Configurar a criptografia de dados no servidor flexível Banco de Dados do Azure para PostgreSQL

Este artigo fornece instruções passo a passo para configurar a criptografia de dados para um servidor flexível do Banco de Dados do Azure para PostgreSQL.

Importante

Você pode decidir usar uma chave gerenciada pelo sistema ou uma chave gerenciada pelo cliente para criptografia de dados somente na criação do servidor. Depois de tomar essa decisão e criar o servidor, você não poderá alternar entre as duas opções.

Neste artigo, você aprenderá como criar um novo servidor e configurar suas opções de criptografia de dados. Para servidores existentes que usam a chave de criptografia gerenciada pelo cliente para criptografia de dados, você aprenderá:

  • Como selecionar uma identidade gerenciada atribuída pelo usuário diferente para que o serviço acesse a chave de criptografia.
  • Como especificar uma chave de criptografia diferente ou como fazer a rotação da chave de criptografia usada atualmente para criptografia de dados.

Para saber mais sobre a criptografia de dados no contexto de Banco de Dados do Azure para PostgreSQL, consulte a criptografia de dados.

Configurar a criptografia de dados com chave gerenciada pelo sistema durante o provisionamento do servidor

Use o portal do Azure:

  1. Durante o provisionamento de um novo servidor Banco de Dados do Azure para PostgreSQL flexível, configure a criptografia de dados na guia Segurança. Para a chave de criptografia de dados, selecione a opção de chave gerenciada pelo serviço.

    Captura de tela que mostra como selecionar a chave de criptografia gerenciada pelo sistema durante o provisionamento de servidor.

  2. Se você habilitar o armazenamento de backups com redundância geográfica junto com o servidor, a guia Segurança mudará um pouco porque o servidor usa duas chaves de criptografia distintas. Uma chave é para a região primária na qual você está implantando seu servidor e uma chave é para a região emparelhada à qual os backups do servidor são replicados de forma assíncrona.

    Captura de tela que mostra como selecionar a chave de criptografia gerenciada pelo sistema durante o provisionamento de servidor, quando o servidor está habilitado para armazenamento de backup com redundância geográfica.

Configurar a criptografia de dados com chave gerenciada pelo cliente durante o provisionamento do servidor

Use o portal do Azure:

  1. Crie uma identidade gerenciada atribuída pelo usuário, se você ainda não tiver uma. Se o servidor tiver backups com redundância geográfica habilitados, você precisará criar duas identidades diferentes. Cada uma dessas identidades acessa cada uma das duas chaves de criptografia de dados.

Observação

Embora não seja necessário, para manter a resiliência regional, crie a identidade gerenciada pelo usuário na mesma região que o servidor. Se o servidor tiver a redundância de backup geográfico habilitada, crie a segunda identidade gerenciada pelo usuário na região emparelhada do servidor.

  1. Crie um Azure Key Vault ou crie um HSM Gerenciado se você ainda não tiver um repositório de chaves criado. Verifique se você atende aos requisitos. Além disso, siga as recomendações antes de configurar o repositório de chaves, criar a chave e atribuir as permissões necessárias à identidade gerenciada atribuída pelo usuário. Se o seu servidor tiver backups com redundância geográfica habilitados, você precisará criar um segundo repositório de chaves. Esse segundo repositório de chaves mantém a chave de criptografia de dados que criptografa seus backups copiados para a região emparelhada do servidor.

Observação

Você deve implantar o repositório de chaves que mantém a chave de criptografia de dados na mesma região do servidor. Se o servidor tiver a redundância de backup geográfico habilitada, você deverá criar o repositório de chaves que mantém a chave de criptografia de dados para backups com redundância geográfica na região emparelhada do servidor.

  1. Crie uma chave no repositório de chaves. Se o seu servidor tiver backups com redundância geográfica habilitados, você precisará de uma chave em cada um dos repositórios de chaves. Ao usar uma dessas chaves, você criptografa todos os dados do servidor (incluindo todos os bancos de dados do sistema e do usuário, arquivos temporários, logs de servidor, segmentos de log com gravação antecipada e backups). Usando a segunda chave, você criptografa as cópias dos backups que são copiados de forma assíncrona sobre a região emparelhada do servidor.

