指标顾问服务静态数据加密
重要
从 2023 年 9 月 20 日开始,将无法创建新的 Azure 指标顾问资源。 Azure 指标顾问服务将于 2026 年 10 月 1 日停用。
重要
Azure 建议使用最安全的可用身份验证流。 本文所述的某些身份验证流需要极高度地信任应用程序,并且附带了其他更安全的流中不存在的风险。 请仅在无法使用其他更安全的流(例如托管标识)时才使用此流。
将数据保存到云时,指标顾问服务会自动加密数据。 指标顾问服务加密可保护数据,并帮助组织履行在安全性与合规性方面做出的承诺。
关于 Azure AI 服务加密
数据使用符合 FIPS 140-2 的 256 位 AES 加密方法进行加密和解密。 加密和解密都是透明的,这意味着将替你管理加密和访问。 默认情况下,你的数据是安全的。 无需修改代码或应用程序即可利用加密。
关于加密密钥管理
默认情况下,订阅使用 Azure 管理的加密密钥。 你还可以使用自己的密钥(称为客户管理的密钥)来管理订阅。 使用客户管理的密钥可以更灵活地创建、轮换、禁用和撤销访问控制。 此外,你还可以审核用于保护数据的加密密钥。 如果为订阅配置了客户管理的密钥,则会提供双重加密。 借助这第二层保护,可以通过 Azure Key Vault 控制加密密钥。
指标顾问支持使用 BYOS(自带存储)进行 CMK 和双重加密。
使用 BYOS 创建指标顾问的步骤
步骤 1:创建 Azure Database for PostgreSQL 并设置管理员
创建用于 PostgreSQL 的 Azure 数据库
登录到该Azure 门户并创建 Azure Database for PostgreSQL 的资源。 要注意的几个事项:
- 请选择“单个服务器”部署选项。
- 选择“数据源”时,请指定为“无”。
- 对于“位置”,请确保在与指标顾问资源相同的位置创建。
- “版本”应该设置为 11。
- “计算 + 存储”应选择至少具有 32 个 vCore 的“内存优化”SKU。
为新建的 PG 设置 Active Directory 管理员
成功创建 Azure Database for PostgreSQL 之后。 转到新创建的 Azure PG 资源的资源页。 选择“Active Directory 管理员”选项卡,将自己设置为管理员。
步骤 2:创建指标顾问资源并启用托管标识
在 Azure 门户中创建指标顾问资源
再次转到 Azure 门户搜索“指标顾问”。 创建指标顾问时,切记以下事项:
- 选择与创建的 Azure Database for PostgreSQL 相同的“区域”。
- 将“自带存储”标记为“是”,然后在下拉列表中选择刚才创建的 Azure Database for PostgreSQL。
为指标顾问启用托管标识
创建“指标顾问”资源后,选择“身份”并将“状态”设置为“开启”以启用托管标识。
获取托管标识的应用程序 ID
转到 Microsoft Entra ID 并选择“企业应用程序”。 将“应用程序名称”更改为“托管标识”,复制指标顾问的资源名称,然后搜索。 然后可以从查询结果中查看“应用程序 ID”,复制 ID。
步骤 3:授予指标顾问访问你的 Azure Database for PostgreSQL 的权限
为 Azure Database for PostgreSQL 上的托管标识授予“所有者”角色
设置防火墙规则
- 将“允许访问 Azure 服务”设置为“是”。
- 添加用于登录到 Azure Database for PostgreSQL 的客户端 IP 地址。
获取资源类型为“https://ossrdbms-aad.database.chinacloudapi.cn”的帐户的访问令牌。 访问令牌是通过你的帐户登录到 Azure Database for PostgreSQL 时所需的密码。 使用
az
客户端的示例:az cloud set --name AzureChinaCloud az login az account get-access-token --resource https://ossrdbms-aad.database.chinacloudapi.cn
获取令牌后,使用此令牌登录到 Azure Database for PostgreSQL。 将“servername”替换为可在 Azure Database for PostgreSQL 的“概述”部分中找到的名称。
export PGPASSWORD=<access-token> psql -h <servername> -U <adminaccount@servername> -d postgres
登录后,执行以下命令,向指标顾问授予对 Azure Database for PostgreSQL 的访问权限。 将“appid”替换为在步骤 2 中获取的 appid。
SET aad_validate_oids_in_tenant = off; CREATE ROLE metricsadvisor WITH LOGIN PASSWORD '<appid>' IN ROLE azure_ad_user; ALTER ROLE metricsadvisor CREATEDB; GRANT azure_pg_admin TO metricsadvisor;
通过完成上述所有步骤,你已成功创建了一个支持 CMK 的指标顾问资源。 等待几分钟,直到指标顾问变为可访问。