本文提供了为 Azure Database for PostgreSQL 灵活服务器实例配置数据加密的分步说明。
重要
在创建服务器时,唯一可以决定是否要使用系统托管密钥或客户托管密钥进行数据加密。 做出该决定并创建服务器后,不能在两个选项之间切换。
本文介绍如何创建新服务器并配置其数据加密选项。 对于将数据加密配置为使用客户管理的加密密钥的现有服务器,你将了解:
- 如何选择服务访问加密密钥的不同用户分配的托管标识。
- 如何指定不同的加密密钥,或如何轮换当前用于数据加密的加密密钥。
若要了解 Azure Database for PostgreSQL 上下文中的数据加密,请参阅 数据加密。
在服务器预配过程中使用系统托管密钥配置数据加密
使用 Azure 门户:
在预配新的 Azure Database for PostgreSQL 灵活服务器实例期间,数据加密在 “安全 ”选项卡中进行配置。对于 数据加密密钥,请选择 服务管理的密钥 单选按钮。
如果将异地冗余备份存储与服务器一起预配, “安全 ”选项卡的方面会略有更改,因为服务器使用两个单独的加密密钥。 一个用于要在其中部署服务器的主要区域,一个用于异步复制服务器备份到的配对区域。
在服务器预配过程中使用客户管理的密钥配置数据加密
使用 Azure 门户:
- 如果还没有托管标识,请创建一个用户分配的托管标识。 如果服务器启用了异地冗余备份,则需要创建到不同的标识。 每个标识都用于访问两个数据加密密钥中的每一个。
注释
尽管不需要维护区域复原能力,但建议在服务器所在的同一区域中创建用户托管标识。 如果服务器启用了异地备份冗余,我们建议在服务器的 配对区域中 创建用于访问异地冗余备份的数据加密密钥的第二个用户托管标识。
- 创建一个 Azure Key Vault(如果尚未创建一个密钥存储)。 请确保满足 要求。 此外,在配置密钥存储之前以及创建密钥之前,请遵循 建议 ,并将所需的权限分配给用户分配的托管标识。 如果服务器启用了异地冗余备份,则需要创建第二个密钥存储。 第二个密钥存储用于保留备份复制到服务器的 配对区域 的数据加密密钥。
注释
用于保留数据加密密钥的密钥存储必须部署在服务器所在的同一区域中。 如果服务器启用了异地备份冗余,则必须在服务器的 配对区域中 创建保留异地冗余备份的数据加密密钥的密钥存储。
在密钥存储中创建一个密钥。 如果服务器启用了异地冗余备份,则需要每个密钥存储上的一个密钥。 使用这些密钥之一,我们将加密服务器的所有数据(包括所有系统和用户数据库、临时文件、服务器日志、预写日志段和备份)。 使用第二个密钥,我们将加密通过服务器的 配对区域 异步复制的备份副本。
在预配新的 Azure Database for PostgreSQL 灵活服务器实例期间,数据加密在 “安全 ”选项卡中进行配置。对于 数据加密密钥,请选择 “客户管理的密钥 ”单选按钮。
如果将异地冗余备份存储与服务器一起预配, “安全 ”选项卡的方面会略有更改,因为服务器使用两个单独的加密密钥。 一个用于要在其中部署服务器的主要区域,一个用于异步复制服务器备份到的配对区域。
在 “用户分配的托管标识”中,选择“ 更改标识”。
在用户分配的托管标识列表中,选择希望服务器用来访问 Azure Key Vault 中存储的数据加密密钥。
选择 并添加。
选择密钥。
订阅 会自动填充要在其上创建服务器的订阅的名称。 保留数据加密密钥的密钥存储必须与服务器位于同一订阅中。
展开 Key Vault,然后选择数据加密密钥所在的实例。
注释
展开下拉列表框时,会显示 “无可用项”。 它需要几秒钟时间才能列出部署在服务器所在的同一区域中的密钥保管库的所有实例。
展开 密钥,然后选择要用于数据加密的密钥的名称。
展开 “版本”,然后选择要用于数据加密的密钥版本的标识符。
选中“选择”。
配置新服务器的所有其他设置,然后选择“ 查看 + 创建”。
