Bagikan melalui

Enkripsi data untuk server Tunggal Azure Database for PostgreSQL menggunakan portal Azure

  • Artikel

BERLAKU UNTUK: Azure Database for PostgreSQL - Server Tunggal

Penting

Azure Database for PostgreSQL - Server Tunggal berada di jalur penghentian. Kami sangat menyarankan Agar Anda meningkatkan ke Azure Database for PostgreSQL - Server Fleksibel. Untuk informasi selengkapnya tentang migrasi ke Azure Database for PostgreSQL - Server Fleksibel, lihat Apa yang terjadi pada Server Tunggal Azure Database for PostgreSQL?.

Pelajari cara menggunakan portal Azure untuk menyiapkan dan mengelola enkripsi data untuk server Tunggal Azure Database for PostgreSQL Anda.

Prasyarat untuk Azure CLI

  • Anda harus memiliki langganan Azure dan menjadi admin pada langganan tersebut.

  • Di Azure Key Vault, buat brankas kunci dan kunci yang digunakan sebagai kunci yang dikelola pelanggan.

  • Brankas kunci harus memiliki properti berikut untuk digunakan sebagai kunci yang dikelola pelanggan:

    • Penghapusan sementara

      az resource update --id $(az keyvault show --name \ <key_vault_name> -test -o tsv | awk '{print $1}') --set \ properties.enableSoftDelete=true

    • Perlindungan penghapusan menyeluruh

      az keyvault update --name <key_vault_name> --resource-group <resource_group_name>  --enable-purge-protection true

  • Kunci harus memiliki atribut berikut untuk digunakan sebagai kunci yang dikelola pelanggan:

    • Tidak ada tanggal kedaluwarsa
    • Tidak dinonaktifkan
    • Mampu melakukan operasi mendapatkan, membungkus kunci, dan membuka bungkusan

Mengatur izin yang tepat untuk operasi utama

  1. Di Azure Key Vault, pilih Kebijakan akses>Tambahkan Kebijakan Akses.

    Cuplikan layar Azure Key Vault, dengan Kebijakan akses dan Tambahkan Kebijakan Akses disorot

  2. Pilih Izin kunci, dan pilih Dapatkan, Bungkus, Buka bungkus, dan Utama, yang merupakan nama server PostgreSQL. Jika prinsipal server Anda tidak dapat ditemukan dalam daftar prinsipal yang ada, Anda perlu mendaftarkannya. Anda diminta untuk mendaftarkan prinsipal server ketika Anda mencoba menyiapkan enkripsi data untuk pertama kalinya, dan gagal.

    Gambaran Umum kebijakan akses

  3. Pilih Simpan.

Mengatur enkripsi data untuk server Tunggal Azure Database for PostgreSQL

  1. Di Azure Database for PostgreSQL, pilih Enkripsi data untuk menyiapkan kunci yang dikelola pelanggan.

    Cuplikan layar Azure Database for PostgreSQL, dengan Enkripsi data disorot

  2. Anda dapat memilih brankas kunci dan pasangan kunci, atau memasukkan pengidentifikasi kunci.

    Cuplikan layar Azure Database for PostgreSQL, dengan opsi enkripsi data disorot

  3. Pilih Simpan.

  4. Untuk memastikan semua file (termasuk file sementara) dienkripsi sepenuhnya, hidupkan ulang server.

Menggunakan Enkripsi data untuk memulihkan atau mereplikasi server

Setelah server Tunggal Azure Database for PostgreSQL dienkripsi dengan kunci terkelola pelanggan yang disimpan di Key Vault, setiap salinan server yang baru dibuat juga dienkripsi. Anda dapat membuat salinan baru ini melalui operasi lokal atau pemulihan geografis, atau melalui operasi replika (lokal/lintas wilayah). Jadi untuk server PostgreSQL terenkripsi, Anda dapat menggunakan langkah berikut untuk membuat server yang dipulihkan terenkripsi.

  1. Di server Anda, pilih Ringkasan>Pulihkan.

    Cuplikan layar Azure Database for PostgreSQL, dengan Ringkasan dan Pemulihan disorot

    Atau untuk server berkemampuan replikasi, pada judul Pengaturan, pilih Replikasi.

    Cuplikan layar Azure Database for PostgreSQL, dengan Replikasi disorot

  2. Setelah operasi pemulihan selesai, server baru yang dibuat dienkripsi dengan kunci server utama. Namun, fitur dan opsi di server dinonaktifkan, dan server tidak dapat diakses. Ini mencegah manipulasi data, karena identitas server baru belum diberi izin untuk mengakses brankas kunci.

    Cuplikan layar Azure Database for PostgreSQL, dengan status tidak dapat diakses disorot

  3. Untuk membuat server dapat diakses, validasi ulang kunci pada server yang dipulihkan. Pilih Enkripsi data>Validasi ulang kunci.

    Catatan

    Upaya pertama untuk memvalidasi ulang akan gagal, karena prinsipal layanan server baru perlu diberi akses ke brankas kunci. Untuk membuat perwakilan layanan, pilih Validasi ulang kunci, yang akan menampilkan kesalahan tetapi membuat perwakilan layanan. Setelah itu, lihat langkah yang tercantum sebelumnya dalam artikel ini.

    Cuplikan layar Azure Database for PostgreSQL, dengan langkah validasi ulang disorot

    Anda akan harus memberi akses brankas kunci ke server baru. Untuk informasi lebih lanjut, lihat Mengaktifkan izin Azure RBAC di Key Vault.

  4. Setelah mendaftarkan prinsipal layanan, validasi ulang kembali kunci, dan server melanjutkan fungsi normalnya.

    Cuplikan layar Azure Database for PostgreSQL, memperlihatkan fungsionalitas yang dipulihkan

Langkah berikutnya

Untuk mempelajari selengkapnya tentang enkripsi data, lihat Enkripsi data server Tunggal Azure Database for PostgreSQL dengan kunci yang dikelola pelanggan.