Azure Database for PostgreSQL でデータ暗号化を構成する

Azure portal を使用して以下を実行します。

1. 新しい Azure Database for PostgreSQL フレキシブル サーバーのプロビジョニング中に、[ セキュリティ ] タブでデータ暗号化が構成されます。 [データ暗号化キー] で、[ サービスマネージド キー ] ラジオ ボタンを選択します。

   

2. geo 冗長バックアップ ストレージがサーバーと共にプロビジョニングされるように設定すると、サーバーが 2 つの別個の暗号化キーを使用するため、[セキュリティ] タブの表示が若干変わります。 1 つはサーバーを展開するプライマリ リージョン用、もう 1 つはサーバー バックアップが非同期的にレプリケートされるペア リージョン用です。

   

az postgres flexible-server create コマンドを使用して新しいサーバーをプロビジョニングしているときに、システム割り当て暗号化キーを使用したデータ暗号化を有効にすることができます。

az postgres flexible-server create \
  --resource-group <resource_group> \
  --name <server> ...

Azure portal を使用して以下を実行します。

1. まだお持ちでない場合は、ユーザー割り当てマネージド ID を作成します。 サーバーで geo 冗長バックアップが有効になっている場合は、異なる ID を作成する必要があります。 これらの各 ID は、2 つのデータ暗号化キーのそれぞれにアクセスするために使用されます。

   注

   必須ではありませんが、リージョンの回復性を維持するために、サーバーと同じリージョンにユーザー マネージド ID を作成することをお勧めします。 また、サーバーで geo バックアップ冗長が有効になっている場合は、geo 冗長バックアップのデータ暗号化キーへのアクセスに使用する 2 番目のユーザー マネージド ID を、サーバーのペア リージョンに作成することをお勧めします。

2. キーストアがまだ作成されていない場合は、Azure Key Vault を 1 つ作成するか、マネージド HSM を 1 つ作成します。 要件を満たしていることを確認します。 また、キーストアを構成する前、およびキーを作成して、必要なアクセス許可をユーザー割り当てマネージド ID に割り当てる前に、推奨事項に従ってください。 サーバーで geo 冗長バックアップが有効になっている場合は、2 つ目のキーストアを作成する必要があります。 その 2 つ目のキーストアは、サーバーのペア リージョンにコピーされたバックアップを暗号化するときに使用するデータ暗号化キーを保持するために使用されます。

   注

   データ暗号化キーを保持するために使用するキーストアは、サーバーと同じリージョンに配置する必要があります。 また、サーバーで geo バックアップ冗長が有効になっている場合は、geo 冗長バックアップのデータ暗号化キーを保持するキーストアを、サーバーのペア リージョンに作成する必要があります。

3. キーストアにキーを 1 つ作成します。 サーバーで geo 冗長バックアップが有効になっている場合は、各キーストアにキーが 1 つ必要になります。 これらのキーのいずれかを使用して、サーバーのすべてのデータ (すべてのシステムとユーザー データベース、一時ファイル、サーバー ログ、先書きログ セグメント、バックアップを含む) を暗号化します。 2 番目のキーを使用して、サーバーのペア リージョンに非同期でコピーされるバックアップのコピーを暗号化します。

4. 新しい Azure Database for PostgreSQL フレキシブル サーバーのプロビジョニング中に、[ セキュリティ ] タブでデータ暗号化が構成されます。 [データ暗号化キー] で、[ カスタマー マネージド キー ] ラジオ ボタンを選択します。

   

5. geo 冗長バックアップ ストレージがサーバーと共にプロビジョニングされるように設定すると、サーバーが 2 つの別個の暗号化キーを使用するため、[セキュリティ] タブの表示が若干変わります。 1 つはサーバーを展開するプライマリ リージョン用、もう 1 つはサーバー バックアップが非同期的にレプリケートされるペア リージョン用です。

   

6. [ユーザー割り当てマネージド ID] で、[ID の変更] を選択します。

   

7. ユーザー割り当てマネージド ID の一覧から、Azure Key Vault に格納されているデータ暗号化キーにアクセスする際にサーバーで使用するものを選択します。

   

8. [追加] を選択します。

   

9. 現在のバージョンが手動または自動でローテーションされるたびに、選択したキーの最新バージョンへの参照をサービスで自動的に更新できるようにする場合は、[バージョン レス キーの使用] を選択します。 バージョンが少ないキーを使用する利点を理解するには、 バージョンの少ないカスタマー マネージド キーを参照してください。

   

10. [キーの選択] を選択します。

    

11. [サブスクリプション] には、サーバーが作成されるサブスクリプションの名前が自動的に入力されます。 データ暗号化キーを保持するキーストアは、サーバーと同じサブスクリプションに存在する必要があります。

    

12. [キー ストアの種類] で、データ暗号化キーを格納する予定のキーストアの種類に対応するラジオ ボタンを選択します。 この例では、[キー コンテナー] を選択しますが、[マネージド HSM] を選択した場合でもエクスペリエンスは同様です。

