Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird erläutert, wie Sie die Datenverschlüsselung für Azure-Datenbank für MySQL einrichten und verwalten, die sich auf ruhende Verschlüsselung konzentriert, wodurch daten geschützt werden, die in der Datenbank gespeichert sind.
In diesem Artikel erfahren Sie, wie Sie:
- Legen Sie die Datenverschlüsselung für Azure-Datenbank für MySQL fest.
- Konfigurieren der Datenverschlüsselung für die Wiederherstellung
- Konfigurieren der Datenverschlüsselung für Replikatserver.
Die Azure Key Vault-Zugriffskonfiguration unterstützt jetzt zwei Arten von Berechtigungsmodellen: rollenbasierte Zugriffssteuerung in Azure und Tresorzugriffsrichtlinie. In diesem Artikel wird beschrieben, wie Sie die Datenverschlüsselung für Azure-Datenbank für MySQL mithilfe einer Vault-Zugriffsrichtlinie konfigurieren.
Sie können Azure RBAC als Berechtigungsmodell verwenden, um Zugriff auf Azure Key Vault zu gewähren. Dazu benötigen Sie eine integrierte oder benutzerdefinierte Rolle mit den folgenden drei Berechtigungen und weisen sie über "Rollenzuweisungen" über die Registerkarte "Access Control (IAM)" im Keyvault zu:
- KeyVault/vaults/keys/wrap/action
- KeyVault/vaults/keys/unwrap/action
- KeyVault/vaults/keys/read. Für das von Azure Key Vault verwaltete HSM müssen Sie auch die Rolle „Managed HSM Crypto Service Encryption User“ im RBAC zuweisen.
Verschlüsselungstypen
Azure Database for MySQL unterstützt zwei primäre Verschlüsselungstypen, um Ihre Daten zu schützen. Verschlüsselung im Ruhezustand stellt sicher, dass alle in der Datenbank gespeicherten Daten, einschließlich Sicherungen und Protokollen, vor unbefugtem Zugriff geschützt sind, indem sie auf dem Datenträger verschlüsselt werden. Verschlüsselung während der Übertragung (auch als Kommunikationsverschlüsselung bezeichnet) sichert Daten, während sie zwischen Ihren Clientanwendungen und dem Datenbankserver verschoben wird, in der Regel tls/SSL-Protokolle verwenden. Zusammen bieten diese Verschlüsselungstypen umfassenden Schutz für Ihre Daten, während sie gespeichert und während der Übertragung übertragen wird.
- Verschlüsselung im Ruhezustand: Schützt In der Datenbank gespeicherte Daten, Sicherungen und Protokolle. Dies ist der Hauptfokus dieses Artikels.
- Kommunikationsverschlüsselung (Verschlüsselung während der Übertragung):Schützt Daten während des Wechsels zwischen dem Client und dem Server, in der Regel mithilfe von TLS/SSL-Protokollen.
Voraussetzungen
- Ein Azure-Konto mit einem aktiven Abonnement.
- Wenn Sie kein Azure-Abonnement haben, erstellen Sie ein kostenloses Azure-Konto, bevor Sie beginnen.
> [! HINWEIS] > Mit einem kostenlosen Azure-Konto können Sie jetzt Azure Database für MySQL Flexible Server kostenlos für 12 Monate testen. Weitere Informationen finden Sie unter Verwenden eines kostenlosen Azure-Kontos, um Azure Database for MySQL – Flexible Server kostenlos zu testen.
Festlegen der geeigneten Berechtigungen für Schlüsselvorgänge
- Wählen Sie in Key Vault Zugriffsrichtlinien aus, und wählen Sie dann Erstellen aus.
Wählen Sie auf der Registerkarte Berechtigungen die folgenden Schlüsselberechtigungen aus: Abrufen, Liste, Schlüssel packen, Schlüssel entpacken.
Wählen Sie auf der Registerkarte Prinzipal die benutzerseitig zugewiesene verwaltete Identität aus.
- Klicken Sie auf Erstellen.
Konfigurieren des kundenseitig verwalteten Schlüssels
Führen Sie die folgenden Schritte aus, um den vom Kunden verwalteten Schlüssel einzurichten.
- Navigieren Sie im Portal zu Ihrer Instanz von Azure Database for MySQL – Flexibler Server, und wählen Sie unter Sicherheit die Option Datenverschlüsselung aus.
Wählen Sie auf der Seite Datenverschlüsselung unter Keine Identität zugewiesen die Option Identität ändern aus.
Wählen Sie im Dialogfeld benutzerseitig zugewiesene* verwaltete Identität auswählen die Identität demo-umi aus, und wählen Sie dann Hinzufügen** aus.
- Wählen Sie rechts neben der Schlüsselauswahlmethode entweder Schlüssel auswählen aus und geben einen Schlüsseltresor und ein Schlüsselpaar an, oder wählen Sie Geben Sie einen Schlüsselbezeichner ein aus.
- Wählen Sie Speichern aus.
Verwenden der Datenverschlüsselung für die Wiederherstellung
Führen Sie die folgenden Schritte aus, um die Datenverschlüsselung als Teil eines Wiederherstellungsvorgangs zu verwenden.
- Navigieren Sie im Azure-Portal zur Seite "Übersicht" für Ihren Server, und wählen Sie "Wiederherstellen" aus. 1. Geben Sie auf der Registerkarte "Sicherheit " die Identität und den Schlüssel an.
- Wählen Sie Identität ändern und dann die benutzerseitig verwaltete Identität aus, und wählen Sie Hinzufügen aus, um den Schlüssel auszuwählen. Sie können entweder einen Schlüsseltresor und ein Schlüsselpaar auswählen oder eine Schlüssel-ID eingeben
Verwenden der Datenverschlüsselung für Replikatserver
Nachdem Ihre Instanz von Azure Database for MySQL – Flexibler Server mit einem im Key Vault gespeicherten kundenseitig verwalteten Schlüssel verschlüsselt ist, wird jede neu erstellte Kopie des Servers ebenfalls verschlüsselt.
- Wählen Sie zum Konfigurieren der Replikation unter Einstellungen die Option Replikation und dann Replikat hinzufügen aus.
- Wählen Sie im Dialogfeld „Replikatserver zur Azure Database for MySQL“ die entsprechende Option Compute + Speicher aus, und wählen Sie dann OK aus.
> [! WICHTIG] Wenn Sie versuchen, eine Azure-Datenbank für MySQL Flexible Server mit einem vom Kunden verwalteten Schlüssel zu verschlüsseln, der bereits Über Replikate verfügt, empfehlen wir, ein oder mehrere Replikate durch Hinzufügen der verwalteten Identität und des Schlüssels zu konfigurieren.