Azure Database for PostgreSQL フレキシブル サーバーでデータ暗号化を設定する

この記事では、Azure Database for PostgreSQL フレキシブル サーバーのデータ暗号化を構成する手順について説明します。

Important

サーバーの作成時にのみ、データ暗号化にシステム マネージド キーまたはカスタマー マネージド キーを使用することを決定できます。 その決定を行い、サーバーを作成した後は、2 つのオプションを切り替えることはできません。

この記事では、新しいサーバーを作成し、そのデータ暗号化オプションを構成する方法について説明します。 データ暗号化にカスタマー マネージド暗号化キーを使用する既存のサーバーについては、以下を学習します。

  • サービスが暗号化キーにアクセスするために別のユーザー割り当てマネージド ID を選択する方法。
  • 別の暗号化キーを指定する方法、または現在データ暗号化に使用されている暗号化キーをローテーションする方法。

Azure Database for PostgreSQLのコンテキストでのデータ暗号化の詳細については、データ暗号化に関するページを参照してください。

サーバーのプロビジョニング中にシステム マネージド キーを使用してデータ暗号化を構成する

Azure portal を使用します。

  1. 新しいAzure Database for PostgreSQLフレキシブル サーバーのプロビジョニング中に、[セキュリティ] タブでデータ暗号化を構成します。[データ暗号化キー] で、[サービスマネージド キー] オプションを選択します。

    サーバーのプロビジョニング中にシステムマネージド暗号化キーを選択する方法を示すスクリーンショット。

  2. geo 冗長バックアップ ストレージをサーバーと共にプロビジョニングできるようにする場合、サーバーが 2 つの個別の暗号化キーを使用するため、[ セキュリティ ] タブの側面が若干変わります。 1 つのキーはサーバーをデプロイするプライマリ リージョン用で、1 つのキーはサーバー バックアップが非同期的にレプリケートされるペアリージョン用です。

    サーバーが geo 冗長バックアップ ストレージに対して有効になっている場合に、サーバーのプロビジョニング中にシステムマネージド暗号化キーを選択する方法を示すスクリーンショット。

サーバーのプロビジョニング中にカスタマー マネージド キーを使用してデータ暗号化を構成する

Azure portal を使用します。

  1. ユーザー割り当てマネージド ID がまだない場合は、作成します。 サーバーで geo 冗長バックアップが有効になっている場合は、2 つの異なる ID を作成する必要があります。 これらの各 ID は、2 つのデータ暗号化キーのそれぞれにアクセスします。

必須ではありませんが、リージョンの回復性を維持するには、サーバーと同じリージョンにユーザー マネージド ID を作成します。 サーバーで geo バックアップ冗長が有効になっている場合は、サーバーの ペアになっているリージョン に 2 番目のユーザー マネージド ID を作成します。

  1. キー ストアがまだ作成されていない場合は、Azure Key Vaultを作成するか、Managed HSM を作成します。 要件を満たしていることを確認します。 また、キー ストアを構成する前と、キーを作成して必要なアクセス許可をユーザー割り当てマネージド ID に割り当てる前に、 推奨事項 に従ってください。 サーバーで geo 冗長バックアップが有効になっている場合は、2 つ目のキー ストアを作成する必要があります。 その 2 つ目のキー ストアは、サーバーの ペアリージョン にコピーされたバックアップを暗号化するデータ暗号化キーを保持します。

データ暗号化キーをサーバーと同じリージョンに保持するキー ストアをデプロイする必要があります。 サーバーで geo バックアップ冗長が有効になっている場合は、geo 冗長バックアップのデータ暗号化キーをサーバーの ペアリージョン に保持するキー ストアを作成する必要があります。

  1. キー ストアにキーを作成します。 サーバーで geo 冗長バックアップが有効になっている場合は、各キー ストアに 1 つのキーが必要です。 これらのキーのいずれかを使用すると、すべてのサーバーのデータ (すべてのシステム データベースとユーザー データベース、一時ファイル、サーバー ログ、先書きログ セグメント、バックアップを含む) を暗号化できます。 2 番目のキーを使用すると、サーバーの ペアになっているリージョン に非同期的にコピーされるバックアップのコピーを暗号化します。

