Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo fornisce istruzioni dettagliate per configurare la crittografia dei dati per un server flessibile di Database di Azure per PostgreSQL.
Importante
È possibile decidere di usare una chiave gestita dal sistema o una chiave gestita dal cliente solo in fase di creazione del server. Dopo aver deciso e creato il server, non è possibile passare tra le due opzioni.
Questo articolo illustra come creare un nuovo server e configurare le relative opzioni di crittografia dei dati. Per i server esistenti che usano la chiave di crittografia gestita dal cliente per la crittografia dei dati, si apprenderà come:
- Come selezionare un'identità gestita assegnata dall'utente diversa per consentire al servizio di accedere alla chiave di crittografia.
- Come specificare una chiave di crittografia diversa o come ruotare la chiave di crittografia corrente usata per la crittografia dei dati.
Per informazioni sulla crittografia dei dati nel contesto di Database di Azure per PostgreSQL, vedere Crittografia dei dati.
Configurare la crittografia dei dati con la chiave gestita dal sistema durante il provisioning del server
Usare il portale di Azure:
Durante il provisioning di un nuovo server flessibile Database di Azure per PostgreSQL, configurare la crittografia dei dati nella scheda Sicurezza. Per Chiave di crittografia dei dati selezionare l'opzione Chiave gestita dal servizio.
Se si abilita il provisioning dell'archiviazione di backup con ridondanza geografica insieme al server, l'aspetto della scheda Sicurezza cambia leggermente perché il server usa due chiavi di crittografia separate. Una chiave è per l'area primaria in cui si distribuisce il server e una chiave è per l'area abbinata in cui vengono replicati i backup del server in modo asincrono.
Configurare la crittografia dei dati con la chiave gestita dal cliente durante il provisioning del server
Usare il portale di Azure:
- Creare un'identità gestita assegnata dall'utente, se non ne è ancora disponibile una. Se il server dispone di backup con ridondanza geografica abilitati, è necessario creare due identità diverse. Ognuna di queste identità accede a ognuna delle due chiavi di crittografia dei dati.
Annotazioni
Anche se non è necessario, per mantenere la resilienza a livello di area, creare l'identità gestita dall'utente nella stessa area del server. Se sul server è abilitata la ridondanza del backup geografico, crea la seconda identità gestita assegnata dall'utente nell'area abbinata del server.
- Creare un Azure Key Vault o creare un modulo di protezione hardware gestito, se non è ancora stato creato un archivio chiavi. Assicurarsi di soddisfare i requisiti. Seguire anche gli elementi consigliati prima di configurare l'archivio chiavi e prima di creare la chiave e assegnare le autorizzazioni necessarie all'identità gestita assegnata dall'utente. Se nel server sono abilitati backup con ridondanza geografica, è necessario creare un secondo archivio chiavi. Il secondo archivio chiavi mantiene la chiave di crittografia dei dati che crittografa i backup copiati nell'area associata del server.
Annotazioni
È necessario distribuire l'archivio chiavi che mantiene la chiave di crittografia dei dati nella stessa area del server. Se nel server è abilitata la ridondanza con backup geografico, è necessario creare l'archivio delle chiavi che contiene la chiave di crittografia dei dati per i backup con ridondanza geografica nell'area associata del server.
Creare una chiave nell'archivio chiavi. Se nel server sono abilitati backup con ridondanza geografica, è necessaria una chiave in ognuno degli archivi chiavi. Usando una di queste chiavi, si crittografa tutti i dati del server ,inclusi tutti i database di sistema e utente, i file temporanei, i log del server, i segmenti di log write-ahead e i backup. Usando la seconda chiave, si crittografano le copie dei backup copiati in modo asincrono nell'area abbinata del server.
Durante il provisioning di un nuovo server flessibile Database di Azure per PostgreSQL, configurare la crittografia dei dati nella scheda Sicurezza. Per Chiave di crittografia dei dati selezionare il pulsante di opzione Chiave gestita dal cliente.
Se si abilita il provisioning dell'archiviazione di backup con ridondanza geografica insieme al server, l'aspetto della scheda Sicurezza cambia leggermente perché il server usa due chiavi di crittografia separate. Una chiave è per l'area primaria in cui si distribuisce il server e una chiave è per l'area abbinata in cui vengono replicati i backup del server in modo asincrono.
