Configurar a encriptação de dados no Base de Dados do Azure para PostgreSQL flexible server

Este artigo fornece instruções passo a passo para configurar a criptografia de dados para um banco de dados do Azure para servidor flexível PostgreSQL.

Importante

Pode decidir usar uma chave gerida pelo sistema ou uma chave gerida pelo cliente para encriptação de dados apenas na criação do servidor. Depois de tomar essa decisão e criar o servidor, não pode alternar entre as duas opções.

Neste artigo, você aprenderá a criar um novo servidor e configurar suas opções de criptografia de dados. Para servidores existentes que utilizam chave de encriptação gerida pelo cliente para encriptação de dados, aprende-se:

  • Como selecionar uma identidade gerida diferente atribuída ao utilizador para o serviço aceder à chave de encriptação.
  • Como especificar uma chave de criptografia diferente ou como girar a chave de criptografia usada atualmente para criptografia de dados.

Para aprender sobre encriptação de dados no contexto do Base de Dados do Azure para PostgreSQL, consulte encriptação de dados.

Configurar a criptografia de dados com chave gerenciada pelo sistema durante o provisionamento do servidor

Utilize o portal do Azure:

  1. Durante a provisão de um novo servidor flexível Base de Dados do Azure para PostgreSQL, configure a encriptação dos dados no separador Segurança. Para a chave de encriptação de dados, selecione a opção de chave gerida por serviço.

    Captura de tela que mostra como selecionar a chave de criptografia gerenciada pelo sistema durante o provisionamento do servidor.

  2. Se você habilitar o armazenamento de backup com redundância geográfica para ser provisionado junto com o servidor, o aspeto da guia Segurança mudará ligeiramente porque o servidor usa duas chaves de criptografia separadas. Uma chave é para a região principal onde estás a implementar o teu servidor, e outra chave é para a região emparelhada onde os backups do servidor são replicados assíncronamente.

    Captura de tela que mostra como selecionar a chave de criptografia gerenciada pelo sistema durante o provisionamento do servidor, quando o servidor está habilitado para armazenamento de backup com redundância geográfica.

Configurar a criptografia de dados com chave gerenciada pelo cliente durante o provisionamento do servidor

Utilize o portal do Azure:

  1. Crie uma identidade gerida atribuída pelo utilizador, caso ainda não tenha uma. Se o seu servidor tiver backups geo-redundantes ativados, precisa de criar duas identidades diferentes. Cada uma dessas identidades acede a cada uma das duas chaves de encriptação de dados.

Observação

Embora não seja obrigatório, para manter a resiliência regional, crie a identidade gerida pelo utilizador na mesma região do seu servidor. Se o seu servidor tiver a redundância geo-backup ativada, crie a segunda identidade gerida pelo utilizador na região emparelhada do servidor.

  1. Crie um Azure Key Vault ou crie um HSM Gerido, se ainda não tiver um key store criado. Certifique-se de que cumpre os requisitos. Além disso, siga as recomendações antes de configurar o armazenamento de chaves e antes de criar a chave e atribuir as permissões necessárias à identidade gerenciada atribuída ao usuário. Se o servidor tiver backups com redundância geográfica habilitados, você precisará criar um segundo armazenamento de chaves. Esse segundo armazenamento de chaves mantém a chave de encriptação de dados que encripta os seus backups copiada para a região emparelhada do servidor.

Observação

Deve implementar o armazenamento de chaves que mantém a chave de encriptação de dados na mesma região do seu servidor. Se o seu servidor tiver a redundância de cópia de segurança geográfica ativada, deve criar o arquivo de chaves que armazena a chave de encriptação de dados para cópias de segurança com redundância geográfica na região emparelhada do servidor.

  1. Cria uma chave na tua loja de chaves. Se o seu servidor tiver cópias de segurança com redundância geográfica ativadas, precisa de uma chave em cada um dos repositórios de chaves. Ao utilizar uma destas chaves, encripta todos os dados do seu servidor (incluindo todas as bases de dados do sistema e dos utilizadores, ficheiros temporários, registos do servidor, segmentos de registo write-ahead e cópias de segurança). Ao usar a segunda chave, encripta as cópias de segurança que são copiadas de forma assíncrona para a região emparelhada do seu servidor.