在现有服务器上使用客户管理的密钥配置数据加密
在创建服务器时,唯一可以决定是否要使用系统托管密钥或客户托管密钥进行数据加密。 做出该决定并创建服务器后,不能在两个选项之间切换。 如果想要从一个备份更改为另一个,唯一的替代方法需要 将服务器可用的任何备份还原到新的服务器上。 配置还原时,可以更改新服务器的数据加密配置。
对于使用客户托管密钥使用数据加密部署的现有服务器,可以执行多项配置更改。 可以更改的内容是对用于加密的密钥的引用,以及服务用来访问密钥存储中保留的密钥的用户分配的托管标识的引用。
您的 Azure Database for PostgreSQL 灵活服务器实例中对于密钥的引用必须更新。
- 当密钥存储中的密钥轮换时(无论是手动还是自动),您的 Azure Database for PostgreSQL 灵活服务器实例便会指向该密钥的特定版本。
- 如果想要使用不同的密钥存储中存储的相同或不同的密钥。
必须更新 Azure Database for PostgreSQL 灵活服务器实例使用的用户分配的托管标识,以便在使用其他标识时访问加密密钥。
使用 Azure 门户:
选择你的 Azure Database for PostgreSQL 灵活服务器实例。
在资源菜单中的 “安全性”下,选择 “数据加密”。
若要更改服务器访问密钥所在的密钥存储区的用户分配的托管标识,请展开 “用户分配的托管标识 ”下拉列表,然后选择任何可用的标识。
注释
组合框中显示的标识只是为 Azure Database for PostgreSQL 灵活服务器实例分配的标识。 尽管这不是必需的,但为了保持区域复原能力,我们建议在服务器所在的同一区域中选择用户托管标识。 如果服务器启用了异地备份冗余,我们建议用于访问异地冗余备份的数据加密密钥的第二个用户托管标识存在于服务器的 配对区域中 。
如果您希望用于访问数据加密密钥的用户分配的托管标识尚未分配给 Azure Database for PostgreSQL 灵活服务器实例,并且在 Microsoft Entra ID 中对应的 Azure 资源对象也不存在,可以通过选择“创建”来创建该标识。
在 “创建用户分配的托管标识 ”面板中,完成要创建的用户分配的托管标识的详细信息,并自动分配给 Azure Database for PostgreSQL 灵活服务器实例以访问数据加密密钥。
如果用于访问数据加密密钥的用户分配的托管标识未分配到您的 Azure Database for PostgreSQL 灵活服务器实例,但它作为一个 Azure 资源与在 Microsoft Entra ID 中的相应对象存在,您可以通过选择 选择 来进行分配。
在用户分配的托管标识列表中,选择希望服务器用来访问 Azure Key Vault 中存储的数据加密密钥。
选择 并添加。
如果轮换密钥或使用其他密钥,则必须更新 Azure Database for PostgreSQL 灵活服务器实例,使其指向新的密钥版本或新密钥。 为此,可以复制密钥的资源标识符,并将其粘贴到 “密钥标识符 ”框中。
如果访问 Azure 门户的用户有权访问密钥存储中存储的密钥,则可以使用替代方法选择新密钥或新密钥版本。 为此,请在 “键选择”方法中选择 “选择密钥 单选按钮”。
选择 “选择密钥”。
订阅 会自动填充要在其上创建服务器的订阅的名称。 保留数据加密密钥的密钥存储必须与服务器位于同一订阅中。
展开 Key Vault,然后选择数据加密密钥所在的实例。
注释
展开下拉列表框时,会显示 “无可用项”。 它需要几秒钟时间才能列出部署在服务器所在的同一区域中的密钥保管库的所有实例。
展开 密钥,然后选择要用于数据加密的密钥的名称。
展开 “版本”,然后选择要用于数据加密的密钥版本的标识符。
选中“选择”。
对所做的更改感到满意后,选择“ 保存”。