In Identità gestita assegnata dall'utente selezionare Cambia identità.
Nell'elenco delle identità gestite assegnate all'utente, selezionare quella che si desidera che il server usi per accedere alla chiave di crittografia dei dati archiviata in Azure Key Vault.
Seleziona Aggiungi.
Selezionare Usa aggiornamento automatico della versione della chiave, se si preferisce consentire al servizio di aggiornare automaticamente il riferimento alla versione più recente della chiave scelta, ogni volta che la versione corrente viene ruotata manualmente o automaticamente. Per comprendere i vantaggi dell'uso degli aggiornamenti automatici delle versioni delle chiavi, vedere Aggiornamento automatico della versione della chiave.
Scegliere Seleziona una chiave.
La sottoscrizione viene popolata automaticamente con il nome della sottoscrizione in cui verrà creato il server. L'archivio chiavi che mantiene la chiave di crittografia dei dati deve esistere nella stessa sottoscrizione del server.
In Tipo di archivio chiavi selezionare il pulsante di opzione corrispondente al tipo di archivio chiavi in cui si prevede di archiviare la chiave di crittografia dei dati. In questo esempio, scegli Insieme di credenziali delle chiavi, ma la procedura è simile se scegli HSM gestito.
Espandere Key Vault (o HSM gestito, se è stato selezionato questo tipo di archiviazione) e selezionare l'istanza in cui esiste la chiave di crittografia dei dati.
Annotazioni
Quando si espande la casella a discesa, viene visualizzato Nessun elemento disponibile. L'elenco di tutte le istanze dell'insieme di credenziali delle chiavi distribuite nella stessa area del server richiede alcuni secondi.
Espandere Chiave e selezionare il nome della chiave da usare per la crittografia dei dati.
Se non è stato selezionato Usa aggiornamento automatico della versione della chiave, è necessario selezionare anche una versione specifica della chiave. A tale scopo, espandere Versione e selezionare l'identificatore della versione della chiave da usare per la crittografia dei dati.
Seleziona Seleziona.
Configurare tutte le altre impostazioni del nuovo server e selezionare Rivedi e crea.
Configurare la crittografia dei dati con la chiave gestita dal cliente nei server esistenti
Si decide se usare una chiave gestita dal sistema o una chiave gestita dal cliente per la crittografia dei dati al momento della creazione del server. Dopo aver deciso e creato il server, non è possibile passare tra le due opzioni. L'unica alternativa, se si vuole passare da una all'altra, richiede il ripristino di uno dei backup disponibili del server in un nuovo server. Durante la configurazione del ripristino, è possibile modificare la configurazione della crittografia dei dati del nuovo server.
Per i server esistenti distribuiti con la crittografia dei dati usando una chiave gestita dal cliente, è possibile apportare diverse modifiche alla configurazione. È possibile modificare i riferimenti alle chiavi usate per la crittografia e i riferimenti alle identità gestite assegnate dall'utente usate dal servizio per accedere alle chiavi mantenute negli archivi chiavi.
È necessario aggiornare i riferimenti a una chiave presenti nel server flessibile Database di Azure per PostgreSQL:
- Quando la chiave archiviata nell'archivio chiavi viene ruotata, manualmente o automaticamente e il server flessibile di Database di Azure per PostgreSQL punta a una versione specifica della chiave. Se si punta a una chiave, ma non a una versione specifica della chiave ,ovvero quando è abilitato l'aggiornamento automatico della versione della chiave, il servizio fa automaticamente riferimento alla versione più recente della chiave ogni volta che la chiave viene ruotata o manualmente.
- Quando si vuole usare la stessa chiave o una chiave diversa archiviata in un archivio chiavi diverso.
È necessario aggiornare le identità gestite assegnate dall'utente usate dal server flessibile Database di Azure per PostgreSQL per accedere alle chiavi di crittografia ogni volta che si vuole usare un'identità diversa.
Usare il portale di Azure:
Seleziona il server flessibile di Azure Database per PostgreSQL.
Nel menu della risorsa, nella sezione Sicurezza , selezionare Crittografia dati.
Per modificare l'identità gestita assegnata dall'utente usata dal server per accedere all'archivio chiavi, espandere l'elenco a discesa Identità gestita assegnata dall'utente e selezionare una delle identità disponibili.
