この記事では、Azure Database for PostgreSQL フレキシブル サーバーのデータ暗号化を構成する手順について説明します。
Important
サーバーの作成時にのみ、データ暗号化にシステム マネージド キーまたはカスタマー マネージド キーを使用することを決定できます。 その決定を行い、サーバーを作成した後は、2 つのオプションを切り替えることはできません。
この記事では、新しいサーバーを作成し、そのデータ暗号化オプションを構成する方法について説明します。 データ暗号化にカスタマー マネージド暗号化キーを使用する既存のサーバーについては、以下を学習します。
- サービスが暗号化キーにアクセスするために別のユーザー割り当てマネージド ID を選択する方法。
- 別の暗号化キーを指定する方法、または現在データ暗号化に使用されている暗号化キーをローテーションする方法。
Azure Database for PostgreSQLのコンテキストでのデータ暗号化の詳細については、データ暗号化に関するページを参照してください。
サーバーのプロビジョニング中にシステム マネージド キーを使用してデータ暗号化を構成する
Azure portal を使用します。
サーバーのプロビジョニング中にカスタマー マネージド キーを使用してデータ暗号化を構成する
Azure portal を使用します。
- ユーザー割り当てマネージド ID がまだない場合は、作成します。 サーバーで geo 冗長バックアップが有効になっている場合は、2 つの異なる ID を作成する必要があります。 これらの各 ID は、2 つのデータ暗号化キーのそれぞれにアクセスします。
注
必須ではありませんが、リージョンの回復性を維持するには、サーバーと同じリージョンにユーザー マネージド ID を作成します。 サーバーで geo バックアップ冗長が有効になっている場合は、サーバーの ペアになっているリージョン に 2 番目のユーザー マネージド ID を作成します。
- キー ストアがまだ作成されていない場合は、Azure Key Vaultを作成するか、Managed HSM を作成します。 要件を満たしていることを確認します。 また、キー ストアを構成する前と、キーを作成して必要なアクセス許可をユーザー割り当てマネージド ID に割り当てる前に、 推奨事項 に従ってください。 サーバーで geo 冗長バックアップが有効になっている場合は、2 つ目のキー ストアを作成する必要があります。 その 2 つ目のキー ストアは、サーバーの ペアリージョン にコピーされたバックアップを暗号化するデータ暗号化キーを保持します。
注
データ暗号化キーをサーバーと同じリージョンに保持するキー ストアをデプロイする必要があります。 サーバーで geo バックアップ冗長が有効になっている場合は、geo 冗長バックアップのデータ暗号化キーをサーバーの ペアリージョン に保持するキー ストアを作成する必要があります。
キー ストアにキーを作成します。 サーバーで geo 冗長バックアップが有効になっている場合は、各キー ストアに 1 つのキーが必要です。 これらのキーのいずれかを使用すると、すべてのサーバーのデータ (すべてのシステム データベースとユーザー データベース、一時ファイル、サーバー ログ、先書きログ セグメント、バックアップを含む) を暗号化できます。 2 番目のキーを使用すると、サーバーの ペアになっているリージョン に非同期的にコピーされるバックアップのコピーを暗号化します。
新しいAzure Database for PostgreSQLフレキシブル サーバーのプロビジョニング中に、[セキュリティ] タブでデータ暗号化を構成します。[データ暗号化キー] で、[カスタマー マネージド キー] ラジオ ボタンを選択します。
geo 冗長バックアップ ストレージをサーバーと共にプロビジョニングできるようにする場合、サーバーが 2 つの個別の暗号化キーを使用するため、[ セキュリティ ] タブの側面が若干変わります。 1 つのキーはサーバーをデプロイするプライマリ リージョン用で、1 つのキーはサーバー バックアップが非同期的にレプリケートされるペアリージョン用です。
[ユーザー割り当てマネージド ID] で、[ID の変更] を選択します。
