Compartir a través de


Configuración del cifrado de datos en Azure Database for PostgreSQL

En este artículo se proporcionan instrucciones paso a paso para configurar el cifrado de datos para un servidor flexible de Azure Database for PostgreSQL.

Importante

El único punto en el que puede decidir si desea usar una clave administrada por el sistema o una clave administrada por el cliente para el cifrado de datos, está en la creación del servidor. Una vez que tome esa decisión y cree el servidor, no puede cambiar entre las dos opciones.

En este artículo, aprenderá a crear un nuevo servidor y a configurar sus opciones de cifrado de datos. En el caso de los servidores existentes cuyo cifrado de datos está configurado para usar la clave de cifrado administrada por el cliente, aprenderá:

  • Cómo seleccionar una identidad administrada asignada a un usuario diferente con la cual el servicio accede a la clave de cifrado.
  • Cómo especificar una clave de cifrado diferente o cómo rotar la clave de cifrado que se usa actualmente para el cifrado de datos.

Para obtener información sobre el cifrado de datos en el contexto del servidor flexible de Azure Database for PostgreSQL, consulte cifrado de datos.

Configuración del cifrado de datos con claves administradas por el sistema durante el aprovisionamiento del servidor

Mediante Azure Portal:

  1. Durante el aprovisionamiento de un nuevo servidor flexible de Azure Database for PostgreSQL, el cifrado de datos se configura en la pestaña Seguridad . En Clave de cifrado de datos, seleccione el botón de radio Clave administrada por el servicio .

    Captura de pantalla que muestra cómo seleccionar la clave de cifrado administrada por el sistema durante el aprovisionamiento del servidor.

  2. Si habilita el almacenamiento de copia de seguridad con redundancia geográfica para que se aprovisione junto con el servidor, el aspecto de la ficha Seguridad cambia ligeramente porque el servidor usa dos claves de cifrado independientes. Una para la región primaria en la que va a implementar el servidor y otra para la región emparejada a la que se replican de forma asincrónica las copias de seguridad del servidor.

    Captura de pantalla que muestra cómo seleccionar la clave de cifrado administrada por el sistema durante el aprovisionamiento del servidor, cuando el servidor está habilitado para el almacenamiento de copia de seguridad con redundancia geográfica.

Configuración del cifrado de datos con la clave administrada por el cliente durante el aprovisionamiento del servidor

Mediante Azure Portal:

  1. Cree una identidad administrada asignada por el usuario si todavía no tiene una. Si el servidor tiene habilitadas copias de seguridad con redundancia geográfica, debe crear dos identidades diferentes. Cada una de esas identidades se usa para acceder a cada una de las dos claves de cifrado de datos.

    Nota:

    Aunque no es necesario, para mantener la resistencia regional, se recomienda crear la identidad administrada por el usuario en la misma región que el servidor. Si el servidor tiene habilitada la redundancia de copia de seguridad geográfica, se recomienda que la segunda identidad administrada por el usuario, usada para acceder a la clave de cifrado de datos para las copias de seguridad georredundantes, se cree en la región emparejada del servidor.

  2. Cree una instancia de Azure Key Vault o cree un HSM administrado, si aún no tiene un almacén de claves creado. Asegúrese de cumplir los requisitos. Además, siga las recomendaciones antes de configurar el almacén de claves y antes de crear la clave y asignar los permisos necesarios a la identidad administrada asignada por el usuario. Si el servidor tiene habilitadas copias de seguridad con redundancia geográfica, debe crear un segundo almacén de claves. Ese segundo almacén de claves se usa para mantener la clave de cifrado de datos con la que se cifran las copias de seguridad copiadas en la región emparejada del servidor.

    Nota:

    El almacén de claves usado para mantener la clave de cifrado de datos debe implementarse en la misma región que el servidor. Y si el servidor tiene habilitada la copia de seguridad con redundancia geográfica, el almacén de claves que mantiene la clave de cifrado de datos para las copias de seguridad con redundancia geográfica se debe crear en la región emparejada del servidor.

  3. Cree una clave en el almacén de claves. Si el servidor tiene habilitadas copias de seguridad con redundancia geográfica, necesita una clave en cada uno de los almacenes de claves. Con una de estas claves, ciframos todos los datos del servidor (incluidas todas las bases de datos de usuario y del sistema, los archivos temporales, los registros de servidor, los segmentos de registro de escritura previa y las copias de seguridad). Con la segunda clave, ciframos las copias de las copias de seguridad que se copian de forma asincrónica en la región emparejada del servidor.

