Správa identit a přístupu pro spravovanou instanci SQL s podporou služby Azure Arc
Tento článek popisuje architekturu správy identit a přístupu (IAM) s podporou Služby SQL Arc, aspekty návrhu a doporučení pro různé scénáře.
Spravovaná instance SQL s podporou arc spoléhá na rozšíření datových služeb s podporou Azure Arc spuštěné v clusteru Kubernetes s podporou Azure Arc. Následují různé komponenty datových služeb s podporou Služby Azure Arc, které jsou důležité pro správu identit a přístupu v rámci této důležité oblasti návrhu.
- Kontroler dat Azure Arc
- Azure Arc Active Directory Připojení or
- SQL Managed Instance s podporou Azure Arc
Architektura
Ověřování SQL
Ověřování SQL se podporuje pro spravovanou instanci SQL s podporou arc pomocí místních identit SQL. Metoda ověřování SQL se používá při prvním přihlášení k vytvoření přihlašovacích údajů z Windows pro správce a k udělení oprávnění k databázi pro přístup ke službě SQL Managed Instance s podporou arc pomocí ověřování Active Directory. Řídicí panely Grafana a Kibana v současnosti podporují pouze základní ověřování.
Ověřování Active Directory
V mnoha podnikových organizacích je ověřování Active Directory (AD) standardem pro vynucování řízení přístupu na základě role (RBAC) s SQL Servery běžícími místně a v cloudových prostředích. Spravovaná instance SQL s podporou služby Azure Arc podporuje ověřování AD pro bezproblémovou migraci stávajících databází SQL Serveru do spravované instance SQL s podporou arc a udržování aktuálního stavu s nejnovějšími opravami zabezpečení a verzí SQL Serveru.
Spravovaná instance SQL s podporou arc používá k podpoře ověřování AD ověřování AD při spouštění clusterů Kubernetes s podporou arc. Konektor Služby Active Directory je klíčovou komponentou datových služeb s podporou arc pro podporu ověřování AD.
Tady jsou dva způsoby, jak vygenerovat a spravovat tabulku klíčů Kerberos a používat ji ve spravované instanci SQL s podporou Arc. Následující části popisují scénáře a kdy použít příslušný režim klávesové zkratky.
System-managed keytab
Konektor služby Active Directory v režimu klíče spravované systémem zjednodušuje generování účtů AD a správu tabulek klíčů pro službu SQL Managed Instance s podporou arc. Konektor AD zodpovídá za vytváření účtů služeb, přiřazování instančních objektů a generování tabulátoru klíčů pro podporu ověřování AD. Tato metoda se doporučuje pro zákazníky, kteří preferují zjednodušení operací nad podrobnou kontrolou pro automatickou správu tabulek klíčů pro ověřování AD.
Obrázek 1: Diagram architektury konektoru AD v režimu keytab spravovaného systémem
Záložka klíčů spravovaná zákazníkem
Konektor Služby Active Directory v režimu keytab spravovaný zákazníkem poskytuje úplnou kontrolu nad správou účtů služeb, instančních objektů a generováním klíčových tabulek zákazníkům, kteří přísně sledují proces knihovny ITIL (Information Technology Infrastructure Library) a oddělení povinností delegovat aktivity různým týmům.
Obrázek 2: Diagram architektury konektoru AD v režimu keytab spravovaného zákazníkem
Kontroler dat Azure Arc
Když je rozšíření datových služeb s podporou Arc nainstalované v režimu přímé připojení, vytvoří se spravovaná identita pro datové služby s podporou Arc pro interakci s řídicí rovinou a rovinou dat rozhraní API Azure Resource Manageru (ARM). Kontroler dat Azure Arc používá tuto spravovanou identitu k provádění těchto akcí při správě služby SQL Managed Instance s podporou arc.
V režimu nepřímého připojení potřebuje instanční objekt s požadovanými oprávněními kontroler dat Azure Arc k pravidelnému exportu informací o využití, jako je inventář a využití prostředků do Azure.
Azure RBAC v datových službách s podporou Azure Arc
Následují požadovaná oprávnění RBAC k publikování metrik monitorování do služby Azure Monitor.
| Role | popis |
|---|---|
| Monitorování vydavatele metrik | Umožňuje publikovat metriky pro prostředky Azure. |
Zabezpečený přístup ke službě SQL Managed Instance s podporou služby Azure Arc
Následující diagram architektury znázorňuje zabezpečený přístup pomocí ověřování AD.
Následující diagram architektury znázorňuje zabezpečený přístup pomocí ověřování SQL.
Aspekty návrhu
Zkontrolujte oblast návrhu kritické pro správu identit a přístupu cílových zón Azure a vyhodnoťte vliv datových služeb s podporou Azure Arc na celkový model identit a přístupu.
Nasazení datových služeb s podporou arc
Zvažte použití identity k nasazení datových služeb s podporou Služby Azure Arc v závislosti na typu nasazení, jako je ruční nebo automatizované nasazení datových služeb s podporou Arc. Tato identita může být účet Microsoft Entra nebo účet LDAP (Lightweight Directory Access Protocol) ze služby Doména služby Active Directory Services (AD DS) nebo poskytovatele protokolu LDAP třetí strany na základě způsobu správy řízení přístupu Kubernetes s podporou služby Azure Arc v místním nebo jiném cloudovém prostředí.
Zvažte, jestli je řízení přístupu založené na skupinách nebo řízení přístupu na základě identit vhodnější pro vaši organizaci IT (Information Technology) ke správě datových služeb s podporou arc na základě režijních nákladů na provoz vytvořených oběma možnostmi.