ユーザー割り当てマネージド ID の一覧から、Azure Key Vaultに格納されているデータ暗号化キーへのアクセスにサーバーで使用するものを選択します。
[] を選択し、[] を追加します。
現在のバージョンが手動または自動的にローテーションされるたびに、選択したキーの最新バージョンへの参照をサービスで自動的に更新できるようにする場合は、[キーバージョンの 自動更新を使用する] を選択します。 キーバージョンの自動更新を使用する利点については、キーバージョンの自動更新に関 する記事を参照してください。
[ キーの選択] を選択します。
サブスクリプション には、これから作成するサーバーのサブスクリプション名が自動的に入力されます。 データ暗号化キーを保持するキー ストアは、サーバーと同じサブスクリプションに存在する必要があります。
[ キー ストアの種類] で、データ暗号化キーを格納するキー ストアの種類に対応するラジオ ボタンを選択します。 この例では、 キー コンテナーを選択しますが、 Managed HSM を選択した場合のエクスペリエンスは似ています。
キー コンテナー (または、そのストレージの種類を選択した場合は Managed HSM) を展開し、データ暗号化キーが存在するインスタンスを選択します。
注
ドロップダウン ボックスを展開すると、[ 使用可能な項目がありません] と表示されます。 サーバーと同じリージョンにデプロイされているキー コンテナーのすべてのインスタンスが一覧表示されるまで、数秒かかります。
[ キー] を展開し、データ暗号化に使用するキーの名前を選択します。
[ キーバージョンの自動更新を使用する] を選択しなかった場合は、特定のバージョンのキーも選択する必要があります。 これを行うには、[ バージョン] を展開し、データ暗号化に使用するキーのバージョンの識別子を選択します。
選択
新しいサーバーの他のすべての設定を構成し、[ 確認と作成] を選択します。
既存のサーバーでカスタマー マネージド キーを使用してデータ暗号化を構成する
サーバーの作成時に、データ暗号化にシステム マネージド キーとカスタマー マネージド キーのどちらを使用するかを決定します。 その決定を行い、サーバーを作成した後は、2 つのオプションを切り替えることはできません。 1 つから別のバックアップに変更する場合は、 サーバーで使用可能なすべてのバックアップを新しいサーバーに復元する必要があります。 復元の構成中に、新しいサーバーのデータ暗号化構成を変更できます。
カスタマー マネージド キーを使用してデータ暗号化を使用してデプロイした既存のサーバーでは、いくつかの構成変更を行うことができます。 暗号化に使用されるキーへの参照と、サービスがキー ストアに保持されているキーへのアクセスに使用するユーザー割り当てマネージド ID への参照を変更できます。
Azure Database for PostgreSQL フレキシブル サーバーがキーに対して持つ参照を更新する必要があります。
- キー ストアに格納されているキーが手動または自動でローテーションされ、Azure Database for PostgreSQL フレキシブル サーバーが特定のバージョンのキーを指している場合。 キーをポイントしているが、特定のバージョンのキーを指していない場合 (自動 キー バージョン更新を有効 にした場合)、キーが手動または自動的にローテーションされるたびに、サービスは最新バージョンのキーを自動的に参照します。
- 別のキー ストアに格納されている同じキーまたは別のキーを使用する場合。
別の ID を使用する場合は常に、Azure Database for PostgreSQL フレキシブル サーバーが暗号化キーにアクセスするために使用するユーザー割り当てマネージド ID を更新する必要があります。
Azure portal を使用します。
お使いの Azure Database for PostgreSQL フレキシブル サーバーを選択します。
リソース メニューの [ セキュリティ ] セクションで、[ データ暗号化] を選択します。
サーバーがキー ストアへのアクセスに使用するユーザー割り当てマネージド ID を変更するには、[ ユーザー割り当てマネージド ID ] ドロップダウンを展開し、使用可能な ID のいずれかを選択します。
注
