Шифрование данных для Базы данных Azure для MySQL с помощью портала Azure

В этой статье показано, как настроить и управлять шифрованием данных в состоянии покоя для базы данных Azure для MySQL — гибкий сервер с помощью портала Azure.

В этой статье вы узнаете, как:

  • Задайте шифрование данных для Базы данных Azure для MySQL.
  • Настройте шифрование данных для операций восстановления базы данных.
  • Настройте шифрование данных для серверов реплик.

Типы шифрования

База данных Azure для MySQL поддерживает два основных типа шифрования для защиты данных.

  • Шифрование неактивных данных гарантирует, что все данные, хранящиеся в базе данных, включая резервные копии и журналы, защищены от несанкционированного доступа путем шифрования его на диске.
  • Шифрование при передаче защищает данные по мере перемещения между клиентскими приложениями и сервером базы данных, охваченным протоколом TLS в Базе данных Azure для MySQL.

Модели разрешений для доступа к Azure Key Vault

Конфигурация доступа к хранилищу ключей Azure теперь поддерживает два типа моделей разрешений : управление доступом на основе ролей Azure и политика доступа к Хранилищу. В статье описывается настройка шифрования данных для Базы данных Azure для MySQL с помощью политики доступа к Хранилищу.

Вы можете использовать Azure RBAC в качестве модели разрешений для предоставления доступа к Azure Key Vault. Для этого вам потребуется встроенная или настраиваемая роль с тремя разрешениями, назначаемая через "назначение ролей" с использованием вкладки "Управление доступом (IAM)" в хранилище ключей.

  • KeyVault/vaults/key/wrap/action
  • KeyVault/vaults/key/unwrap/action
  • KeyVault/vaults/key/read.

Для HSM, управляемого с помощью Azure Key Vault, необходимо назначить роль "Пользователь шифрования управляемой криптографической службы HSM".

Предпосылки

Настройка соответствующих разрешений для ключевых операций

  1. В Key Vault выберите политики доступа и нажмите кнопку "Создать".

    Снимок экрана: политика доступа Key Vault на портале Azure.

  2. На вкладке "Разрешения" выберите следующие разрешения ключа: Get , List , Wrap Key , Unwrap Key.

  3. На вкладке "Основной" выберите управляемое удостоверение, назначенное пользователем.

    Снимок экрана: основная вкладка на портале Azure.

  4. Нажмите кнопку "Создать".

Настройка управляемого клиентом ключа

Чтобы настроить ключ, управляемый клиентом, выполните следующие действия.

  1. На портале перейдите к экземпляру гибкого сервера Базы данных Azure для MySQL, а затем в разделе "Безопасность " выберите шифрование данных.

    Снимок экрана: страница шифрования данных.

  2. На странице шифрования данных в разделе "Не назначено удостоверение ", выберите "Изменить удостоверение ",

  3. В диалоговом окне "Выбор назначаемого пользователем управляемого удостоверения" выберите demo-umi удостоверение, а затем нажмите "Добавить".

    Снимок экрана: выбор демо-umi на странице назначенного управляемого удостоверения.

  4. Справа от метода выбораключа выберите ключ и укажите хранилище ключей и пару ключей или введите идентификатор ключа.

    Снимок экрана метода выбора ключа для показа пользователю.

  5. Нажмите кнопку "Сохранить".

Использование шифрования данных для восстановления

Чтобы использовать шифрование данных в рамках операции восстановления, выполните следующие действия.

  1. На портале Azure перейдите на страницу обзора сервера и выберите "Восстановить".

  2. На вкладке "Безопасность " укажите удостоверение и ключ.

    Снимок экрана: страница обзора.

  3. Выберите Изменить удостоверение и выберите управляемое удостоверение, назначенное пользователем, и выберите Добавить.

    Чтобы выбрать ключ, можно выбрать хранилище ключей и пару ключей или ввести идентификатор ключа.

    Снимок экрана страницы изменения учетной записи.

Использование шифрования данных для серверов-реплик

После шифрования экземпляра гибкого сервера базы данных Azure для MySQL с помощью управляемого ключа клиента, хранящегося в Key Vault, также шифруется любая только что созданная копия сервера.

  1. Чтобы настроить репликацию, в разделе "Параметры " выберите "Репликация " и выберите "Добавить реплику".

    Снимок экрана: страница репликации.

  2. В диалоговом окне "Добавление сервера реплики в базу данных Azure для MySQL" выберите соответствующий параметр вычисления и хранилища , а затем нажмите кнопку "ОК".

    Снимок экрана: страница

    Это важно

    При попытке шифрования гибкого сервера Базы данных Azure для MySQL с помощью управляемого клиентом ключа, уже имеющего реплики, рекомендуется настроить одну или несколько реплик, добавив управляемое удостоверение и ключ.

Связанный контент

  • Last updated on