Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo fornece instruções passo a passo para configurar a criptografia de dados para um banco de dados do Azure para servidor flexível PostgreSQL.
Importante
Pode decidir usar uma chave gerida pelo sistema ou uma chave gerida pelo cliente para encriptação de dados apenas na criação do servidor. Depois de tomar essa decisão e criar o servidor, não pode alternar entre as duas opções.
Neste artigo, você aprenderá a criar um novo servidor e configurar suas opções de criptografia de dados. Para servidores existentes que utilizam chave de encriptação gerida pelo cliente para encriptação de dados, aprende-se:
- Como selecionar uma identidade gerida diferente atribuída ao utilizador para o serviço aceder à chave de encriptação.
- Como especificar uma chave de criptografia diferente ou como girar a chave de criptografia usada atualmente para criptografia de dados.
Para aprender sobre encriptação de dados no contexto do Base de Dados do Azure para PostgreSQL, consulte encriptação de dados.
Configurar a criptografia de dados com chave gerenciada pelo sistema durante o provisionamento do servidor
Utilize o portal do Azure:
Durante a provisão de um novo servidor flexível Base de Dados do Azure para PostgreSQL, configure a encriptação dos dados no separador Segurança. Para a chave de encriptação de dados, selecione a opção de chave gerida por serviço.
Se você habilitar o armazenamento de backup com redundância geográfica para ser provisionado junto com o servidor, o aspeto da guia Segurança mudará ligeiramente porque o servidor usa duas chaves de criptografia separadas. Uma chave é para a região principal onde estás a implementar o teu servidor, e outra chave é para a região emparelhada onde os backups do servidor são replicados assíncronamente.
Configurar a criptografia de dados com chave gerenciada pelo cliente durante o provisionamento do servidor
Utilize o portal do Azure:
- Crie uma identidade gerida atribuída pelo utilizador, caso ainda não tenha uma. Se o seu servidor tiver backups geo-redundantes ativados, precisa de criar duas identidades diferentes. Cada uma dessas identidades acede a cada uma das duas chaves de encriptação de dados.
Observação
Embora não seja obrigatório, para manter a resiliência regional, crie a identidade gerida pelo utilizador na mesma região do seu servidor. Se o seu servidor tiver a redundância geo-backup ativada, crie a segunda identidade gerida pelo utilizador na região emparelhada do servidor.
- Crie um Azure Key Vault ou crie um HSM Gerido, se ainda não tiver um key store criado. Certifique-se de que cumpre os requisitos. Além disso, siga as recomendações antes de configurar o armazenamento de chaves e antes de criar a chave e atribuir as permissões necessárias à identidade gerenciada atribuída ao usuário. Se o servidor tiver backups com redundância geográfica habilitados, você precisará criar um segundo armazenamento de chaves. Esse segundo armazenamento de chaves mantém a chave de encriptação de dados que encripta os seus backups copiada para a região emparelhada do servidor.
Observação
Deve implementar o armazenamento de chaves que mantém a chave de encriptação de dados na mesma região do seu servidor. Se o seu servidor tiver a redundância de cópia de segurança geográfica ativada, deve criar o arquivo de chaves que armazena a chave de encriptação de dados para cópias de segurança com redundância geográfica na região emparelhada do servidor.
Cria uma chave na tua loja de chaves. Se o seu servidor tiver cópias de segurança com redundância geográfica ativadas, precisa de uma chave em cada um dos repositórios de chaves. Ao utilizar uma destas chaves, encripta todos os dados do seu servidor (incluindo todas as bases de dados do sistema e dos utilizadores, ficheiros temporários, registos do servidor, segmentos de registo write-ahead e cópias de segurança). Ao usar a segunda chave, encripta as cópias de segurança que são copiadas de forma assíncrona para a região emparelhada do seu servidor.
Ao aprovisionar um novo servidor flexível do Base de Dados do Azure para PostgreSQL, configure a encriptação de dados no separador Segurança. Para Chave de encriptação de dados, selecione o botão de opção Chave gerida pelo cliente.