  2. Ao aprovisionar um novo servidor flexível do Base de Dados do Azure para PostgreSQL, configure a encriptação de dados no separador Segurança. Para Chave de encriptação de dados, selecione o botão de opção Chave gerida pelo cliente.

    Captura de tela que mostra como selecionar a chave de criptografia gerenciada pelo cliente durante o provisionamento do servidor.

  3. Se você habilitar o armazenamento de backup com redundância geográfica para ser provisionado junto com o servidor, o aspeto da guia Segurança mudará ligeiramente porque o servidor usa duas chaves de criptografia separadas. Uma chave é para a região principal onde estás a implementar o teu servidor, e outra chave é para a região emparelhada onde os backups do servidor são replicados assíncronamente.

    Captura de tela que mostra como selecionar a chave de criptografia gerenciada pelo cliente durante o provisionamento do servidor, quando o servidor está habilitado para armazenamento de backup com redundância geográfica.

  4. Em Identidade gerenciada atribuída ao usuário, selecione Alterar identidade.

    Captura de tela que mostra como selecionar a identidade gerenciada atribuída ao usuário para acessar a chave de criptografia de dados para os dados do local do servidor.

  5. Da lista de identidades geridas atribuídas pelos utilizadores, selecione aquela que quer que o seu servidor use para aceder à chave de encriptação de dados armazenada num Azure Key Vault.

    Captura de tela que mostra como selecionar a identidade gerenciada atribuída ao usuário com a qual o servidor acessa a chave de criptografia de dados.

  6. Selecione Adicionar.

    Captura de tela que mostra o local do botão Adicionar para atribuir a identidade com a qual o servidor acessa a chave de criptografia de dados.

  7. Selecione Usar atualização automática da versão da chave, se preferir permitir que o serviço atualize automaticamente a referência para a versão mais atual da chave escolhida, sempre que a versão atual for girada manualmente ou automaticamente. Para entender os benefícios do uso de atualizações automáticas de versão de chave, consulte Atualização automática de versão de chave.

    Captura de ecrã que mostra como ativar as atualizações automáticas da versão da chave.

  8. Selecione Selecionar uma chave.

    Captura de tela que mostra como selecionar uma chave de criptografia de dados.

  9. A assinatura é preenchida automaticamente com o nome da assinatura na qual o servidor está prestes a ser criado. O armazenamento de chaves que mantém a chave de criptografia de dados deve existir na mesma assinatura que o servidor.

    Captura de tela que mostra como selecionar a assinatura na qual o armazenamento de chaves deve existir.

  10. Em Tipo de armazenamento de chaves, selecione o botão de opção correspondente ao tipo de armazenamento de chaves no qual você planeja armazenar a chave de criptografia de dados. Neste exemplo, escolhe Key Vault, mas a experiência é semelhante se escolheres Managed HSM.

    Captura de tela que mostra como selecionar o tipo de armazenamento que mantém a chave de criptografia de dados.

  11. Expanda Cofre de chaves (ou HSM gerenciado, se você selecionou esse tipo de armazenamento) e selecione a instância em que a chave de criptografia de dados existe.

    Captura de tela que mostra como selecionar o armazenamento de chaves que mantém a chave de criptografia de dados.

    Observação

    Quando você expande a caixa suspensa, ela mostra Nenhum item disponível. Demora alguns segundos até serem listadas todas as instâncias do Key Vault que estão implementadas na mesma região do servidor.

  12. Expanda Chave e selecione o nome da chave que você deseja usar para criptografia de dados.

    Captura de ecrã que mostra como selecionar a chave de encriptação de dados.

  13. Se você não selecionou Usar atualização automática da versão da chave, também deverá selecionar uma versão específica da chave. Para fazer isso, expanda Versão e selecione o identificador da versão da chave que você deseja usar para criptografia de dados.

    Captura de tela que mostra como selecionar a versão a ser usada da chave de criptografia de dados.

  14. Selecione Selecione.

    Captura de tela que mostra como selecionar a chave escolhida.

  15. Configure todas as outras configurações do novo servidor e selecione Revisar + criar.

    Captura de tela que mostra como concluir a criação do servidor.

