Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Platí pro:
Azure SQL DatabaseAzure SQL Managed Instance
Id Microsoft Entra, dříve Azure Active Directory, poskytuje automaticky spravovanou identitu pro ověření v jakékoli službě Azure, která podporuje ověřování Microsoft Entra, jako je Azure Key Vault, bez vystavení přihlašovacích údajů v kódu. Další informace najdete v tématu Typy spravovaných identit v Azure.
Spravované identity můžou mít dva typy:
- Přiřazené systémem
- Přiřazené uživatelem
Další informace najdete v tématu Spravované identity v Microsoft Entra ID pro Azure SQL.
Pro TDE s klíčem spravovaným zákazníkem (CMK) v Azure SQL se používá spravovaná identita serveru pro zajištění přístupových práv k serveru v úložišti klíčů nebo spravovaném HSM. Například, spravovaná identita serveru přiřazená systémem by měla mít oprávnění služby Azure Key Vault před povolením TDE s CMK na serveru.
Kromě spravované identity přiřazené systémem, která je již podporována pro transparentní šifrování dat pomocí CMK, se dá použít spravovaná identita přiřazená uživatelem (UMI), která je přiřazená k serveru, což umožňuje serveru přístup k úložišti klíčů nebo spravovanému HSM. Předpokladem pro povolení přístupu k trezoru klíčů nebo spravovanému HSM je zajistit, aby spravovaná identita přiřazená uživatelem poskytovala oprávnění Get, wrapKey a unwrapKey v trezoru klíčů nebo spravovaném HSM. Vzhledem k tomu, že uživatelsky přiřazená spravovaná identita je samostatný prostředek, který lze vytvořit a jemuž lze udělit přístup k trezoru klíčů nebo spravovanému HSM, je nyní možné povolit TDE s klíčem spravovaným zákazníkem při vytváření serveru nebo databáze.
Poznámka:
Aby bylo možné přiřadit spravovanou identitu přiřazenou uživatelem k logickému serveru nebo spravované instanci, musí mít uživatel roli Přispěvatel SQL Serveru nebo Přispěvatel spravované instance SQL Azure RBAC spolu s další rolí Azure RBAC obsahující roli Microsoft.ManagedIdentity/userAssignedIdentities/*/assign/action .
Výhody používání UMI pro transparentní šifrování dat spravované zákazníkem
Umožňuje předběžné ověření trezoru klíčů nebo spravovaného přístupu HSM pro logické servery Azure SQL nebo spravované instance Azure SQL vytvořením spravované identity přiřazené uživatelem a udělením přístupu k trezoru klíčů nebo spravovanému HSM, a to i před vytvořením serveru nebo databáze.
Umožní vytvoření logického serveru Azure SQL s povoleným transparentním šifrováním dat a klíčem CMK.
Umožňuje přiřadit stejnou spravovanou identitu přiřazenou uživatelem k více serverům, což eliminuje nutnost jednotlivě zapnout spravovanou identitu přiřazenou systémem pro každý logický server Azure SQL nebo spravovanou instanci Azure SQL a poskytnout jí přístup k trezoru klíčů nebo spravovanému HSM.
Poskytuje možnost vynutit CMK při vytváření serveru pomocí dostupné vestavěné politiky Azure.
Důležité informace o používání UMI pro transparentní šifrování dat spravované zákazníkem
- Ve výchozím nastavení TDE v Azure SQL používá na serveru primární uživatelskou spravovanou identitu pro přístup k trezoru klíčů nebo spravovanému HSM. Pokud k serveru nebyly přiřazeny žádné identity přiřazené uživatelem, použije se spravovaná identita serveru přiřazená systémem pro trezor klíčů nebo spravovaný přístup HSM.
- Při použití spravované identity přiřazené uživatelem pro transparentní šifrování dat s CMK přiřaďte identitu k serveru a nastavte ji jako primární identitu pro server.
