Konfigurera datakryptering i Azure Database for PostgreSQL

Använda Azure-portalen:

1. Under etableringen av en ny flexibel Azure Database for PostgreSQL-serverinstans konfigureras datakryptering på fliken Säkerhet . För Datakrypteringsnyckel väljer du alternativknappen Tjänsthanterad nyckel .

   

2. Om du aktiverar geo-redundant säkerhetskopieringslagring som ska etableras tillsammans med servern ändras aspekten av fliken Säkerhet något eftersom servern använder två separata krypteringsnycklar. En för den primära region där du distribuerar servern och en för den parkopplade region som serversäkerhetskopiorna asynkront replikeras till.

   

Du kan aktivera datakryptering med systemtilldelad krypteringsnyckel, samtidigt som du etablerar en ny server, via kommandot az postgres flexible-server create .

az postgres flexible-server create \
  --resource-group <resource_group> \
  --name <server> ...

Använda Azure-portalen:

1. Skapa en användartilldelad hanterad identitet om du inte har någon ännu. Om geo-redundanta säkerhetskopior är aktiverade på servern måste du skapa till olika identiteter. Var och en av dessa identiteter används för att komma åt var och en av de två datakrypteringsnycklarna.

1. Skapa ett Azure Key Vault eller skapa en hanterad HSM om du inte har skapat ett nyckelarkiv ännu. Se till att du uppfyller kraven. Följ också rekommendationerna innan du konfigurerar nyckelarkivet och innan du skapar nyckeln och tilldelar nödvändiga behörigheter till den användartilldelade hanterade identiteten. Om geo-redundanta säkerhetskopieringar är aktiverade på servern måste du skapa ett andra nyckelarkiv. Det andra nyckelarkivet används för att behålla datakrypteringsnyckeln som dina säkerhetskopior kopieras till den kopplade regionen på servern krypteras med.

1. Skapa en nyckel i nyckelarkivet. Om geo-redundanta säkerhetskopior är aktiverade på servern behöver du en nyckel i vart och ett av nyckelarkiven. Med en av dessa nycklar krypterar vi alla serverns data (inklusive alla system- och användardatabaser, temporära filer, serverloggar, loggsegment och säkerhetskopior). Med den andra nyckeln krypterar vi kopiorna av säkerhetskopiorna som asynkront kopieras över den parkopplade regionen på servern.

2. Under etableringen av en ny flexibel Azure Database for PostgreSQL-serverinstans konfigureras datakryptering på fliken Säkerhet . För Datakrypteringsnyckel väljer du alternativknappen Kundhanterad nyckel .

   

3. Om du aktiverar geo-redundant säkerhetskopieringslagring som ska etableras tillsammans med servern ändras aspekten av fliken Säkerhet något eftersom servern använder två separata krypteringsnycklar. En för den primära region där du distribuerar servern och en för den parkopplade region som serversäkerhetskopiorna asynkront replikeras till.

   

4. I Användartilldelad hanterad identitet väljer du Ändra identitet.

   

5. I listan över användartilldelade hanterade identiteter väljer du den som du vill att servern ska använda för att komma åt datakrypteringsnyckeln som lagras i ett Azure Key Vault.

   

6. Välj Lägg till.

   

7. Välj Använd automatisk uppdatering av nyckelversion om du föredrar att låta tjänsten automatiskt uppdatera referensen till den senaste versionen av den valda nyckeln, när den aktuella versionen roteras manuellt eller automatiskt. Information om fördelarna med att använda automatiska uppdateringar av nyckelversioner finns i automatisk uppdatering av nyckelversion.

   

8. Välj Välj en nyckel.

   

9. Prenumerationen fylls automatiskt i med namnet på den prenumeration där servern är på väg att skapas. Nyckelarkivet som behåller datakrypteringsnyckeln måste finnas i samma prenumeration som servern.

   

10. I Nyckellagringstyp väljer du den alternativknapp som motsvarar den typ av nyckellager där du planerar att lagra datakrypteringsnyckeln. I det här exemplet väljer vi Nyckelvalv, men upplevelsen är liknande om du väljer Hanterad HSM.

    

11. Expandera Key Vault (eller Managed HSM, om du valde den lagringstypen) och välj den instans där datakrypteringsnyckeln finns.

    

    Anmärkning

    När du expanderar listrutan visas Inga tillgängliga objekt. Det tar några sekunder innan den visar alla instanser av nyckelvalvet som distribueras i samma region som servern.

