Freigeben über


Erstellen eines Servers, der mit einer benutzerseitig zugewiesenen verwalteten Identität und kundenseitig verwalteten TDE konfiguriert ist

Gilt für: Azure SQL-Datenbank

Diese Schrittanleitung beschreibt die Schritte zum Erstellen eines logischen Servers in Azure, der mit transparenter Datenverschlüsselung (TDE) mit kundenseitig verwaltetem Schlüsseln (CMK) konfiguriert ist und eine benutzerseitig zugewiesene verwaltete Identität für den Zugriff auf Azure Key Vault verwendet.

Hinweis

Microsoft Entra ID war zuvor als Azure Active Directory (Azure AD) bekannt.

Voraussetzungen

Erstellen eines mit TDE konfigurierten Servers mit kundenseitig verwaltetem Schlüssel (CMK)

In den folgenden Schritten wird der Vorgang zum Erstellen eines neuen Azure SQL-Datenbank logischen Servers und einer neuen Datenbank mit benutzerseitig zugewiesenen verwalteten Identität skizziert. Die benutzerseitig zugewiesene verwaltete Identität ist erforderlich, um zum Zeitpunkt der Servererstellung einen kundenseitig verwalteten Schlüssel für TDE zu konfigurieren.

  1. Navigieren Sie in dem Azure-Portal zur Optionsseite SQL Bereitstellung auswählen.

  2. Wenn Sie nicht schon im Azure-Portal angemeldet sind, melden Sie sich auf Aufforderung an.

  3. Behalten Sie unter SQL-Datenbanken für Einzeldatenbank den festgelegten Wert Ressourcentyp bei, und wählen Sie Erstellen aus.

  4. Wählen Sie auf der Registerkarte Grundeinstellungen des Formulars SQL-Datenbank erstellen unter Projektdetails das gewünschte Abonnement für Azure aus.

  5. Wählen Sie unter Ressourcengruppe die Option Neu erstellen aus, geben Sie einen Namen für Ihre Ressourcengruppe ein, und wählen Sie OK aus.

  6. Geben Sie unter DatenbanknameContosoHR ein.

  7. Wählen Sie unter Server die Option Neu erstellen aus, und füllen Sie das Formular Neuer Server mit den folgenden Werten aus:

    • Servername: Geben Sie einen eindeutigen Servernamen ein. Servernamen müssen global für alle Server in Azure eindeutig sein, nicht nur eindeutig innerhalb eines Abonnements. Geben Sie etwas wie mysqlserver135 ein, und das Azure-Portal teilt Ihnen mit, ob es verfügbar ist oder nicht.
    • Serveradministrator-Anmeldung: Geben Sie eine Administrator Anmelde-ID ein, z. B. azureuser.
    • Kennwort: Geben Sie ein Passwort ein, das den Passwortanforderungen entspricht, und wiederholen Sie die Eingabe im Feld Kennwort bestätigen.
    • Speicherort: Wählen Sie einen Speicherort aus der Dropdown-Liste
  8. Klicken Sie auf Weiter: Netzwerk aus (im unteren Bereich der Seite).

  9. Wählen Sie auf der Registerkarte Netzwerk als Konnektivitätsmethode die Option Öffentlicher Endpunkt aus.

  10. Legen Sie bei Firewallregeln die Option Aktuelle Client-IP-Adresse hinzufügen auf Ja fest. Behalten Sie für Azure-Diensten und -Ressourcen den Zugriff auf diese Servergruppe gestatten den Wert Nein bei.

    Screenshot: Netzwerkeinstellungen beim Erstellen einer SQL-Server-Instanz im Azure-Portal

  11. Wählen Sie Weiter: Sicherheit unten auf der Seite aus.

  12. Wählen Sie auf der Registerkarte Sicherheit unter Server-Identität die Option Identitäten konfigurieren aus.

    Screenshot der Sicherheitseinstellungen und Konfiguration von Identitäten im Azure-Portal

  13. Wählen Sie im Bereich Identität die Option Aus für Systemseitig zugewiesene verwaltete Identität und dann unter Benutzerseitig zugewiesene verwaltete Identität die Option Hinzufügen aus. Wählen Sie das gewünschte Abonnement und dann unter Benutzerseitig zugewiesene verwaltete Identitäten die gewünschte benutzerseitig zugewiesene verwaltete Identität aus dem ausgewählten Abonnement aus. Wählen Sie dann die Schaltfläche Hinzufügen aus.

    Screenshot zum Hinzufügen einer benutzerseitig zugewiesenen verwalteten Identität beim Konfigurieren der Serveridentität.

    Screenshot einer benutzerseitig zugewiesenen verwalteten Identität beim Konfigurieren der Serveridentität

  14. Wählen Sie unter Primäre Identität die im vorherigen Schritt ausgewählte benutzerseitig zugewiesene verwaltete Identität aus.

    Screenshot zum Auswählen der primären Identität für den Server.

  15. Wählen Sie Übernehmen aus.

  16. Auf der Registerkarte „Sicherheit“ haben Sie unter Transparente Datenverschlüsselung - Schlüsselverwaltung die Möglichkeit, eine transparente Datenverschlüsselung für den Server oder die Datenbank zu konfigurieren.

    • Für Schlüssel auf Serverebene: Wählen Sie Transparente Datenverschlüsselung konfigurieren aus. Wählen Sie Kundenseitig verwalteter Schlüssel aus. Dadurch wird die Option Schlüssel auswählen angezeigt. Wählen Sie die Schlüssel ändern. Wählen Sie das gewünschte Abonnement, Schlüsseltresor, Schlüssel und Version für den kundenseitig verwalteter Schlüssel aus, der für TDE verwendet werden soll. Wählen Sie die Schaltfläche Auswählen aus.

    Screenshot zum Konfigurieren von TDE für den Server in Azure SQL.

    Screenshot zum Auswählen des Schlüssels zur Verwendung mit TDE.

    • Für Schlüssel auf Datenbankebene: Wählen Sie Transparente Datenverschlüsselung konfigurieren aus. Wählen Sie Kundenseitig verwalteter Schlüssel auf Datenbankebene aus, und es wird eine Option zum Konfigurieren der Datenbankidentität und des kundenseitig verwalteter Schlüssels angezeigt. Wählen Sie Konfigurieren aus, um eine benutzerseitig zugewiesene verwaltete Identität für die Datenbank zu konfigurieren, ähnlich wie in Schritt 13. Wählen Sie Schlüssel ändern aus, um einen kundenseitig verwalteter Schlüssel zu konfigurieren. Wählen Sie das gewünschte Abonnement, Schlüsseltresor, Schlüssel und Version für den kundenseitig verwalteter Schlüssel aus, der für TDE verwendet werden soll. Im Menü Transparent Data Encryption können Sie auch die Option Schlüssel automatisch rotieren aktivieren. Wählen Sie die Schaltfläche Auswählen aus.

    Screenshot zum Konfigurieren von TDE für eine Datenbank in Azure SQL.

  17. Wählen Sie Übernehmen aus.

  18. Wählen Sie unten auf der Seite die Option Überprüfen + erstellen aus

  19. Wählen Sie nach Überprüfung auf der Seite Überprüfen + erstellen die Option Erstellenaus.

Nächste Schritte