Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
本文提供了为 Azure Database for PostgreSQL 灵活服务器实例配置数据加密的分步说明。
重要
只能在创建服务器时决定是使用系统管理的密钥还是客户管理的密钥进行数据加密。 一旦做出决定并创建服务器,便无法在两个选项之间切换。
本文介绍如何创建新服务器并配置其数据加密选项。 对于配置为使用客户管理的加密密钥进行数据加密的现有服务器,你将了解:
- 如何选择其他用户分配的托管标识供服务访问加密密钥之用。
- 如何指定其他加密密钥,或者如何轮换当前用于数据加密的加密密钥。
若要了解 Azure Database for PostgreSQL 上下文中的数据加密,请参阅 数据加密。
在服务器预配期间使用系统管理的密钥配置数据加密
使用 Azure 门户:
在预配新的 Azure Database for PostgreSQL 灵活服务器实例期间,数据加密在 “安全 ”选项卡中进行配置。对于 数据加密密钥,请选择 服务管理的密钥 单选按钮。
如果要将异地冗余备份存储与服务器一起预配,则“安全性”选项卡方面略有变化,因为服务器使用两个单独的加密密钥。 一个用于部署服务器的主要区域,另一个用于将服务器备份异步复制到的配对区域。
在服务器预配期间为数据加密配置客户管理的密钥
使用 Azure 门户:
- 创建一个用户分配的托管标识(如果尚未创建)。 如果服务器启用了异地冗余备份,则需要创建其他标识。 上述每个标识用于访问每一个数据加密密钥(共两个)。
注释
为了保持区域复原能力,我们建议在服务器所在的同一区域中创建用户托管标识,尽管这并非强制性操作。 如果服务器启用了异地备份冗余,建议在服务器的配对区域中创建用于访问异地冗余备份数据加密密钥的第二个用户托管标识。
- 创建一个 Azure Key Vault(如果尚未创建一个密钥存储)。 请确保满足 要求。 此外,请在配置密钥存储之前以及创建密钥并将所需的权限分配给用户分配的托管标识之前,按照建议进行操作。 如果服务器启用了异地冗余备份,则需要创建第二个密钥存储。 这第二个密钥存储用于保存数据加密密钥,复制到服务器配对区域的备份使用该密钥进行加密。
注释
用于保存数据加密密钥的密钥存储必须部署在与服务器相同的区域中。 如果服务器启用了异地备份冗余,则必须在服务器的配对区域中创建用于保存异地冗余备份数据加密密钥的密钥存储。
在密钥存储中创建一个密钥。 如果服务器启用了异地冗余备份,则每个密钥存储都需要一个密钥。 使用其中一个密钥加密所有服务器数据,包括所有系统和用户数据库、临时文件、服务器日志、预写日志段和备份。 使用第二个密钥,我们将加密异步复制到服务器配对区域的备份副本。
在预配新的 Azure Database for PostgreSQL 灵活服务器实例期间,数据加密在 “安全 ”选项卡中进行配置。对于 数据加密密钥,请选择 “客户管理的密钥 ”单选按钮。
如果要将异地冗余备份存储与服务器一起预配,则“安全性”选项卡方面略有变化,因为服务器使用两个单独的加密密钥。 一个用于部署服务器的主要区域,另一个用于将服务器备份异步复制到的配对区域。
在“用户分配的托管标识”中,选择“更改标识”。
在用户分配的托管标识列表中,选择希望服务器用来访问 Azure Key Vault 中存储的数据加密密钥的那个托管标识。
选择 并添加。
选择“选择密钥”。
订阅会自动填充为要在其上创建服务器的订阅的名称。 保存数据加密密钥的密钥存储必须与服务器位于同一订阅中。
展开 Key Vault,然后选择数据加密密钥所在的实例。
注释
展开下拉框时,它会显示“无可用项”。 需要几秒钟时间才能列出部署在服务器所在的同一区域中的密钥保管库的所有实例。
展开“密钥”,然后选择要用于数据加密的密钥的名称。
展开 “版本”,然后选择要用于数据加密的密钥版本的标识符。