12. Expandera Nyckel och välj namnet på den nyckel som du vill använda för datakryptering.

    

13. Om du inte valde Använd automatisk uppdatering av nyckelversion måste du också välja en specifik version av nyckeln. Det gör du genom att expandera Version och välja identifieraren för den version av nyckeln som du vill använda för datakryptering.

    

14. Välj Välj.

    

15. Konfigurera alla andra inställningar för den nya servern och välj Granska + skapa.

    

Du kan aktivera datakryptering med användartilldelad krypteringsnyckel medan du etablerar en ny server via kommandot az postgres flexible-server create .

Om servern inte har geo-redundanta säkerhetskopieringar aktiverade:

az postgres flexible-server create \
  --resource-group <resource_group> \
  --name <server> \
  --geo-redundant-backup Disabled \
  --identity <managed_identity_to_access_primary_encryption_key> \
  --key <resource_identifier_of_primary_encryption_key> ...

Om din server har geo-redundanta säkerhetskopieringar aktiverade:

az postgres flexible-server create \
  --resource-group <resource_group> \
  --name <server> \
  --geo-redundant-backup Enabled \
  --identity <managed_identity_to_access_primary_encryption_key> \
  --key <resource_identifier_of_primary_encryption_key> \
  --backup-identity <managed_identity_to_access_geo_backups_encryption_key> \
  --backup-key <resource_identifier_of_geo_backups_encryption_key> ...

Använda Azure-portalen:

1. Välj din Azure Database for PostgreSQL-flexibla serverinstans.

2. På resursmenyn går du till Säkerhet och väljer Datakryptering.

   

3. Om du vill ändra den användartilldelade hanterade identitet som servern har åtkomst till nyckelarkivet där nyckeln sparas expanderar du listrutan Användartilldelad hanterad identitet och väljer alla tillgängliga identiteter.

   

   Anmärkning

   Identiteter som visas i kombinationsrutan är bara de som din Azure Database for PostgreSQL Flexible Server-instans har tilldelats. Även om det inte krävs rekommenderar vi att du väljer användarhanterade identiteter i samma region som servern för att upprätthålla regional återhämtning. Och om servern har geo-säkerhetskopieringsredundans aktiverad rekommenderar vi att den andra användarhanterade identiteten, som används för att komma åt datakrypteringsnyckeln för geo-redundanta säkerhetskopior, finns i den parkopplade regionen på servern.

4. Om den användartilldelade hanterade identitet som du vill använda för att komma åt datakrypteringsnyckeln inte har tilldelats din Azure Database for PostgreSQL-flexibel serverinstans, och den inte ens finns som en Azure-resurs med motsvarande objekt i Microsoft Entra ID, kan du skapa den genom att välja Skapa.

   

5. I panelen Skapa användartilldelad hanterad identitet fyller du i informationen om den användartilldelade hanterade identitet som du vill skapa och tilldelar automatiskt till azure database for PostgreSQL flexibel serverinstans för åtkomst till datakrypteringsnyckeln.

   

6. Om den användartilldelade hanterade identitet som du vill använda för åtkomst till datakrypteringsnyckeln inte har tilldelats din Azure Database för PostgreSQL-flexibla serverinstans, men den finns som en Azure-resurs med motsvarande objekt i Microsoft Entra ID, kan du tilldela den genom att välja Välj.

   

7. I listan över användartilldelade hanterade identiteter väljer du den som du vill att servern ska använda för att komma åt datakrypteringsnyckeln som lagras i ett Azure Key Vault.

   

8. Välj Lägg till.

   

9. Välj Använd automatisk uppdatering av nyckelversion om du föredrar att låta tjänsten automatiskt uppdatera referensen till den senaste versionen av den valda nyckeln, när den aktuella versionen roteras manuellt eller automatiskt. Information om fördelarna med att använda automatiska uppdateringar av nyckelversioner finns i [automatisk uppdatering av nyckelversion](concepts-data-encryption.md##CMK key version updates).

   

10. Om du roterar nyckeln och inte har Använd automatisk nyckelversionsuppdatering aktiverad. Eller om du vill använda en annan nyckel måste du uppdatera din flexibla Azure Database for PostgreSQL-serverinstans så att den pekar på den nya nyckelversionen eller den nya nyckeln. För att göra det kan du kopiera resursidentifieraren för nyckeln och klistra in den i rutan Nyckelidentifierare .

    

11. Om användaren som kommer åt Azure-portalen har behörighet att komma åt nyckeln som lagras i nyckelarkivet kan du använda en alternativ metod för att välja den nya nyckeln eller den nya nyckelversionen. Det gör du genom att välja alternativknappen Välj en nyckel i Nyckelvalsmetod.