  2. Durante o provisionamento de um novo Azure Database para PostgreSQL – servidor flexível, configure a criptografia de dados na guia Segurança. Em Chave de criptografia de dados, selecione a opção Chave gerenciada pelo cliente.

    Captura de tela que mostra como selecionar a chave de criptografia gerenciada pelo cliente durante o provisionamento do servidor.

  3. Se você habilitar o armazenamento de backups com redundância geográfica junto com o servidor, a guia Segurança mudará um pouco porque o servidor usa duas chaves de criptografia distintas. Uma chave é para a região primária na qual você está implantando seu servidor e uma chave é para a região emparelhada à qual os backups do servidor são replicados de forma assíncrona.

    Captura de tela que mostra como selecionar a chave de criptografia gerenciada pelo cliente durante o provisionamento de servidor, quando o servidor está habilitado para armazenamento de backup com redundância geográfica.

  4. Em Identidade gerenciada atribuída pelo usuário, selecione Alterar identidade.

    Captura de tela que mostra como selecionar a identidade gerenciada atribuída pelo usuário para acessar a chave de criptografia de dados para os dados do local do servidor.

  5. Na lista de identidades gerenciadas atribuídas pelo usuário, selecione aquela que você deseja que seu servidor use para acessar a chave de criptografia de dados armazenada em um Azure Key Vault.

    Captura de tela que mostra como selecionar a identidade gerenciada atribuída pelo usuário com a qual o servidor acessa a chave de criptografia de dados.

  6. Selecione Adicionar.

    Captura de tela que mostra o local do botão Adicionar para atribuir a identidade com a qual o servidor acessa a chave de criptografia de dados.

  7. Selecione Usar atualização automática de versão de chave, se preferir permitir que o serviço atualize automaticamente a referência para a versão mais atual da chave escolhida, sempre que a versão atual for girada manualmente ou automaticamente. Para entender os benefícios do uso de atualizações automáticas de versão de chave, consulte atualização automática da versão da chave.

    Captura de tela que mostra como habilitar atualizações automáticas de versão de chave.

  8. Selecione Selecionar uma chave.

    Captura de tela que mostra como selecionar uma chave de criptografia de dados.

  9. A Assinatura é preenchida automaticamente com o nome da assinatura na qual seu servidor será criado. O repositório de chaves que armazena a chave de criptografia de dados deve existir na mesma assinatura do servidor.

    Captura de tela que mostra como selecionar a assinatura na qual o repositório de chaves deve existir.

  10. Em Tipo de repositório de chaves, selecione o botão de opção correspondente ao tipo de repositório de chaves em que planeja armazenar a chave de criptografia de dados. Neste exemplo, escolha o cofre de chaves, mas a experiência será semelhante se você escolher HSM Gerenciado.

    Captura de tela que mostra como selecionar o tipo de repositório que mantém a chave de criptografia de dados.

  11. Expanda o Cofre de chaves (ou o HSM gerenciado, caso tenha escolhido esse tipo de repositório) e selecione a instância onde a chave de criptografia de dados está armazenada.

    Captura de tela que mostra como selecionar o repositório de chaves que mantém a chave de criptografia de dados.

    Observação

    Quando você expandir a caixa de seleção, a mensagem Nenhum item disponível será exibida. Aguarde alguns segundos para que todas as instâncias do cofre de chaves implantadas na mesma região do servidor sejam listadas.

  12. Expanda Chave e selecione o nome da chave que quer usar para a criptografia de dados.

    Captura de tela que mostra como selecionar a chave de criptografia de dados.

  13. Se você não selecionou Usar a atualização automática de versão da chave, também deverá selecionar uma versão específica da chave. Para fazer isso, expanda Versão e selecione o identificador da versão da chave que você deseja usar para criptografia de dados.

    Captura de tela que mostra como selecionar a versão a ser usada da chave de criptografia de dados.

  14. Selecione Selecionar.

    Captura de tela que mostra como selecionar a chave escolhida.

  15. Configure todas as outras opções do novo servidor e clique em Revisar + criar.

    Captura de tela que mostra como concluir a criação do servidor.