  4. Durante el aprovisionamiento de un nuevo servidor flexible de Azure Database for PostgreSQL, el cifrado de datos se configura en la pestaña Seguridad . En Clave de cifrado de datos, seleccione el botón de radio Clave administrada por el cliente .

    Captura de pantalla que muestra cómo seleccionar la clave de cifrado administrada por el cliente durante el aprovisionamiento del servidor.

  5. Si habilita el almacenamiento de copia de seguridad con redundancia geográfica para que se aprovisione junto con el servidor, el aspecto de la ficha Seguridad cambia ligeramente porque el servidor usa dos claves de cifrado independientes. Una para la región primaria en la que va a implementar el servidor y otra para la región emparejada a la que se replican de forma asincrónica las copias de seguridad del servidor.

    Captura de pantalla que muestra cómo seleccionar la clave de cifrado administrada por el cliente durante el aprovisionamiento del servidor, cuando el servidor está habilitado para el almacenamiento de copia de seguridad con redundancia geográfica.

  6. En Identidad administrada asignada por el usuario, seleccione Cambiar identidad.

    Captura de pantalla que muestra cómo seleccionar la identidad administrada asignada por el usuario para acceder a la clave de cifrado de datos de los datos de la ubicación del servidor.

  7. Entre la lista de identidades administradas asignadas por el usuario, seleccione la que desea que use el servidor para acceder a la clave de cifrado de datos almacenada en una instancia de Azure Key Vault.

    Captura de pantalla que muestra cómo seleccionar la identidad administrada asignada por el usuario con la que el servidor accede a la clave de cifrado de datos.

  8. Seleccione Agregar.

    Captura de pantalla que muestra la ubicación del botón Agregar para asignar la identidad con la que el servidor accede a la clave de cifrado de datos.

  9. Seleccione Usar la versión menos clave, si prefiere permitir que el servicio actualice automáticamente la referencia a la versión más reciente de la clave elegida, siempre que la versión actual se gire manualmente o automáticamente. Para comprender las ventajas de usar claves sin versión, consulte claves administradas por el cliente sin versión.

    Recorte de pantalla en el que se muestra cómo habilitar claves sin versión.

  10. Seleccione Seleccionar una clave.

    Captura de pantalla que muestra cómo seleccionar una clave de cifrado de datos.

  11. Suscripción se rellena automáticamente con el nombre de la suscripción en la que se va a crear el servidor. El almacén de claves que mantiene la clave de cifrado de datos debe existir en la misma suscripción que el servidor.

    Captura de pantalla que muestra cómo seleccionar la suscripción en la que debe existir el almacén de claves.

  12. En Tipo de almacén de claves, seleccione el botón de opción correspondiente al tipo de almacén de claves en el que planea almacenar la clave de cifrado de datos. En este ejemplo, se elige Almacén de claves, pero la experiencia es similar si elige HSM administrado.

    Captura de pantalla que muestra cómo seleccionar el tipo de almacén que mantiene la clave de cifrado de datos.

  13. Expanda Almacén de claves (o HSM administrado, si seleccionó ese tipo de almacenamiento) y seleccione la instancia en la que existe la clave de cifrado de datos.

    Captura de pantalla que muestra cómo seleccionar el almacén de claves que mantiene la clave de cifrado de datos.

    Nota:

    Al expandir el cuadro desplegable, muestra No hay elementos disponibles. Tarda unos segundos hasta que se enumeran todas las instancias del almacén de claves que se implementan en la misma región que el servidor.

  14. Expanda Clave y seleccione el nombre de la clave que desea usar para el cifrado de datos.

    Captura de pantalla que muestra cómo seleccionar la clave de cifrado de datos.

  15. Si no ha seleccionado Usar versión menos clave, también debe seleccionar una versión específica de la clave. Para ello, expanda Versión y seleccione el identificador de la versión de la clave que desea usar para el cifrado de datos.

    Captura de pantalla que muestra cómo seleccionar la versión que se va a usar de la clave de cifrado de datos.

  16. Elija Seleccionar.

    Captura de pantalla que muestra cómo seleccionar la clave elegida.

