Поделиться через

Настройка шифрования данных

  • Статья

ОБЛАСТЬ ПРИМЕНЕНИЯ: База данных Azure для PostgreSQL — гибкий сервер

В этой статье приведены пошаговые инструкции по настройке шифрования данных для гибкого сервера База данных Azure для PostgreSQL.

Внимание

Единственный момент, в котором можно решить, следует ли использовать системный управляемый ключ или ключ, управляемый клиентом для шифрования данных, при создании сервера. После принятия этого решения и создания сервера нельзя переключаться между двумя параметрами.

Из этой статьи вы узнаете, как создать новый сервер и настроить его параметры шифрования данных. Для существующих серверов, шифрование данных которых настроено на использование управляемого клиентом ключа шифрования, вы узнаете:

  • Как выбрать другое назначаемое пользователем управляемое удостоверение, с помощью которого служба получает доступ к ключу шифрования.
  • Как указать другой ключ шифрования или сменить ключ шифрования, используемый в настоящее время для шифрования данных.

Сведения о шифровании данных в контексте гибкого сервера Базы данных Azure для PostgreSQL см. в разделе шифрования данных.

Настройка шифрования данных с помощью системного управляемого ключа во время подготовки сервера

В случае использования портала Azure выполните следующие действия:

  1. Во время настройки новой базы данных Azure для гибкого сервера PostgreSQL шифрование данных настраивается на вкладке «Безопасность». Для ключа шифрования данных выберите переключатель ключ, управляемый службой.

    Снимок экрана: выбор ключа управляемого системой шифрования во время подготовки сервера.

  2. Если вы включите геоизбыточное хранилище резервных копий вместе с сервером для предоставления, аспект вкладки "Безопасность" немного изменяется, так как сервер использует два отдельных ключа шифрования. Один для основного региона, в котором развертывается сервер, и один для парного региона, в который резервные копии сервера реплицируются асинхронно.

    Снимок экрана, показывающий, как выбрать ключ управляемого системой шифрования во время подготовки сервера, когда на сервере включено геоизбыточное хранилище резервных копий.

Настройка шифрования данных с помощью управляемого клиентом ключа во время подготовки сервера

В случае использования портала Azure выполните следующие действия:

  1. Создайте назначаемое пользователем управляемое удостоверение, если у вас его еще нет. Если на вашем сервере включена геоизбыточная резервная копия, вам нужно создать две разные учетные записи. Каждое из этих удостоверений используется для доступа к двум ключам шифрования данных.

    Примечание.

    Хотя это не обязательно, для поддержания региональной устойчивости рекомендуется создать управляемое удостоверение пользователя в том же регионе, что и сервер. Если на вашем сервере включена избыточность геоизбыточного резервного копирования, мы рекомендуем создать вторую управляемую идентичность для доступа к ключу шифрования данных, используемого для геоизбыточного резервного копирования, в парном регионе сервера.

  2. Создайте хранилище ключей Azure или создайте управляемый модуль HSM, если у вас еще нет одного хранилища ключей. Убедитесь, что выполнены требования. Кроме того, следуйте рекомендациям перед настройкой хранилища ключей и перед созданием ключа и назначьте необходимые разрешения для управляемого удостоверения, назначаемого пользователем. Если на сервере включена геоизбыточная резервная копия, необходимо создать второе хранилище ключей. Это второе хранилище ключей используется для хранения ключа шифрования данных, с помощью которого резервные копии, скопированные в парный регион сервера, шифруются.

    Примечание.

    Хранилище ключей, используемое для хранения ключа шифрования данных, должно быть развернуто в том же регионе, что и сервер. Если на сервере включено географически избыточное резервное копирование, хранилище ключей, которое сохраняет ключ шифрования данных для таких резервных копий, необходимо создать в парном регионе сервера.

  3. Создайте один ключ в хранилище ключей. Если на сервере включены геоизбыточные резервные копии, вам потребуется один ключ в каждом из хранилищ ключей. С помощью одного из этих ключей мы шифруем все данные сервера (включая все системные и пользовательские базы данных, временные файлы, журналы сервера, сегменты журналов записи и резервные копии). С помощью второго ключа мы шифруем копии резервных копий, которые асинхронно копируются в парном регионе сервера.

