji, na której ma zostać utworzony serwer. Magazyn kluczy, który przechowuje klucz szyfrowania danych, musi istnieć w tej samej subskrypcji co serwer.

    Zrzut ekranu przedstawiający sposób wybierania subskrypcji, w której powinien istnieć magazyn kluczy.

  10. W polu Typ magazynu kluczy wybierz przycisk radiowy odpowiadający typowi magazynu kluczy, w którym planujesz przechowywać klucz szyfrowania danych. W tym przykładzie wybierz pozycję Magazyn kluczy, ale proces jest podobny, jeśli wybierzesz pozycję Zarządzany moduł HSM.

    Zrzut ekranu przedstawiający sposób wybierania typu magazynu, który przechowuje klucz szyfrowania danych.

  11. Rozwiń Magazyn kluczy (lub zarządzany moduł HSM, jeśli wybrano ten typ magazynu), a następnie wybierz wystąpienie zawierające klucz szyfrowania danych.

    Zrzut ekranu przedstawiający sposób wybierania magazynu kluczy, który przechowuje klucz szyfrowania danych.

    Uwaga / Notatka

    Po rozwinięciu pola listy rozwijanej zostanie wyświetlona pozycja Brak dostępnych elementów. Minie kilka sekund, zanim zostaną wyświetlone wszystkie instancje usługi Key Vault wdrożone w tym samym regionie co serwer.

  12. Rozwiń Klucz i wybierz nazwę klucza, którego chcesz użyć do szyfrowania danych.

    Zrzut ekranu przedstawiający sposób wybierania klucza szyfrowania danych.

  13. Jeśli nie wybrano opcji Użyj automatycznej aktualizacji wersji klucza, musisz również wybrać określoną wersję klucza. W tym celu rozwiń węzeł Wersja, i wybierz identyfikator wersji klucza, którego chcesz użyć do szyfrowania danych.

    Zrzut ekranu przedstawiający sposób wybierania wersji do użycia klucza szyfrowania danych.

  14. Wybierz Wybierz.

    Zrzut ekranu przedstawiający sposób wybierania wybranego klucza.

  15. Skonfiguruj wszystkie inne ustawienia nowego serwera i wybierz pozycję Przejrzyj i utwórz.

    Zrzut ekranu przedstawiający sposób ukończenia tworzenia serwera.

Konfigurowanie szyfrowania danych przy użyciu klucza zarządzanego przez klienta na istniejących serwerach

Decydujesz, czy używać klucza zarządzanego przez system, czy klucza zarządzanego przez klienta na potrzeby szyfrowania danych podczas tworzenia serwera. Po podjęciu tej decyzji i utworzeniu serwera nie można przełączać się między dwiema opcjami. Jedyną alternatywą, jeśli chcesz przejść z jednego rozwiązania na drugie, jest przywrócenie jednej z dostępnych kopii zapasowych serwera na nowy serwer. Podczas konfigurowania przywracania można zmienić konfigurację szyfrowania danych nowego serwera.

W przypadku istniejących serwerów wdrożonych za pomocą szyfrowania danych przy użyciu klucza zarządzanego przez klienta można wprowadzić kilka zmian konfiguracji. Można zmienić odwołania do kluczy używanych do szyfrowania oraz odwołania do przypisanych przez użytkownika tożsamości zarządzanych, których usługa używa do uzyskiwania dostępu do kluczy przechowywanych w magazynach kluczy.

Musisz zaktualizować odwołania serwera elastycznego Azure Database for PostgreSQL do klucza:

  • Gdy klucz przechowywany w magazynie kluczy jest obracany ręcznie lub automatycznie, a serwer elastyczny usługi Azure Database for PostgreSQL wskazuje określoną wersję klucza. Jeśli wskazujesz klucz, ale nie określoną wersję klucza (gdy jest włączona opcja Użyj automatycznej aktualizacji wersji klucza ), usługa automatycznie odwołuje się do najnowszej wersji klucza, gdy klucz jest ręcznie lub automatycznie obracany.
  • Jeśli chcesz użyć tego samego lub innego klucza przechowywanego w innym magazynie kluczy.