    

12. Välj Välj nyckel.

    

13. Prenumerationen fylls automatiskt i med namnet på den prenumeration där servern är på väg att skapas. Nyckelarkivet som behåller datakrypteringsnyckeln måste finnas i samma prenumeration som servern.

    

14. I Nyckellagringstyp väljer du den alternativknapp som motsvarar den typ av nyckellager där du planerar att lagra datakrypteringsnyckeln. I det här exemplet väljer vi Nyckelvalv, men upplevelsen är liknande om du väljer Hanterad HSM.

    

15. Expandera Key Vault (eller Managed HSM, om du valde den lagringstypen) och välj den instans där datakrypteringsnyckeln finns.

    

    Anmärkning

    När du expanderar listrutan visas Inga tillgängliga objekt. Det tar några sekunder innan den visar alla instanser av nyckelvalvet som distribueras i samma region som servern.

16. Expandera Nyckel och välj namnet på den nyckel som du vill använda för datakryptering.

    

17. Om du inte valde Använd automatisk uppdatering av nyckelversion måste du också välja en specifik version av nyckeln. Det gör du genom att expandera Version och välja identifieraren för den version av nyckeln som du vill använda för datakryptering.

    

18. Välj Välj.

    

19. När du är nöjd med ändringarna väljer du Spara.

    

Du kan konfigurera datakryptering med användartilldelad krypteringsnyckel för en befintlig server via kommandot az postgres flexible-server update .

az postgres flexible-server update \
  --resource-group <resource_group> \
  --name <server> \
  --identity <managed_identity_to_access_primary_encryption_key> \
  --key <resource_identifier_of_primary_encryption_key> ...

Oavsett om du bara vill ändra den användartilldelade hanterade identiteten som används för att komma åt nyckeln, eller om du bara vill ändra nyckeln som används för datakryptering, eller om du vill ändra båda samtidigt, måste du ange både parametrar --identity och --key (eller --backup-identity för --backup-key geo-redundanta säkerhetskopior). Om du anger något av följande fel, men inte båda, får du något av följande fel:

User assigned identity and keyvault key need to be provided together. Please provide --identity and --key together.

User assigned identity and keyvault key need to be provided together. Please provide --backup-identity and --backup-key together.

Om nyckeln som pekar på värdet som skickas till parametern --key (eller --backup-key för geo-redundanta säkerhetskopior) inte finns, eller om den användartilldelade hanterade identiteten vars resursidentifierare skickas till parametern --identity (malm --backup-identity för geo-redundanta säkerhetskopior) inte har de behörigheter som krävs för att komma åt nyckeln får du följande fel:

Code: AzureKeyVaultKeyNameNotFound
Message: The operation could not be completed because the Azure Key Vault Key name '<key_vault_resource>' does not exist or User Assigned Identity does not have Get access to the Key (/azure/postgresql/flexible-server/concepts-data-encryption#requirements-for-configuring-data-encryption-for-azure-database-for-postgresql-flexible-server).

Om din server har geo-redundanta säkerhetskopior aktiverade kan du konfigurera nyckeln som används för kryptering av geo-redundanta säkerhetskopior och den identitet som används för att komma åt nyckeln. Om du vill göra det kan du använda parametrarna --backup-identity och --backup-key .

az postgres flexible-server update \
  --resource-group <resource_group> \
  --name <server> \
  --backup-identity <managed_identity_to_access_georedundant_encryption_key> \
  --backup-key <resource_identifier_of_georedundant_encryption_key> ...

Om du skickar parametrarna --backup-identity och --backup-key till az postgres flexible server update kommandot och refererar till en befintlig server som inte har geo-redundant säkerhetskopiering aktiverad får du följande fel:

Geo-redundant backup is not enabled. You cannot provide Geo-location user assigned identity and keyvault key.

Identiteter som skickas till parametrarna --identity och --backup-identity , om de finns och är giltiga, läggs automatiskt till i listan över användartilldelade hanterade identiteter som är associerade med din flexibla Azure Database for PostgreSQL-serverinstans. Detta gäller även om kommandot senare misslyckas med något annat fel. I sådana fall kanske du vill använda az postgres-kommandona för flexibel serveridentitet för att lista, tilldela eller ta bort användartilldelade hanterade identiteter som tilldelats din flexibla serverinstans i Azure Database for PostgreSQL. Mer information om hur du konfigurerar användartilldelade hanterade identiteter i din flexibla Azure Database for PostgreSQL-serverinstans finns i Associera användartilldelade hanterade identiteter med befintliga servrar, koppla bort användartilldelade hanterade identiteter till befintliga servrar och visa associerade användartilldelade hanterade identiteter.