Naplózás felügyelt identitással

Cikk
10/20/2023

A következőre vonatkozik: Azure SQL Database Azure Synapse Analytics

Az Azure SQL Database naplózása úgy konfigurálható, hogy egy Storage-fiókot használjon két hitelesítési módszerrel:

Managed Identity
Tárelérési kulcsok

A felügyelt identitás lehet rendszer által hozzárendelt felügyelt identitás (SMI) vagy felhasználó által hozzárendelt felügyelt identitás (UMI).

Ha naplókat szeretne írni egy tárfiókba, nyissa meg az Azure Portalt, és válassza ki az Azure SQL Database logikai kiszolgálói erőforrását. Válassza a Tárolás lehetőséget a Naplózás menüben. Válassza ki azt az Azure Storage-fiókot, ahol a naplók mentésre kerülnek.

Alapértelmezés szerint a használt identitás a kiszolgálóhoz rendelt elsődleges felhasználói identitás. Ha nincs felhasználói identitás, a kiszolgáló létrehoz egy rendszer által hozzárendelt felügyelt identitást, és hitelesítésre használja.

Screenshot of the Auditing menu in the Azure portal and selecting Managed Identity as the Storage Authentication Type.

Válassza ki a megőrzési időtartamot a Speciális tulajdonságok megnyitásával. Ezután válassza a Mentés lehetőséget. A megőrzési időnél régebbi naplók törlődnek.

Megjegyzés:

Ha felügyelt identitásalapú naplózást szeretne beállítani az Azure Synapse Analyticsben, olvassa el a jelen cikk későbbi, rendszer által hozzárendelt felügyelt identitás konfigurálása az Azure Synapse Analytics naplózási szakaszában.

Felhasználó által hozzárendelt felügyelt identitás

Az UMI rugalmasságot biztosít a felhasználóknak, hogy saját UMI-t hozzanak létre és tartsanak fenn egy adott bérlőhöz. Az UMI kiszolgálóidentitásként használható az Azure SQL-hez. Az UMI-t a felhasználó kezeli a rendszer által hozzárendelt felügyelt identitáshoz képest, amely identitás kiszolgálónként egyedileg van definiálva, és a rendszer hozzárendeli.

További információ az UMI-ről: Felügyelt identitások az Azure SQL-hez készült Microsoft Entra ID-ban.

Felhasználó által hozzárendelt felügyelt identitás konfigurálása az Azure SQL Database naplózásához

Ahhoz, hogy a naplózást úgy lehessen beállítani, hogy naplókat küldjön a tárfiókba, a kiszolgálóhoz rendelt felügyelt identitásnak rendelkeznie kell a Storage Blob Data Közreműködő szerepkör-hozzárendelésével. Ez a hozzárendelés akkor szükséges, ha a naplózást PowerShell-, Azure CLI-, REST API- vagy ARM-sablonokkal konfigurálja. A szerepkör-hozzárendelés automatikusan megtörténik, amikor az Azure Portal használatával konfigurálja a naplózást, ezért az alábbi lépések szükségtelenek, ha a naplózást az Azure Portalon keresztül konfigurálja.

Nyissa meg az Azure Portalt.
Ha még nem tette meg, hozzon létre egy felhasználó által hozzárendelt felügyelt identitást. További információ: felhasználó által hozzárendelt felügyelt identitás létrehozása.
Nyissa meg a naplózáshoz konfigurálni kívánt tárfiókot.
Válassza a Hozzáférés-vezérlés (IAM) menüt.
Select Add>Add role assignment.
A Szerepkör lapon keresse meg és válassza a Storage Blob Data Közreműködője lehetőséget. Válassza a Következő lehetőséget.
A Tagok lapon válassza a Felügyelt identitás lehetőséget a Hozzáférés hozzárendelése szakaszban, majd válassza ki a tagokat. Kiválaszthatja a kiszolgálóhoz létrehozott felügyelt identitást .
Válassza az Áttekintés + hozzárendelés lehetőséget.

További információ: Azure-szerepkörök hozzárendelése a portálon.