Należy zaktualizować tożsamości zarządzane przypisane przez użytkownika używane przez serwer elastyczny usługi Azure Database for PostgreSQL do uzyskiwania dostępu do kluczy szyfrowania za każdym razem, gdy chcesz korzystać z innej tożsamości.

Użyj portalu Azure:

  1. Wybierz elastyczny serwer bazy danych Azure dla PostgreSQL.

  2. W menu zasobów w sekcji Zabezpieczenia wybierz pozycję Szyfrowanie danych.

    Zrzut ekranu przedstawiający sposób uzyskiwania szyfrowania danych dla istniejącego serwera.

  3. Aby zmienić tożsamość zarządzaną przypisaną przez użytkownika, której serwer używa do uzyskiwania dostępu do magazynu kluczy, rozwiń listę rozwijaną Tożsamość zarządzana przypisana przez użytkownika i wybierz dowolną z dostępnych tożsamości.

    Zrzut ekranu przedstawiający sposób wybierania jednej z tożsamości zarządzanych przypisanych przez użytkownika skojarzonych z serwerem.

    Uwaga / Notatka

    Pole kombi wyświetla tylko tożsamości przypisane do Twojego elastycznego serwera Azure Database for PostgreSQL. Mimo że nie jest to wymagane, w celu zachowania odporności regionalnej wybierz tożsamości zarządzane przez użytkownika w tym samym regionie co serwer. Jeśli serwer ma włączoną nadmiarowość geograficzną kopii zapasowej, druga tożsamość zarządzana przez użytkownika, używana do uzyskiwania dostępu do klucza szyfrowania danych dla geograficznie nadmiarowych kopii zapasowych, powinna istnieć w sparowanym regionie serwera.

  4. Jeśli tożsamość zarządzana przypisana przez użytkownika, której chcesz użyć do uzyskiwania dostępu do klucza szyfrowania danych, nie jest przypisana do serwera elastycznego Azure Database for PostgreSQL i nie istnieje jako zasób Azure z odpowiednim obiektem w Microsoft Entra ID, utwórz go, wybierając pozycję Utwórz.

    Zrzut ekranu przedstawiający sposób tworzenia nowych tożsamości zarządzanych przypisywanych przez użytkownika w platformie Azure i usłudze Microsoft Entra ID, automatycznego przypisywania ich do serwera elastycznego Azure Database for PostgreSQL oraz używania ich do uzyskiwania dostępu do klucza szyfrowania danych.

  5. W panelu Tworzenie tożsamości zarządzanej przypisanej przez użytkownika wprowadź szczegóły tożsamości zarządzanej przypisanej przez użytkownika, którą chcesz utworzyć, i automatycznie przypisz ją do serwera elastycznego Azure Database for PostgreSQL w celu uzyskania dostępu do klucza szyfrowania danych.

    Zrzut ekranu przedstawiający sposób podawania szczegółów nowej tożsamości zarządzanej przypisanej przez użytkownika.

  6. Jeśli tożsamość zarządzana przypisana przez użytkownika, której chcesz użyć do uzyskiwania dostępu do klucza szyfrowania danych, nie jest przypisana do serwera elastycznego Azure Database for PostgreSQL, ale istnieje jako zasób Azure z odpowiednim obiektem w Microsoft Entra ID, przypisz go, wybierając pozycję Wybierz.

    Zrzut ekranu przedstawiający, jak wybrać istniejącą tożsamość zarządzaną przypisaną przez użytkownika w Azure i Microsoft Entra ID, automatycznie przypisać ją do serwera elastycznego Azure Database for PostgreSQL oraz użyć jej do uzyskania dostępu do klucza szyfrowania danych.

  7. Z listy tożsamości zarządzanych przypisanych przez użytkownika wybierz tę, której serwer ma używać do uzyskiwania dostępu do klucza szyfrowania danych przechowywanego w Azure Key Vault.

    Zrzut ekranu przedstawiający sposób wybierania istniejącej tożsamości zarządzanej przypisanej przez użytkownika w celu przypisania jej do serwera elastycznego usługi Azure Database for PostgreSQL i używania go do uzyskiwania dostępu do klucza szyfrowania danych.

  8. Wybierz Dodaj.

    Zrzut ekranu przedstawiający sposób dodawania tożsamości zarządzanej przypisanej przez wybranego użytkownika.

