Felhasználó által hozzárendelt felügyelt identitással és bérlőközi CMK-val konfigurált kiszolgáló létrehozása a TDE-hez

A következőre vonatkozik: Azure SQL Database

Ebben az útmutatóban áttekintjük az Azure SQL logikai kiszolgáló transzparens adattitkosítással (TDE) és ügyfél által felügyelt kulcsokkal (CMK) való létrehozásának lépéseit, és egy felhasználó által hozzárendelt felügyelt identitást használva egy másik Microsoft Entra-bérlőben lévő Azure Key Vaulthoz férünk hozzá, mint a logikai kiszolgáló bérlője. További információ: Bérlők közötti ügyfél által felügyelt kulcsok transzparens adattitkosítással.

Megjegyzés:

A Microsoft Entra ID az Azure Active Directory (Azure AD) új neve. Jelenleg frissítjük a dokumentációt.

Előfeltételek

• Ez az útmutató feltételezi, hogy két Microsoft Entra-bérlővel rendelkezik.
  • Az első tartalmazza az Azure SQL Database-erőforrást, egy több-bérlős Microsoft Entra-alkalmazást és egy felhasználó által hozzárendelt felügyelt identitást.
  • A második bérlő az Azure Key Vaultnak ad otthont.
• A bérlők közötti CMK és a Microsoft Entra-alkalmazások és az Azure Key Vault konfigurálásához szükséges RBAC-engedélyek beállításával kapcsolatos átfogó útmutatásért tekintse meg az alábbi útmutatók egyikét:
  • Bérlők közötti ügyfél által felügyelt kulcsok konfigurálása új tárfiókhoz
  • Bérlők közötti ügyfél által felügyelt kulcsok konfigurálása meglévő tárfiókhoz

Szükséges erőforrások az első bérlőn

Ebben az oktatóanyagban feltételezzük, hogy az első bérlő egy független szoftverszállítóhoz (ISV) tartozik, a második pedig az ügyféltől. Erről a forgatókönyvről további információt a Bérlők közötti, ügyfél által felügyelt kulcsok transzparens adattitkosítással című témakörben talál.

Ahhoz, hogy a TDE-t az Azure SQL Database-hez bérlők közötti CMK-val konfigurálhassuk, egy több-bérlős Microsoft Entra-alkalmazással kell rendelkeznünk, amely egy felhasználó által hozzárendelt felügyelt identitással van hozzárendelve összevont identitás hitelesítő adataiként az alkalmazáshoz. Kövesse az előfeltételek egyik útmutatóját.

1. Azon az első bérlőn, ahol létre szeretné hozni az Azure SQL Database-t, hozzon létre és konfiguráljon egy több-bérlős Microsoft Entra-alkalmazást

2. Felhasználó által hozzárendelt felügyelt identitás létrehozása

3. A felhasználó által hozzárendelt felügyelt identitás konfigurálása összevont identitás hitelesítő adatként a több-bérlős alkalmazáshoz

4. Rögzítse az alkalmazás nevét és az alkalmazásazonosítót. Ez megtalálható az Azure Portal>Microsoft Entra ID>Enterprise alkalmazásaiban, és megkeresheti a létrehozott alkalmazást

Szükséges erőforrások a második bérlőn

1. A második bérlőn, ahol az Azure Key Vault található, hozzon létre egy szolgáltatásnevet (alkalmazást) az első bérlő regisztrált alkalmazásának alkalmazásazonosítójával. Íme néhány példa a több-bérlős alkalmazás regisztrálására. Cserélje le és cserélje le <TenantID> a Microsoft Entra-azonosítóból származó ügyfél-bérlőazonosítót, illetve a több-bérlős alkalmazás alkalmazásazonosítóját:<ApplicationID>

   • PowerShell:

     Connect-AzureAD -TenantID <TenantID>
     New-AzADServicePrincipal  -ApplicationId <ApplicationID>
     

   • Az Azure CLI:

     az login --tenant <TenantID>
     az ad sp create --id <ApplicationID>
     

2. Nyissa meg az Azure Portal>Microsoft Entra ID>Enterprise-alkalmazásait , és keresse meg az imént létrehozott alkalmazást.

3. Hozzon létre egy Azure Key Vaultot , ha nincs, és hozzon létre egy kulcsot

4. Hozza létre vagy állítsa be a hozzáférési szabályzatot.

   1. A hozzáférési szabályzat létrehozásakor válassza ki a Kulcsengedélyek alatt a Kulcs lekérése, körbefuttatása és a Kulcs feloldása engedélyeket
   2. Válassza ki a hozzáférési szabályzat létrehozásakor az Egyszerű beállítás első lépésében létrehozott több-bérlős alkalmazást

   

5. A hozzáférési szabályzat és a kulcs létrehozása után kérje le a kulcsot a Key Vaultból, és rögzítse a kulcsazonosítót

TDE-vel konfigurált kiszolgáló létrehozása bérlők közötti ügyfél által felügyelt kulccsal (CMK)

Ez az útmutató bemutatja, hogyan hozhat létre logikai kiszolgálót és adatbázist az Azure SQL-ben egy felhasználó által hozzárendelt felügyelt identitással, valamint hogyan állíthat be bérlők közötti ügyfél által felügyelt kulcsot. A felhasználó által hozzárendelt felügyelt identitás elengedhetetlen ahhoz, hogy a kiszolgálólétrehozási fázisban ügyfél által felügyelt kulcsot állítson be a transzparens adattitkosításhoz.