  2. 新しいAzure Database for PostgreSQLフレキシブル サーバーのプロビジョニング中に、[セキュリティ] タブでデータ暗号化を構成します。[データ暗号化キー] で、[カスタマー マネージド キー] ラジオ ボタンを選択します。

    サーバーのプロビジョニング中にカスタマー マネージド暗号化キーを選択する方法を示すスクリーンショット。

  3. geo 冗長バックアップ ストレージをサーバーと共にプロビジョニングできるようにする場合、サーバーが 2 つの個別の暗号化キーを使用するため、[ セキュリティ ] タブの側面が若干変わります。 1 つのキーはサーバーをデプロイするプライマリ リージョン用で、1 つのキーはサーバー バックアップが非同期的にレプリケートされるペアリージョン用です。

    サーバーが geo 冗長バックアップ ストレージに対して有効になっている場合に、サーバーのプロビジョニング中にカスタマー マネージド暗号化キーを選択する方法を示すスクリーンショット。

  4. [ユーザー割り当てマネージド ID] で、[ID の変更] を選択します。

    ユーザー割り当てマネージド ID を選択して、サーバーの場所のデータのデータ暗号化キーにアクセスする方法を示すスクリーンショット。

  5. ユーザー割り当てマネージド ID の一覧から、Azure Key Vaultに格納されているデータ暗号化キーへのアクセスにサーバーで使用するものを選択します。

    サーバーがデータ暗号化キーにアクセスするユーザー割り当てマネージド ID を選択する方法を示すスクリーンショット。

  6. [] を選択し、[] を追加します。

    サーバーがデータ暗号化キーにアクセスする ID を割り当てる [追加] ボタンの場所を示すスクリーンショット。

  7. 現在のバージョンが手動または自動的にローテーションされるたびに、選択したキーの最新バージョンへの参照をサービスで自動的に更新できるようにする場合は、[キーバージョンの 自動更新を使用する] を選択します。 キーバージョンの自動更新を使用する利点については、キーバージョンの自動更新に関 する記事を参照してください。

    キーバージョンの自動更新を有効にする方法を示すスクリーンショット。

  8. [ キーの選択] を選択します

    データ暗号化キーを選択する方法を示すスクリーンショット。

  9. サブスクリプション には、これから作成するサーバーのサブスクリプション名が自動的に入力されます。 データ暗号化キーを保持するキー ストアは、サーバーと同じサブスクリプションに存在する必要があります。

    キー ストアが存在するサブスクリプションを選択する方法を示すスクリーンショット。

  10. [ キー ストアの種類] で、データ暗号化キーを格納するキー ストアの種類に対応するラジオ ボタンを選択します。 この例では、 キー コンテナーを選択しますが、 Managed HSM を選択した場合のエクスペリエンスは似ています。

    データ暗号化キーを保持するストアの種類を選択する方法を示すスクリーンショット。

  11. キー コンテナー (または、そのストレージの種類を選択した場合は Managed HSM) を展開し、データ暗号化キーが存在するインスタンスを選択します。

    データ暗号化キーを保持するキー ストアを選択する方法を示すスクリーンショット。

    ドロップダウン ボックスを展開すると、[ 使用可能な項目がありません] と表示されます。 サーバーと同じリージョンにデプロイされているキー コンテナーのすべてのインスタンスが一覧表示されるまで、数秒かかります。

  12. [ キー] を展開し、データ暗号化に使用するキーの名前を選択します。

    データ暗号化キーを選択する方法を示すスクリーンショット。

  13. [ キーバージョンの自動更新を使用する] を選択しなかった場合は、特定のバージョンのキーも選択する必要があります。 これを行うには、[ バージョン] を展開し、データ暗号化に使用するキーのバージョンの識別子を選択します。

