Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se proporcionan instrucciones paso a paso para configurar el cifrado de datos para un servidor flexible de Azure Database for PostgreSQL.
Importante
Puede decidir usar una clave administrada por el sistema o una clave administrada por el cliente para el cifrado de datos solo en la creación del servidor. Después de tomar esa decisión y crear el servidor, no puede cambiar entre las dos opciones.
En este artículo, aprenderá a crear un nuevo servidor y a configurar sus opciones de cifrado de datos. En el caso de los servidores existentes que usan la clave de cifrado administrada por el cliente para el cifrado de datos, aprenderá:
- Cómo seleccionar una identidad administrada asignada por el usuario distinta para que el servicio pueda acceder a la clave de cifrado.
- Cómo especificar una clave de cifrado diferente o cómo rotar la clave de cifrado que se usa actualmente para el cifrado de datos.
Para obtener información sobre el cifrado de datos en el contexto de Azure Database for PostgreSQL, consulte Cifrado de datos.
Configuración del cifrado de datos con clave administrada por el sistema durante el aprovisionamiento del servidor
Usa el portal de Azure:
Durante el aprovisionamiento de una nueva Azure Database for PostgreSQL servidor flexible, configure el cifrado de datos en la pestaña Seguridad. En Clave de cifrado de datos, seleccione la opción Clave administrada por el servicio.
Si habilita el almacenamiento de copia de seguridad con redundancia geográfica para que se aprovisione junto con el servidor, el aspecto de la pestaña Seguridad cambia ligeramente porque el servidor usa dos claves de cifrado independientes. Una clave es para la región primaria en la que va a implementar el servidor y una clave es para la región emparejada a la que se replican asincrónicamente las copias de seguridad del servidor.
Configuración del cifrado de datos con la clave administrada por el cliente durante el aprovisionamiento del servidor
Usa el portal de Azure:
- Cree una identidad administrada asignada por el usuario, si aún no tiene una. Si el servidor tiene habilitadas copias de seguridad con redundancia geográfica, debe crear dos identidades diferentes. Cada una de esas identidades accede a cada una de las dos claves de cifrado de datos.
Nota:
Aunque no es necesario, para mantener la resiliencia regional, cree la identidad administrada por el usuario en la misma región que el servidor. Si el servidor tiene habilitada la redundancia de copia de seguridad geográfica, cree la segunda identidad administrada por el usuario en la región emparejada del servidor.
- Cree un Azure Key Vault o cree un HSM administrado, si aún no tiene un almacén de claves creado. Asegúrese de cumplir los requisitos. Además, siga las recomendaciones antes de configurar el almacén de claves y antes de crear la clave y asignar los permisos necesarios a la identidad administrada asignada por el usuario. Si el servidor tiene habilitadas copias de seguridad con redundancia geográfica, debe crear un segundo almacén de claves. Ese segundo almacén de claves mantiene la clave de cifrado de datos que cifra las copias de seguridad copiadas en la región emparejada del servidor.
Nota:
Debe implementar el almacén de claves que mantiene la clave de cifrado de datos en la misma región que el servidor. Si el servidor tiene habilitada la redundancia de copia de seguridad geográfica, debe crear el almacén de claves que mantiene la clave de cifrado de datos para las copias de seguridad con redundancia geográfica en la región emparejada del servidor.
Cree una clave en el almacén de claves. Si el servidor tiene habilitadas copias de seguridad con redundancia geográfica, necesita una clave en cada uno de los almacenes de claves. Mediante una de estas claves, cifra todos los datos del servidor (incluidas todas las bases de datos de usuario y del sistema, archivos temporales, registros de servidor, segmentos de registro de escritura anticipada y copias de seguridad). Con la segunda clave, cifra las copias de las copias de seguridad que se copian de forma asincrónica en la región emparejada del servidor.
Durante el aprovisionamiento de un nuevo servidor flexible de Azure Database for PostgreSQL, configure el cifrado de los datos en la pestaña Seguridad. En Clave de cifrado de datos, seleccione el botón de opción Clave administrada por el cliente.
