Sdílet prostřednictvím

Podpora spravované identity pro rozšiřitelnou správu klíčů pomocí služby Azure Key Vault

Platí pro: SQL Server 2025 (17.x)

V tomto článku se dozvíte, jak používat spravované identity pro správu rozšiřitelných klíčů (EKM) se službou Azure Key Vault (AKV) na SQL Serveru povoleném službou Azure Arc.

Přehled

Od verze SQL Server 2025 (17.x) jsou spravované identity podporovány pro EKM s Azure Key Vault a spravovanými hardwarovými zabezpečovacími moduly (HSM) na SQL Serveru povoleném pomocí Azure Arc. Spravované identity jsou doporučovanou metodou ověřování, která umožňuje různým službám Azure ověřovat SQL Server povolený prostředkem Azure Arc bez použití hesel nebo tajemství. Další informace o spravovaných identitách najdete na Typy spravovaných identit.

Požadavky

Krok 1: Přidání klíče registru pro zprostředkovatele EKM

Než budete moct vytvořit přihlašovací údaje pomocí spravované identity, musíte přidat klíč registru, aby zprostředkovatel EKM mohl používat spravované identity. Tento krok musí provést správce počítače. Podrobný postup najdete v kroku 4: Přidání klíče registru pro podporu poskytovatele EKM.

Krok 2: Konfigurace master databáze

  1. Otevřete SQL Server Management Studio.

  2. Nakonfigurujte SQL Server tak, aby používal EKM spuštěním následujícího skriptu Transact-SQL:

    -- Enable advanced options.
USE master;
GO

EXECUTE sp_configure 'show advanced options', 1;
GO

RECONFIGURE;
GO

-- Enable EKM provider
EXECUTE sp_configure 'EKM provider enabled', 1;
GO

RECONFIGURE;
GO

  3. Zaregistrujte konektor SQL Serveru jako poskytovatele EKM pro SQL Server.

    Vytvořte kryptografického zprostředkovatele pomocí konektoru SQL Server, což je poskytovatel EKM pro Azure Key Vault. V tomto příkladu je název zprostředkovatele AzureKeyVault_EKM.

    CREATE CRYPTOGRAPHIC PROVIDER AzureKeyVault_EKM
FROM FILE = 'C:\Program Files\SQL Server Connector for Microsoft Azure Key Vault\Microsoft.AzureKeyVaultService.EKM.dll';
GO

    Poznámka:

    Délka cesty k souboru nesmí překročit 256 znaků.

Krok 3: Vytvoření přihlašovacích údajů serveru pomocí spravované identity

Následující příklad ukazuje, jak vytvořit přihlašovací údaje pro spravovanou identitu, která se bude používat se službou Azure Key Vault:

CREATE CREDENTIAL [<akv-name>.vault.azure.net]
    WITH IDENTITY = 'Managed Identity'
    FOR CRYPTOGRAPHIC PROVIDER AzureKeyVault_EKM;

Název AKV můžete zkontrolovat dotazem sys.credentials:

SELECT name, credential_identity
FROM sys.credentials;

Klauzule WITH IDENTITY = 'Managed Identity' vyžaduje primární spravovanou identitu přiřazenou k SQL Serveru povolenému službou Azure Arc.

Další informace o nastavení EKM pomocí AKV najdete v tématu Nastavení rozšiřitelné správy klíčů transparentního šifrování dat SQL Serveru pomocí služby Azure Key Vault.

Vytvoření přihlašovacích údajů pro použití se spravovanými moduly hardwarového zabezpečení (HSM)

Pokud chcete vytvořit přihlašovací údaje pro použití s moduly hardwarového zabezpečení spravované službou Azure Key Vault, použijte následující syntaxi:

CREATE CREDENTIAL [<akv-name>.managedhsm.azure.net]
    WITH IDENTITY = 'Managed Identity'
    FOR CRYPTOGRAPHIC PROVIDER AzureKeyVault_EKM;

Další informace o nastavení EKM pomocí AKV najdete v tématu Nastavení rozšiřitelné správy klíčů transparentního šifrování dat SQL Serveru pomocí služby Azure Key Vault.

Příkazy T-SQL pro upgrade stávající konfigurace EKM tak, aby používaly spravované identity

Pokud vaše aktuální konfigurace používá EKM s AKV pomocí tajného kódu, budete muset odstranit stávající přihlašovací údaje a vytvořit nové přihlašovací údaje pomocí spravované identity. Následující příkazy T-SQL ukazují, jak upgradovat stávající konfiguraci EKM tak, aby používala spravované identity:

  1. Vytvořte přihlašovací údaje pomocí spravované identity:

    CREATE CREDENTIAL [<akv-name>.vault.azure.net]
    WITH IDENTITY = 'Managed Identity'
    FOR CRYPTOGRAPHIC PROVIDER AzureKeyVault_EKM;

  2. Pokud existují přihlašovací údaje s tajným kódem přidruženým k přihlášení k doméně správy SQL Serveru, odstraňte stávající přihlašovací údaje:

    ALTER LOGIN [<domain>\<login>]
DROP CREDENTIAL [<existing-credential-name>];

  3. Přidružte nové přihlašovací údaje k přihlašovacím údajům domény pro správu SQL Serveru:

    ALTER LOGIN [<domain>\<login>]
ADD CREDENTIAL [<akv-name>.vault.azure.net];

Pomocí následujícího dotazu můžete zkontrolovat šifrované zobrazení databáze a ověřit šifrování databáze:

SELECT *
FROM sys.dm_database_encryption_keys
WHERE database_id = db_id('<your-database-name>');

Další informace o nastavení EKM pomocí AKV najdete v tématu Nastavení rozšiřitelné správy klíčů transparentního šifrování dat SQL Serveru pomocí služby Azure Key Vault.

Chybové zprávy

Příznak trasování 4675 lze použít k ověření přihlašovacích údajů vytvořených pomocí spravované identity. Pokud se příkaz CREATE CREDENTIAL spustil bez povoleného příznaku trasování 4675, nevystaví se žádná chybová zpráva, pokud pro server není nastavená primární spravovaná identita. Pokud chcete tento scénář vyřešit, musí se přihlašovací údaje odstranit a znovu vytvořit po povolení příznaku trasování.

Omezení

  • Spravovaná identita na úrovni serveru se podporuje jenom pro SQL Server 2025, který povoluje Azure Arc, a ne v místním SQL Serveru. Spravovaná identita na úrovni serveru není pro Linux podporovaná.
  • Nejnovější verze konektoru SQL Serveru ve verzi Preview je vyžadována pro podporu spravovaných identit pro EKM s AKV.

Související obsah

  • Last updated on