Se você habilitar o armazenamento de backup com redundância geográfica para ser provisionado junto com o servidor, o aspeto da guia Segurança mudará ligeiramente porque o servidor usa duas chaves de criptografia separadas. Uma chave é para a região principal onde estás a implementar o teu servidor, e outra chave é para a região emparelhada onde os backups do servidor são replicados assíncronamente.
Em Identidade gerenciada atribuída ao usuário, selecione Alterar identidade.
Da lista de identidades geridas atribuídas pelos utilizadores, selecione aquela que quer que o seu servidor use para aceder à chave de encriptação de dados armazenada num Azure Key Vault.
Selecione Adicionar.
Selecione Usar atualização automática da versão da chave, se preferir permitir que o serviço atualize automaticamente a referência para a versão mais atual da chave escolhida, sempre que a versão atual for girada manualmente ou automaticamente. Para entender os benefícios do uso de atualizações automáticas de versão de chave, consulte Atualização automática de versão de chave.
Selecione Selecionar uma chave.
A assinatura é preenchida automaticamente com o nome da assinatura na qual o servidor está prestes a ser criado. O armazenamento de chaves que mantém a chave de criptografia de dados deve existir na mesma assinatura que o servidor.
Em Tipo de armazenamento de chaves, selecione o botão de opção correspondente ao tipo de armazenamento de chaves no qual você planeja armazenar a chave de criptografia de dados. Neste exemplo, escolhe Key Vault, mas a experiência é semelhante se escolheres Managed HSM.
Expanda Cofre de chaves (ou HSM gerenciado, se você selecionou esse tipo de armazenamento) e selecione a instância em que a chave de criptografia de dados existe.
Observação
Quando você expande a caixa suspensa, ela mostra Nenhum item disponível. Demora alguns segundos até serem listadas todas as instâncias do Key Vault que estão implementadas na mesma região do servidor.
Expanda Chave e selecione o nome da chave que você deseja usar para criptografia de dados.
Se você não selecionou Usar atualização automática da versão da chave, também deverá selecionar uma versão específica da chave. Para fazer isso, expanda Versão e selecione o identificador da versão da chave que você deseja usar para criptografia de dados.
Selecione Selecione.
Configure todas as outras configurações do novo servidor e selecione Revisar + criar.
Configurar a criptografia de dados com chave gerenciada pelo cliente em servidores existentes
Decide se usa uma chave gerida pelo sistema ou uma chave gerida pelo cliente para encriptação de dados na criação do servidor. Depois de tomar essa decisão e criar o servidor, não pode alternar entre as duas opções. A única alternativa, se você quiser mudar de um para o outro, requer restaurar qualquer um dos backups disponíveis do servidor em um novo servidor. Ao configurar a restauração, pode alterar a configuração de encriptação dos dados do novo servidor.
Para servidores existentes que implementou com encriptação de dados usando uma chave gerida pelo cliente, pode fazer várias alterações de configuração. Pode alterar as referências às chaves utilizadas para encriptação e as referências às identidades geridas atribuídas ao utilizador que o serviço utiliza para aceder às chaves armazenadas nos cofres de chaves.
Você deve atualizar as referências que seu servidor flexível do Banco de Dados do Azure para PostgreSQL tem para uma chave:
- Quando a chave armazenada no armazenamento de chaves é rodada, manual ou automaticamente, e o servidor flexível do Base de Dados do Azure para PostgreSQL aponta para uma versão específica da chave. Se estiveres a apontar para uma chave, mas não para uma versão específica da chave (é quando tens ativado o Usar Atualização Automática da Versão da Chave ), o serviço faz referência automaticamente à versão mais recente da chave sempre que a chave é rodada manual ou automaticamente.
- Quando pretender utilizar a mesma chave ou uma chave diferente armazenada noutro arquivo de chaves.
Deve atualizar as identidades geridas atribuídas pelos utilizadores que o seu servidor flexível Base de Dados do Azure para PostgreSQL usa para aceder às chaves de encriptação sempre que quiser usar uma identidade diferente.
Utilize o portal do Azure:
Selecione o seu servidor flexível do Base de Dados do Azure para PostgreSQL.
No menu de recursos, na secção Segurança , selecione Encriptação de Dados.
