Szyfrowanie danych dla pojedynczego serwera usługi Azure Database for PostgreSQL przy użyciu witryny Azure Portal
DOTYCZY: Azure Database for PostgreSQL — pojedynczy serwer
Ważne
Usługa Azure Database for PostgreSQL — pojedynczy serwer znajduje się na ścieżce wycofania. Zdecydowanie zalecamy uaktualnienie do usługi Azure Database for PostgreSQL — serwer elastyczny. Aby uzyskać więcej informacji na temat migracji do usługi Azure Database for PostgreSQL — serwer elastyczny, zobacz Co się dzieje z usługą Azure Database for PostgreSQL — pojedynczy serwer?.
Dowiedz się, jak za pomocą witryny Azure Portal skonfigurować szyfrowanie danych dla pojedynczego serwera usługi Azure Database for PostgreSQL i zarządzać nim.
Wymagania wstępne dotyczące interfejsu wiersza polecenia platformy Azure
Musisz mieć subskrypcję platformy Azure i być administratorem tej subskrypcji.
W usłudze Azure Key Vault utwórz magazyn kluczy i klucz do użycia dla klucza zarządzanego przez klienta.
Magazyn kluczy musi mieć następujące właściwości do użycia jako klucz zarządzany przez klienta:
-
az resource update --id $(az keyvault show --name \ <key_vault_name> -test -o tsv | awk '{print $1}') --set \ properties.enableSoftDelete=true
-
az keyvault update --name <key_vault_name> --resource-group <resource_group_name> --enable-purge-protection true
-
Klucz musi mieć następujące atrybuty do użycia jako klucz zarządzany przez klienta:
- Brak daty wygaśnięcia
- Niewyłączone
- Możliwość wykonywania operacji pobierania, zawijania klucza i odpakowania kluczy
Ustawianie odpowiednich uprawnień dla operacji kluczy
W usłudze Key Vault wybierz pozycję Zasady>dostępu Dodaj zasady dostępu.
Wybierz pozycję Uprawnienia klucza, a następnie wybierz pozycję Pobierz, Zawijaj, Odpakuj i Podmiot zabezpieczeń, który jest nazwą serwera PostgreSQL. Jeśli nie można odnaleźć podmiotu zabezpieczeń serwera na liście istniejących podmiotów zabezpieczeń, musisz go zarejestrować. Podczas próby skonfigurowania szyfrowania danych po raz pierwszy zostanie wyświetlony monit o zarejestrowanie jednostki serwera i niepowodzenie.
Wybierz pozycję Zapisz.
Ustawianie szyfrowania danych dla pojedynczego serwera usługi Azure Database for PostgreSQL
W usłudze Azure Database for PostgreSQL wybierz pozycję Szyfrowanie danych, aby skonfigurować klucz zarządzany przez klienta.
Możesz wybrać magazyn kluczy i parę kluczy lub wprowadzić identyfikator klucza.
Wybierz pozycję Zapisz.
Aby upewnić się, że wszystkie pliki (w tym pliki tymczasowe) są w pełni zaszyfrowane, uruchom ponownie serwer.
Używanie szyfrowania danych dla serwerów przywracania lub repliki
Po zaszyfrowaniu pojedynczego serwera usługi Azure Database for PostgreSQL za pomocą klucza zarządzanego klienta przechowywanego w usłudze Key Vault każda nowo utworzona kopia serwera jest również szyfrowana. Możesz utworzyć tę nową kopię za pomocą operacji przywracania lokalnego lub geograficznego albo za pomocą operacji repliki (lokalnie/między regionami). Dlatego w przypadku zaszyfrowanego serwera PostgreSQL można wykonać następujące kroki, aby utworzyć zaszyfrowany przywrócony serwer.
Na serwerze wybierz pozycję Przywracanie omówienia>.
Lub w przypadku serwera z włączoną replikacją w obszarze Ustawienia wybierz pozycję Replikacja.
Po zakończeniu operacji przywracania utworzony nowy serwer jest szyfrowany przy użyciu klucza serwera podstawowego. Jednak funkcje i opcje na serwerze są wyłączone, a serwer jest niedostępny. Zapobiega to manipulacji danymi, ponieważ tożsamość nowego serwera nie otrzymała jeszcze uprawnień dostępu do magazynu kluczy.
Aby serwer był dostępny, należy ponownie uruchomić klucz na przywróconym serwerze. Wybierz pozycję Szyfrowanie>danych Zrewiduj klucz.
Uwaga
Pierwsza próba ponownego zmiany zakończy się niepowodzeniem, ponieważ jednostka usługi nowego serwera musi mieć dostęp do magazynu kluczy. Aby wygenerować jednostkę usługi, wybierz pozycję Odwołuj klucz, co spowoduje wyświetlenie błędu, ale generuje jednostkę usługi. Następnie zapoznaj się z tymi krokami we wcześniejszej części tego artykułu.
Musisz przyznać magazynowi kluczy dostęp do nowego serwera. Aby uzyskać więcej informacji, zobacz Włączanie uprawnień RBAC platformy Azure w usłudze Key Vault.
Po zarejestrowaniu jednostki usługi ponownie zrewiduj klucz, a serwer wznowi normalne działanie.
Następne kroki
Aby dowiedzieć się więcej na temat szyfrowania danych, zobacz Szyfrowanie danych pojedynczego serwera usługi Azure Database for PostgreSQL przy użyciu klucza zarządzanego przez klienta.