  4. Во время подготовки нового гибкого сервера базы данных Azure для PostgreSQL шифрование данных настраивается на вкладке "Безопасность ". Для ключа шифрования данных выберите переключатель , управляемый клиентом .

    Снимок экрана: выбор ключа шифрования, управляемого клиентом, во время подготовки сервера.

  5. Если вы включите геоизбыточное хранилище резервных копий для совместной настройки с сервером, внешний вид вкладки Безопасность немного изменится, так как сервер использует два отдельных ключа шифрования. Один для основного региона, в котором развертывается сервер, и один для парного региона, в который резервные копии сервера реплицируются асинхронно.

    Скриншот, показывающий, как выбрать ключ шифрования, управляемый клиентом, во время развертывания сервера, когда на сервере включена поддержка геоизбыточного хранилища резервных копий.

  6. В управляемом удостоверении, назначаемом пользователем выберите Изменить удостоверение.

    Снимок экрана, показывающий, как выбрать управляемое удостоверение, назначенное пользователем, для доступа к ключу шифрования данных, относящемуся к данному расположению сервера.

  7. В списке назначенных пользователем управляемых удостоверений выберите то, которое ваш сервер будет использовать для доступа к ключу шифрования данных, хранящимся в Azure Key Vault.

    Снимок экрана, демонстрирующий, как выбрать управляемое удостоверение, назначенное пользователем, с помощью которого сервер получает доступ к ключу шифрования данных.

  8. Выберите Добавить.

    Снимок экрана: расположение кнопки

  9. Если вы предпочитаете, чтобы служба автоматически обновляла ссылку на самую актуальную версию выбранного ключа, выберите Использовать ключ без версионности (режим предварительного просмотра), когда текущая версия обновляется вручную или автоматически. Чтобы понять преимущества использования бессерверных ключей, ознакомьтесь с ключами, управляемыми клиентом без версий.

    Снимок экрана, который показывает, как включить ключи без версий.

  10. Выберите ключ.

    Снимок экрана: выбор ключа шифрования данных.

  11. Подписка автоматически заполняется именем подписки, на которой будет создан сервер. Хранилище ключей, которое сохраняет ключ шифрования данных, должно существовать в той же подписке, что и сервер.

    Снимок экрана, на котором показано, как выбрать подписку, в которой должно существовать хранилище ключей.

  12. В типе хранилища ключей выберите переключатель, соответствующий типу хранилища ключей, в котором планируется сохранить ключ шифрования данных. В этом примере мы выбираем Key Vault, но при выборе Managed HSM интерфейс будет аналогичным.

    Снимок экрана, на котором показано, как выбрать тип хранилища, который сохраняет ключ шифрования данных.

  13. Разверните хранилище ключей (или управляемый HSM, если выбран этот тип хранилища) и выберите экземпляр, в котором существует ключ шифрования данных.

    Снимок экрана: выбор хранилища ключей, который сохраняет ключ шифрования данных.

    Примечание.

    При развертывании раскрывающегося списка отображаются недоступные элементы. Это займет несколько секунд, пока он не выводит список всех экземпляров хранилища ключей, развернутых в том же регионе, что и сервер.

  14. Разверните ключ и выберите имя ключа, который требуется использовать для шифрования данных.

    Снимок экрана: выбор ключа шифрования данных.

  15. Если вы не выбрали параметр «Использовать ключ без версии (предварительный просмотр)», необходимо также выбрать определенную версию ключа. Для этого разверните версию и выберите идентификатор версии ключа, который требуется использовать для шифрования данных.

    Снимок экрана: выбор версии для использования ключа шифрования данных.

  16. Выберите Выберите.

    Снимок экрана: выбор ключа.

  17. Настройте все остальные параметры нового сервера и выберите "Проверить и создать".

    Снимок экрана, на котором показано, как завершить создание сервера.

