指标顾问服务静态数据加密

  • 项目

重要

从 2023 年 9 月 20 日开始,将无法创建新的 Azure 指标顾问资源。 Azure 指标顾问服务将于 2026 年 10 月 1 日停用。

将数据保存到云时,指标顾问服务会自动加密数据。 指标顾问服务加密可保护数据,并帮助组织履行在安全性与合规性方面做出的承诺。

关于 Azure AI 服务加密

数据使用符合 FIPS 140-2256 位 AES 加密方法进行加密和解密。 加密和解密都是透明的,这意味着将替你管理加密和访问。 默认情况下,你的数据是安全的。 无需修改代码或应用程序即可利用加密。

关于加密密钥管理

默认情况下,订阅使用 Azure 管理的加密密钥。 你还可以使用自己的密钥(称为客户管理的密钥)来管理订阅。 使用客户管理的密钥可以更灵活地创建、轮换、禁用和撤销访问控制。 此外,你还可以审核用于保护数据的加密密钥。 如果为订阅配置了客户管理的密钥,则会提供双重加密。 借助这第二层保护,可以通过 Azure Key Vault 控制加密密钥。

指标顾问支持使用 BYOS(自带存储)进行 CMK 和双重加密。

使用 BYOS 创建指标顾问的步骤

第 1 步。 创建 Azure Database for PostgreSQL 并设置管理员

  • 创建用于 PostgreSQL 的 Azure 数据库

    登录到该Azure 门户并创建 Azure Database for PostgreSQL 的资源。 要注意的几个事项:

    1. 请选择“单个服务器”部署选项。
    2. 选择“数据源”时,请指定为“无”。
    3. 对于“位置”,请确保在与指标顾问资源相同的位置创建。
    4. “版本”应该设置为 11。
    5. “计算 + 存储”应选择至少具有 32 个 vCore 的“内存优化”SKU。

    Create an Azure Database for PostgreSQL

  • 为新建的 PG 设置 Active Directory 管理员

    成功创建 Azure Database for PostgreSQL 之后。 转到新创建的 Azure PG 资源的资源页。 选择“Active Directory 管理员”选项卡,将自己设置为管理员。

步骤 2. 创建一个指标顾问资源并启用托管标识

  • 在 Azure 门户中创建指标顾问资源

    再次转到 Azure 门户搜索“指标顾问”。 创建指标顾问时,切记以下事项:

    1. 选择与创建的 Azure Database for PostgreSQL 相同的“区域”。
    2. 将“自带存储”标记为“是”,然后在下拉列表中选择刚才创建的 Azure Database for PostgreSQL。

  • 为指标顾问启用托管标识

    创建“指标顾问”资源后,选择“身份”并将“状态”设置为“开启”以启用托管标识。

  • 获取托管标识的应用程序 ID

    转到 Microsoft Entra ID 并选择“企业应用程序”。 将“应用程序名称”更改为“托管标识”,复制指标顾问的资源名称,然后搜索。 然后可以从查询结果中查看“应用程序 ID”,复制 ID。

步骤 3. 授予指标顾问访问你的 Azure Database for PostgreSQL 的权限

  • 为 Azure Database for PostgreSQL 上的托管标识授予“所有者”角色

  • 设置防火墙规则

    1. 将“允许访问 Azure 服务”设置为“是”。
    2. 添加用于登录到 Azure Database for PostgreSQL 的客户端 IP 地址。

  • 获取资源类型为“https://ossrdbms-aad.database.chinacloudapi.cn”的帐户的访问令牌。 访问令牌是通过你的帐户登录到 Azure Database for PostgreSQL 时所需的密码。 使用 az 客户端的示例:

    az cloud set --name AzureChinaCloud
az login
az account get-access-token --resource https://ossrdbms-aad.database.chinacloudapi.cn

  • 获取令牌后,使用此令牌登录到 Azure Database for PostgreSQL。 将“servername”替换为可在 Azure Database for PostgreSQL 的“概述”部分中找到的名称。

    export PGPASSWORD=<access-token>
psql -h <servername> -U <adminaccount@servername> -d postgres

  • 登录后,执行以下命令,向指标顾问授予对 Azure Database for PostgreSQL 的访问权限。 将“appid”替换为在步骤 2 中获取的 appid。

    SET aad_validate_oids_in_tenant = off;
CREATE ROLE metricsadvisor WITH LOGIN PASSWORD '<appid>' IN ROLE azure_ad_user;
ALTER ROLE metricsadvisor CREATEDB;
GRANT azure_pg_admin TO metricsadvisor;

通过完成上述所有步骤,你已成功创建了一个支持 CMK 的指标顾问资源。 等待几分钟,直到指标顾问变为可访问。

后续步骤