Configurare la crittografia dei dati in Database di Azure per PostgreSQL - Server flessibile

Questo articolo fornisce istruzioni dettagliate per configurare la crittografia dei dati per un server flessibile di Database di Azure per PostgreSQL.

Importante

È possibile decidere di usare una chiave gestita dal sistema o una chiave gestita dal cliente solo in fase di creazione del server. Dopo aver deciso e creato il server, non è possibile passare tra le due opzioni.

Questo articolo illustra come creare un nuovo server e configurare le relative opzioni di crittografia dei dati. Per i server esistenti che usano la chiave di crittografia gestita dal cliente per la crittografia dei dati, si apprenderà come:

  • Come selezionare un'identità gestita assegnata dall'utente diversa per consentire al servizio di accedere alla chiave di crittografia.
  • Come specificare una chiave di crittografia diversa o come ruotare la chiave di crittografia corrente usata per la crittografia dei dati.

Per informazioni sulla crittografia dei dati nel contesto di Database di Azure per PostgreSQL, vedere Crittografia dei dati.

Configurare la crittografia dei dati con la chiave gestita dal sistema durante il provisioning del server

Usare il portale di Azure:

  1. Durante il provisioning di un nuovo server flessibile Database di Azure per PostgreSQL, configurare la crittografia dei dati nella scheda Sicurezza. Per Chiave di crittografia dei dati selezionare l'opzione Chiave gestita dal servizio.

    Screenshot che mostra come selezionare la chiave di crittografia gestita dal sistema durante il provisioning del server.

  2. Se si abilita il provisioning dell'archiviazione di backup con ridondanza geografica insieme al server, l'aspetto della scheda Sicurezza cambia leggermente perché il server usa due chiavi di crittografia separate. Una chiave è per l'area primaria in cui si distribuisce il server e una chiave è per l'area abbinata in cui vengono replicati i backup del server in modo asincrono.

    Screenshot che mostra come selezionare la chiave di crittografia gestita dal sistema durante il provisioning del server, quando il server è abilitato per l'archiviazione di backup con ridondanza geografica.

Configurare la crittografia dei dati con la chiave gestita dal cliente durante il provisioning del server

Usare il portale di Azure:

  1. Creare un'identità gestita assegnata dall'utente, se non ne è ancora disponibile una. Se il server dispone di backup con ridondanza geografica abilitati, è necessario creare due identità diverse. Ognuna di queste identità accede a ognuna delle due chiavi di crittografia dei dati.

Annotazioni

Anche se non è necessario, per mantenere la resilienza a livello di area, creare l'identità gestita dall'utente nella stessa area del server. Se sul server è abilitata la ridondanza del backup geografico, crea la seconda identità gestita assegnata dall'utente nell'area abbinata del server.

  1. Creare un Azure Key Vault o creare un modulo di protezione hardware gestito, se non è ancora stato creato un archivio chiavi. Assicurarsi di soddisfare i requisiti. Seguire anche gli elementi consigliati prima di configurare l'archivio chiavi e prima di creare la chiave e assegnare le autorizzazioni necessarie all'identità gestita assegnata dall'utente. Se nel server sono abilitati backup con ridondanza geografica, è necessario creare un secondo archivio chiavi. Il secondo archivio chiavi mantiene la chiave di crittografia dei dati che crittografa i backup copiati nell'area associata del server.

Annotazioni

È necessario distribuire l'archivio chiavi che mantiene la chiave di crittografia dei dati nella stessa area del server. Se nel server è abilitata la ridondanza con backup geografico, è necessario creare l'archivio delle chiavi che contiene la chiave di crittografia dei dati per i backup con ridondanza geografica nell'area associata del server.

  1. Creare una chiave nell'archivio chiavi. Se nel server sono abilitati backup con ridondanza geografica, è necessaria una chiave in ognuno degli archivi chiavi. Usando una di queste chiavi, si crittografa tutti i dati del server ,inclusi tutti i database di sistema e utente, i file temporanei, i log del server, i segmenti di log write-ahead e i backup. Usando la seconda chiave, si crittografano le copie dei backup copiati in modo asincrono nell'area abbinata del server.

  2. Durante il provisioning di un nuovo server flessibile Database di Azure per PostgreSQL, configurare la crittografia dei dati nella scheda Sicurezza. Per Chiave di crittografia dei dati selezionare il pulsante di opzione Chiave gestita dal cliente.