选择 选择。
配置新服务器的所有其他设置,然后选择“查看 + 创建”。
在现有服务器上为数据加密配置客户管理的密钥
只能在创建服务器时决定是使用系统管理的密钥还是客户管理的密钥进行数据加密。 一旦做出决定并创建服务器,便无法在两个选项之间切换。 如果想要从一个选项更改为另一选项,则只能将服务器的现有备份还原到新的服务器。 配置还原时,可以更改新服务器的数据加密配置。
对于部署了使用客户管理的密钥进行数据加密的现有服务器,可以进行多项配置更改。 可以更改的内容是对以下内容的引用:用于加密的密钥,以及供服务用来访问密钥存储中保留的密钥的用户分配的托管标识。
您的 Azure Database for PostgreSQL 灵活服务器实例中对于密钥的引用必须更新。
- 当密钥存储中的密钥轮换时(无论是手动还是自动),您的 Azure Database for PostgreSQL 灵活服务器实例便会指向该密钥的特定版本。
- 当你想要使用存储在不同密钥存储中的相同或不同密钥时。
必须更新 Azure Database for PostgreSQL 灵活服务器实例使用的用户分配的托管标识,以便在使用其他标识时访问加密密钥。
使用 Azure 门户:
选择你的 Azure Database for PostgreSQL 灵活服务器实例。
在资源菜单中的“安全性”下,选择“数据加密”。
若要更改服务器访问密钥所在的密钥存储时使用的用户分配的托管标识,请展开“用户分配的托管标识”下拉列表,然后选择任何可用的标识。
注释
组合框中显示的标识只是为 Azure Database for PostgreSQL 灵活服务器实例分配的标识。 为了保持区域复原能力,我们建议在服务器所在的同一区域中选择用户托管标识,尽管这并非强制性操作。 如果服务器启用了异地备份冗余,建议将用于访问异地冗余备份数据加密密钥的第二个用户托管标识放在服务器的配对区域中。
如果您希望用于访问数据加密密钥的用户分配的托管标识尚未分配给 Azure Database for PostgreSQL 灵活服务器实例,并且在 Microsoft Entra ID 中对应的 Azure 资源对象也不存在,可以通过选择“创建”来创建该标识。
在 “创建用户分配的托管标识 ”面板中,完成要创建的用户分配的托管标识的详细信息,并自动分配给 Azure Database for PostgreSQL 灵活服务器实例以访问数据加密密钥。
如果用于访问数据加密密钥的用户分配的托管标识未分配到您的 Azure Database for PostgreSQL 灵活服务器实例,但它作为一个 Azure 资源与在 Microsoft Entra ID 中的相应对象存在,您可以通过选择 选择 来进行分配。
在用户分配的托管标识列表中,选择希望服务器用来访问 Azure Key Vault 中存储的数据加密密钥的那个托管标识。
选择 并添加。
如果轮换密钥或使用其他密钥,则必须更新 Azure Database for PostgreSQL 灵活服务器实例,使其指向新的密钥版本或新密钥。 为此,可以复制密钥的资源标识符,并将其粘贴到“密钥标识符”框中。
如果访问 Azure 门户的用户有权访问密钥存储中存储的密钥,则可以使用其他方法选择新密钥或新密钥版本。 为此,请在“密钥选择方法”中,选择“选择密钥”单选按钮。
选择“选择密钥”。
订阅会自动填充为要在其上创建服务器的订阅的名称。 保存数据加密密钥的密钥存储必须与服务器位于同一订阅中。
展开 Key Vault,然后选择数据加密密钥所在的实例。
注释
展开下拉框时,它会显示“无可用项”。 需要几秒钟时间才能列出部署在服务器所在的同一区域中的密钥保管库的所有实例。
展开“密钥”,然后选择要用于数据加密的密钥的名称。
展开 “版本”,然后选择要用于数据加密的密钥版本的标识符。
选择 选择。
对所做的更改感到满意后,选择“保存”。