Configurar a criptografia de dados com chave gerenciada pelo cliente em servidores existentes

Você decide se deseja usar uma chave gerenciada pelo sistema ou uma chave gerenciada pelo cliente para criptografia de dados na criação do servidor. Depois de tomar essa decisão e criar o servidor, você não poderá alternar entre as duas opções. A única alternativa para mudar de uma configuração para outra é restaurar qualquer um dos backups disponíveis do servidor em um novo servidor. Ao configurar a restauração, você pode alterar a configuração de criptografia de dados do novo servidor.

Para servidores existentes implantados com criptografia de dados usando uma chave gerenciada pelo cliente, você pode fazer várias alterações de configuração. Você pode alterar as referências às chaves usadas para criptografia e referências às identidades gerenciadas atribuídas pelo usuário que o serviço usa para acessar as chaves mantidas nos repositórios de chaves.

Você deve atualizar as referências a uma chave que o servidor flexível do Banco de Dados do Azure para PostgreSQL usa:

  • Quando a chave armazenada no cofre de chaves é rotacionada, manualmente ou automaticamente, e o servidor flexível do Banco de Dados do Azure para PostgreSQL aponta para uma versão específica da chave. Se você estiver apontando para uma chave, mas não para uma versão específica da chave (ou seja, quando você tiver a atualização automática de versão de chave habilitada), o serviço referencia automaticamente a versão mais atual da chave sempre que a chave é girada manual ou automaticamente.
  • Quando quiser usar a mesma chave ou uma chave diferente armazenada em um outro repositório de chaves.

Você deve atualizar as identidades gerenciadas atribuídas pelo usuário que seu servidor Banco de Dados do Azure para PostgreSQL flexível usa para acessar as chaves de criptografia sempre que quiser usar uma identidade diferente.

Use o portal do Azure:

  1. Selecione seu servidor flexível do Banco de Dados do Azure para PostgreSQL.

  2. No menu de recursos, na seção Segurança , selecione Criptografia de dados.

    Captura de tela que mostra como acessar a criptografia de dados de um servidor existente.

  3. Para alterar a identidade gerenciada atribuída pelo usuário que o servidor usa para acessar o repositório de chaves, expanda a lista suspensa Identidade gerenciada atribuída pelo usuário e selecione uma das identidades disponíveis.

    Captura de tela que mostra como selecionar uma das identidades gerenciadas atribuídas pelo usuário associadas ao servidor.

    Observação

    A caixa de combinação mostra apenas as identidades que foram atribuídas ao seu Servidor Flexível do Banco de Dados do Azure para PostgreSQL. Embora não seja necessário, para manter a resiliência regional, selecione identidades gerenciadas pelo usuário na mesma região que o servidor. Se o servidor tiver a redundância de backup geográfico habilitada, a segunda identidade gerenciada pelo usuário, usada para acessar a chave de criptografia de dados para backups com redundância geográfica, deverá existir na região emparelhada do servidor.

  4. Se a identidade gerenciada atribuída pelo usuário que você deseja usar para acessar a chave de criptografia de dados não for atribuída ao servidor Banco de Dados do Azure para PostgreSQL flexível e ela não existir como um recurso de Azure com seu objeto correspondente em Microsoft Entra ID, crie-a selecionando Criar.

    Captura de tela que mostra como criar uma nova identidade gerenciada atribuída pelo usuário no Azure e na ID do Microsoft Entra, atribuí-la automaticamente ao servidor flexível do Banco de Dados do Azure para PostgreSQL e usá-la para acessar a chave de criptografia de dados.

  5. No painel Criar Identidade Gerenciada Atribuída ao Usuário, insira os detalhes da identidade gerenciada atribuída pelo usuário que você deseja criar e atribua-a automaticamente ao servidor Banco de Dados do Azure para PostgreSQL flexível para acessar a chave de criptografia de dados.

    Captura de tela que mostra como fornecer os detalhes da nova identidade gerenciada atribuída pelo usuário.

  6. Se a identidade gerenciada atribuída pelo usuário que você deseja usar para acessar a chave de criptografia de dados não estiver atribuída ao seu servidor flexível do Banco de Dados do Azure para PostgreSQL, mas existir como um recurso do Azure com seu objeto correspondente no Microsoft Entra ID, atribua-a selecionando Selecionar.

