Esnek PostgreSQL için Azure Veri Tabanı sunucuda veri şifrelemeyi yapılandırma

Bu makalede PostgreSQL için Azure Veritabanı esnek sunucusu için veri şifrelemeyi yapılandırmaya yönelik adım adım yönergeler sağlanır.

Önemli

Yalnızca sunucu oluşturma sırasında veri şifrelemesi için sistem tarafından yönetilen anahtar veya müşteri tarafından yönetilen anahtar kullanmaya karar vekleyebilirsiniz. Bu kararı verdikten ve sunucuyu oluşturduktan sonra iki seçenek arasında geçiş yapamazsınız.

Bu makalede, yeni bir sunucu oluşturmayı ve veri şifreleme seçeneklerini yapılandırmayı öğreneceksiniz. Veri şifrelemesi için müşteri tarafından yönetilen şifreleme anahtarı kullanan mevcut sunucular için şunları öğrenirsiniz:

  • Hizmetin şifreleme anahtarına erişmesi için kullanıcı tarafından atanan farklı bir yönetilen kimlik nasıl seçilir.
  • Farklı bir şifreleme anahtarı belirtme veya şu anda veri şifreleme için kullanılan şifreleme anahtarını döndürme.

PostgreSQL için Azure Veri Tabanı bağlamında veri şifreleme hakkında bilgi edinmek için bkz. veri şifreleme.

Sunucu sağlama sırasında sistem tarafından yönetilen anahtarla veri şifrelemeyi yapılandırma

Azure portalını kullanın:

  1. Yeni PostgreSQL için Azure Veri Tabanı esnek sunucu sağlanırken Güvenlik sekmesinde veri şifrelemesini yapılandırın. Veri şifreleme anahtarı için Hizmet tarafından yönetilen anahtar seçeneğini belirleyin.

    Sunucu sağlama sırasında sistem tarafından yönetilen şifreleme anahtarının nasıl seçildiğini gösteren ekran görüntüsü.

  2. Coğrafi olarak yedekli yedekleme depolama alanının sunucuyla birlikte sağlanmasını etkinleştirirseniz, sunucu iki ayrı şifreleme anahtarı kullandığından Güvenlik sekmesinin yönü biraz değişir. Anahtarlardan biri, sunucunuzu konuşlandırdığınız birincil bölge içindir; diğer anahtar ise sunucu yedeklemelerinin eşzamansız olarak çoğaltıldığı eşleştirilmiş bölge içindir.

    Sunucu coğrafi olarak yedekli yedekleme depolaması için etkinleştirildiğinde sunucu sağlama sırasında sistem tarafından yönetilen şifreleme anahtarının nasıl seçildiğini gösteren ekran görüntüsü.

Sunucu sağlama sırasında müşteri tarafından yönetilen anahtarla veri şifrelemeyi yapılandırma

Azure portalını kullanın:

  1. Henüz bir yönetilen kimliğiniz yoksa, kullanıcı tarafından atanan bir yönetilen kimlik oluşturun. Sunucunuzda coğrafi olarak yedekli yedeklemeler etkinleştirildiyse iki farklı kimlik oluşturmanız gerekir. Bu kimliklerin her biri iki veri şifreleme anahtarının her birine erişir.

Uyarı

Gerekli olmasa da bölgesel dayanıklılığı korumak için sunucunuzla aynı bölgede kullanıcı tarafından yönetilen kimliği oluşturun. Sunucunuzda coğrafi yedekleme yedekliliği etkinleştirildiyse, sunucunun eşleştirilmiş bölgesinde ikinci kullanıcı tarafından yönetilen kimliği oluşturun.

  1. Henüz bir anahtar deponuz oluşturulmadıysa bir Azure Key Vault oluşturun veya Yönetilen HSM oluşturun. Gereksinimleri karşıladığınızdan emin olun. Ayrıca, anahtar depoyu yapılandırmadan önce ve anahtarı oluşturup kullanıcı tarafından atanan yönetilen kimliğe gerekli izinleri atamadan önce önerileri izleyin. Sunucunuzda coğrafi olarak yedekli yedeklemeler etkinleştirildiyse ikinci bir anahtar deposu oluşturmanız gerekir. bu ikinci anahtar deposu, yedeklerinizi sunucunun eşleştirilmiş bölgesine kopyalayan veri şifreleme anahtarını tutar.