    

13. [キー コンテナー] (または、[マネージド HSM] (そのストレージの種類を選択した場合)) を展開し、データ暗号化キーが存在するインスタンスを選択します。

    

    注

    ドロップダウン ボックスを展開すると、[ 使用可能な項目がありません] と表示されます。 サーバーと同じリージョンに展開されているキー コンテナーのすべてのインスタンスが一覧表示されるまで、数秒かかります。

14. [キー] を展開し、データ暗号化に使用するキーの名前を選択します。

    

15. [ バージョンの少ないキーを使用する] を選択しなかった場合は、特定のバージョンのキーも選択する必要があります。 これを行うには、[ バージョン] を展開し、データ暗号化に使用するキーのバージョンの識別子を選択します。

    

16. [選択] を選択します。

    

17. 新しいサーバーの他のすべての設定を構成し、[確認と作成] を選択します。

    

az postgres flexible-server create コマンドを介して新しいサーバーをプロビジョニングしているときに、ユーザー割り当て暗号化キーを使用したデータ暗号化を有効にすることができます。

サーバーで geo 冗長バックアップが有効になっていない場合:

az postgres flexible-server create \
  --resource-group <resource_group> \
  --name <server> \
  --geo-redundant-backup Disabled \
  --identity <managed_identity_to_access_primary_encryption_key> \
  --key <resource_identifier_of_primary_encryption_key> ...

サーバーで geo 冗長バックアップが有効になっている場合:

az postgres flexible-server create \
  --resource-group <resource_group> \
  --name <server> \
  --geo-redundant-backup Enabled \
  --identity <managed_identity_to_access_primary_encryption_key> \
  --key <resource_identifier_of_primary_encryption_key> \
  --backup-identity <managed_identity_to_access_geo_backups_encryption_key> \
  --backup-key <resource_identifier_of_geo_backups_encryption_key> ...

Azure portal を使用して以下を実行します。

1. お使いの Azure Database for PostgreSQL フレキシブル サーバーを選択します。

2. リソース メニューの [ セキュリティ] で、[ データ暗号化] を選択します。

   

3. サーバーがキーが保持されているキー ストアにアクセスするユーザー割り当てマネージド ID を変更するには、[ ユーザー割り当てマネージド ID ] ドロップダウンを展開し、使用可能な ID のいずれかを選択します。

   

   注

   コンボ ボックスに表示される ID は、Azure Database for PostgreSQL フレキシブル サーバーに割り当てられた ID のみです。 必須ではありませんが、リージョンの回復性を維持するために、サーバーと同じリージョンでユーザー マネージド ID を選択することをお勧めします。 また、サーバーで geo バックアップ冗長が有効になっている場合は、geo 冗長バックアップのデータ暗号化キーへのアクセスに使用する 2 番目のユーザー マネージド ID が、サーバーのペア リージョンに存在することが推奨されます。

4. データ暗号化キーへのアクセスに使用するユーザー割り当てマネージド ID が、Azure Database for PostgreSQL フレキシブル サーバーに割り当てられておらず、Microsoft Entra ID 内の対応するオブジェクトを持つ Azure リソースとしても存在しない場合は、[作成] を選択して作成できます。

   

5. [ユーザー割り当てマネージド ID の作成] パネルで、作成するユーザー割り当てマネージド ID の詳細を入力し、データ暗号化キーにアクセスするために Azure Database for PostgreSQL フレキシブル サーバーに自動的に割り当てます。

   

6. データ暗号化キーへのアクセスに使用するユーザー割り当てマネージド ID が、Azure Database for PostgreSQL フレキシブル サーバーに割り当てられていないが、Microsoft Entra ID 内の対応するオブジェクトを持つ Azure リソースとして存在する場合は、[選択] を選択してそれを割り当てることができます。

   

7. ユーザー割り当てマネージド ID の一覧から、Azure Key Vault に格納されているデータ暗号化キーにアクセスする際にサーバーで使用するものを選択します。

   

8. [追加] を選択します。

   

9. 現在のバージョンが手動または自動でローテーションされるたびに、選択したキーの最新バージョンへの参照をサービスで自動的に更新できるようにする場合は、[バージョン レス キーの使用] を選択します。 バージョンが少ないキーを使用する利点を理解するには、 バージョンの少ないカスタマー マネージド キーを参照してください。

   

10. キーをローテーションし、[ バージョンを減らすキーを使用する] が有効になっていない場合。 または、別のキーを使用する場合は、Azure Database for PostgreSQL フレキシブル サーバーを更新して、新しいキー バージョンまたは新しいキーを指す必要があります。 これを行うには、キーのリソース識別子をコピーして、[キー識別子] ボックスに貼り付けます。

    

11. Azure portal にアクセスするユーザーに、キーストアに格納されているキーにアクセスするためのアクセス許可がある場合は、別の方法を使用して、新しいキーまたは新しいキー バージョンを選択できます。 これを行うには、[キーの選択方法] で、[キーの選択] ラジオ ボタンを選択します。