Настройка шифрования данных с помощью управляемого клиентом ключа на существующих серверах

Единственный момент, в котором можно решить, следует ли использовать системный управляемый ключ или ключ, управляемый клиентом для шифрования данных, при создании сервера. После принятия этого решения и создания сервера нельзя переключаться между двумя параметрами. Единственный вариант, если вы хотите изменить один на другой, требует восстановления любой из резервных копий, доступных на новом сервере. При настройке восстановления можно изменить конфигурацию шифрования данных нового сервера.

Для существующих серверов, которые были развернуты с шифрованием данных с помощью управляемого клиентом ключа, можно выполнить несколько изменений конфигурации. То, что можно изменить, — это ссылки на ключи, используемые для шифрования, и ссылки на назначенные пользователем управляемые удостоверения, которые служба использует для доступа к ключам, хранящимся в хранилищах ключей.

Необходимо обновить ссылки на ключ, которые у гибкого сервера Azure Database для PostgreSQL.

  • Если ключ, хранящийся в хранилище ключей, поворачивается вручную или автоматически, а гибкий сервер Базы данных Azure для PostgreSQL указывает на определенную версию ключа. Если вы указываете на ключ, но не к определенной версии ключа (то есть при использовании меньшего ключа (предварительная версия) служба будет автоматически ссылаться на самую текущую версию ключа, всякий раз, когда ключ будет поворачиваться вручную или автоматически поворачивается.
  • Если вы хотите использовать тот же или другой ключ, хранящийся в другом хранилище ключей.

Для обновления управляемых удостоверений, назначаемых пользователю и используемых вашим гибким сервером базы данных Azure для PostgreSQL для доступа к ключам шифрования, вам необходимо выполнить следующие действия:

  • Всякий раз, когда вы хотите использовать другую личность.

В случае использования портала Azure выполните следующие действия:

  1. Выберите свой гибкий сервер базы данных Azure для PostgreSQL.

  2. В меню ресурсов в разделе "Безопасность" выберите "Шифрование данных".

    Снимок экрана, на котором показано, как получить шифрование данных для существующего сервера.

  3. Чтобы изменить назначенное пользователем управляемое удостоверение, с помощью которого сервер обращается к хранилищу ключей, в котором хранится ключ, разверните раскрывающийся список управляемых удостоверений , назначенных пользователем, и выберите все доступные удостоверения.

    Снимок экрана, показывающий, как выбрать одно из управляемых удостоверений, назначенных пользователем и связанных с сервером.

    Примечание.

    Идентификаторы, отображаемые в поле со списком, это только те, которые назначены вашему настраиваемому серверу базы данных Azure для PostgreSQL. Хотя это не обязательно, для обеспечения региональной устойчивости мы рекомендуем выбрать управляемые пользователем идентификаторы в том же регионе, что и ваш сервер. И если на сервере включено гео-резервное копирование, мы рекомендуем, чтобы второе управляемое удостоверение пользователя, используемое для доступа к ключу шифрования данных для геоизбыточного резервного копирования, находилось в парном регионе сервера.

  4. Если управляемое удостоверение, назначенное пользователем, которое вы хотите использовать для доступа к ключу шифрования данных, не назначено вашему гибкому серверу базы данных Azure для PostgreSQL и даже не существует как ресурс Azure с соответствующим объектом в каталоге Microsoft Entra ID, его можно создать, выбрав Create.

    Снимок экрана, показывающий, как создать новые назначенные пользователем управляемые удостоверения в Azure и Microsoft Entra ID, автоматически назначить его гибкому серверу базы данных Azure Database for PostgreSQL и использовать его для доступа к ключу шифрования данных.

  5. На панели создания управляемого удостоверения, назначаемого пользователем, заполните сведения о назначенном пользователем управляемом удостоверении, которое вы хотите создать, и автоматически назначьте гибкому серверу База данных Azure для PostgreSQL доступ к ключу шифрования данных.

    Снимок экрана, демонстрирующий, как ввести данные для управляемого удостоверения, назначенного новому пользователю.

  6. Если назначаемое пользователем управляемое удостоверение, которое вы хотите использовать для доступа к ключу шифрования данных, не назначается вашему База данных Azure для PostgreSQL гибкому серверу, но оно существует как ресурс Azure с соответствующим объектом в идентификаторе Microsoft Entra ID, его можно назначить, нажав кнопку Select.