Configurar a criptografia de dados com chave gerenciada pelo cliente em servidores existentes

Decide se usa uma chave gerida pelo sistema ou uma chave gerida pelo cliente para encriptação de dados na criação do servidor. Depois de tomar essa decisão e criar o servidor, não pode alternar entre as duas opções. A única alternativa, se você quiser mudar de um para o outro, requer restaurar qualquer um dos backups disponíveis do servidor em um novo servidor. Ao configurar a restauração, pode alterar a configuração de encriptação dos dados do novo servidor.

Para servidores existentes que implementou com encriptação de dados usando uma chave gerida pelo cliente, pode fazer várias alterações de configuração. Pode alterar as referências às chaves utilizadas para encriptação e as referências às identidades geridas atribuídas ao utilizador que o serviço utiliza para aceder às chaves armazenadas nos cofres de chaves.

Você deve atualizar as referências que seu servidor flexível do Banco de Dados do Azure para PostgreSQL tem para uma chave:

  • Quando a chave armazenada no armazenamento de chaves é rodada, manual ou automaticamente, e o servidor flexível do Base de Dados do Azure para PostgreSQL aponta para uma versão específica da chave. Se estiveres a apontar para uma chave, mas não para uma versão específica da chave (é quando tens ativado o Usar Atualização Automática da Versão da Chave ), o serviço faz referência automaticamente à versão mais recente da chave sempre que a chave é rodada manual ou automaticamente.
  • Quando pretender utilizar a mesma chave ou uma chave diferente armazenada noutro arquivo de chaves.

Deve atualizar as identidades geridas atribuídas pelos utilizadores que o seu servidor flexível Base de Dados do Azure para PostgreSQL usa para aceder às chaves de encriptação sempre que quiser usar uma identidade diferente.

Utilize o portal do Azure:

  1. Selecione o seu servidor flexível do Base de Dados do Azure para PostgreSQL.

  2. No menu de recursos, na secção Segurança , selecione Encriptação de Dados.

    Captura de tela que mostra como chegar à criptografia de dados para um servidor existente.

  3. Para alterar a identidade gerida atribuída ao utilizador que o servidor utiliza para aceder ao cofre de chaves, expanda a lista pendente User assigned managed identity e selecione uma das identidades disponíveis.

    Captura de tela que mostra como selecionar uma das identidades gerenciadas atribuídas ao usuário associadas ao servidor.

    Observação

    A caixa combinada mostra apenas as identidades que o seu servidor flexível do Base de Dados do Azure para PostgreSQL atribuiu. Embora não seja obrigatório, para manter a resiliência regional, selecione identidades geridas pelos utilizadores na mesma região do seu servidor. Se o seu servidor tiver a redundância geo-backup ativada, a segunda identidade gerida pelo utilizador, usada para aceder à chave de encriptação de dados para backups geo-redundantes, deve existir na região emparelhada do servidor.

  4. Se a identidade gerida atribuída pelo utilizador que pretende usar para aceder à chave de encriptação de dados não estiver atribuída ao seu servidor flexível Base de Dados do Azure para PostgreSQL, e não existir como um recurso Azure com o seu objeto correspondente no Microsoft Entra ID, crie-o selecionando Criar.

    Captura de tela que mostra como criar um novo usuário atribuído identidades gerenciadas no Azure e no Microsoft Entra ID, atribuí-lo automaticamente ao seu banco de dados do Azure para servidor flexível PostgreSQL e usá-lo para acessar a chave de criptografia de dados.

  5. No painel Criar Identidade Gerida Atribuída pelo Utilizador, introduza os detalhes da identidade gerida atribuída pelo utilizador que pretende criar e atribua-a automaticamente ao seu servidor flexível Base de Dados do Azure para PostgreSQL para aceder à chave de encriptação de dados.

    Captura de tela que mostra como fornecer os detalhes para a nova identidade gerenciada atribuída ao usuário.

  6. Se a identidade gerida atribuída pelo utilizador que pretende utilizar para aceder à chave de encriptação de dados não estiver atribuída ao seu servidor flexível do Base de Dados do Azure para PostgreSQL, mas existir como um recurso do Azure com o objeto correspondente no Microsoft Entra ID, atribua-a selecionando Select.

