Azure portalını kullanarak MySQL için Azure Veritabanı için veri şifreleme
ŞUNLAR IÇIN GEÇERLIDIR: MySQL için Azure Veritabanı - Tek Sunucu
Önemli
MySQL için Azure Veritabanı tek sunucu kullanımdan kaldırma yolundadır. Esnek MySQL için Azure Veritabanı sunucuya yükseltmenizi kesinlikle öneririz. MySQL için Azure Veritabanı esnek sunucuya geçiş hakkında daha fazla bilgi için bkz. MySQL için Azure Veritabanı Tek Sunucu'ya neler oluyor?
azure portalını kullanarak MySQL için Azure Veritabanı için veri şifrelemesi ayarlamayı ve yönetmeyi öğrenin.
Azure CLI önkoşulları
Bir Azure aboneliğinizin olması ve bu abonelikte yönetici olmanız gerekir.
Azure Key Vault'ta, müşteri tarafından yönetilen anahtar için kullanılacak bir anahtar kasası ve anahtar oluşturun.
Anahtar kasasının müşteri tarafından yönetilen anahtar olarak kullanılabilmesi için aşağıdaki özelliklere sahip olması gerekir:
-
az resource update --id $(az keyvault show --name \ <key_vault_name> -o tsv | awk '{print $1}') --set \ properties.enableSoftDelete=true
-
az keyvault update --name <key_vault_name> --resource-group <resource_group_name> --enable-purge-protection true
Bekletme günleri 90 güne ayarlanmış
az keyvault update --name <key_vault_name> --resource-group <resource_group_name> --retention-days 90
-
Müşteri tarafından yönetilen anahtar olarak kullanılabilmesi için anahtarın aşağıdaki özniteliklere sahip olması gerekir:
- Son kullanma tarihi yok
- Devre dışı bırakılmadı
- Alma, sarmalama, kaldırma işlemlerini gerçekleştirme
- Recoverylevel özniteliği Kurtarılabilir olarak ayarlanmış (bu, saklama süresi 90 güne ayarlanmış geçici silmeyi gerektirir)
- Temizleme koruması etkinleştirildi
Aşağıdaki komutu kullanarak anahtarın yukarıdaki özniteliklerini doğrulayabilirsiniz:
az keyvault key show --vault-name <key_vault_name> -n <key_name>
MySQL için Azure Veritabanı - Tek Sunucu Genel Amaçlı veya Bellek için İyileştirilmiş fiyatlandırma katmanında ve genel amaçlı depolama v2'de olmalıdır. Daha fazla ilerlemeden önce, müşteri tarafından yönetilen anahtarlarla veri şifreleme sınırlamalarına bakın.
Anahtar işlemleri için doğru izinleri ayarlama
Key Vault'ta Erişim ilkeleri>Erişim İlkesi Ekle'yi seçin.
Anahtar izinleri'ni seçin ve Get, Wrap, Unwrap ve MySQL sunucusunun adı olan Sorumlu'ya tıklayın. Sunucu sorumlunuz mevcut sorumlular listesinde bulunamıyorsa, bunu kaydetmeniz gerekir. Veri şifrelemesini ilk kez ayarlamaya çalıştığınızda sunucu sorumlunuzu kaydetmeniz istenir ve başarısız olur.
Kaydet'i seçin.
MySQL için Azure Veritabanı için veri şifrelemesini ayarlama
müşteri tarafından yönetilen anahtarı ayarlamak için MySQL için Azure Veritabanı Veri şifrelemesi'ni seçin.
Bir anahtar kasası ve anahtar çifti seçebilir veya bir anahtar tanımlayıcısı girebilirsiniz.
Kaydet'i seçin.
Tüm dosyaların (geçici dosyalar dahil) tamamen şifrelenmesini sağlamak için sunucuyu yeniden başlatın.
Geri yükleme veya çoğaltma sunucuları için Veri şifrelemesi kullanma
MySQL için Azure Veritabanı müşterinin Key Vault'ta depolanan yönetilen anahtarıyla şifrelendiğinde sunucunun yeni oluşturulan tüm kopyaları da şifrelenir. Bu yeni kopyayı yerel veya coğrafi geri yükleme işlemiyle ya da çoğaltma (yerel/bölgeler arası) işlemi aracılığıyla yapabilirsiniz. Bu nedenle şifrelenmiş bir MySQL sunucusu için aşağıdaki adımları kullanarak şifrelenmiş bir geri yüklenen sunucu oluşturabilirsiniz.
Sunucunuzda Genel Bakış>Geri Yükleme'yi seçin.
Veya çoğaltma özellikli bir sunucu için Ayarlar başlığı altında Çoğaltma'yı seçin.
Geri yükleme işlemi tamamlandıktan sonra, oluşturulan yeni sunucu birincil sunucunun anahtarıyla şifrelenir. Ancak, sunucudaki özellikler ve seçenekler devre dışı bırakılır ve sunucuya erişilemez. Bu, yeni sunucunun kimliğine henüz anahtar kasasına erişim izni verilmediğinden veri işlemeyi engeller.
Sunucunun erişilebilir olmasını sağlamak için, geri yüklenen sunucuda anahtarı yeniden dağıtın. Veri şifreleme>Anahtarı yeniden doğrulama'ya tıklayın.
Dekont
Yeni sunucunun hizmet sorumlusuna anahtar kasasına erişim verilmesi gerektiğinden ilk yeniden doğrulama girişimi başarısız olur. Hizmet sorumlusunu oluşturmak için Anahtarı yeniden doğrulama'yı seçin. Bu, bir hata gösterir ancak hizmet sorumlusunu oluşturur. Bundan sonra, bu makalenin önceki bölümlerinde yer alan bu adımlara bakın.
Anahtar kasasına yeni sunucuya erişim vermeniz gerekir. Daha fazla bilgi için bkz . Key Vault erişim ilkesi atama.
Hizmet sorumlusunu kaydettikten sonra anahtarı yeniden yeniden eşitleyin ve sunucu normal işlevselliğini sürdürür.