Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält schrittweise Anleitungen zum Konfigurieren der Datenverschlüsselung für einen flexiblen Azure-Datenbankserver für PostgreSQL.
Von Bedeutung
Sie können sich entscheiden, einen vom System verwalteten Schlüssel oder einen vom Kunden verwalteten Schlüssel nur bei der Servererstellung für die Datenverschlüsselung zu verwenden. Nachdem Sie diese Entscheidung getroffen und den Server erstellt haben, können Sie nicht zwischen den beiden Optionen wechseln.
In diesem Artikel erfahren Sie, wie Sie einen neuen Server erstellen und seine Datenverschlüsselungsoptionen konfigurieren. Für vorhandene Server, die vom Kunden verwalteten Verschlüsselungsschlüssel für die Datenverschlüsselung verwenden, lernen Sie:
- So wählen Sie eine andere vom Benutzer zugewiesene verwaltete Identität für den Dienst aus, um auf den Verschlüsselungsschlüssel zuzugreifen.
- Wie Sie einen anderen Verschlüsselungsschlüssel angeben oder den Verschlüsselungsschlüssel rotieren, der zurzeit für die Datenverschlüsselung verwendet wird
Informationen zur Datenverschlüsselung im Kontext von Azure Database for PostgreSQL finden Sie unter Datenverschlüsselung.
Konfigurieren der Datenverschlüsselung mit systemseitig verwaltetem Schlüssel während der Serverbereitstellung
Verwenden Sie das Azure-Portal:
Konfigurieren Sie während der Bereitstellung eines neuen Azure Database for PostgreSQL flexiblen Servers die Datenverschlüsselung auf der Registerkarte "Sicherheit". Wählen Sie für den Datenverschlüsselungsschlüssel die Option "Dienstverwalteter Schlüssel" aus.
Wenn Sie den georedundanten Sicherungsspeicher zusammen mit dem Server bereitstellen, ändert sich der Aufbau der Registerkarte Sicherheit geringfügig, da der Server zwei separate Verschlüsselungsschlüssel verwendet: Ein Schlüssel ist für die primäre Region vorgesehen, in der Sie Ihren Server bereitstellen, und ein Schlüssel ist für die gepaarte Region vorgesehen, in die Serversicherungen asynchron repliziert werden.
Konfigurieren der Datenverschlüsselung mit kundenseitig verwaltetem Schlüssel während der Serverbereitstellung
Verwenden Sie das Azure-Portal:
- Erstellen Sie eine vom Benutzer zugewiesene verwaltete Identität, wenn Sie noch keine haben. Wenn Ihr Server georedundante Sicherungen aktiviert hat, müssen Sie zwei verschiedene Identitäten erstellen. Jede dieser Identitäten greift auf jeden der beiden Datenverschlüsselungsschlüssel zu.
Hinweis
Obwohl dies nicht erforderlich ist, erstellen Sie die vom Benutzer verwaltete Identität in derselben Region wie Ihr Server, um regionale Resilienz aufrechtzuerhalten. Wenn der Server Geosicherungsredundanz aktiviert hat, erstellen Sie die zweite vom Benutzer verwaltete Identität in der gekoppelten Region des Servers.
- Erstellen Sie eine Azure Key Vault, oder erstellen Sie ein verwaltetes HSM, wenn Sie noch keinen Schlüsselspeicher erstellt haben. Stellen Sie sicher, dass Sie die Anforderungen erfüllen. Folgen Sie außerdem den Empfehlungen, bevor Sie den Schlüsselspeicher konfigurieren, den Schlüssel erstellen und die erforderlichen Berechtigungen der benutzerseitig zugewiesenen verwalteten Identität zuweisen. Wenn georedundante Sicherungen auf Ihrem Server aktiviert ist, müssen Sie einen zweiten Schlüsselspeicher erstellen. Dieser zweite Schlüsselspeicher behält den Datenverschlüsselungsschlüssel bei, der Ihre Sicherungen verschlüsselt, die in den gekoppelten Bereich des Servers kopiert wurden.
Hinweis
Sie müssen den Schlüsselspeicher bereitstellen, der den Datenverschlüsselungsschlüssel in derselben Region wie Ihr Server speichert. Wenn Ihr Server Geo-Backup-Redundanz aktiviert hat, müssen Sie den Schlüsselspeicher erstellen, der den Datenverschlüsselungsschlüssel für georedundante Sicherungen in der gekoppelten Region des Servers behält.