    Screenshot che mostra come selezionare la chiave di crittografia gestita dal cliente durante il provisioning del server.

  3. Se si abilita il provisioning dell'archiviazione di backup con ridondanza geografica insieme al server, l'aspetto della scheda Sicurezza cambia leggermente perché il server usa due chiavi di crittografia separate. Una chiave è per l'area primaria in cui si distribuisce il server e una chiave è per l'area abbinata in cui vengono replicati i backup del server in modo asincrono.

    Screenshot che mostra come selezionare la chiave di crittografia gestita dal cliente durante il provisioning del server, quando il server è abilitato per l'archiviazione di backup con ridondanza geografica.

  4. In Identità gestita assegnata dall'utente selezionare Cambia identità.

    Screenshot che mostra come selezionare l'identità gestita assegnata dall'utente per accedere alla chiave di crittografia per i dati del percorso del server.

  5. Nell'elenco delle identità gestite assegnate all'utente, selezionare quella che si desidera che il server usi per accedere alla chiave di crittografia dei dati archiviata in Azure Key Vault.

    Screenshot che mostra come selezionare l'identità gestita assegnata dall'utente con cui il server accede alla chiave di crittografia dei dati.

  6. Seleziona Aggiungi.

    Screenshot che mostra il percorso del pulsante Aggiungi per assegnare l'identità con cui il server accede alla chiave di crittografia dei dati.

  7. Selezionare Usa aggiornamento automatico della versione della chiave, se si preferisce consentire al servizio di aggiornare automaticamente il riferimento alla versione più recente della chiave scelta, ogni volta che la versione corrente viene ruotata manualmente o automaticamente. Per comprendere i vantaggi dell'uso degli aggiornamenti automatici delle versioni delle chiavi, vedere Aggiornamento automatico della versione della chiave.

    Screenshot che mostra come abilitare gli aggiornamenti automatici delle versioni delle chiavi.

  8. Scegliere Seleziona una chiave.

    Screenshot che mostra come selezionare una chiave di crittografia dei dati.

  9. La sottoscrizione viene popolata automaticamente con il nome della sottoscrizione in cui verrà creato il server. L'archivio chiavi che mantiene la chiave di crittografia dei dati deve esistere nella stessa sottoscrizione del server.

    Screenshot che mostra come selezionare la sottoscrizione in cui deve esistere l'archivio chiavi.

  10. In Tipo di archivio chiavi selezionare il pulsante di opzione corrispondente al tipo di archivio chiavi in cui si prevede di archiviare la chiave di crittografia dei dati. In questo esempio, scegli Insieme di credenziali delle chiavi, ma la procedura è simile se scegli HSM gestito.

    Screenshot che mostra come selezionare il tipo di archivio che mantiene la chiave di crittografia dei dati.

  11. Espandere Key Vault (o HSM gestito, se è stato selezionato questo tipo di archiviazione) e selezionare l'istanza in cui esiste la chiave di crittografia dei dati.

    Screenshot che mostra come selezionare l'archivio chiavi che mantiene la chiave di crittografia dei dati.

    Annotazioni

    Quando si espande la casella a discesa, viene visualizzato Nessun elemento disponibile. L'elenco di tutte le istanze dell'insieme di credenziali delle chiavi distribuite nella stessa area del server richiede alcuni secondi.

  12. Espandere Chiave e selezionare il nome della chiave da usare per la crittografia dei dati.

    Screenshot che mostra come selezionare la chiave di crittografia dei dati.

  13. Se non è stato selezionato Usa aggiornamento automatico della versione della chiave, è necessario selezionare anche una versione specifica della chiave. A tale scopo, espandere Versione e selezionare l'identificatore della versione della chiave da usare per la crittografia dei dati.

    Screenshot che mostra come selezionare la versione da usare della chiave di crittografia dei dati.

  14. Seleziona Seleziona.

    Screenshot che mostra come selezionare la chiave scelta.

  15. Configurare tutte le altre impostazioni del nuovo server e selezionare Rivedi e crea.

    Screenshot che mostra come completare la creazione del server.

