Partager via

Chiffrement des données pour Azure Database pour MySQL à l’aide du Portail Azure

  • Article

S’APPLIQUE À : Azure Database pour MySQL – Serveur unique

Important

Le serveur unique Azure Database pour MySQL est en voie de mise hors service. Nous vous conseillons vivement de procéder à une mise à niveau vers Azure Database pour MySQL – Serveur flexible. Pour obtenir plus d’informations sur la migration vers Azure Database pour MySQL – Serveur flexible, consultez Qu’en est-il du Serveur unique Azure Database pour MySQL ?

Découvrez comment utiliser le Portail Azure pour configurer et gérer le chiffrement des données pour votre Azure Database pour MySQL.

Prérequis pour Azure CLI

  • Vous devez avoir un abonnement Azure et être un administrateur de cet abonnement.

  • Dans Azure Key Vault, créez un coffre de clés et une clé à utiliser pour une clé gérée par le client.

  • Le coffre de clés doit avoir les propriétés suivantes à utiliser en tant que clé gérée par le client :

    • Suppression réversible

      az resource update --id $(az keyvault show --name \ <key_vault_name> -o tsv | awk '{print $1}') --set \ properties.enableSoftDelete=true

    • Protégé contre le vidage

      az keyvault update --name <key_vault_name> --resource-group <resource_group_name>  --enable-purge-protection true

    • Durée de conservation définie sur 90 jours

      az keyvault update --name <key_vault_name> --resource-group <resource_group_name>  --retention-days 90

  • La clé doit avoir les attributs suivants à utiliser en tant que clé gérée par le client :

    • Aucune date d’expiration
    • Non activée
    • Effectuer les opérations get, wrap et unwrap
    • Attribut recoverylevel défini sur Récupérable (cela nécessite l’activation de la suppression réversible avec la période de conservation définie sur 90 jours)
    • Protection contre le vidage activée

    Vous pouvez vérifier les attributs de la clé ci-dessus avec la commande suivante :

    az keyvault key show --vault-name <key_vault_name> -n <key_name>

  • Azure Database pour MySQL - Serveur unique doit se trouver sur le niveau tarifaire Usage général ou Mémoire optimisée et sur Stockage v2 universel. Avant de poursuivre, consultez limitations pour le chiffrement des données avec des clés gérées par le client.

Définir les permissions appropriées pour les opérations sur les clés

  1. Dans Key Vault, sélectionnez Stratégies d’accès>Ajouter une stratégie d’accès.

  2. Sélectionnez Autorisations de clé, puis Get, Wrap, Unwrap et Principal, qui est le nom du serveur MySQL. Si votre principal de serveur est introuvable dans la liste des principaux existants, vous devez l’inscrire. Vous êtes invité à inscrire votre principal de serveur quand vous tentez de configurer le chiffrement des données pour la première fois et que l’opération échoue.

  3. Cliquez sur Enregistrer.

Configurer le chiffrement des données pour Azure Database pour MySQL

  1. Dans Azure Database pour MySQL, sélectionnez Chiffrement des données pour configurer la clé gérée par le client.

  2. Vous pouvez sélectionner un coffre de clés et une paire de clés ou entrer un identificateur de clé.

  3. Cliquez sur Enregistrer.

  4. Pour que tous les fichiers (y compris les fichiers temporaires) soient entièrement chiffrés, redémarrez le serveur.

Utilisation du chiffrement des données pour les serveurs de restauration ou réplicas

Une fois Azure Database pour MySQL chiffré à l'aide d'une clé gérée par le client stockée dans Key Vault, toute copie nouvellement créée du serveur est également chiffrée. Vous pouvez effectuer cette nouvelle copie par l’intermédiaire d’une opération de restauration locale ou géographique, ou par le biais d’une opération de réplica (locale ou interrégion). Ainsi, pour un serveur MySQL chiffré, vous pouvez utiliser les étapes suivantes afin de créer un serveur restauré chiffré.

  1. Sur votre serveur, sélectionnez Vue d’ensemble>Restaurer.

    Autrement, pour un serveur compatible avec la réplication, sous le titre Paramètres, sélectionnez Réplication.

  2. Une fois l’opération de restauration terminée, le serveur créé est chiffré avec la clé du serveur principal. Toutefois, les fonctionnalités et les options du serveur sont désactivées et le serveur est inaccessible. Toute manipulation de données est ainsi impossible, car l’identité du nouveau serveur n’a pas encore reçu l’autorisation d’accéder au coffre de clés.

  3. Pour rendre le serveur accessible, revalidez la clé sur le serveur restauré. Sélectionnez Chiffrement des données>Revalider la clé.

    Notes

    La première tentative de revalidation échouera, car le principal de service du nouveau serveur doit avoir accès au coffre de clés. Pour générer le principal de service, sélectionnez Revalider la clé. Vous verrez un message d’erreur, mais pourrez générer le principal de service. Ensuite, reportez-vous à ces étapes plus haut dans cet article.

    Vous devez autoriser le coffre de clés à accéder au nouveau serveur. Pour plus d’informations, consultez Attribuer une stratégie d’accès Key Vault.

  4. Après avoir inscrit le principal de service, revalidez la clé pour que le serveur reprenne son fonctionnement normal.

Étapes suivantes