    Снимок экрана, показывающий, как выбрать существующее управляемое удостоверение, назначаемое пользователем в Azure и Microsoft Entra ID, автоматически назначить его гибкому серверу базы данных Azure PostgreSQL и использовать для доступа к ключу шифрования данных.

  7. В списке назначенных пользователем управляемых удостоверений выберите то, которое вы хотите использовать на вашем сервере для доступа к ключу шифрования данных, хранящемуся в Azure Key Vault.

    Снимок экрана, показывающий, как выбрать уже существующее управляемое удостоверение, назначенное пользователем, чтобы назначить его вашему гибкому серверу Azure Database for PostgreSQL и использовать для доступа к ключу шифрования данных.

  8. Выберите Добавить.

    Снимок экрана, показывающий, как добавить выбранное управляемое удостоверение, назначенное пользователем.

  9. Если вы предпочитаете, чтобы служба автоматически обновляла ссылку на самую актуальную версию выбранного ключа при ручной или автоматической смене текущей версии, выберите "Использовать ключ без указания версии (предварительная версия)". Чтобы понять преимущества использования безверсийных ключей, см. ключи, управляемые клиентом без версий.

    Снимок экрана, показывающий, как включить ключи без версий.

  10. Если вы повернете ключ и не включили Использовать версию с меньшим ключом (предварительный просмотр), Или если вы хотите использовать другой ключ, необходимо обновить гибкий сервер Базы данных Azure для PostgreSQL, чтобы он указывает на новую версию ключа или новый ключ. Для этого можно скопировать идентификатор ресурса ключа и вставить его в поле идентификатора ключа.

    Снимок экрана, на котором показано, где вставить идентификатор ресурса нового ключа или новую версию ключа, которую сервер должен использовать для шифрования данных.

  11. Если у пользователя, который заходит на портал Azure, есть разрешения на доступ к ключу, хранящемуся в хранилище ключей, можно использовать альтернативный подход для выбора нового ключа или новой версии ключа. Для этого в Метод выбора ключа выберите переключатель Выбрать ключ.

    Снимок экрана, на котором показано, как включить удобный метод пользователя, чтобы выбрать ключ шифрования данных, используемый для шифрования данных.

  12. Выберите ключ.

    Снимок экрана: выбор ключа шифрования данных.

  13. Подписка автоматически заполняется именем подписки, на которой будет создан сервер. Хранилище ключей, которое сохраняет ключ шифрования данных, должно существовать в той же подписке, что и сервер.

    Снимок экрана, на котором показано, как выбрать подписку, в которой должно существовать хранилище ключей.

  14. В типе хранилища ключей выберите переключатель, соответствующий типу хранилища ключей, в котором планируется сохранить ключ шифрования данных. В этом примере мы выбираем Key Vault, но аналогичный опыт будет, если выбрать Managed HSM.

    Снимок экрана, на котором показано, как выбрать тип хранилища, который сохраняет ключ шифрования данных.

  15. Разверните хранилище ключей (или управляемый HSM, если выбран этот тип хранилища) и выберите экземпляр, в котором существует ключ шифрования данных.

    Снимок экрана: выбор хранилища ключей, который сохраняет ключ шифрования данных.

    Примечание.

    При развертывании раскрывающегося списка отображаются недоступные элементы. Это займет несколько секунд, пока он не выводит список всех экземпляров хранилища ключей, развернутых в том же регионе, что и сервер.

  16. Разверните ключ и выберите имя ключа, который требуется использовать для шифрования данных.

    Снимок экрана: выбор ключа шифрования данных.

  17. Если вы не выбрали параметр Use version less key (preview), необходимо также выбрать определенную версию ключа. Для этого разверните версию и выберите идентификатор версии ключа, который требуется использовать для шифрования данных.

    Снимок экрана: выбор версии для использования ключа шифрования данных.

  18. Нажмите Выбрать.

    Снимок экрана: выбор ключа.

  19. После внесения изменений нажмите кнопку "Сохранить".

    Снимок экрана: сохранение изменений, внесенных в конфигурацию шифрования данных.

Связанный контент