    データ暗号化キーを使用するバージョンを選択する方法を示すスクリーンショット。

  14. 選択

    選択したキーを選択する方法を示すスクリーンショット。

  15. 新しいサーバーの他のすべての設定を構成し、[ 確認と作成] を選択します。

    サーバーの作成を完了する方法を示すスクリーンショット。

既存のサーバーでカスタマー マネージド キーを使用してデータ暗号化を構成する

サーバーの作成時に、データ暗号化にシステム マネージド キーとカスタマー マネージド キーのどちらを使用するかを決定します。 その決定を行い、サーバーを作成した後は、2 つのオプションを切り替えることはできません。 1 つから別のバックアップに変更する場合は、 サーバーで使用可能なすべてのバックアップを新しいサーバーに復元する必要があります。 復元の構成中に、新しいサーバーのデータ暗号化構成を変更できます。

カスタマー マネージド キーを使用してデータ暗号化を使用してデプロイした既存のサーバーでは、いくつかの構成変更を行うことができます。 暗号化に使用されるキーへの参照と、サービスがキー ストアに保持されているキーへのアクセスに使用するユーザー割り当てマネージド ID への参照を変更できます。

Azure Database for PostgreSQL フレキシブル サーバーがキーに対して持つ参照を更新する必要があります。

  • キー ストアに格納されているキーが手動または自動でローテーションされ、Azure Database for PostgreSQL フレキシブル サーバーが特定のバージョンのキーを指している場合。 キーをポイントしているが、特定のバージョンのキーを指していない場合 (自動 キー バージョン更新を有効 にした場合)、キーが手動または自動的にローテーションされるたびに、サービスは最新バージョンのキーを自動的に参照します。
  • 別のキー ストアに格納されている同じキーまたは別のキーを使用する場合。

別の ID を使用する場合は常に、Azure Database for PostgreSQL フレキシブル サーバーが暗号化キーにアクセスするために使用するユーザー割り当てマネージド ID を更新する必要があります。

Azure portal を使用します。

  1. お使いの Azure Database for PostgreSQL フレキシブル サーバーを選択します。

  2. リソース メニューの [ セキュリティ ] セクションで、[ データ暗号化] を選択します。

    既存のサーバーのデータ暗号化にアクセスする方法を示すスクリーンショット。

  3. サーバーがキー ストアへのアクセスに使用するユーザー割り当てマネージド ID を変更するには、[ ユーザー割り当てマネージド ID ] ドロップダウンを展開し、使用可能な ID のいずれかを選択します。

    サーバーに関連付けられているユーザー割り当てマネージド ID のいずれかを選択する方法を示すスクリーンショット。

    コンボ ボックスには、Azure Database for PostgreSQL フレキシブル サーバーが割り当てた ID のみが表示されます。 必須ではありませんが、リージョンの回復性を維持するには、サーバーと同じリージョンのユーザー マネージド ID を選択します。 サーバーで geo バックアップ冗長が有効になっている場合、geo 冗長バックアップのデータ暗号化キーへのアクセスに使用される 2 番目のユーザー マネージド ID は、サーバーの ペアになっているリージョン に存在する必要があります。

  4. データ暗号化キーへのアクセスに使用するユーザー割り当てマネージド ID が Azure Database for PostgreSQL フレキシブル サーバーに割り当てられていない場合、Microsoft Entra IDの対応するオブジェクトを持つAzure リソースとして存在しない場合は、[作成] を選択して作成します。

    Azure と Microsoft Entra ID で新しいユーザー割り当てマネージド ID を作成し、それを Azure Database for PostgreSQL フレキシブル サーバーに自動的に割り当て、それを使用してデータ暗号化キーにアクセスする方法を示すスクリーンショット。

  5. [ユーザー割り当てマネージド ID の作成] パネルで、作成するユーザー割り当てマネージド ID の詳細を入力し、Azure Database for PostgreSQLフレキシブル サーバーに自動的に割り当ててデータ暗号化キーにアクセスします。

    新しいユーザー割り当てマネージド ID の詳細を指定する方法を示すスクリーンショット。

  6. データ暗号化キーへのアクセスに使用するユーザー割り当てマネージド ID が、Azure Database for PostgreSQL フレキシブル サーバーに割り当てられていないが、Microsoft Entra IDの対応するオブジェクトを持つAzure リソースとして存在する場合は、[選択] を選択して割り当てます。

