Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makalede PostgreSQL için Azure Veritabanı esnek sunucusu için veri şifrelemeyi yapılandırmaya yönelik adım adım yönergeler sağlanır.
Önemli
Yalnızca sunucu oluşturma sırasında veri şifrelemesi için sistem tarafından yönetilen anahtar veya müşteri tarafından yönetilen anahtar kullanmaya karar vekleyebilirsiniz. Bu kararı verdikten ve sunucuyu oluşturduktan sonra iki seçenek arasında geçiş yapamazsınız.
Bu makalede, yeni bir sunucu oluşturmayı ve veri şifreleme seçeneklerini yapılandırmayı öğreneceksiniz. Veri şifrelemesi için müşteri tarafından yönetilen şifreleme anahtarı kullanan mevcut sunucular için şunları öğrenirsiniz:
- Hizmetin şifreleme anahtarına erişmesi için kullanıcı tarafından atanan farklı bir yönetilen kimlik nasıl seçilir.
- Farklı bir şifreleme anahtarı belirtme veya şu anda veri şifreleme için kullanılan şifreleme anahtarını döndürme.
PostgreSQL için Azure Veri Tabanı bağlamında veri şifreleme hakkında bilgi edinmek için bkz. veri şifreleme.
Sunucu sağlama sırasında sistem tarafından yönetilen anahtarla veri şifrelemeyi yapılandırma
Azure portalını kullanın:
Yeni PostgreSQL için Azure Veri Tabanı esnek sunucu sağlanırken Güvenlik sekmesinde veri şifrelemesini yapılandırın. Veri şifreleme anahtarı için Hizmet tarafından yönetilen anahtar seçeneğini belirleyin.
Coğrafi olarak yedekli yedekleme depolama alanının sunucuyla birlikte sağlanmasını etkinleştirirseniz, sunucu iki ayrı şifreleme anahtarı kullandığından Güvenlik sekmesinin yönü biraz değişir. Anahtarlardan biri, sunucunuzu konuşlandırdığınız birincil bölge içindir; diğer anahtar ise sunucu yedeklemelerinin eşzamansız olarak çoğaltıldığı eşleştirilmiş bölge içindir.
Sunucu sağlama sırasında müşteri tarafından yönetilen anahtarla veri şifrelemeyi yapılandırma
Azure portalını kullanın:
- Henüz bir yönetilen kimliğiniz yoksa, kullanıcı tarafından atanan bir yönetilen kimlik oluşturun. Sunucunuzda coğrafi olarak yedekli yedeklemeler etkinleştirildiyse iki farklı kimlik oluşturmanız gerekir. Bu kimliklerin her biri iki veri şifreleme anahtarının her birine erişir.
Uyarı
Gerekli olmasa da bölgesel dayanıklılığı korumak için sunucunuzla aynı bölgede kullanıcı tarafından yönetilen kimliği oluşturun. Sunucunuzda coğrafi yedekleme yedekliliği etkinleştirildiyse, sunucunun eşleştirilmiş bölgesinde ikinci kullanıcı tarafından yönetilen kimliği oluşturun.
- Henüz bir anahtar deponuz oluşturulmadıysa bir Azure Key Vault oluşturun veya Yönetilen HSM oluşturun. Gereksinimleri karşıladığınızdan emin olun. Ayrıca, anahtar depoyu yapılandırmadan önce ve anahtarı oluşturup kullanıcı tarafından atanan yönetilen kimliğe gerekli izinleri atamadan önce önerileri izleyin. Sunucunuzda coğrafi olarak yedekli yedeklemeler etkinleştirildiyse ikinci bir anahtar deposu oluşturmanız gerekir. bu ikinci anahtar deposu, yedeklerinizi sunucunun eşleştirilmiş bölgesine kopyalayan veri şifreleme anahtarını tutar.
Uyarı
Veri şifreleme anahtarını sunucunuzla aynı bölgede tutan anahtar depoyu dağıtmanız gerekir. Sunucunuzda coğrafi yedekleme yedekliliği etkinleştirildiyse, coğrafi olarak yedekli yedeklemeler için veri şifreleme anahtarını sunucunun eşleştirilmiş bölgesinde tutan anahtar deposu oluşturmanız gerekir.
