針對適用於 MySQL 的 Azure 資料庫中的資料加密問題進行疑難排解
適用於:
適用於 MySQL 的 Azure 資料庫 - 單一伺服器
重要
適用於 MySQL 的 Azure 資料庫單一伺服器位於淘汰路徑上。 強烈建議您升級至適用於 MySQL 的 Azure 資料庫彈性伺服器。 如需移轉至適用於 MySQL 的 Azure 資料庫彈性伺服器的詳細資訊,請參閱適用於 MySQL 的 Azure 資料庫單一伺服器會發生什麼事?
本文說明如何識別並解決使用客戶自控金鑰設定資料加密時,適用於 MySQL 的 Azure 資料庫中可能發生的常見問題。
簡介
若要在 Azure Key Vault 中使用客戶自控金鑰,設定資料加密時,伺服器需要持續存取該金鑰。 如果伺服器無法存取 Azure Key Vault 中的客戶自控金鑰,即會拒絕所有連線,傳回適當的錯誤訊息,而且在 Azure 入口網站中,伺服器的狀態會變更為無法存取。
如果不再需要無法存取的適用於 MySQL 的 Azure 資料庫伺服器,您可以刪除伺服器,停止產生成本。 還原金鑰保存庫的存取權並可使用伺服器前,伺服器上不允許執行其他動作。 使用客戶自控金鑰加密時,在無法存取的伺服器上也無法將資料加密選項從 Yes (客戶自控) 變更為 No (服務管理)。 您必須手動重新驗證金鑰,才能再次存取伺服器。 客戶自控金鑰權限遭到撤銷時,請採取此動作防止未經授權存取資料。
導致伺服器無法存取的常見錯誤
下列設定錯誤導致使用 Azure Key Vault 金鑰大部分的資料加密問題:
金鑰保存庫無法使用或不存在:
- 意外刪除金鑰保存庫。
- 間歇網路錯誤導致無法使用金鑰保存庫。
您沒有存取金鑰保存庫的權限或金鑰不存在:
- 金鑰已過期、遭到意外刪除或停用。
- 適用於 MySQL 的 Azure 資料庫執行個體的受控識別遭到意外刪除。
- 適用於 MySQL 的 Azure 資料庫執行個體的受控識別的金鑰權限不足。 例如,權限不包括「取得」、「包裝」和「解除包裝」。
- 適用於 MySQL 的 Azure 資料庫執行個體的受控識別權限遭到撤銷或刪除。
識別及解決常見的錯誤
金鑰保存庫相關的錯誤
已停用金鑰保存庫
AzureKeyVaultKeyDisabledMessage- 說明:無法在伺服器上完成此作業,因為已停用 Azure Key Vault 金鑰。
遺漏金鑰保存庫權限
AzureKeyVaultMissingPermissionsMessage- 說明:伺服器沒有 Azure Key Vault 必要的「取得」、「包裝」和「解除包裝」權限。 使用識別碼授與服務主體任何遺漏的權限。
風險降低
- 確認客戶自控金鑰存在於金鑰保存庫中。
- 識別金鑰保存庫,並在 Azure 入口網站中移至該金鑰保存庫。
- 確定金鑰 URI 會識別已存在的金鑰。