Configurare la crittografia dei dati con la chiave gestita dal cliente nei server esistenti

Si decide se usare una chiave gestita dal sistema o una chiave gestita dal cliente per la crittografia dei dati al momento della creazione del server. Dopo aver deciso e creato il server, non è possibile passare tra le due opzioni. L'unica alternativa, se si vuole passare da una all'altra, richiede il ripristino di uno dei backup disponibili del server in un nuovo server. Durante la configurazione del ripristino, è possibile modificare la configurazione della crittografia dei dati del nuovo server.

Per i server esistenti distribuiti con la crittografia dei dati usando una chiave gestita dal cliente, è possibile apportare diverse modifiche alla configurazione. È possibile modificare i riferimenti alle chiavi usate per la crittografia e i riferimenti alle identità gestite assegnate dall'utente usate dal servizio per accedere alle chiavi mantenute negli archivi chiavi.

È necessario aggiornare i riferimenti a una chiave presenti nel server flessibile Database di Azure per PostgreSQL:

  • Quando la chiave archiviata nell'archivio chiavi viene ruotata, manualmente o automaticamente e il server flessibile di Database di Azure per PostgreSQL punta a una versione specifica della chiave. Se si punta a una chiave, ma non a una versione specifica della chiave ,ovvero quando è abilitato l'aggiornamento automatico della versione della chiave, il servizio fa automaticamente riferimento alla versione più recente della chiave ogni volta che la chiave viene ruotata o manualmente.
  • Quando si vuole usare la stessa chiave o una chiave diversa archiviata in un archivio chiavi diverso.

È necessario aggiornare le identità gestite assegnate dall'utente usate dal server flessibile Database di Azure per PostgreSQL per accedere alle chiavi di crittografia ogni volta che si vuole usare un'identità diversa.

Usare il portale di Azure:

  1. Seleziona il server flessibile di Azure Database per PostgreSQL.

  2. Nel menu della risorsa, nella sezione Sicurezza , selezionare Crittografia dati.

    Screenshot che mostra come accedere alla crittografia dei dati per un server esistente.

  3. Per modificare l'identità gestita assegnata dall'utente usata dal server per accedere all'archivio chiavi, espandere l'elenco a discesa Identità gestita assegnata dall'utente e selezionare una delle identità disponibili.

    Screenshot che mostra come selezionare una delle identità gestite assegnate dall'utente associate al server.

    Annotazioni

    La casella combinata mostra solo le identità assegnate dal tuo server flessibile Database di Azure per PostgreSQL. Anche se non è necessario, per mantenere la resilienza a livello di area, selezionare le identità gestite dall'utente nella stessa area del server. Se nel server è abilitata la ridondanza del backup geografico, la seconda identità gestita assegnata dall'utente, usata per accedere alla chiave di crittografia dei dati per i backup con ridondanza geografica, deve esistere nell'area abbinata del server.

  4. Se l'identità gestita assegnata dall'utente che si vuole usare per accedere alla chiave di crittografia dei dati non è assegnata al server flessibile Database di Azure per PostgreSQL e non esiste come risorsa Azure con l'oggetto corrispondente in Microsoft Entra ID, crearla selezionando Crea.

    Schermata che mostra come creare nuove identità gestite assegnate dall'utente in Azure e Microsoft Entra ID, assegnarle automaticamente al server flessibile di Database di Azure per PostgreSQL e usarle per accedere alla chiave di crittografia dei dati.

  5. Nel pannello Crea identità gestita assegnata dall'utente immettere i dettagli dell'identità gestita assegnata dall'utente che si vuole creare e assegnarla automaticamente al server flessibile Database di Azure per PostgreSQL per accedere alla chiave di crittografia dei dati.

    Screenshot che mostra come specificare i dettagli per la nuova identità gestita assegnata dall'utente.

  6. Se l'identità gestita assegnata dall'utente che si vuole usare per accedere alla chiave di crittografia dei dati non è assegnata al server flessibile Database di Azure per PostgreSQL, ma esiste come risorsa Azure con l'oggetto corrispondente in Microsoft Entra ID, assegnarla selezionando Seleziona.

    Schermata che mostra come selezionare un'identità gestita assegnata dall'utente esistente in Azure e Microsoft Entra ID, assegnarla automaticamente al server flessibile Database di Azure per PostgreSQL e usarla per accedere alla chiave di crittografia dei dati.