Si habilita el almacenamiento de copia de seguridad con redundancia geográfica para que se aprovisione junto con el servidor, el aspecto de la pestaña Seguridad cambia ligeramente porque el servidor usa dos claves de cifrado independientes. Una clave es para la región primaria en la que va a implementar el servidor y una clave es para la región emparejada a la que se replican asincrónicamente las copias de seguridad del servidor.
En Identidad administrada asignada por el usuario, seleccione Cambiar identidad.
En la lista de identidades administradas asignadas por el usuario, seleccione la que desea que use el servidor para acceder a la clave de cifrado de datos almacenada en un Azure Key Vault.
Selecciona Agregar.
Seleccione Usar actualización automática de la versión de la clave, si prefiere permitir que el servicio actualice automáticamente la referencia a la versión más reciente de la clave elegida, siempre que la versión actual se gire manual o automáticamente. Para comprender las ventajas de usar las actualizaciones automáticas de la versión de la clave, consulte Actualización automática de la versión de la clave.
Seleccione Seleccionar una clave.
La suscripción se rellena automáticamente con el nombre de la suscripción en la que se va a crear el servidor. El almacén de claves que mantiene la clave de cifrado de datos debe existir en la misma suscripción que el servidor.
En Tipo de almacén de claves, seleccione el botón de radio correspondiente al tipo de almacén de claves en el que planea almacenar la clave de cifrado de datos. En este ejemplo, elija Almacén de claves, pero la experiencia es similar si elige HSM administrado.
Expanda Almacén de claves (o HSM administrado, si seleccionó ese tipo de almacenamiento) y seleccione la instancia en la que existe la clave de cifrado de datos.
Nota:
Al expandir el cuadro desplegable, muestra No hay elementos disponibles. Tarda unos segundos hasta que se muestran todas las instancias de Azure Key Vault que se implementan en la misma región que el servidor.
Expanda Clave y seleccione el nombre de la clave que desea usar para el cifrado de datos.
Si no seleccionó Usar actualización automática de la versión de la clave, también debe seleccionar una versión específica de la clave. Para ello, expanda Versión y seleccione el identificador de la versión de la clave que desea usar para el cifrado de datos.
Elija Seleccionar.
Configure todas las demás opciones del nuevo servidor y seleccione Revisar y crear.
Configuración del cifrado de datos con la clave administrada por el cliente en servidores existentes
Decide si va a usar una clave administrada por el sistema o una clave administrada por el cliente para el cifrado de datos en la creación del servidor. Después de tomar esa decisión y crear el servidor, no puede cambiar entre las dos opciones. La única alternativa, si desea cambiar de una a otra, requiere restaurar cualquiera de las copias de seguridad disponibles del servidor en un nuevo servidor. Al configurar la restauración, puede cambiar la configuración de cifrado de datos del nuevo servidor.
Para los servidores existentes que implementó con el cifrado de datos mediante una clave administrada por el cliente, puede realizar varios cambios de configuración. Puede cambiar las referencias a las claves usadas para el cifrado y las referencias a las identidades administradas asignadas por el usuario que el servicio usa para acceder a las claves que se mantienen en los almacenes de claves.
Debe actualizar las referencias que el servidor flexible de Azure Database for PostgreSQL tiene en una clave:
- Cuando la clave almacenada en el almacén de claves se rota, ya sea manualmente o automáticamente, y su servidor flexible de Azure Database for PostgreSQL apunta a una versión específica de la clave. Si apunta a una clave, pero no a una versión específica de la clave (es decir, cuando tiene habilitada la actualización automática de la versión de clave), el servicio hace referencia automáticamente a la versión más actual de la clave cada vez que la clave se gira manual o automáticamente.
- Si desea usar la misma clave o una clave diferente almacenada en un almacén de claves diferente.
Debe actualizar las identidades administradas asignadas por el usuario que usa el servidor flexible de Azure Database for PostgreSQL para acceder a las claves de cifrado siempre que desee usar una identidad diferente.
Usa el portal de Azure:
Seleccione su servidor flexible de Azure Database for PostgreSQL.