コンボ ボックスには、Azure Database for PostgreSQL フレキシブル サーバーが割り当てた ID のみが表示されます。 必須ではありませんが、リージョンの回復性を維持するには、サーバーと同じリージョンのユーザー マネージド ID を選択します。 サーバーで geo バックアップ冗長が有効になっている場合、geo 冗長バックアップのデータ暗号化キーへのアクセスに使用される 2 番目のユーザー マネージド ID は、サーバーの ペアになっているリージョン に存在する必要があります。
データ暗号化キーへのアクセスに使用するユーザー割り当てマネージド ID が Azure Database for PostgreSQL フレキシブル サーバーに割り当てられていない場合、Microsoft Entra IDの対応するオブジェクトを持つAzure リソースとして存在しない場合は、[作成] を選択して作成します。
[ユーザー割り当てマネージド ID の作成] パネルで、作成するユーザー割り当てマネージド ID の詳細を入力し、Azure Database for PostgreSQLフレキシブル サーバーに自動的に割り当ててデータ暗号化キーにアクセスします。
データ暗号化キーへのアクセスに使用するユーザー割り当てマネージド ID が、Azure Database for PostgreSQL フレキシブル サーバーに割り当てられていないが、Microsoft Entra IDの対応するオブジェクトを持つAzure リソースとして存在する場合は、[選択] を選択して割り当てます。
ユーザー割り当てマネージド ID の一覧から、Azure Key Vaultに格納されているデータ暗号化キーへのアクセスにサーバーで使用するものを選択します。
[] を選択し、[] を追加します。
現在のバージョンが手動または自動でローテーションされるたびに、サービスが選択したキーの最新バージョンへの参照を自動的に更新する場合は、[キーバージョンの 自動更新を使用する ] を選択します。 キーバージョンの自動更新を使用する利点を理解するには、[キーバージョンの自動更新](../security/security-data-encryption.md##CMK キー バージョンの更新)をご覧ください。
キーをローテーションしても、キー バージョンの自動更新を使用する を有効にしない場合。 または、別のキーを使用する場合は、Azure Database for PostgreSQLフレキシブル サーバーを更新して、新しいキー のバージョンまたは新しいキーをポイントするようにします。 これを行うには、キーのリソース識別子をコピーし、[ キー識別子 ] ボックスに貼り付けます。
Azure portal にアクセスするユーザーに、キー ストアに格納されているキーにアクセスするためのアクセス許可がある場合は、別の方法を使用して、新しいキーまたは新しいキー バージョンを選択できます。 これを行うには、[ キーの選択方法] で [キーの選択] ラジオ ボタン を選択 します。
[ キーの選択] を選択します。
サブスクリプション には、これから作成するサーバーのサブスクリプション名が自動的に入力されます。 データ暗号化キーを保持するキー ストアは、サーバーと同じサブスクリプションに存在する必要があります。
[ キー ストアの種類] で、データ暗号化キーを格納するキー ストアの種類に対応するラジオ ボタンを選択します。 この例では、 キー コンテナーを選択しますが、 Managed HSM を選択した場合のエクスペリエンスは似ています。
キー コンテナー (または、そのストレージの種類を選択した場合は Managed HSM) を展開し、データ暗号化キーが存在するインスタンスを選択します。
注
ドロップダウン ボックスを展開すると、[ 使用可能な項目がありません] と表示されます。 サーバーと同じリージョンにデプロイされているキー コンテナーのすべてのインスタンスが一覧表示されるまで、数秒かかります。
[ キー] を展開し、データ暗号化に使用するキーの名前を選択します。
[ キーバージョンの自動更新を使用する] を選択しなかった場合は、特定のバージョンのキーも選択する必要があります。 これを行うには、[ バージョン] を展開し、データ暗号化に使用するキーのバージョンの識別子を選択します。
選択
変更に問題がなければ、[ 保存] を選択します。