Para alterar a identidade gerida atribuída ao utilizador que o servidor utiliza para aceder ao cofre de chaves, expanda a lista pendente User assigned managed identity e selecione uma das identidades disponíveis.
Observação
A caixa combinada mostra apenas as identidades que o seu servidor flexível do Base de Dados do Azure para PostgreSQL atribuiu. Embora não seja obrigatório, para manter a resiliência regional, selecione identidades geridas pelos utilizadores na mesma região do seu servidor. Se o seu servidor tiver a redundância geo-backup ativada, a segunda identidade gerida pelo utilizador, usada para aceder à chave de encriptação de dados para backups geo-redundantes, deve existir na região emparelhada do servidor.
Se a identidade gerida atribuída pelo utilizador que pretende usar para aceder à chave de encriptação de dados não estiver atribuída ao seu servidor flexível Base de Dados do Azure para PostgreSQL, e não existir como um recurso Azure com o seu objeto correspondente no Microsoft Entra ID, crie-o selecionando Criar.
No painel Criar Identidade Gerida Atribuída pelo Utilizador, introduza os detalhes da identidade gerida atribuída pelo utilizador que pretende criar e atribua-a automaticamente ao seu servidor flexível Base de Dados do Azure para PostgreSQL para aceder à chave de encriptação de dados.
Se a identidade gerida atribuída pelo utilizador que pretende utilizar para aceder à chave de encriptação de dados não estiver atribuída ao seu servidor flexível do Base de Dados do Azure para PostgreSQL, mas existir como um recurso do Azure com o objeto correspondente no Microsoft Entra ID, atribua-a selecionando Select.
Da lista de identidades geridas atribuídas pelos utilizadores, selecione aquela que quer que o seu servidor use para aceder à chave de encriptação de dados armazenada num Azure Key Vault.
Selecione Adicionar.
Selecione Usar atualização automática da versão da chave se pretender que o serviço atualize automaticamente a referência para a versão mais recente da chave selecionada sempre que ocorrer a rotação manual ou automática da versão atual. Para compreender os benefícios de usar atualizações automáticas de versão de chave, consulte [atualização automática de versão de chave](.. /security/security-data-encryption.md##CMK atualizações de versão da chave).
Se rodares a chave e não ativares a atualização automática da versão da chave. Ou, se quiseres usar uma chave diferente, atualiza o teu servidor flexível Base de Dados do Azure para PostgreSQL para que aponte para a nova versão da chave ou para a nova chave. Para isso, copie o identificador de recurso da chave e cole-o na caixa do identificador de chave .
Se o usuário que acessa o portal do Azure tiver permissões para acessar a chave armazenada no armazenamento de chaves, você poderá usar uma abordagem alternativa para escolher a nova chave ou a nova versão da chave. Para fazer isso, em Método de seleção de chave, selecione o botão de opção Selecionar uma chave.
Selecione Selecionar chave.
A assinatura é preenchida automaticamente com o nome da assinatura na qual o servidor está prestes a ser criado. O armazenamento de chaves que mantém a chave de criptografia de dados deve existir na mesma assinatura que o servidor.
Em Tipo de armazenamento de chaves, selecione o botão de opção correspondente ao tipo de armazenamento de chaves no qual você planeja armazenar a chave de criptografia de dados. Neste exemplo, escolhe Key Vault, mas a experiência é semelhante se escolheres Managed HSM.
Expanda Cofre de chaves (ou HSM gerenciado, se você selecionou esse tipo de armazenamento) e selecione a instância em que a chave de criptografia de dados existe.
Observação
Quando você expande a caixa suspensa, ela mostra Nenhum item disponível. Demora alguns segundos até serem listadas todas as instâncias do Key Vault que estão implementadas na mesma região do servidor.
Expanda Chave e selecione o nome da chave que você deseja usar para criptografia de dados.
Se você não selecionou Usar atualização automática da versão da chave, também deverá selecionar uma versão específica da chave. Para fazer isso, expanda Versão e selecione o identificador da versão da chave que você deseja usar para criptografia de dados.
Selecione Selecione.
Quando estiver satisfeito com as alterações, selecione Guardar.