A naplózás felhasználó által hozzárendelt felügyelt identitással való konfigurálásához használja az alábbiakat:

Nyissa meg a kiszolgáló Identitás menüjét. A Felhasználó által hozzárendelt felügyelt identitás szakaszban adja hozzá a felügyelt identitást.
Ezután kiválaszthatja a hozzáadott felügyelt identitást a kiszolgáló elsődleges identitásaként .
Nyissa meg a kiszolgáló Naplózás menüjét. A kiszolgáló tárolójának konfigurálásakor válassza a felügyelt identitást tárolóhitelesítési típusként.

Felügyelt identitás használatához adja meg a --storage-key paramétert üres sztringként a kiszolgálóhoz rendelt elsődleges felügyelt identitás használatához a naplózás konfigurálásakor. Íme egy példaparancs:

az SQL server audit-policy update -g "sampleresourcegroup" -n "sampleauditingtestserver" --state Enabled --bsts Enabled --storage-endpoint https://<storageaccountname>.blob.core.windows.net --storage-key ""

További információ: az sql server audit-policy.

Felügyelt identitás használatához adja meg a UseIdentity paramétert True a kiszolgálóhoz rendelt elsődleges felügyelt identitás használatára. Íme egy példaparancs:

Set-AzSqlServerAudit -ResourceGroupName "sampleresourcegroup" -ServerName "sampleauditingtestserver" -BlobStorageTargetState Enabled -StorageAccountResourceId "/subscriptions/<SubscriptionID>/resourcegroups/sampleresourcegroup/providers/Microsoft.Storage/storageAccounts/auditingteststorageacc" -UseIdentity True

További információ: Set-AzSqlServerAudit.

Az elsődleges felügyelt identitás használatához hagyja ki a storageAccountAccessKey paraméter átadását a kérelemben:

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/auditingSettings/default?api-version=2017-03-01-preview

{
  "properties": {
    "state": "Enabled",
    "storageEndpoint": "https://mystorage.blob.core.windows.net"
  }
}

További információ: Kiszolgálónaplózási Gépház – Létrehozás vagy frissítés.

Rendszer által hozzárendelt felügyelt identitás konfigurálása az Azure Synapse Analytics naplózásához

Nem használhat UMI-alapú hitelesítést egy tárfiókhoz naplózáshoz. Csak a rendszer által hozzárendelt felügyelt identitás (SMI) használható az Azure Synapse Analyticshez. Ahhoz, hogy az SMI-hitelesítés működjön, a felügyelt identitásnak hozzá kell rendelnie a Storage Blob Data Közreműködő szerepkört a tárfiók hozzáférés-vezérlési beállításai között. Ezt a szerepkört a rendszer automatikusan hozzáadja, ha az Azure Portal használatával konfigurálja a naplózást.

Az Azure Synapse Analyticshez készült Azure Portalon nem lehet explicit módon SAS-kulcsot vagy SMI-hitelesítést választani, ahogyan az Azure SQL Database esetében is.

Ha a tárfiók virtuális hálózat vagy tűzfal mögött található, a naplózás automatikusan SMI-hitelesítéssel van konfigurálva.
Ha a tárfiók nem áll virtuális hálózat vagy tűzfal mögött, akkor a naplózás automatikusan SAS-kulcsalapú hitelesítéssel van konfigurálva.

Az SMI-hitelesítés használatának kényszerítéséhez , függetlenül attól, hogy a tárfiók virtuális hálózat vagy tűzfal mögött található-e, használja a REST API-t vagy a PowerShellt az alábbiak szerint:

A REST API használata esetén hagyja ki a StorageAccountAccessKey mezőt kifejezetten a kérelem törzsében.

További információ:
- Kiszolgálói blobnaplózási szabályzatok – Létrehozás vagy frissítés – REST API (Azure SQL Database)
- Adatbázisblob naplózási szabályzatai – Létrehozás vagy frissítés – REST API (Azure SQL Database
Ha a PowerShellt használja, adja meg a UseIdentity paramétert a következőként true: .

További információ:
- Set-AzSqlServerAudit (Az.Sql)
- Set-AzSqlDatabaseAudit (Az.Sql)

További lépések

Naplózás áttekintése
Közzétett adatok epizód: Az Azure SQL Auditing újdonságai
Felügyelt SQL-példány naplózása
Naplózás az SQL Serverhez

Megosztás a következőn keresztül: