Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo fornece instruções passo a passo para configurar a criptografia de dados para um servidor flexível do Banco de Dados do Azure para PostgreSQL.
Importante
Você pode decidir usar uma chave gerenciada pelo sistema ou uma chave gerenciada pelo cliente para criptografia de dados somente na criação do servidor. Depois de tomar essa decisão e criar o servidor, você não poderá alternar entre as duas opções.
Neste artigo, você aprenderá como criar um novo servidor e configurar suas opções de criptografia de dados. Para servidores existentes que usam a chave de criptografia gerenciada pelo cliente para criptografia de dados, você aprenderá:
- Como selecionar uma identidade gerenciada atribuída pelo usuário diferente para que o serviço acesse a chave de criptografia.
- Como especificar uma chave de criptografia diferente ou como fazer a rotação da chave de criptografia usada atualmente para criptografia de dados.
Para saber mais sobre a criptografia de dados no contexto de Banco de Dados do Azure para PostgreSQL, consulte a criptografia de dados.
Configurar a criptografia de dados com chave gerenciada pelo sistema durante o provisionamento do servidor
Use o portal do Azure:
Durante o provisionamento de um novo servidor Banco de Dados do Azure para PostgreSQL flexível, configure a criptografia de dados na guia Segurança. Para a chave de criptografia de dados, selecione a opção de chave gerenciada pelo serviço.
Se você habilitar o armazenamento de backups com redundância geográfica junto com o servidor, a guia Segurança mudará um pouco porque o servidor usa duas chaves de criptografia distintas. Uma chave é para a região primária na qual você está implantando seu servidor e uma chave é para a região emparelhada à qual os backups do servidor são replicados de forma assíncrona.
Configurar a criptografia de dados com chave gerenciada pelo cliente durante o provisionamento do servidor
Use o portal do Azure:
- Crie uma identidade gerenciada atribuída pelo usuário, se você ainda não tiver uma. Se o servidor tiver backups com redundância geográfica habilitados, você precisará criar duas identidades diferentes. Cada uma dessas identidades acessa cada uma das duas chaves de criptografia de dados.
Observação
Embora não seja necessário, para manter a resiliência regional, crie a identidade gerenciada pelo usuário na mesma região que o servidor. Se o servidor tiver a redundância de backup geográfico habilitada, crie a segunda identidade gerenciada pelo usuário na região emparelhada do servidor.
- Crie um Azure Key Vault ou crie um HSM Gerenciado se você ainda não tiver um repositório de chaves criado. Verifique se você atende aos requisitos. Além disso, siga as recomendações antes de configurar o repositório de chaves, criar a chave e atribuir as permissões necessárias à identidade gerenciada atribuída pelo usuário. Se o seu servidor tiver backups com redundância geográfica habilitados, você precisará criar um segundo repositório de chaves. Esse segundo repositório de chaves mantém a chave de criptografia de dados que criptografa seus backups copiados para a região emparelhada do servidor.
Observação
Você deve implantar o repositório de chaves que mantém a chave de criptografia de dados na mesma região do servidor. Se o servidor tiver a redundância de backup geográfico habilitada, você deverá criar o repositório de chaves que mantém a chave de criptografia de dados para backups com redundância geográfica na região emparelhada do servidor.
Crie uma chave no repositório de chaves. Se o seu servidor tiver backups com redundância geográfica habilitados, você precisará de uma chave em cada um dos repositórios de chaves. Ao usar uma dessas chaves, você criptografa todos os dados do servidor (incluindo todos os bancos de dados do sistema e do usuário, arquivos temporários, logs de servidor, segmentos de log com gravação antecipada e backups). Usando a segunda chave, você criptografa as cópias dos backups que são copiados de forma assíncrona sobre a região emparelhada do servidor.
Durante o provisionamento de um novo Azure Database para PostgreSQL – servidor flexível, configure a criptografia de dados na guia Segurança. Em Chave de criptografia de dados, selecione a opção Chave gerenciada pelo cliente.
Se você habilitar o armazenamento de backups com redundância geográfica junto com o servidor, a guia Segurança mudará um pouco porque o servidor usa duas chaves de criptografia distintas. Uma chave é para a região primária na qual você está implantando seu servidor e uma chave é para a região emparelhada à qual os backups do servidor são replicados de forma assíncrona.
Em Identidade gerenciada atribuída pelo usuário, selecione Alterar identidade.
Na lista de identidades gerenciadas atribuídas pelo usuário, selecione aquela que você deseja que seu servidor use para acessar a chave de criptografia de dados armazenada em um Azure Key Vault.
Selecione Adicionar.
Selecione Usar atualização automática de versão de chave, se preferir permitir que o serviço atualize automaticamente a referência para a versão mais atual da chave escolhida, sempre que a versão atual for girada manualmente ou automaticamente. Para entender os benefícios do uso de atualizações automáticas de versão de chave, consulte atualização automática da versão da chave.
Selecione Selecionar uma chave.
A Assinatura é preenchida automaticamente com o nome da assinatura na qual seu servidor será criado. O repositório de chaves que armazena a chave de criptografia de dados deve existir na mesma assinatura do servidor.
Em Tipo de repositório de chaves, selecione o botão de opção correspondente ao tipo de repositório de chaves em que planeja armazenar a chave de criptografia de dados. Neste exemplo, escolha o cofre de chaves, mas a experiência será semelhante se você escolher HSM Gerenciado.
Expanda o Cofre de chaves (ou o HSM gerenciado, caso tenha escolhido esse tipo de repositório) e selecione a instância onde a chave de criptografia de dados está armazenada.
Observação
Quando você expandir a caixa de seleção, a mensagem Nenhum item disponível será exibida. Aguarde alguns segundos para que todas as instâncias do cofre de chaves implantadas na mesma região do servidor sejam listadas.
Expanda Chave e selecione o nome da chave que quer usar para a criptografia de dados.
Se você não selecionou Usar a atualização automática de versão da chave, também deverá selecionar uma versão específica da chave. Para fazer isso, expanda Versão e selecione o identificador da versão da chave que você deseja usar para criptografia de dados.
Selecione Selecionar.
Configure todas as outras opções do novo servidor e clique em Revisar + criar.
Configurar a criptografia de dados com chave gerenciada pelo cliente em servidores existentes
Você decide se deseja usar uma chave gerenciada pelo sistema ou uma chave gerenciada pelo cliente para criptografia de dados na criação do servidor. Depois de tomar essa decisão e criar o servidor, você não poderá alternar entre as duas opções. A única alternativa para mudar de uma configuração para outra é restaurar qualquer um dos backups disponíveis do servidor em um novo servidor. Ao configurar a restauração, você pode alterar a configuração de criptografia de dados do novo servidor.
Para servidores existentes implantados com criptografia de dados usando uma chave gerenciada pelo cliente, você pode fazer várias alterações de configuração. Você pode alterar as referências às chaves usadas para criptografia e referências às identidades gerenciadas atribuídas pelo usuário que o serviço usa para acessar as chaves mantidas nos repositórios de chaves.
Você deve atualizar as referências a uma chave que o servidor flexível do Banco de Dados do Azure para PostgreSQL usa:
- Quando a chave armazenada no cofre de chaves é rotacionada, manualmente ou automaticamente, e o servidor flexível do Banco de Dados do Azure para PostgreSQL aponta para uma versão específica da chave. Se você estiver apontando para uma chave, mas não para uma versão específica da chave (ou seja, quando você tiver a atualização automática de versão de chave habilitada), o serviço referencia automaticamente a versão mais atual da chave sempre que a chave é girada manual ou automaticamente.
- Quando quiser usar a mesma chave ou uma chave diferente armazenada em um outro repositório de chaves.
Você deve atualizar as identidades gerenciadas atribuídas pelo usuário que seu servidor Banco de Dados do Azure para PostgreSQL flexível usa para acessar as chaves de criptografia sempre que quiser usar uma identidade diferente.
Use o portal do Azure:
Selecione seu servidor flexível do Banco de Dados do Azure para PostgreSQL.
No menu de recursos, na seção Segurança , selecione Criptografia de dados.