    

12. [キーの選択] を選択します。

    

13. [サブスクリプション] には、サーバーが作成されるサブスクリプションの名前が自動的に入力されます。 データ暗号化キーを保持するキーストアは、サーバーと同じサブスクリプションに存在する必要があります。

    

14. [キー ストアの種類] で、データ暗号化キーを格納する予定のキーストアの種類に対応するラジオ ボタンを選択します。 この例では、[キー コンテナー] を選択しますが、[マネージド HSM] を選択した場合でもエクスペリエンスは同様です。

    

15. [キー コンテナー] (または、[マネージド HSM] (そのストレージの種類を選択した場合)) を展開し、データ暗号化キーが存在するインスタンスを選択します。

    

    注

    ドロップダウン ボックスを展開すると、[ 使用可能な項目がありません] と表示されます。 サーバーと同じリージョンに展開されているキー コンテナーのすべてのインスタンスが一覧表示されるまで、数秒かかります。

16. [キー] を展開し、データ暗号化に使用するキーの名前を選択します。

    

17. [ バージョンの少ないキーを使用する] を選択しなかった場合は、特定のバージョンのキーも選択する必要があります。 これを行うには、[ バージョン] を展開し、データ暗号化に使用するキーのバージョンの識別子を選択します。

    

18. [選択] を選択します。

    

19. 変更内容に問題がない場合は、[保存] を選択します。

    

az postgres flexible-server update コマンドを使用して、既存のサーバーに対して、ユーザー割り当て暗号化キーを使用したデータ暗号化を構成できます。

az postgres flexible-server update \
  --resource-group <resource_group> \
  --name <server> \
  --identity <managed_identity_to_access_primary_encryption_key> \
  --key <resource_identifier_of_primary_encryption_key> ...

キーへのアクセスに使用するユーザー割り当てマネージド ID のみを変更する場合でも、データ暗号化に使用するキーのみを変更する場合でも、同時に両方を変更する場合でも、--identity と --key の両方のパラメーター (または、geo 冗長バックアップの場合は --backup-identity と --backup-key) を指定する必要があります。 いずれか一方のみを指定した場合、次のいずれかのエラーが表示されます。

User assigned identity and keyvault key need to be provided together. Please provide --identity and --key together.

User assigned identity and keyvault key need to be provided together. Please provide --backup-identity and --backup-key together.

--key パラメーター (または、geo 冗長バックアップの場合は --backup-key) に渡された値が指すキーが存在しない場合、またはリソース識別子が --identity パラメーター (または、geo 冗長バックアップの場合は --backup-identity) に渡されるユーザー割り当てマネージド ID にキーへのアクセスに必要なアクセス許可がない場合は、次のエラーが表示されます。

Code: AzureKeyVaultKeyNameNotFound
Message: The operation could not be completed because the Azure Key Vault Key name '<key_vault_resource>' does not exist or User Assigned Identity does not have Get access to the Key (https://learn.microsoft.com/en-us/azure/postgresql/flexible-server/concepts-data-encryption#requirements-for-configuring-data-encryption-for-azure-database-for-postgresql-flexible-server).

サーバーで geo 冗長バックアップが有効になっている場合は、geo 冗長バックアップの暗号化に使用するキーと、そのキーへのアクセスに使用する ID を構成できます。 これを行うには、--backup-identity および --backup-key パラメーターを使用します。

az postgres flexible-server update \
  --resource-group <resource_group> \
  --name <server> \
  --backup-identity <managed_identity_to_access_georedundant_encryption_key> \
  --backup-key <resource_identifier_of_georedundant_encryption_key> ...

パラメーター --backup-identity と --backup-key を az postgres flexible server update コマンドに渡し、geo 冗長バックアップが有効になっていない既存のサーバーを参照すると、次のエラーが表示されます。

Geo-redundant backup is not enabled. You cannot provide Geo-___location user assigned identity and keyvault key.

--identity および --backup-identity パラメーターに渡された ID (それらが存在し、有効な場合) は、Azure Database for PostgreSQL フレキシブル サーバーに関連付けられているユーザー割り当てマネージド ID の一覧に自動的に追加されます。 これは、コマンドが後で他のエラーで失敗した場合でも当てはまる場合です。 このような場合は、az postgres flexible-server identity コマンドを使用して、Azure Database for PostgreSQL フレキシブル サーバーに割り当てられたユーザー割り当てマネージド ID を一覧表示、割り当て、または削除することができます。 Azure Database for PostgreSQL フレキシブル サーバーでのユーザー割り当てマネージド ID の構成の詳細については、「ユーザー割り当てマネージド ID を既存のサーバーに関連付ける」、「既存のサーバーのユーザー割り当てマネージド ID の関連付けを解除する」、および「関連付けられているユーザー割り当てマネージド ID を表示する」を参照してください。.