Uyarı

Veri şifreleme anahtarını sunucunuzla aynı bölgede tutan anahtar depoyu dağıtmanız gerekir. Sunucunuzda coğrafi yedekleme yedekliliği etkinleştirildiyse, coğrafi olarak yedekli yedeklemeler için veri şifreleme anahtarını sunucunun eşleştirilmiş bölgesinde tutan anahtar deposu oluşturmanız gerekir.

  1. Anahtar deponuzda bir anahtar oluşturun. Sunucunuzda coğrafi olarak yedekli yedeklemeler etkinleştirildiyse, anahtar depolarının her birinde bir anahtara ihtiyacınız vardır. Bu anahtarlardan birini kullanarak tüm sunucunuzun verilerini (tüm sistem ve kullanıcı veritabanları, geçici dosyalar, sunucu günlükleri, önceden yazma günlük segmentleri ve yedeklemeler dahil) şifrelersiniz. İkinci anahtarı kullanarak, sunucunuzun eşleştirilmiş bölgesi üzerinden zaman uyumsuz olarak kopyalanan yedeklerin kopyalarını şifrelersiniz.

  2. Yeni PostgreSQL için Azure Veri Tabanı esnek sunucu sağlanırken Güvenlik sekmesinde veri şifrelemesini yapılandırın. Veri şifreleme anahtarı için Müşteri tarafından yönetilen anahtar radyo düğmesini seçin.

    Sunucu sağlama sırasında müşteri tarafından yönetilen şifreleme anahtarının nasıl seçildiğini gösteren ekran görüntüsü.

  3. Coğrafi olarak yedekli yedekleme depolama alanının sunucuyla birlikte sağlanmasını etkinleştirirseniz, sunucu iki ayrı şifreleme anahtarı kullandığından Güvenlik sekmesinin yönü biraz değişir. Anahtarlardan biri, sunucunuzu dağıttığınız birincil bölge içindir; diğeri de sunucu yedeklerinin eşzamansız olarak çoğaltıldığı eşleştirilmiş bölge içindir.

    Sunucu coğrafi olarak yedekli yedekleme depolaması için etkinleştirildiğinde sunucu sağlama sırasında müşteri tarafından yönetilen şifreleme anahtarının nasıl seçildiğini gösteren ekran görüntüsü.

  4. Kullanıcı tarafından atanan yönetilen kimlik bölümünde Kimliği değiştir'i seçin.

    Sunucu konumunun verileri için veri şifreleme anahtarına erişmek üzere kullanıcı tarafından atanan yönetilen kimliğin nasıl seçildiğini gösteren ekran görüntüsü.

  5. Kullanıcı tarafından atanan yönetilen kimlikler listesinden, sunucunuzun bir Azure Key Vault depolanan veri şifreleme anahtarına erişmek için kullanmasını istediğiniz kimliği seçin.

    Sunucunun veri şifreleme anahtarına eriştiği kullanıcı tarafından atanan yönetilen kimliğin nasıl seçildiğini gösteren ekran görüntüsü.

  6. Add (Ekle) seçeneğini belirleyin.

    Sunucunun veri şifreleme anahtarına eriştiği kimliği atamak için Ekle düğmesinin konumunu gösteren ekran görüntüsü.

  7. Geçerli sürüm manuel veya otomatik olarak döndürüldüğünde, hizmetin seçilen anahtarın en güncel sürümüne yönelik başvuruyu otomatik olarak güncellemesine izin vermek istiyorsanız Otomatik anahtar sürümü güncelleştirmesini kullan seçeneğini belirleyin. Otomatik anahtar sürümü güncelleştirmelerini kullanmanın avantajlarını anlamak için bkz. otomatik anahtar sürümü güncelleştirmesi.

    Otomatik anahtar sürüm güncelleştirmelerinin nasıl etkinleştirildiğini gösteren ekran görüntüsü.

  8. Bir anahtar seçin seçeneğini belirleyin.

    Veri şifreleme anahtarının nasıl seçildiğini gösteren ekran görüntüsü.

  9. Abonelik otomatik olarak sunucunuzun oluşturulmak üzere olduğu aboneliğin adıyla doldurulur. Veri şifreleme anahtarını tutan anahtar deposu, sunucuyla aynı abonelikte bulunmalıdır.

    Anahtar deposunun bulunması gereken aboneliğin nasıl seçildiğini gösteren ekran görüntüsü.