    Captura de tela que mostra como selecionar uma identidade gerenciada atribuída pelo usuário existente no Azure e na ID do Microsoft Entra, atribuí-la automaticamente ao servidor flexível do Banco de Dados do Azure para PostgreSQL e usá-la para acessar a chave de criptografia de dados.

  7. Na lista de identidades gerenciadas atribuídas pelo usuário, selecione aquela que você deseja que seu servidor use para acessar a chave de criptografia de dados armazenada em um Azure Key Vault.

    Captura de tela que mostra como selecionar uma identidade gerenciada atribuída pelo usuário existente para atribuí-la ao servidor flexível do Banco de Dados do Azure para PostgreSQL e usá-la para acessar a chave de criptografia de dados.

  8. Selecione Adicionar.

    Captura de tela que mostra como adicionar a identidade gerenciada atribuída pelo usuário selecionado.

  9. Selecione Usar atualização automática de versão da chave se desejar que o serviço atualize automaticamente a referência à versão mais atual da chave escolhida sempre que a versão atual for girada manual ou automaticamente. Para entender os benefícios do uso de atualizações automáticas de versão de chave, consulte [atualização automática de versão de chave](../security/security-data-encryption.md##atualizações de versão de chave CMK).

    Captura de tela que mostra como habilitar atualizações automáticas de versão de chave.

  10. Se você girar a chave e não habilitar Usar atualização automática de versão da chave. Ou se você quiser usar uma chave diferente, atualize o servidor flexível Banco de Dados do Azure para PostgreSQL para que ele aponte para a nova versão da chave ou nova chave. Para fazer isso, copie o identificador de recurso da chave e cole-o na caixa Identificador de chave.

    Captura de tela que mostra onde colar o identificador de recurso da nova chave ou nova versão de chave que o servidor deve usar para criptografia de dados.

  11. Se o usuário que acessa o portal do Azure tiver permissões para acessar a chave armazenada no repositório de chaves, você pode usar um método alternativo para escolher a nova chave ou nova versão da chave. Para isso, em Método de seleção da chave, selecione o botão de opção Selecionar uma chave.

    Captura de tela que mostra como habilitar o método mais amigável do usuário para escolher a chave de criptografia de dados a ser usada para criptografia de dados.

  12. Escolha Selecionar chave.

    Captura de tela que mostra como selecionar uma chave de criptografia de dados.

  13. A Assinatura é preenchida automaticamente com o nome da assinatura na qual seu servidor será criado. O repositório de chaves que armazena a chave de criptografia de dados deve existir na mesma assinatura do servidor.

    Captura de tela que mostra como selecionar a assinatura na qual o repositório de chaves deve existir.

  14. Em Tipo de repositório de chaves, selecione o botão de opção correspondente ao tipo de repositório de chaves em que planeja armazenar a chave de criptografia de dados. Neste exemplo, escolha o cofre de chaves, mas a experiência será semelhante se você escolher HSM Gerenciado.

    Captura de tela que mostra como selecionar o tipo de repositório que mantém a chave de criptografia de dados.

  15. Expanda o Cofre de chaves (ou o HSM gerenciado, caso tenha escolhido esse tipo de repositório) e selecione a instância onde a chave de criptografia de dados está armazenada.

    Captura de tela que mostra como selecionar o repositório de chaves que mantém a chave de criptografia de dados.

    Observação

    Quando você expandir a caixa de seleção, a mensagem Nenhum item disponível será exibida. Aguarde alguns segundos para que todas as instâncias do cofre de chaves implantadas na mesma região do servidor sejam listadas.

  16. Expanda Chave e selecione o nome da chave que quer usar para a criptografia de dados.

    Captura de tela que mostra como selecionar a chave de criptografia de dados.

  17. Se você não selecionou Usar a atualização automática de versão da chave, também deverá selecionar uma versão específica da chave. Para fazer isso, expanda Versão e selecione o identificador da versão da chave que você deseja usar para criptografia de dados.

    Captura de tela que mostra como selecionar a versão a ser usada da chave de criptografia de dados.

  18. Selecione Selecionar.

    Captura de tela que mostra como selecionar a chave escolhida.

  19. Quando estiver satisfeito com as alterações, selecione Salvar.

    Captura de tela que mostra como salvar as alterações feitas na configuração de criptografia de dados.