    Azure と Microsoft Entra ID で既存のユーザー割り当てマネージド ID を選択し、それを Azure Database for PostgreSQL フレキシブル サーバーに自動的に割り当て、それを使用してデータ暗号化キーにアクセスする方法を示すスクリーンショット。

  7. ユーザー割り当てマネージド ID の一覧から、Azure Key Vaultに格納されているデータ暗号化キーへのアクセスにサーバーで使用するものを選択します。

    既存のユーザー割り当てマネージド ID を選択して Azure Database for PostgreSQL フレキシブル サーバーに割り当て、それを使用してデータ暗号化キーにアクセスする方法を示すスクリーンショット。

  8. [] を選択し、[] を追加します。

    選択したユーザー割り当てマネージド ID を追加する方法を示すスクリーンショット。

  9. 現在のバージョンが手動または自動でローテーションされるたびに、サービスが選択したキーの最新バージョンへの参照を自動的に更新する場合は、[キーバージョンの 自動更新を使用する ] を選択します。 キーバージョンの自動更新を使用する利点を理解するには、[キーバージョンの自動更新](../security/security-data-encryption.md##CMK キー バージョンの更新)をご覧ください。

    キーバージョンの自動更新を有効にする方法を示すスクリーンショット。

  10. キーをローテーションしても、キー バージョンの自動更新を使用する を有効にしない場合。 または、別のキーを使用する場合は、Azure Database for PostgreSQLフレキシブル サーバーを更新して、新しいキー のバージョンまたは新しいキーをポイントするようにします。 これを行うには、キーのリソース識別子をコピーし、[ キー識別子 ] ボックスに貼り付けます。

    サーバーがデータ暗号化に使用する必要がある新しいキーまたは新しいキー バージョンのリソース識別子を貼り付ける場所を示すスクリーンショット。

  11. Azure portal にアクセスするユーザーに、キー ストアに格納されているキーにアクセスするためのアクセス許可がある場合は、別の方法を使用して、新しいキーまたは新しいキー バージョンを選択できます。 これを行うには、[ キーの選択方法] で [キーの選択] ラジオ ボタン を選択 します。

    ユーザーのわかりやすい方法で、データ暗号化に使用するデータ暗号化キーを選択できるようにする方法を示すスクリーンショット。

  12. [ キーの選択] を選択します

    データ暗号化キーを選択する方法を示すスクリーンショット。

  13. サブスクリプション には、これから作成するサーバーのサブスクリプション名が自動的に入力されます。 データ暗号化キーを保持するキー ストアは、サーバーと同じサブスクリプションに存在する必要があります。

    キー ストアが存在するサブスクリプションを選択する方法を示すスクリーンショット。

  14. [ キー ストアの種類] で、データ暗号化キーを格納するキー ストアの種類に対応するラジオ ボタンを選択します。 この例では、 キー コンテナーを選択しますが、 Managed HSM を選択した場合のエクスペリエンスは似ています。

    データ暗号化キーを保持するストアの種類を選択する方法を示すスクリーンショット。

  15. キー コンテナー (または、そのストレージの種類を選択した場合は Managed HSM) を展開し、データ暗号化キーが存在するインスタンスを選択します。

    データ暗号化キーを保持するキー ストアを選択する方法を示すスクリーンショット。

    ドロップダウン ボックスを展開すると、[ 使用可能な項目がありません] と表示されます。 サーバーと同じリージョンにデプロイされているキー コンテナーのすべてのインスタンスが一覧表示されるまで、数秒かかります。

  16. [ キー] を展開し、データ暗号化に使用するキーの名前を選択します。

    データ暗号化キーを選択する方法を示すスクリーンショット。

  17. [ キーバージョンの自動更新を使用する] を選択しなかった場合は、特定のバージョンのキーも選択する必要があります。 これを行うには、[ バージョン] を展開し、データ暗号化に使用するキーのバージョンの識別子を選択します。

    データ暗号化キーを使用するバージョンを選択する方法を示すスクリーンショット。

  18. 選択

    選択したキーを選択する方法を示すスクリーンショット。

  19. 変更に問題がなければ、[ 保存] を選択します。

    データ暗号化構成に加えられた変更を保存する方法を示すスクリーンショット。