  10. Anahtar deposu türü bölümünde, veri şifreleme anahtarını depolamayı planladığınız anahtar deposunun türüne karşılık gelen radyo düğmesini seçin. Bu örnekte Anahtar kasasını seçin, ancak Yönetilen HSMyi seçseniz de izlenecek adımlar benzerdir.

    Veri şifreleme anahtarını tutan depo türünü seçmeyi gösteren ekran görüntüsü.

  11. Anahtar kasası'nı (veya bu depolama türünü seçtiyseniz Yönetilen HSM) genişletin ve veri şifreleme anahtarının bulunduğu örneği seçin.

    Veri şifreleme anahtarını tutan anahtar deposunun nasıl seçildiğini gösteren ekran görüntüsü.

    Uyarı

    Açılan kutuyu genişlettiğiniz zaman Kullanılabilir öğe yok seçeneğini gösterir. Sunucuyla aynı bölgede dağıtılmış tüm Anahtar Kasası örneklerinin listelenmesi birkaç saniye sürer.

  12. Anahtar'ı genişletin ve veri şifrelemesi için kullanmak istediğiniz anahtarın adını seçin.

    Veri şifreleme anahtarının nasıl seçildiğini gösteren ekran görüntüsü.

  13. Otomatik anahtar sürümü güncelleştirmesini kullan'ı seçmediyseniz anahtarın belirli bir sürümünü de seçmeniz gerekir. Bunu yapmak için Sürüm'i genişletin ve veri şifrelemesi için kullanmak istediğiniz anahtarın sürümünün tanımlayıcısını seçin.

    Veri şifreleme anahtarının kullanılacağı sürümün nasıl seçildiğini gösteren ekran görüntüsü.

  14. 'ı seçin'i seçin.

    Seçilen anahtarın nasıl seçildiğini gösteren ekran görüntüsü.

  15. Yeni sunucunun diğer tüm ayarlarını yapılandırın ve Gözden geçir ve oluştur'u seçin.

    Sunucu oluşturma işleminin nasıl tamamlandığını gösteren ekran görüntüsü.

Mevcut sunucularda müşteri tarafından yönetilen anahtarla veri şifrelemeyi yapılandırma

Sunucu oluşturma sırasında veri şifrelemesi için sistem tarafından yönetilen anahtar mı yoksa müşteri tarafından yönetilen anahtar mı kullanacağınıza karar verirsiniz. Bu kararı verdikten ve sunucuyu oluşturduktan sonra iki seçenek arasında geçiş yapamazsınız. Bir sunucudan diğerine geçmek istiyorsanız tek alternatif, sunucunun kullanılabilir yedeklerinden herhangi birinin yeni bir sunucuya geri yüklenmesini gerektirir. Geri yüklemeyi yapılandırırken, yeni sunucunun veri şifreleme yapılandırmasını değiştirebilirsiniz.

Müşteri tarafından yönetilen bir anahtar kullanarak veri şifrelemesi ile dağıttığınız mevcut sunucular için çeşitli yapılandırma değişiklikleri yapabilirsiniz. Şifreleme için kullanılan anahtar referanslarını ve hizmetin anahtar depolarında tutulan anahtarlara erişmek üzere kullandığı kullanıcı tarafından atanmış yönetilen kimliklere yönelik referansları değiştirebilirsiniz.

PostgreSQL için Azure Veritabanı esnek sunucunuzun bir anahtara olan başvurularını güncellemeniz gerekir:

  • Anahtar deposunda depolanan anahtar el ile veya otomatik olarak döndürüldüğünde ve PostgreSQL için Azure Veritabanı esnek sunucunuz anahtarın belirli bir sürümüne işaret eder. Bir anahtarı işaret ediyor ancak anahtarın belirli bir sürümünü işaret etmiyorsanız (bu, Otomatik anahtar sürümü güncelleştirmesini kullan seçeneği etkin olduğunda geçerlidir), anahtar el ile veya otomatik olarak döndürüldüğünde hizmet otomatik olarak anahtarın en güncel sürümünü kullanır.
  • Aynı veya farklı bir anahtar deposunda depolanan farklı bir anahtarı kullanmak istediğinizde.

Farklı bir kimlik kullanmak istediğinizde PostgreSQL için Azure Veri Tabanı esnek sunucunuzun şifreleme anahtarlarına erişmek için kullandığı kullanıcı tarafından atanan yönetilen kimlikleri güncelleştirmeniz gerekir.