En el menú de recursos, en la sección Seguridad , seleccione Cifrado de datos.
Para cambiar la identidad administrada asignada por el usuario que usa el servidor para acceder al almacén de claves, expanda la lista desplegable Identidad administrada asignada por el usuario y seleccione cualquiera de las identidades disponibles.
Nota:
El cuadro combinado muestra solo las identidades que tiene asignadas su servidor flexible de Azure Database for PostgreSQL. Aunque no es necesario, para mantener la resistencia regional, seleccione identidades administradas por el usuario en la misma región que el servidor. Si el servidor tiene habilitada la redundancia de copia de seguridad geográfica, la segunda identidad administrada por el usuario, que se usa para acceder a la clave de cifrado de datos para las copias de seguridad con redundancia geográfica, debe existir en la región emparejada del servidor.
Si la identidad administrada asignada por el usuario que desea usar para acceder a la clave de cifrado de datos no está asignada al servidor flexible de Azure Database for PostgreSQL y no existe como un recurso de Azure con su objeto correspondiente en Microsoft Entra ID, créelo seleccionando Crear.
En el panel Crear identidad administrada asignada por el usuario, escriba los detalles de la identidad administrada asignada por el usuario que desea crear y asígnela automáticamente al servidor flexible de Azure Database for PostgreSQL para acceder a la clave de cifrado de datos.
Si la identidad administrada asignada por el usuario que desea usar para acceder a la clave de cifrado de datos no está asignada a su servidor flexible de Azure Database for PostgreSQL, pero existe como un recurso de Azure con su objeto correspondiente en Microsoft Entra ID, asígnelo seleccionando Seleccionar.
En la lista de identidades administradas asignadas por el usuario, seleccione la que desea que use el servidor para acceder a la clave de cifrado de datos almacenada en un Azure Key Vault.
Selecciona Agregar.
Seleccione Usar actualización automática de la versión de clave si desea que el servicio actualice automáticamente la referencia a la versión más reciente de la clave elegida siempre que la versión actual se gire manualmente o automáticamente. Para comprender las ventajas de usar las actualizaciones automáticas de la versión de clave, consulte [actualización automática de la versión de clave](.. /security/security-data-encryption.md##CMK actualizaciones de la versión de clave).
Si rota la clave y no activa Usar actualización automática de la versión de clave. O bien, si desea usar una clave diferente, actualice el Azure Database for PostgreSQL servidor flexible para que apunte a la nueva versión de la clave o a la nueva clave. Para ello, copie el identificador de recurso de la clave y péguelo en el cuadro Identificador de clave .
Si el usuario que accede a Azure Portal tiene permisos para acceder a la clave almacenada en el almacén de claves, puede usar un enfoque alternativo para elegir la nueva clave o la nueva versión de la clave. Para ello, en Método de selección de claves, seleccione el botón de radio Seleccionar una tecla .
Seleccione Seleccionar clave.
La suscripción se rellena automáticamente con el nombre de la suscripción en la que se va a crear el servidor. El almacén de claves que mantiene la clave de cifrado de datos debe existir en la misma suscripción que el servidor.
En Tipo de almacén de claves, seleccione el botón de radio correspondiente al tipo de almacén de claves en el que planea almacenar la clave de cifrado de datos. En este ejemplo, elija Almacén de claves, pero la experiencia es similar si elige HSM administrado.
Expanda Almacén de claves (o HSM administrado, si seleccionó ese tipo de almacenamiento) y seleccione la instancia en la que existe la clave de cifrado de datos.
Nota:
Al expandir el cuadro desplegable, muestra No hay elementos disponibles. Tarda unos segundos hasta que se muestran todas las instancias de Azure Key Vault que se implementan en la misma región que el servidor.
Expanda Clave y seleccione el nombre de la clave que desea usar para el cifrado de datos.
Si no seleccionó Usar actualización automática de la versión de la clave, también debe seleccionar una versión específica de la clave. Para ello, expanda Versión y seleccione el identificador de la versión de la clave que desea usar para el cifrado de datos.
Elija Seleccionar.
Cuando esté satisfecho con los cambios, seleccione Guardar.