Para alterar a identidade gerenciada atribuída pelo usuário que o servidor usa para acessar o repositório de chaves, expanda a lista suspensa Identidade gerenciada atribuída pelo usuário e selecione uma das identidades disponíveis.
Observação
A caixa de combinação mostra apenas as identidades que foram atribuídas ao seu Servidor Flexível do Banco de Dados do Azure para PostgreSQL. Embora não seja necessário, para manter a resiliência regional, selecione identidades gerenciadas pelo usuário na mesma região que o servidor. Se o servidor tiver a redundância de backup geográfico habilitada, a segunda identidade gerenciada pelo usuário, usada para acessar a chave de criptografia de dados para backups com redundância geográfica, deverá existir na região emparelhada do servidor.
Se a identidade gerenciada atribuída pelo usuário que você deseja usar para acessar a chave de criptografia de dados não for atribuída ao servidor Banco de Dados do Azure para PostgreSQL flexível e ela não existir como um recurso de Azure com seu objeto correspondente em Microsoft Entra ID, crie-a selecionando Criar.
No painel Criar Identidade Gerenciada Atribuída ao Usuário, insira os detalhes da identidade gerenciada atribuída pelo usuário que você deseja criar e atribua-a automaticamente ao servidor Banco de Dados do Azure para PostgreSQL flexível para acessar a chave de criptografia de dados.
Se a identidade gerenciada atribuída pelo usuário que você deseja usar para acessar a chave de criptografia de dados não estiver atribuída ao seu servidor flexível do Banco de Dados do Azure para PostgreSQL, mas existir como um recurso do Azure com seu objeto correspondente no Microsoft Entra ID, atribua-a selecionando Selecionar.
Na lista de identidades gerenciadas atribuídas pelo usuário, selecione aquela que você deseja que seu servidor use para acessar a chave de criptografia de dados armazenada em um Azure Key Vault.
Selecione Adicionar.
Selecione Usar atualização automática de versão da chave se desejar que o serviço atualize automaticamente a referência à versão mais atual da chave escolhida sempre que a versão atual for girada manual ou automaticamente. Para entender os benefícios do uso de atualizações automáticas de versão de chave, consulte [atualização automática de versão de chave](../security/security-data-encryption.md##atualizações de versão de chave CMK).
Se você girar a chave e não habilitar Usar atualização automática de versão da chave. Ou se você quiser usar uma chave diferente, atualize o servidor flexível Banco de Dados do Azure para PostgreSQL para que ele aponte para a nova versão da chave ou nova chave. Para fazer isso, copie o identificador de recurso da chave e cole-o na caixa Identificador de chave.
Se o usuário que acessa o portal do Azure tiver permissões para acessar a chave armazenada no repositório de chaves, você pode usar um método alternativo para escolher a nova chave ou nova versão da chave. Para isso, em Método de seleção da chave, selecione o botão de opção Selecionar uma chave.
Escolha Selecionar chave.
A Assinatura é preenchida automaticamente com o nome da assinatura na qual seu servidor será criado. O repositório de chaves que armazena a chave de criptografia de dados deve existir na mesma assinatura do servidor.
Em Tipo de repositório de chaves, selecione o botão de opção correspondente ao tipo de repositório de chaves em que planeja armazenar a chave de criptografia de dados. Neste exemplo, escolha o cofre de chaves, mas a experiência será semelhante se você escolher HSM Gerenciado.
Expanda o Cofre de chaves (ou o HSM gerenciado, caso tenha escolhido esse tipo de repositório) e selecione a instância onde a chave de criptografia de dados está armazenada.
Observação
Quando você expandir a caixa de seleção, a mensagem Nenhum item disponível será exibida. Aguarde alguns segundos para que todas as instâncias do cofre de chaves implantadas na mesma região do servidor sejam listadas.
Expanda Chave e selecione o nome da chave que quer usar para a criptografia de dados.
Se você não selecionou Usar a atualização automática de versão da chave, também deverá selecionar uma versão específica da chave. Para fazer isso, expanda Versão e selecione o identificador da versão da chave que você deseja usar para criptografia de dados.
Selecione Selecionar.
Quando estiver satisfeito com as alterações, selecione Salvar.