Anahtar deponuzda bir anahtar oluşturun. Sunucunuzda coğrafi olarak yedekli yedeklemeler etkinleştirildiyse, anahtar depolarının her birinde bir anahtara ihtiyacınız vardır. Bu anahtarlardan birini kullanarak tüm sunucunuzun verilerini (tüm sistem ve kullanıcı veritabanları, geçici dosyalar, sunucu günlükleri, önceden yazma günlük segmentleri ve yedeklemeler dahil) şifrelersiniz. İkinci anahtarı kullanarak, sunucunuzun eşleştirilmiş bölgesi üzerinden zaman uyumsuz olarak kopyalanan yedeklerin kopyalarını şifrelersiniz.
Yeni PostgreSQL için Azure Veri Tabanı esnek sunucu sağlanırken Güvenlik sekmesinde veri şifrelemesini yapılandırın. Veri şifreleme anahtarı için Müşteri tarafından yönetilen anahtar radyo düğmesini seçin.
Coğrafi olarak yedekli yedekleme depolama alanının sunucuyla birlikte sağlanmasını etkinleştirirseniz, sunucu iki ayrı şifreleme anahtarı kullandığından Güvenlik sekmesinin yönü biraz değişir. Anahtarlardan biri, sunucunuzu dağıttığınız birincil bölge içindir; diğeri de sunucu yedeklerinin eşzamansız olarak çoğaltıldığı eşleştirilmiş bölge içindir.
Kullanıcı tarafından atanan yönetilen kimlik bölümünde Kimliği değiştir'i seçin.
Kullanıcı tarafından atanan yönetilen kimlikler listesinden, sunucunuzun bir Azure Key Vault depolanan veri şifreleme anahtarına erişmek için kullanmasını istediğiniz kimliği seçin.
Add (Ekle) seçeneğini belirleyin.
Geçerli sürüm manuel veya otomatik olarak döndürüldüğünde, hizmetin seçilen anahtarın en güncel sürümüne yönelik başvuruyu otomatik olarak güncellemesine izin vermek istiyorsanız Otomatik anahtar sürümü güncelleştirmesini kullan seçeneğini belirleyin. Otomatik anahtar sürümü güncelleştirmelerini kullanmanın avantajlarını anlamak için bkz. otomatik anahtar sürümü güncelleştirmesi.
Bir anahtar seçin seçeneğini belirleyin.
Abonelik otomatik olarak sunucunuzun oluşturulmak üzere olduğu aboneliğin adıyla doldurulur. Veri şifreleme anahtarını tutan anahtar deposu, sunucuyla aynı abonelikte bulunmalıdır.
Anahtar deposu türü bölümünde, veri şifreleme anahtarını depolamayı planladığınız anahtar deposunun türüne karşılık gelen radyo düğmesini seçin. Bu örnekte Anahtar kasasını seçin, ancak Yönetilen HSMyi seçseniz de izlenecek adımlar benzerdir.
Anahtar kasası'nı (veya bu depolama türünü seçtiyseniz Yönetilen HSM) genişletin ve veri şifreleme anahtarının bulunduğu örneği seçin.
Uyarı
Açılan kutuyu genişlettiğiniz zaman Kullanılabilir öğe yok seçeneğini gösterir. Sunucuyla aynı bölgede dağıtılmış tüm Anahtar Kasası örneklerinin listelenmesi birkaç saniye sürer.
Anahtar'ı genişletin ve veri şifrelemesi için kullanmak istediğiniz anahtarın adını seçin.
Otomatik anahtar sürümü güncelleştirmesini kullan'ı seçmediyseniz anahtarın belirli bir sürümünü de seçmeniz gerekir. Bunu yapmak için Sürüm'i genişletin ve veri şifrelemesi için kullanmak istediğiniz anahtarın sürümünün tanımlayıcısını seçin.
'ı seçin'i seçin.