  9. Wybierz pozycję Użyj automatycznej aktualizacji wersji klucza , jeśli chcesz, aby usługa automatycznie zaktualizowała odwołanie do najnowszej wersji wybranego klucza za każdym razem, gdy bieżąca wersja jest obracana ręcznie lub automatycznie. Aby zrozumieć zalety korzystania z automatycznych aktualizacji wersji klucza, zobacz [automatyczna aktualizacja wersji klucza](.. /security/security-data-encryption.md##CMK aktualizacji wersji klucza).

    Zrzut ekranu przedstawiający sposób włączania automatycznych aktualizacji wersji klucza.

  10. Jeśli obrócisz klucz i nie włączysz opcji Użyj automatycznej aktualizacji wersji klucza. Możesz też użyć innego klucza, zaktualizuj serwer elastyczny Azure Database for PostgreSQL tak, aby wskazuje on nową wersję klucza lub nowy klucz. W tym celu skopiuj identyfikator zasobu klucza i wklej go w polu Identyfikator klucza .

    Zrzut ekranu przedstawiający miejsce wklejenia identyfikatora zasobu nowego klucza lub nowej wersji klucza, której serwer musi używać do szyfrowania danych.

  11. Jeśli użytkownik, który uzyskuje dostęp do witryny Azure Portal, ma uprawnienia dostępu do klucza przechowywanego w magazynie kluczy, możesz użyć alternatywnego podejścia, aby wybrać nowy klucz lub nową wersję klucza. Aby to zrobić, w metodzie Wyboru klucza wybierz przycisk radiowy Wybierz klucz .

    Zrzut ekranu przedstawiający sposób włączania bardziej przyjaznej dla użytkownika metody wybierania klucza szyfrowania danych do użycia na potrzeby szyfrowania danych.

  12. Wybierz Wybierz klucz.

    Zrzut ekranu przedstawiający sposób wybierania klucza szyfrowania danych.

  13. Subskrypcja jest wypełniana automatycznie nazwą subskrypcji, na której ma zostać utworzony serwer. Magazyn kluczy, który przechowuje klucz szyfrowania danych, musi istnieć w tej samej subskrypcji co serwer.

    Zrzut ekranu przedstawiający sposób wybierania subskrypcji, w której powinien istnieć magazyn kluczy.

  14. W polu Typ magazynu kluczy wybierz przycisk radiowy odpowiadający typowi magazynu kluczy, w którym planujesz przechowywać klucz szyfrowania danych. W tym przykładzie wybierz pozycję Magazyn kluczy, ale proces jest podobny, jeśli wybierzesz pozycję Zarządzany moduł HSM.

    Zrzut ekranu przedstawiający sposób wybierania typu magazynu, który przechowuje klucz szyfrowania danych.

  15. Rozwiń Magazyn kluczy (lub zarządzany moduł HSM, jeśli wybrano ten typ magazynu), a następnie wybierz wystąpienie zawierające klucz szyfrowania danych.

    Zrzut ekranu przedstawiający sposób wybierania magazynu kluczy, który przechowuje klucz szyfrowania danych.

    Uwaga / Notatka

    Po rozwinięciu pola listy rozwijanej zostanie wyświetlona pozycja Brak dostępnych elementów. Minie kilka sekund, zanim zostaną wyświetlone wszystkie instancje usługi Key Vault wdrożone w tym samym regionie co serwer.

  16. Rozwiń Klucz i wybierz nazwę klucza, którego chcesz użyć do szyfrowania danych.

    Zrzut ekranu przedstawiający sposób wybierania klucza szyfrowania danych.

  17. Jeśli nie wybrano opcji Użyj automatycznej aktualizacji wersji klucza, musisz również wybrać określoną wersję klucza. W tym celu rozwiń węzeł Wersja, i wybierz identyfikator wersji klucza, którego chcesz użyć do szyfrowania danych.

    Zrzut ekranu przedstawiający sposób wybierania wersji do użycia klucza szyfrowania danych.

  18. Wybierz Wybierz.

    Zrzut ekranu przedstawiający sposób wybierania wybranego klucza.

  19. Jeśli zmiany są zadowalające, wybierz pozycję Zapisz.

    Zrzut ekranu przedstawiający sposób zapisywania zmian wprowadzonych w konfiguracji szyfrowania danych.