Erstellen Sie einen Schlüssel in Ihrem Schlüsselspeicher. Wenn georedundante Sicherungen auf Ihrem Server aktiviert sind, benötigen Sie einen Schlüssel in jedem der Schlüsselspeicher. Mithilfe eines dieser Schlüssel verschlüsseln Sie alle Daten Ihres Servers (einschließlich aller System- und Benutzerdatenbanken, temporäre Dateien, Serverprotokolle, Schreib-Ahead-Protokollsegmente und Sicherungen). Mithilfe des zweiten Schlüssels verschlüsseln Sie die Kopien der Sicherungen, die asynchron über den gekoppelten Bereich Des Servers kopiert werden.
Konfigurieren Sie während der Bereitstellung eines neuen Azure Database for PostgreSQL – Flexible Server die Datenverschlüsselung auf der Registerkarte Sicherheit. Wählen Sie unter Datenverschlüsselungsschlüssel das Optionsfeld Kundenseitig verwalteter Schlüssel aus.
Wenn Sie den georedundanten Sicherungsspeicher zusammen mit dem Server bereitstellen, ändert sich der Aufbau der Registerkarte Sicherheit geringfügig, da der Server zwei separate Verschlüsselungsschlüssel verwendet: Ein Schlüssel ist für die primäre Region vorgesehen, in der Sie Ihren Server bereitstellen, und der andere Schlüssel für die gekoppelte Region, in die die Serversicherungen asynchron repliziert werden.
Wählen Sie unter Benutzerseitig zugewiesene verwaltete Identität die Option Identität ändern aus.
Wählen Sie in der Liste der vom Benutzer zugewiesenen verwalteten Identitäten den Server aus, der für den Zugriff auf den in einem Azure Key Vault gespeicherten Datenverschlüsselungsschlüssel verwendet werden soll.
Wählen Sie Hinzufügen aus.
Wählen Sie Automatisches Update der Schlüsselversion verwenden aus, wenn Sie möchten, dass der Dienst den Verweis automatisch auf die neueste Version des ausgewählten Schlüssels aktualisiert, wenn die aktuelle Version manuell oder automatisch rotiert wird. Informationen zu den Vorteilen der Verwendung von automatischen Updates der Schlüsselversion finden Sie unter Automatisches Update der Schlüsselversion.
Wählen Sie Schlüssel auswählen aus.
Abonnement wird automatisch mit dem Namen des Abonnements ausgefüllt, in dem Ihr Server erstellt werden soll. Der Schlüsselspeicher, der den Datenverschlüsselungsschlüssel aufbewahrt, muss im selben Abonnement wie der Server vorhanden sein.
Wählen Sie unter Schlüsselspeichertyp das Optionsfeld aus, das dem Typ des Schlüsselspeichers entspricht, in dem Sie den Datenverschlüsselungsschlüssel speichern möchten. Wählen Sie in diesem Beispiel Key Vault aus; die Vorgehensweise ist jedoch ähnlich, wenn Sie Managed HSM auswählen.
Erweitern Sie Schlüsseltresor (oder Verwaltetes HSM, wenn Sie diesen Speichertyp ausgewählt haben), und wählen Sie die Instanz aus, in der der Datenverschlüsselungsschlüssel vorhanden ist.
Hinweis
Wenn Sie das Dropdownfeld erweitern, wird Keine Elemente verfügbar angezeigt. Es dauert einige Sekunden, bis alle Instanzen des Schlüsseltresors, die in derselben Region wie der Server bereitgestellt wurden, aufgelistet werden.
Erweitern Sie Schlüssel, und wählen Sie den Namen des Schlüssels aus, den Sie für die Datenverschlüsselung verwenden möchten.
Wenn Sie die Option Automatisches Update der Schlüsselversion verwenden nicht ausgewählt haben, müssen Sie außerdem eine bestimmte Version des Schlüssels auswählen. Erweitern Sie dazu Version, und wählen Sie den Bezeichner der Version des Schlüssels aus, den Sie für die Datenverschlüsselung verwenden möchten.
Wählen Sie Select aus.
Konfigurieren Sie alle anderen Einstellungen des neuen Servers, und wählen Sie Überprüfen und erstellen aus.