  17. Configure todas las demás opciones del nuevo servidor y seleccione Revisar y crear.

    Captura de pantalla que muestra cómo completar la creación del servidor.

Configuración del cifrado de datos con la clave administrada por el cliente en servidores existentes

El único punto en el que puede decidir si desea usar una clave administrada por el sistema o una clave administrada por el cliente para el cifrado de datos, está en la creación del servidor. Una vez que tome esa decisión y cree el servidor, no puede cambiar entre las dos opciones. La única alternativa, si desea cambiar de una a otra, requiere restaurar cualquiera de las copias de seguridad del servidor disponibles en un nuevo servidor. Al configurar la restauración, puede cambiar la configuración de cifrado de datos del nuevo servidor.

En el caso de los servidores existentes que se implementaron con cifrado de datos mediante una clave administrada por el cliente, puede realizar varios cambios de configuración. Los elementos que se pueden cambiar son las referencias a las claves usadas para el cifrado y las referencias a las identidades administradas asignadas por el usuario usadas por el servicio para acceder a las claves guardadas en los almacenes de claves.

Debe actualizar las referencias que el servidor flexible de Azure Database for PostgreSQL tiene en una clave:

  • Cuando se rota la clave almacenada en el almacén de claves, ya sea manual o automática, y el servidor flexible de Azure Database for PostgreSQL apunta a una versión específica de la clave. Si apuntas a una clave, pero no a una versión específica de la clave (es decir, cuando tienes habilitada Usar clave sin versión), el servicio se encargará de hacer referencia automáticamente a la versión más actual de la clave, siempre que la clave se rote manual o automáticamente.
  • Si desea usar la misma clave o una clave diferente almacenada en un almacén de claves diferente.

Debe actualizar las identidades de usuario administradas asignadas que son utilizadas por su servidor flexible de Azure Database for PostgreSQL para acceder a las claves de cifrado.

  • Siempre que quiera usar una identidad diferente.

Mediante Azure Portal:

  1. Seleccione su servidor flexible de Azure Database for PostgreSQL.

  2. En el menú de recursos, en Seguridad, seleccione Cifrado de datos.

    Captura de pantalla que muestra cómo acceder al cifrado de datos de un servidor existente.

  3. Para cambiar la identidad administrada asignada por el usuario con la que el servidor accede al almacén de claves en el que se mantiene la clave, expanda la lista desplegable Identidad administrada asignada por el usuario y seleccione cualquiera de las identidades disponibles.

    Captura de pantalla que muestra cómo seleccionar una de las identidades administradas asignadas por el usuario asociadas al servidor.

    Nota:

    Las identidades que se muestran en el cuadro combinado son exclusivamente las asignadas a su servidor flexible de Azure Database para PostgreSQL. Aunque no es necesario, para mantener la resistencia regional, se recomienda seleccionar identidades administradas por el usuario en la misma región que el servidor. Si el servidor tiene habilitada la copia de seguridad con redundancia geográfica, se recomienda que la segunda identidad administrada por el usuario usada para acceder a la clave de cifrado de datos para las copias de seguridad con redundancia geográfica exista en la región emparejada del servidor.

  4. Si la identidad administrada asignada por el usuario que desea usar para acceder a la clave de cifrado de datos no está asignada al servidor flexible de Azure Database for PostgreSQL y ni siquiera existe como un recurso de Azure con su objeto correspondiente en Microsoft Entra ID, puede crearla seleccionando Crear.

    Captura de pantalla que muestra cómo crear nuevas identidades administradas asignadas por el usuario en Azure y Microsoft Entra ID, asignarlas automáticamente a tu servidor flexible de Azure Database for PostgreSQL y utilizarlas para acceder a la clave de cifrado de datos.

  5. En el panel Crear identidad administrada asignada por el usuario, complete los detalles de la identidad administrada asignada por el usuario que desea crear y asigne automáticamente al servidor flexible de Azure Database for PostgreSQL para acceder a la clave de cifrado de datos.

    Captura de pantalla que muestra cómo proporcionar los detalles de la nueva identidad administrada asignada por el usuario.

  6. Si la identidad administrada asignada por el usuario que desea usar para acceder a la clave de cifrado de datos no está asignada al servidor flexible de Azure Database for PostgreSQL, pero existe como un recurso de Azure con su objeto correspondiente en Microsoft Entra ID, puede asignarla seleccionando Seleccionar.