Azure portalını kullanın:

  1. PostgreSQL için Azure Veri Tabanı esnek sunucunuzu seçin.

  2. Kaynak menüsünde, Güvenlik bölümünün altında Veri şifrelemesi'ni seçin.

    Var olan bir sunucu için Veri şifrelemesine nasıl ulaşıldığını gösteren ekran görüntüsü.

  3. Sunucunun anahtar deposuna erişmek için kullandığı kullanıcı tarafından atanan yönetilen kimliği değiştirmek için Kullanıcı tarafından atanan yönetilen kimlik açılan listesini genişletin ve kullanılabilir kimliklerden herhangi birini seçin.

    Sunucuyla ilişkilendirilmiş kullanıcı tarafından atanan yönetilen kimliklerden birinin nasıl seçildiğini gösteren ekran görüntüsü.

    Uyarı

    Birleşik giriş kutusu yalnızca PostgreSQL için Azure Veri Tabanı esnek sunucunuzun atadığı kimlikleri gösterir. Gerekli olmasa da bölgesel dayanıklılığı korumak için sunucunuzla aynı bölgede kullanıcı tarafından yönetilen kimlikleri seçin. Sunucunuzda coğrafi yedekleme yedekliliği etkinleştirildiyse, coğrafi olarak yedekli yedeklemeler için veri şifreleme anahtarına erişmek için kullanılan ikinci kullanıcı tarafından yönetilen kimlik, sunucunun eşleştirilmiş bölgesinde bulunmalıdır.

  4. Veri şifreleme anahtarına erişmek için kullanmak istediğiniz kullanıcı tarafından atanan yönetilen kimlik, PostgreSQL için Azure Veri Tabanı esnek sunucunuza atanmamışsa ve Microsoft Entra ID’de karşılık gelen nesnesiyle birlikte bir Azure kaynağı olarak mevcut değilse, Oluştur'u seçerek bunu oluşturun.

    Azure ve Microsoft Entra Id'de yeni kullanıcı tarafından atanan yönetilen kimliklerin nasıl oluşturulacağını, bunu postgreSQL için Azure Veritabanı esnek sunucunuza otomatik olarak atamayı ve veri şifreleme anahtarına erişmek için kullanmayı gösteren ekran görüntüsü.

  5. Kullanıcı Tarafından Atanan Yönetilen Kimlik Oluştur panelinde, oluşturmak istediğiniz kullanıcı tarafından atanan yönetilen kimliğin ayrıntılarını girin ve veri şifreleme anahtarına erişmek için otomatik olarak PostgreSQL için Azure Veri Tabanı esnek sunucunuza atayın.

    Yeni kullanıcı tarafından atanan yönetilen kimliğin ayrıntılarının nasıl sağlandığını gösteren ekran görüntüsü.

  6. Veri şifreleme anahtarına erişmek için kullanmak istediğiniz kullanıcı tarafından atanan yönetilen kimlik PostgreSQL için Azure Veri Tabanı esnek sunucunuza atanmamışsa ancak Microsoft Entra ID'da ilgili nesnesiyle Azure bir kaynak olarak mevcutsa, Seç'i seçerek bu kimliği atayın.

    Azure'da ve Microsoft Entra Id'de mevcut kullanıcı tarafından atanan yönetilen kimliği seçmeyi, otomatik olarak PostgreSQL için Azure Veritabanı esnek sunucunuza atamayı ve veri şifreleme anahtarına erişmek için bu kimliği kullanmayı gösteren ekran görüntüsü.

  7. Kullanıcı tarafından atanan yönetilen kimlikler listesinden, sunucunuzun bir Azure Key Vault depolanan veri şifreleme anahtarına erişmek için kullanmasını istediğiniz kimliği seçin.

    PostgreSQL için Azure Veritabanı esnek sunucunuza atamak üzere mevcut kullanıcı tarafından atanan yönetilen kimliği seçmeyi ve veri şifreleme anahtarına erişmek için bu kimliği kullanmayı gösteren ekran görüntüsü.

  8. Add (Ekle) seçeneğini belirleyin.

    Seçili kullanıcı tarafından atanan yönetilen kimliğin nasıl ekleneceğini gösteren ekran görüntüsü.