Annotazioni
La casella combinata mostra solo le identità assegnate dal tuo server flessibile Database di Azure per PostgreSQL. Anche se non è necessario, per mantenere la resilienza a livello di area, selezionare le identità gestite dall'utente nella stessa area del server. Se nel server è abilitata la ridondanza del backup geografico, la seconda identità gestita assegnata dall'utente, usata per accedere alla chiave di crittografia dei dati per i backup con ridondanza geografica, deve esistere nell'area abbinata del server.
Se l'identità gestita assegnata dall'utente che si vuole usare per accedere alla chiave di crittografia dei dati non è assegnata al server flessibile Database di Azure per PostgreSQL e non esiste come risorsa Azure con l'oggetto corrispondente in Microsoft Entra ID, crearla selezionando Crea.
Nel pannello Crea identità gestita assegnata dall'utente immettere i dettagli dell'identità gestita assegnata dall'utente che si vuole creare e assegnarla automaticamente al server flessibile Database di Azure per PostgreSQL per accedere alla chiave di crittografia dei dati.
Se l'identità gestita assegnata dall'utente che si vuole usare per accedere alla chiave di crittografia dei dati non è assegnata al server flessibile Database di Azure per PostgreSQL, ma esiste come risorsa Azure con l'oggetto corrispondente in Microsoft Entra ID, assegnarla selezionando Seleziona.
Nell'elenco delle identità gestite assegnate all'utente, selezionare quella che si desidera che il server usi per accedere alla chiave di crittografia dei dati archiviata in Azure Key Vault.
Seleziona Aggiungi.
Selezionare Usa aggiornamento automatico della versione della chiave se si desidera che il servizio aggiorni automaticamente il riferimento alla versione più recente della chiave scelta ogni volta che la versione corrente viene ruotata manualmente o automaticamente. Per comprendere i vantaggi dell'uso degli aggiornamenti automatici delle versioni delle chiavi, vedere [aggiornamento automatico della versione della chiave](.. /security/security-data-encryption.md##CMK aggiornamenti della versione della chiave).
Se si ruota la chiave e non si abilita Usa l'aggiornamento automatico della versione della chiave. In alternativa, se si vuole usare una chiave diversa, aggiornare il server flessibile Database di Azure per PostgreSQL in modo che punti alla nuova versione della chiave o alla nuova chiave. A tale scopo, copiare l'identificatore della risorsa della chiave e incollarlo nella casella Identificatore chiave .
Se l'utente che accede a portale di Azure ha le autorizzazioni per accedere alla chiave archiviata nell'archivio chiavi, è possibile usare un approccio alternativo per scegliere la nuova chiave o la nuova versione della chiave. A tale scopo, in Metodo di selezione chiave selezionare il pulsante di opzione Seleziona una chiave.
Selezionare Seleziona chiave.
La sottoscrizione viene popolata automaticamente con il nome della sottoscrizione in cui verrà creato il server. L'archivio chiavi che mantiene la chiave di crittografia dei dati deve esistere nella stessa sottoscrizione del server.
In Tipo di archivio chiavi selezionare il pulsante di opzione corrispondente al tipo di archivio chiavi in cui si prevede di archiviare la chiave di crittografia dei dati. In questo esempio, scegli Insieme di credenziali delle chiavi, ma la procedura è simile se scegli HSM gestito.
Espandere Key Vault (o HSM gestito, se è stato selezionato questo tipo di archiviazione) e selezionare l'istanza in cui esiste la chiave di crittografia dei dati.
Annotazioni
Quando si espande la casella a discesa, viene visualizzato Nessun elemento disponibile. L'elenco di tutte le istanze dell'insieme di credenziali delle chiavi distribuite nella stessa area del server richiede alcuni secondi.
Espandere Chiave e selezionare il nome della chiave da usare per la crittografia dei dati.
Se non è stato selezionato Usa aggiornamento automatico della versione della chiave, è necessario selezionare anche una versione specifica della chiave. A tale scopo, espandere Versione e selezionare l'identificatore della versione della chiave da usare per la crittografia dei dati.
Seleziona Seleziona.
Quando si è soddisfatti delle modifiche, selezionare Salva.