    Captura de pantalla que muestra cómo seleccionar una identidad administrada asignada por el usuario existente en Azure y microsoft Entra ID, asignarla automáticamente al servidor flexible de Azure Database for PostgreSQL y usarla para acceder a la clave de cifrado de datos.

  7. Entre la lista de identidades administradas asignadas por el usuario, seleccione la que desea que use el servidor para acceder a la clave de cifrado de datos almacenada en una instancia de Azure Key Vault.

    Captura de pantalla que muestra cómo seleccionar una identidad administrada asignada por el usuario existente para asignarla al servidor flexible de Azure Database for PostgreSQL y usarla para acceder a la clave de cifrado de datos.

  8. Seleccione Agregar.

    Captura de pantalla que muestra cómo agregar la identidad administrada asignada por el usuario seleccionado.

  9. Seleccione Usar la versión menos clave, si prefiere permitir que el servicio actualice automáticamente la referencia a la versión más reciente de la clave elegida, siempre que la versión actual se gire manualmente o automáticamente. Para comprender las ventajas de usar claves sin versión, consulte Llaves gestionadas por el cliente sin versión.

    Recorte de pantalla en el que se muestra cómo habilitar claves sin versión.

  10. Si gira la clave y no tiene habilitada la opción Usar la clave sin versión. O bien, si desea usar una clave diferente, debe actualizar el servidor flexible de Azure Database for PostgreSQL para que apunte a la nueva versión de la clave o a la nueva clave. Para ello, puede copiar el identificador de recurso de la clave y pegarlo en el cuadro Identificador de clave.

    Captura de pantalla que muestra dónde pegar el identificador de recurso de la nueva clave o la nueva versión de clave que el servidor debe usar para el cifrado de datos.

  11. Si el usuario que accede a Azure Portal tiene permisos para acceder a la clave almacenada en el almacén de claves, puede usar un enfoque alternativo para elegir la nueva clave o la nueva versión de la clave. Para ello, en Método de selección de claves, seleccione el botón de opción Seleccionar una clave.

    Captura de pantalla que muestra cómo habilitar el método más fácil de usar para elegir la clave de cifrado de datos que se va a usar para el cifrado de datos.

  12. Elija Seleccionar clave.

    Captura de pantalla que muestra cómo seleccionar una clave de cifrado de datos.

  13. Suscripción se rellena automáticamente con el nombre de la suscripción en la que se va a crear el servidor. El almacén de claves que mantiene la clave de cifrado de datos debe existir en la misma suscripción que el servidor.

    Captura de pantalla que muestra cómo seleccionar la suscripción en la que debe existir el almacén de claves.

  14. En Tipo de almacén de claves, seleccione el botón de opción correspondiente al tipo de almacén de claves en el que planea almacenar la clave de cifrado de datos. En este ejemplo, se elige Almacén de claves, pero la experiencia es similar si elige HSM administrado.

    Captura de pantalla que muestra cómo seleccionar el tipo de almacén que mantiene la clave de cifrado de datos.

  15. Expanda Almacén de claves (o HSM administrado, si seleccionó ese tipo de almacenamiento) y seleccione la instancia en la que existe la clave de cifrado de datos.

    Captura de pantalla que muestra cómo seleccionar el almacén de claves que mantiene la clave de cifrado de datos.

    Nota:

    Al expandir el cuadro desplegable, muestra No hay elementos disponibles. Tarda unos segundos hasta que se enumeran todas las instancias del almacén de claves que se implementan en la misma región que el servidor.

  16. Expanda Clave y seleccione el nombre de la clave que desea usar para el cifrado de datos.

    Captura de pantalla que muestra cómo seleccionar la clave de cifrado de datos.

  17. Si no ha seleccionado Usar versión menos clave, también debe seleccionar una versión específica de la clave. Para ello, expanda Versión y seleccione el identificador de la versión de la clave que desea usar para el cifrado de datos.

    Captura de pantalla que muestra cómo seleccionar la versión que se va a usar de la clave de cifrado de datos.

  18. Elija Seleccionar.

    Captura de pantalla que muestra cómo seleccionar la clave elegida.

  19. Una vez satisfecho con los cambios realizados, seleccione Guardar.

    Captura de pantalla que muestra cómo guardar los cambios realizados en la configuración de cifrado de datos.