  9. Hizmetin, mevcut sürüm el ile veya otomatik olarak döndürüldüğünde seçilen anahtarın en güncel sürümüne yönelik başvuruyu otomatik olarak güncellemesini istiyorsanız Otomatik anahtar sürümü güncelleştirmesini kullan seçeneğini belirleyin. Otomatik anahtar sürüm güncelleştirmelerini kullanmanın avantajlarını anlamak için bkz. [otomatik anahtar sürüm güncelleştirmesi](.. /security/security-data-encryption.md##CMK anahtar sürüm güncelleştirmeleri).

    Otomatik anahtar sürüm güncelleştirmelerinin nasıl etkinleştirildiğini gösteren ekran görüntüsü.

  10. Anahtarı döndürüp Otomatik anahtar sürümü güncellemesini kullan seçeneğini etkinleştirmezseniz. Veya farklı bir anahtar kullanmak istiyorsanız, PostgreSQL için Azure Veri Tabanı esnek sunucunuzu yeni anahtar sürümüne veya yeni anahtara işaret eden şekilde güncelleştirin. Bunu yapmak için anahtarın kaynak tanımlayıcısını kopyalayın ve Anahtar tanımlayıcı kutusuna yapıştırın.

    Sunucunun veri şifrelemesi için kullanması gereken yeni anahtarın veya yeni anahtar sürümünün kaynak tanımlayıcısının nereye yapıştırıldığını gösteren ekran görüntüsü.

  11. Azure portalına erişen kullanıcının anahtar deposunda depolanan anahtara erişme izinleri varsa, yeni anahtarı veya yeni anahtar sürümünü seçmek için alternatif bir yaklaşım kullanabilirsiniz. Bunu yapmak için, Anahtar seçim yöntemi'nde Bir anahtar seçin seçenek düğmesini seçin.

    Veri şifrelemesi için kullanılacak veri şifreleme anahtarını seçmek üzere kullanıcı dostu yönteminin nasıl etkinleştirileceğini gösteren ekran görüntüsü.

  12. Tuş seç seçeneğini belirleyin.

    Veri şifreleme anahtarının nasıl seçildiğini gösteren ekran görüntüsü.

  13. Abonelik otomatik olarak sunucunuzun oluşturulmak üzere olduğu aboneliğin adıyla doldurulur. Veri şifreleme anahtarını tutan anahtar deposu, sunucuyla aynı abonelikte bulunmalıdır.

    Anahtar deposunun bulunması gereken aboneliğin nasıl seçildiğini gösteren ekran görüntüsü.

  14. Anahtar deposu türü bölümünde, veri şifreleme anahtarını depolamayı planladığınız anahtar deposunun türüne karşılık gelen radyo düğmesini seçin. Bu örnekte Anahtar kasasını seçin, ancak Yönetilen HSMyi seçseniz de izlenecek adımlar benzerdir.

    Veri şifreleme anahtarını tutan depo türünü seçmeyi gösteren ekran görüntüsü.

  15. Anahtar kasası'nı (veya bu depolama türünü seçtiyseniz Yönetilen HSM) genişletin ve veri şifreleme anahtarının bulunduğu örneği seçin.

    Veri şifreleme anahtarını tutan anahtar deposunun nasıl seçildiğini gösteren ekran görüntüsü.

    Uyarı

    Açılan kutuyu genişlettiğiniz zaman Kullanılabilir öğe yok seçeneğini gösterir. Sunucuyla aynı bölgede dağıtılmış tüm Anahtar Kasası örneklerinin listelenmesi birkaç saniye sürer.

  16. Anahtar'ı genişletin ve veri şifrelemesi için kullanmak istediğiniz anahtarın adını seçin.

    Veri şifreleme anahtarının nasıl seçildiğini gösteren ekran görüntüsü.

  17. Otomatik anahtar sürümü güncelleştirmesini kullan'ı seçmediyseniz anahtarın belirli bir sürümünü de seçmeniz gerekir. Bunu yapmak için Sürüm'i genişletin ve veri şifrelemesi için kullanmak istediğiniz anahtarın sürümünün tanımlayıcısını seçin.

    Veri şifreleme anahtarının kullanılacağı sürümün nasıl seçildiğini gösteren ekran görüntüsü.

  18. 'ı seçin'i seçin.

    Seçilen anahtarın nasıl seçildiğini gösteren ekran görüntüsü.

  19. Değişikliklerden memnun olduğunuzda Kaydet'i seçin.

    Veri şifreleme yapılandırmasında yapılan değişikliklerin nasıl kaydedildiğini gösteren ekran görüntüsü.