- Primární spravovaná identita přiřazená uživatelem vyžaduje nepřetržitý trezor klíčů nebo spravovaný přístup HSM (oprávnění get, wrapKey, unwrapKey ). Pokud je přístup identity k trezoru klíčů nebo spravovanému HSM odvolán nebo není k dispozici dostatečná oprávnění, databáze se přesune do nedostupného stavu.
- Pokud se primární spravovaná identita přiřazená uživatelem aktualizuje na jinou spravovanou identitu přiřazenou uživatelem, musí mít nová identita před aktualizací primární identity požadovaná oprávnění k trezoru klíčů nebo spravovanému HSM.
- Pokud chcete přepnout server ze spravované identity přiřazené uživatelem na spravovanou identitu přiřazenou systémem pro trezor klíčů nebo spravovaný přístup HSM, poskytněte spravovanou identitu přiřazenou systémem s požadovaným trezorem klíčů nebo spravovaným hsM a odeberte ze serveru všechny spravované identity přiřazené uživatelem.
Důležité
Uživatelsky přiřazená spravovaná identita, která se používá pro transparentní šifrování dat (TDE) pomocí CMK, by se neměla odstraňovat z Azure. Odstraněním této identity dojde ke ztrátě přístupu k trezoru klíčů nebo spravovanému HSM a databázím, které budou nedostupné.
Omezení a známé problémy
- Pokud je trezor klíčů nebo spravovaný HSM za virtuální sítí, která používá bránu firewall, musí být možnost Povolit důvěryhodným službám Microsoftu obejít tuto bránu firewall povolena v nabídce Sítě trezoru klíčů nebo spravovaného HSM, pokud chcete použít uživatelsky přiřazenou nebo systémově přiřazenou spravovanou identitu. Po povolení této možnosti není možné dostupné klíče uvést v nabídce transparentního šifrování dat SQL Serveru na webu Azure Portal. Pokud chcete nastavit individuální klíč CMK, musí se použít identifikátor klíče. Pokud možnost Povolit důvěryhodným službám Microsoftu obejít tuto bránu firewall není povolená, vrátí se následující chyba:
Failed to save Transparent Data Encryption settings for SQL resource: <ServerName>. Error message: The managed identity with ID '/subscriptions/subscriptionID/resourcegroups/resource_name/providers/Microsoft.ManagedIdentity/userAssignedIdentities/umi_name' requires the following Azure Key Vault permissions: 'Get, WrapKey, UnwrapKey' to the key 'https://keyvault_name/keys/key_name'. Please grant the missing permissions to the identity. Additionally ensure the key is not expired and is not disabled. For expired key, please extend the key expiry time so that SQL can use it to perform wrap and unwrap operations. If your key vault is behind a virtual network or firewall, ensure you select the 'Allow trusted Microsoft services to bypass this firewall' option. (https://aka.ms/sqltdebyokcreateserver).- Pokud se zobrazí výše uvedená chyba, zkontrolujte, jestli je trezor klíčů nebo spravovaný HSM za virtuální sítí nebo bránou firewall, a ujistěte se, že je povolená možnost Povolit důvěryhodným službám Microsoftu obejít tuto bránu firewall .
- Pokud je k serveru nebo spravované instanci přiřazeno více spravovaných identit přiřazených uživatelem, dojde k odebrání jedné identity ze serveru pomocí podokna Identita na webu Azure Portal, operace proběhne úspěšně, ale identita se ze serveru neodebere. Odebrání všech spravovaných identit přiřazených uživatelem z webu Azure Portal funguje úspěšně.
- Pokud je server nebo spravovaná instance nakonfigurována s TDE spravovaným zákazníkem a na serveru jsou povoleny jak systémové, tak uživatelem přiřazené spravované identity, odstranění uživatelem přiřazených spravovaných identit bez předchozího poskytnutí přístupu systémově přiřazené správné identity k trezoru klíčů nebo spravovanému HSM vede ke zprávě Došlo k neočekávané chybě. Před odebráním primární spravované identity přiřazené uživatelem (a všech dalších spravovaných identit přiřazených uživatelem) ze serveru se ujistěte, že má spravovaná identita přiřazená systémem k dispozici trezor klíčů nebo spravovaný přístup HSM.