Konfigurieren der Datenverschlüsselung mit kundenseitig verwaltetem Schlüssel auf vorhandenen Servern
Sie entscheiden, ob Sie bei der Servererstellung einen vom System verwalteten Schlüssel oder einen vom Kunden verwalteten Schlüssel für die Datenverschlüsselung verwenden möchten. Nachdem Sie diese Entscheidung getroffen und den Server erstellt haben, können Sie nicht zwischen den beiden Optionen wechseln. Die einzige Alternative, wenn Sie von einer Option zur anderen wechseln möchten, ist die Wiederherstellung einer der verfügbar Sicherungen des Servers auf einem neuen Server. Beim Konfigurieren der Wiederherstellung können Sie die Datenverschlüsselungskonfiguration des neuen Servers ändern.
Für vorhandene Server, die Sie mit datenverschlüsselung mithilfe eines vom Kunden verwalteten Schlüssels bereitgestellt haben, können Sie mehrere Konfigurationsänderungen vornehmen. Sie können die Verweise auf die schlüssel ändern, die für die Verschlüsselung verwendet werden, und Verweise auf die vom Benutzer zugewiesenen verwalteten Identitäten, die der Dienst für den Zugriff auf die in den Schlüsselspeichern gespeicherten Schlüssel verwendet.
Sie müssen Verweise aktualisieren, die Ihr Azure Database for PostgreSQL – Flexible Server auf einen Schlüssel enthält:
- Wenn der im Schlüsselspeicher gespeicherte Schlüssel gedreht wird, entweder manuell oder automatisch, und Ihre Azure-Datenbank für PostgreSQL flexible Server verweist auf eine bestimmte Version des Schlüssels. Wenn Sie auf einen Schlüssel verweisen, aber nicht auf eine bestimmte Version des Schlüssels (d. h. wenn Sie die automatische Aktualisierung der Schlüsselversion verwenden) verweist der Dienst automatisch auf die aktuellste Version des Schlüssels, wenn der Schlüssel manuell oder automatisch gedreht wird.
- Wenn Sie denselben oder einen anderen Schlüssel verwenden möchten, der in einem anderen Schlüsselspeicher gespeichert ist
Sie müssen die vom Benutzer zugewiesenen verwalteten Identitäten aktualisieren, die Ihr Azure Database for PostgreSQL flexible Server für den Zugriff auf die Verschlüsselungsschlüssel verwendet, wenn Sie eine andere Identität verwenden möchten.
Verwenden Sie das Azure-Portal:
Wählen Sie Ihren Azure Database for PostgreSQL flexiblen Server aus.
Wählen Sie im Ressourcenmenü unter dem Abschnitt "Sicherheit " die Option "Datenverschlüsselung" aus.
Um die vom Server für den Zugriff auf den Schlüsselspeicher verwendete verwaltete Identität des Benutzers zu ändern, erweitern Sie das Dropdownmenü "Vom Benutzer zugewiesene verwaltete Identität ", und wählen Sie eine der verfügbaren Identitäten aus.
Hinweis
Das Kombinationsfeld zeigt nur die Identitäten an, die Ihr Azure Database for PostgreSQL – Flexibler Server zugewiesen hat. Obwohl es nicht erforderlich ist, um regionale Resilienz aufrechtzuerhalten, wählen Sie vom Benutzer verwaltete Identitäten in derselben Region wie Ihr Server aus. Wenn Ihr Server Geo-Backup-Redundanz aktiviert hat, sollte die zweite vom Benutzer verwaltete Identität, die für den Zugriff auf den Datenverschlüsselungsschlüssel für georedundante Sicherungen verwendet wird, in der gekoppelten Region des Servers vorhanden sein.
Wenn die vom Benutzer zugewiesene verwaltete Identität, die Sie für den Zugriff auf den Datenverschlüsselungsschlüssel verwenden möchten, ihrem Azure Database for PostgreSQL flexiblen Server nicht zugewiesen ist und es nicht als Azure Ressource mit dem entsprechenden Objekt in Microsoft Entra ID vorhanden ist, erstellen Sie ihn, indem Sie "Erstellen" auswählen.