Zvažte mezi správci Kubernetes s podporou služby Azure Arc a skupinou pro správu databází (DMG) a skupinou pro správu aplikací nasazujte a spravujte datové služby s podporou Azure Arc v závislosti na požadavcích vaší organizace na zásady správného řízení zabezpečení a oddělení požadavků na povinnosti.
Představte si vzor použití mezi klíči spravovanými systémem a klíči spravovanými zákazníkem a nasaďte azure Arc AD Připojení or pro podporu ověřování AD ve spravované instanci SQL s podporou arc. Obě metody mají výhody zjednodušených operací v porovnání s úplnou kontrolou zákazníků při správě účtů služeb a tabulátoru klíčů pro podporu ověřování AD.
Přístup k datovým službám s podporou arc
Řízení přístupu ke službě SQL Managed Instance s podporou arc jsou plně nezávislé na základních řízeních přístupu Kubernetes s podporou služby Azure Arc. Je důležité učinit několik rozhodnutí o návrhu pro správu služby SQL Managed Instance s podporou Arc a poskytnout přístup k uživatelským aplikacím a koncovým uživatelům.
V závislosti na možnostech aplikací nebo služeb vaší organizace si můžete vybrat mezi ověřováním AD a SQL. Protože ne všechny aplikace podporují ověřování AD, zkontrolujte zásady zabezpečení vaší organizace pro povolené typy ověřování a při použití ověřování SQL vynucujte další kontrolní mechanismy zabezpečení.
Pokud cloudové nativní služby potřebují ověřovat databáze SQL Managed Instance s podporou Arc a připojovat se k nim, abyste mohli extrahovat a ingestovat data do služeb pro analýzu dat, zvažte použití místních virtuálních nebo fyzických počítačů, které jsou připojené ke službě AD přes SQL, k ověřování a připojení ke službě SQL Managed Instance s podporou Arc.
Doporučení k návrhu
Kromě následujících doporučení k návrhu si projděte doporučení pro návrh správy identit a přístupu pro Kubernetes s podporou Služby Azure Arc, protože spravovaná instance SQL s podporou arc je nasazená v clusteru Kubernetes s podporou arc.
Nasazení datových služeb s podporou arc
Pro podnikové organizace, které dodržují přísné procesy ITIL, izolují týmy zodpovědné za správu datových služeb s podporou Arc od Kubernetes s podporou Arc vytvořením různých skupin zabezpečení a pak přiřaďte oprávnění ke správě datových služeb s podporou Arc.
Použití režimu keytab spravovaného systémem pro podporu ověřování AD k přesměrování zátěže na účet domény a režijní náklady správy keytab pro zjednodušení operací.
Pomocí režimu keytab spravovaného zákazníkem pro ověřování AD můžete mít úplnou kontrolu nad vytvořením účtu služby a generováním keytab.
Vytvořte vyhrazenou organizační jednotku AD (OU), která deleguje řízení přístupu a zjednoduší operace pro všechny účty služby SQL Managed Instance s podporou arc.
Šifrování AES256 používejte pro soubory keytab protokolu Kerberos a nepoužívejte šifry RC4.
Přístup k datovým službám s podporou arc
V případě potřeby použijte ověřování AD se službou SQL Managed Instance k přesměrování správy životního cyklu uživatelů do adresářových služeb a použití skupin zabezpečení v AD ke správě uživatelských oprávnění.
Ověřování SQL se službou SQL Managed Instance s podporou arc použijte jako nejméně upřednostňovaný typ ověřování a pokud není možné použít ověřování AD.
Jakmile je ověřování AD možné pro potřeby vaší organizace, vyhněte se používání ověřování SQL pro každodenní operace. Ověřování SQL použijte pouze pro nouzový přístup k databázovému serveru pro správu databáze.
Ve scénářích nasazení, které nepodporují ověřování AD, použijte ověřování SQL podporované ve službě SQL Managed Instance s podporou arc. Ujistěte se, že používáte silné zásady hesel a povolte auditování pro monitorování identit a oprávnění uživatelů SQL udělených pro přístup k databázovým serverům a databázím.
Řízení přístupu na základě role (RBAC)
V režimu keytab spravovaného systémem jsou explicitní oprávnění k účtu služby Domain Service (DSA) vyžadována na úrovni organizační jednotky služby Active Directory pro službu SQL Managed Instance s podporou arc.
Následují požadovaná oprávnění RBAC. V režimu keytab spravovaného zákazníkem nejsou pro účet doménové služby na úrovni organizační jednotky služby Active Directory vyžadována žádná explicitní oprávnění.
Oprávnění Připojení or služby Azure Arc AD
| Oprávnění | Popis |
|---|---|
| Čtení všech vlastností | Povolit čtení všech vlastností objektu adresáře. |
| Zápis všech vlastností | Povolit aktualizace všech vlastností objektu adresáře. |
| Vytváření uživatelských objektů | Povolte vytváření objektů adresáře v organizačním objektu. |
| Odstranění uživatelských objektů | Povolí odstranění objektů adresáře v organizačním objektu. |
| Resetování hesla | Povolte resetování uživatelských objektů v organizačním objektu heslem. |
Role SQL Serveru
Další kroky
Další informace o správě identit a přístupu spravované instance SQL s podporou služby Azure Arc najdete v následujících článcích:
- Spravovaná instance SQL s podporou služby Azure Arc s ověřováním active directory
- Požadavky na ověřování služby SQL Managed Instance s podporou služby Azure Arc ve službě Active Directory
- Kurz: Nasazení konektoru Active Directory pomocí Azure CLI
- Nasazení integrované instance SQL s podporou služby Active Directory s podporou služby Azure Arc
- Zkušenosti s automatizovanými scénáři služby SQL Managed Instance s podporou služby Azure Arc s využitím jumpstartu Azure Arc
- Další informace o službě Azure Arc najdete ve studijním programu Azure Arc na webu Microsoft Learn.