Yeni sunucunun diğer tüm ayarlarını yapılandırın ve Gözden geçir ve oluştur'u seçin.
Mevcut sunucularda müşteri tarafından yönetilen anahtarla veri şifrelemeyi yapılandırma
Sunucu oluşturma sırasında veri şifrelemesi için sistem tarafından yönetilen anahtar mı yoksa müşteri tarafından yönetilen anahtar mı kullanacağınıza karar verirsiniz. Bu kararı verdikten ve sunucuyu oluşturduktan sonra iki seçenek arasında geçiş yapamazsınız. Bir sunucudan diğerine geçmek istiyorsanız tek alternatif, sunucunun kullanılabilir yedeklerinden herhangi birinin yeni bir sunucuya geri yüklenmesini gerektirir. Geri yüklemeyi yapılandırırken, yeni sunucunun veri şifreleme yapılandırmasını değiştirebilirsiniz.
Müşteri tarafından yönetilen bir anahtar kullanarak veri şifrelemesi ile dağıttığınız mevcut sunucular için çeşitli yapılandırma değişiklikleri yapabilirsiniz. Şifreleme için kullanılan anahtar referanslarını ve hizmetin anahtar depolarında tutulan anahtarlara erişmek üzere kullandığı kullanıcı tarafından atanmış yönetilen kimliklere yönelik referansları değiştirebilirsiniz.
PostgreSQL için Azure Veritabanı esnek sunucunuzun bir anahtara olan başvurularını güncellemeniz gerekir:
- Anahtar deposunda depolanan anahtar el ile veya otomatik olarak döndürüldüğünde ve PostgreSQL için Azure Veritabanı esnek sunucunuz anahtarın belirli bir sürümüne işaret eder. Bir anahtarı işaret ediyor ancak anahtarın belirli bir sürümünü işaret etmiyorsanız (bu, Otomatik anahtar sürümü güncelleştirmesini kullan seçeneği etkin olduğunda geçerlidir), anahtar el ile veya otomatik olarak döndürüldüğünde hizmet otomatik olarak anahtarın en güncel sürümünü kullanır.
- Aynı veya farklı bir anahtar deposunda depolanan farklı bir anahtarı kullanmak istediğinizde.
Farklı bir kimlik kullanmak istediğinizde PostgreSQL için Azure Veri Tabanı esnek sunucunuzun şifreleme anahtarlarına erişmek için kullandığı kullanıcı tarafından atanan yönetilen kimlikleri güncelleştirmeniz gerekir.
Azure portalını kullanın:
PostgreSQL için Azure Veri Tabanı esnek sunucunuzu seçin.
Kaynak menüsünde, Güvenlik bölümünün altında Veri şifrelemesi'ni seçin.
Sunucunun anahtar deposuna erişmek için kullandığı kullanıcı tarafından atanan yönetilen kimliği değiştirmek için Kullanıcı tarafından atanan yönetilen kimlik açılan listesini genişletin ve kullanılabilir kimliklerden herhangi birini seçin.
Uyarı
Birleşik giriş kutusu yalnızca PostgreSQL için Azure Veri Tabanı esnek sunucunuzun atadığı kimlikleri gösterir. Gerekli olmasa da bölgesel dayanıklılığı korumak için sunucunuzla aynı bölgede kullanıcı tarafından yönetilen kimlikleri seçin. Sunucunuzda coğrafi yedekleme yedekliliği etkinleştirildiyse, coğrafi olarak yedekli yedeklemeler için veri şifreleme anahtarına erişmek için kullanılan ikinci kullanıcı tarafından yönetilen kimlik, sunucunun eşleştirilmiş bölgesinde bulunmalıdır.
Veri şifreleme anahtarına erişmek için kullanmak istediğiniz kullanıcı tarafından atanan yönetilen kimlik, PostgreSQL için Azure Veri Tabanı esnek sunucunuza atanmamışsa ve Microsoft Entra ID’de karşılık gelen nesnesiyle birlikte bir Azure kaynağı olarak mevcut değilse, Oluştur'u seçerek bunu oluşturun.