Geben Sie im Bereich "Vom Benutzer zugewiesene verwaltete Identität erstellen" die Details der verwalteten Identität des Benutzers ein, die Sie erstellen möchten, und weisen Sie sie ihrem Azure Database for PostgreSQL flexiblen Server automatisch zu, um auf den Datenverschlüsselungsschlüssel zuzugreifen.
Wenn die benutzerseitig zugewiesene verwaltete Identität, die Sie für den Zugriff auf den Datenverschlüsselungsschlüssel verwenden möchten, Ihrem Azure Database for PostgreSQL Flex Server nicht zugewiesen ist, sie jedoch als Azure-Ressource mit dem entsprechenden Objekt in Microsoft Entra ID vorhanden ist, weisen Sie sie zu, indem Sie Auswählen auswählen.
Wählen Sie in der Liste der vom Benutzer zugewiesenen verwalteten Identitäten den Server aus, der für den Zugriff auf den in einem Azure Key Vault gespeicherten Datenverschlüsselungsschlüssel verwendet werden soll.
Wählen Sie Hinzufügen aus.
Wählen Sie "Automatische Schlüsselversionsaktualisierung verwenden " aus, wenn der Dienst den Verweis automatisch auf die aktuellste Version des ausgewählten Schlüssels aktualisieren soll, wenn die aktuelle Version manuell oder automatisch gedreht wird. Informationen zu den Vorteilen der Verwendung von automatischen Schlüsselversionsupdates finden Sie unter [Automatische Schlüsselversionsaktualisierung](.). /security/security-data-encryption.md##CMK Schlüsselversionsupdates).
Wenn Sie den Schlüssel drehen und die Automatische Aktualisierung der Schlüsselversion nicht aktivieren. Wenn Sie einen anderen Schlüssel verwenden möchten, aktualisieren Sie ihren Azure Database for PostgreSQL flexiblen Server so, dass er auf die neue Schlüsselversion oder den neuen Schlüssel verweist. Kopieren Sie dazu den Ressourcenbezeichner des Schlüssels, und fügen Sie ihn in das Feld "Schlüsselbezeichner " ein.
Wenn der Benutzer, der auf das Azure-Portal zugreift, über Berechtigungen für den Zugriff auf den im Schlüsselspeicher gespeicherten Schlüssel verfügt, können Sie einen alternativen Ansatz verwenden, um den neuen Schlüssel oder die neue Schlüsselversion auszuwählen. Wählen Sie hierfür unter Schlüsselauswahlmethode das Optionsfeld Schlüssel auswählen aus.
Wählen Sie Schlüssel auswählen aus.
Abonnement wird automatisch mit dem Namen des Abonnements ausgefüllt, in dem Ihr Server erstellt werden soll. Der Schlüsselspeicher, der den Datenverschlüsselungsschlüssel aufbewahrt, muss im selben Abonnement wie der Server vorhanden sein.
Wählen Sie unter Schlüsselspeichertyp das Optionsfeld aus, das dem Typ des Schlüsselspeichers entspricht, in dem Sie den Datenverschlüsselungsschlüssel speichern möchten. Wählen Sie in diesem Beispiel Key Vault aus; die Vorgehensweise ist jedoch ähnlich, wenn Sie Managed HSM auswählen.
Erweitern Sie Schlüsseltresor (oder Verwaltetes HSM, wenn Sie diesen Speichertyp ausgewählt haben), und wählen Sie die Instanz aus, in der der Datenverschlüsselungsschlüssel vorhanden ist.
Hinweis
Wenn Sie das Dropdownfeld erweitern, wird Keine Elemente verfügbar angezeigt. Es dauert einige Sekunden, bis alle Instanzen des Schlüsseltresors, die in derselben Region wie der Server bereitgestellt wurden, aufgelistet werden.
Erweitern Sie Schlüssel, und wählen Sie den Namen des Schlüssels aus, den Sie für die Datenverschlüsselung verwenden möchten.
Wenn Sie die Option Automatisches Update der Schlüsselversion verwenden nicht ausgewählt haben, müssen Sie außerdem eine bestimmte Version des Schlüssels auswählen. Erweitern Sie dazu Version, und wählen Sie den Bezeichner der Version des Schlüssels aus, den Sie für die Datenverschlüsselung verwenden möchten.
Wählen Sie Select aus.
Wenn Sie mit den Änderungen zufrieden sind, wählen Sie "Speichern" aus.