验证适用于 Azure Database for PostgreSQL 的数据加密

适用于：Azure Database for PostgreSQL 单一服务器

本文将帮助你验证 Azure Database for PostgreSQL 使用客户管理的密钥的数据加密是否按预期工作。

检查加密状态

从门户

1. 如果要验证客户的密钥是否用于加密，请按照以下步骤进行操作：

   • 在 Azure 门户中，导航到“Azure Key Vault”->“密钥”

   • 选择用于服务器加密的密钥。

   • 将密钥的状态“已启用”设置为“否”。

     一段时间（约 15 分钟）后，Azure Database for PostgreSQL 服务器的“状态”应为“无法访问”。 针对服务器执行的任何 I/O 操作都将失败，这将证实服务器确实已使用客户密钥加密并且该密钥当前无效。

     为了使服务器“可用”，可以重新验证该密钥。

   • 将 Key Vault 中密钥的状态设置为“是”。

   • 在服务器“数据加密”上，选择“重新验证密钥”。

   • 密钥重新验证成功后，服务器“状态”更改为“可用”

2. 在 Azure 门户上，如果可以确保设置了加密密钥，则使用 Azure 门户中使用的客户密钥对数据进行加密。

从 CLI

1. 我们可以使用 az CLI 命令验证将用于 Azure Database for PostgreSQL 服务器的密钥资源。

   az postgres server key list --name  '<server_name>'  -g '<resource_group_name>'
   

   对于没有设置数据加密的服务器，此命令将会生成空集 []。

Azure 审核报告

还可以审核信任中心，以提供有关符合数据保护标准和法规要求的信息。

后续步骤

有关数据加密的详细信息，请参阅使用客户托管的密钥进行的 Azure Database for PostgreSQL 单一服务器数据加密。