  7. Nell'elenco delle identità gestite assegnate all'utente, selezionare quella che si desidera che il server usi per accedere alla chiave di crittografia dei dati archiviata in Azure Key Vault.

    Screenshot che mostra come selezionare un'identità gestita assegnata dall'utente esistente per assegnarla al server flessibile di Database di Azure per PostgreSQL e usarla per accedere alla chiave di crittografia dei dati.

  8. Seleziona Aggiungi.

    Screenshot che mostra come aggiungere l'identità gestita assegnata dall'utente selezionato.

  9. Selezionare Usa aggiornamento automatico della versione della chiave se si desidera che il servizio aggiorni automaticamente il riferimento alla versione più recente della chiave scelta ogni volta che la versione corrente viene ruotata manualmente o automaticamente. Per comprendere i vantaggi dell'uso degli aggiornamenti automatici delle versioni delle chiavi, vedere [aggiornamento automatico della versione della chiave](.. /security/security-data-encryption.md##CMK aggiornamenti della versione della chiave).

    Screenshot che mostra come abilitare gli aggiornamenti automatici delle versioni delle chiavi.

  10. Se si ruota la chiave e non si abilita Usa l'aggiornamento automatico della versione della chiave. In alternativa, se si vuole usare una chiave diversa, aggiornare il server flessibile Database di Azure per PostgreSQL in modo che punti alla nuova versione della chiave o alla nuova chiave. A tale scopo, copiare l'identificatore della risorsa della chiave e incollarlo nella casella Identificatore chiave .

    Screenshot che mostra dove incollare l'identificatore della risorsa della nuova chiave o della nuova versione della chiave e che il server deve usare per la crittografia dei dati.

  11. Se l'utente che accede a portale di Azure ha le autorizzazioni per accedere alla chiave archiviata nell'archivio chiavi, è possibile usare un approccio alternativo per scegliere la nuova chiave o la nuova versione della chiave. A tale scopo, in Metodo di selezione chiave selezionare il pulsante di opzione Seleziona una chiave.

    Screenshot che mostra come abilitare il metodo più user friendly per scegliere la chiave di crittografia dei dati da usare per la crittografia dei dati.

  12. Selezionare Seleziona chiave.

    Screenshot che mostra come selezionare una chiave di crittografia dei dati.

  13. La sottoscrizione viene popolata automaticamente con il nome della sottoscrizione in cui verrà creato il server. L'archivio chiavi che mantiene la chiave di crittografia dei dati deve esistere nella stessa sottoscrizione del server.

    Screenshot che mostra come selezionare la sottoscrizione in cui deve esistere l'archivio chiavi.

  14. In Tipo di archivio chiavi selezionare il pulsante di opzione corrispondente al tipo di archivio chiavi in cui si prevede di archiviare la chiave di crittografia dei dati. In questo esempio, scegli Insieme di credenziali delle chiavi, ma la procedura è simile se scegli HSM gestito.

    Screenshot che mostra come selezionare il tipo di archivio che mantiene la chiave di crittografia dei dati.

  15. Espandere Key Vault (o HSM gestito, se è stato selezionato questo tipo di archiviazione) e selezionare l'istanza in cui esiste la chiave di crittografia dei dati.

    Screenshot che mostra come selezionare l'archivio chiavi che mantiene la chiave di crittografia dei dati.

    Annotazioni

    Quando si espande la casella a discesa, viene visualizzato Nessun elemento disponibile. L'elenco di tutte le istanze dell'insieme di credenziali delle chiavi distribuite nella stessa area del server richiede alcuni secondi.

  16. Espandere Chiave e selezionare il nome della chiave da usare per la crittografia dei dati.

    Screenshot che mostra come selezionare la chiave di crittografia dei dati.

  17. Se non è stato selezionato Usa aggiornamento automatico della versione della chiave, è necessario selezionare anche una versione specifica della chiave. A tale scopo, espandere Versione e selezionare l'identificatore della versione della chiave da usare per la crittografia dei dati.

    Screenshot che mostra come selezionare la versione da usare della chiave di crittografia dei dati.

  18. Seleziona Seleziona.

    Screenshot che mostra come selezionare la chiave scelta.

  19. Quando si è soddisfatti delle modifiche, selezionare Salva.

    Screenshot che mostra come salvare le modifiche apportate alla configurazione della crittografia dei dati.