Kullanıcı Tarafından Atanan Yönetilen Kimlik Oluştur panelinde, oluşturmak istediğiniz kullanıcı tarafından atanan yönetilen kimliğin ayrıntılarını girin ve veri şifreleme anahtarına erişmek için otomatik olarak PostgreSQL için Azure Veri Tabanı esnek sunucunuza atayın.
Veri şifreleme anahtarına erişmek için kullanmak istediğiniz kullanıcı tarafından atanan yönetilen kimlik PostgreSQL için Azure Veri Tabanı esnek sunucunuza atanmamışsa ancak Microsoft Entra ID'da ilgili nesnesiyle Azure bir kaynak olarak mevcutsa, Seç'i seçerek bu kimliği atayın.
Kullanıcı tarafından atanan yönetilen kimlikler listesinden, sunucunuzun bir Azure Key Vault depolanan veri şifreleme anahtarına erişmek için kullanmasını istediğiniz kimliği seçin.
Add (Ekle) seçeneğini belirleyin.
Hizmetin, mevcut sürüm el ile veya otomatik olarak döndürüldüğünde seçilen anahtarın en güncel sürümüne yönelik başvuruyu otomatik olarak güncellemesini istiyorsanız Otomatik anahtar sürümü güncelleştirmesini kullan seçeneğini belirleyin. Otomatik anahtar sürüm güncelleştirmelerini kullanmanın avantajlarını anlamak için bkz. [otomatik anahtar sürüm güncelleştirmesi](.. /security/security-data-encryption.md##CMK anahtar sürüm güncelleştirmeleri).
Anahtarı döndürüp Otomatik anahtar sürümü güncellemesini kullan seçeneğini etkinleştirmezseniz. Veya farklı bir anahtar kullanmak istiyorsanız, PostgreSQL için Azure Veri Tabanı esnek sunucunuzu yeni anahtar sürümüne veya yeni anahtara işaret eden şekilde güncelleştirin. Bunu yapmak için anahtarın kaynak tanımlayıcısını kopyalayın ve Anahtar tanımlayıcı kutusuna yapıştırın.
Azure portalına erişen kullanıcının anahtar deposunda depolanan anahtara erişme izinleri varsa, yeni anahtarı veya yeni anahtar sürümünü seçmek için alternatif bir yaklaşım kullanabilirsiniz. Bunu yapmak için, Anahtar seçim yöntemi'nde Bir anahtar seçin seçenek düğmesini seçin.
Tuş seç seçeneğini belirleyin.
Abonelik otomatik olarak sunucunuzun oluşturulmak üzere olduğu aboneliğin adıyla doldurulur. Veri şifreleme anahtarını tutan anahtar deposu, sunucuyla aynı abonelikte bulunmalıdır.
Anahtar deposu türü bölümünde, veri şifreleme anahtarını depolamayı planladığınız anahtar deposunun türüne karşılık gelen radyo düğmesini seçin. Bu örnekte Anahtar kasasını seçin, ancak Yönetilen HSMyi seçseniz de izlenecek adımlar benzerdir.
Anahtar kasası'nı (veya bu depolama türünü seçtiyseniz Yönetilen HSM) genişletin ve veri şifreleme anahtarının bulunduğu örneği seçin.
Uyarı
Açılan kutuyu genişlettiğiniz zaman Kullanılabilir öğe yok seçeneğini gösterir. Sunucuyla aynı bölgede dağıtılmış tüm Anahtar Kasası örneklerinin listelenmesi birkaç saniye sürer.
Anahtar'ı genişletin ve veri şifrelemesi için kullanmak istediğiniz anahtarın adını seçin.
Otomatik anahtar sürümü güncelleştirmesini kullan'ı seçmediyseniz anahtarın belirli bir sürümünü de seçmeniz gerekir. Bunu yapmak için Sürüm'i genişletin ve veri şifrelemesi için kullanmak istediğiniz anahtarın sürümünün tanımlayıcısını seçin.
'ı seçin'i seçin.
Değişikliklerden memnun olduğunuzda Kaydet'i seçin.