    Captura de ecrã que mostra como selecionar uma identidade gerida atribuída a um utilizador existente no Azure e no Microsoft Entra ID, atribuí-la automaticamente à sua Base de Dados do Azure para servidor flexível PostgreSQL e utilizá-la para aceder à chave de encriptação de dados.

  7. Da lista de identidades geridas atribuídas pelos utilizadores, selecione aquela que quer que o seu servidor use para aceder à chave de encriptação de dados armazenada num Azure Key Vault.

    Captura de tela que mostra como selecionar uma identidade gerenciada atribuída a um usuário existente para atribuí-la ao seu servidor flexível do Banco de Dados do Azure para PostgreSQL e usá-la para acessar a chave de criptografia de dados.

  8. Selecione Adicionar.

    Captura de tela que mostra como adicionar a identidade gerenciada atribuída ao usuário selecionado.

  9. Selecione Usar atualização automática da versão da chave se pretender que o serviço atualize automaticamente a referência para a versão mais recente da chave selecionada sempre que ocorrer a rotação manual ou automática da versão atual. Para compreender os benefícios de usar atualizações automáticas de versão de chave, consulte [atualização automática de versão de chave](.. /security/security-data-encryption.md##CMK atualizações de versão da chave).

    Captura de ecrã que mostra como ativar as atualizações automáticas da versão da chave.

  10. Se rodares a chave e não ativares a atualização automática da versão da chave. Ou, se quiseres usar uma chave diferente, atualiza o teu servidor flexível Base de Dados do Azure para PostgreSQL para que aponte para a nova versão da chave ou para a nova chave. Para isso, copie o identificador de recurso da chave e cole-o na caixa do identificador de chave .

    Captura de tela que mostra onde colar o identificador de recurso da nova chave ou nova versão de chave que o servidor deve usar para criptografia de dados.

  11. Se o usuário que acessa o portal do Azure tiver permissões para acessar a chave armazenada no armazenamento de chaves, você poderá usar uma abordagem alternativa para escolher a nova chave ou a nova versão da chave. Para fazer isso, em Método de seleção de chave, selecione o botão de opção Selecionar uma chave.

    Captura de tela que mostra como habilitar o método mais amigável do usuário para escolher a chave de criptografia de dados a ser usada para criptografia de dados.

  12. Selecione Selecionar chave.

    Captura de tela que mostra como selecionar uma chave de criptografia de dados.

  13. A assinatura é preenchida automaticamente com o nome da assinatura na qual o servidor está prestes a ser criado. O armazenamento de chaves que mantém a chave de criptografia de dados deve existir na mesma assinatura que o servidor.

    Captura de tela que mostra como selecionar a assinatura na qual o armazenamento de chaves deve existir.

  14. Em Tipo de armazenamento de chaves, selecione o botão de opção correspondente ao tipo de armazenamento de chaves no qual você planeja armazenar a chave de criptografia de dados. Neste exemplo, escolhe Key Vault, mas a experiência é semelhante se escolheres Managed HSM.

    Captura de tela que mostra como selecionar o tipo de armazenamento que mantém a chave de criptografia de dados.

  15. Expanda Cofre de chaves (ou HSM gerenciado, se você selecionou esse tipo de armazenamento) e selecione a instância em que a chave de criptografia de dados existe.

    Captura de tela que mostra como selecionar o armazenamento de chaves que mantém a chave de criptografia de dados.

    Observação

    Quando você expande a caixa suspensa, ela mostra Nenhum item disponível. Demora alguns segundos até serem listadas todas as instâncias do Key Vault que estão implementadas na mesma região do servidor.

  16. Expanda Chave e selecione o nome da chave que você deseja usar para criptografia de dados.

    Captura de ecrã que mostra como selecionar a chave de encriptação de dados.

  17. Se você não selecionou Usar atualização automática da versão da chave, também deverá selecionar uma versão específica da chave. Para fazer isso, expanda Versão e selecione o identificador da versão da chave que você deseja usar para criptografia de dados.

    Captura de tela que mostra como selecionar a versão a ser usada da chave de criptografia de dados.

  18. Selecione Selecione.

    Captura de tela que mostra como selecionar a chave escolhida.

  19. Quando estiver satisfeito com as alterações, selecione Guardar.

    Captura de tela que mostra como salvar as alterações feitas na configuração de criptografia de dados.