Fontos

Az SQL logikai kiszolgálók létrehozására API-kat használó felhasználónak vagy alkalmazásnak szüksége van az SQL Server közreműködői és felügyelt identitáskezelőI RBAC-szerepköreire vagy magasabb szintű szerepköreire az előfizetésben.

Portal

1. Keresse meg az SQL-telepítés kiválasztása lehetőséget az Azure Portalon.

2. Ha még nem jelentkezett be az Azure Portalra, jelentkezzen be, amikor a rendszer kéri.

3. Az SQL-adatbázisok alatt hagyja meg az erőforrástípust önálló adatbázisként, és válassza a Létrehozás lehetőséget.

4. Az SQL Database létrehozása űrlap Alapismeretek lapján, a Project részletei alatt válassza ki a kívánt Azure-előfizetést.

5. Erőforráscsoport esetén válassza az Új létrehozása lehetőséget, adja meg az erőforráscsoport nevét, majd kattintson az OK gombra.

6. Az Adatbázisnév mezőben adjon meg egy adatbázisnevet. For example, ContosoHR.

7. Kiszolgáló esetén válassza az Új létrehozása lehetőséget, és töltse ki az Új kiszolgáló űrlapot a következő értékekkel:

   • Kiszolgálónév: Adjon meg egy egyedi kiszolgálónevet. A kiszolgálóneveknek globálisan egyedinek kell lenniük az Azure összes kiszolgálója számára, nem csak az előfizetésen belül. Írjon be valami hasonlót mysqlserver135, és az Azure Portalon tudhatja, hogy elérhető-e vagy sem.
   • Kiszolgálói rendszergazdai bejelentkezés: Adjon meg egy rendszergazdai bejelentkezési nevet, például: azureuser.
   • Jelszó: Adjon meg egy jelszót, amely megfelel a jelszó követelményeinek, és írja be újra a Jelszó megerősítése mezőbe.
   • Hely: Válasszon egy helyet a legördülő listából

8. Válassza a Tovább elemet : Hálózatkezelés a lap alján.

9. A Hálózatkezelés lap Csatlakozás ivity metódusához válassza a Nyilvános végpont lehetőséget.

10. Tűzfalszabályok esetén állítsa az Aktuális ügyfél IP-címének hozzáadása igen értékre. Hagyja meg, hogy az Azure-szolgáltatások és -erőforrások elérhessék ezt a kiszolgálót Nem értékre állítva. A lapon lévő többi kijelölés alapértelmezettként hagyható.

    

11. Válassza a Tovább elemet : Biztonság a lap alján.

12. A Biztonság lap Identitás területén válassza az Identitások konfigurálása lehetőséget.

    

13. Az Identitás menüben válassza a Ki lehetőséget a rendszer által hozzárendelt felügyelt identitáshoz, majd válassza a Hozzáadás lehetőséget a Felhasználó által hozzárendelt felügyelt identitás területen. Válassza ki a kívánt előfizetést, majd a Felhasználó által hozzárendelt felügyelt identitások területen válassza ki a kívánt felhasználó által hozzárendelt felügyelt identitást a kiválasztott előfizetésből. Ezután válassza a Hozzáadás gombot.

14. Az Elsődleges identitás területen válassza ki ugyanazt a felhasználó által hozzárendelt felügyelt identitást, amelyet az előző lépésben választott ki.

    

15. Összevont ügyfélidentitás esetén válassza az Identitás módosítása lehetőséget, és keresse meg az előfeltételek között létrehozott több-bérlős alkalmazást.

    

    Megjegyzés:

    Ha a több-bérlős alkalmazás nem lett hozzáadva a kulcstartó hozzáférési szabályzatához a szükséges engedélyekkel (Get, Wrap Key, Unwrap Key), akkor az alkalmazás identitás-összevonáshoz való használata az Azure Portalon hibaüzenetet fog mutatni. Az összevont ügyfélidentitás konfigurálása előtt győződjön meg arról, hogy az engedélyek megfelelően vannak konfigurálva.

16. Válassza az Alkalmaz lehetőséget

17. A Biztonság lap Transzparens adattitkosítás területén válassza a Transzparens adattitkosítás konfigurálása lehetőséget. Válassza ki az ügyfél által kezelt kulcsot, és megjelenik egy beállítás, amely megadja a kulcsazonosítót . Adja hozzá a második bérlő kulcsából beszerzett kulcsazonosítót .

    

18. Válassza az Alkalmaz lehetőséget

19. Válassza a Véleményezés + létrehozás lehetőséget a lap alján

20. A Véleményezés + létrehozás lapon a felülvizsgálat után válassza a Létrehozás lehetőséget.

Az Azure CLI

Az Azure CLI aktuális kiadásának telepítéséről további információt az Azure CLI telepítéséről szóló cikkben talál.

Hozzon létre egy felhasználó által hozzárendelt felügyelt identitással és bérlők közötti, ügyfél által felügyelt TDE-vel konfigurált kiszolgálót az az sql server create paranccsal. A második bérlő kulcsazonosítója használható a key-id mezőben. A több-bérlős alkalmazás alkalmazásazonosítója használható a federated-client-id mezőben.

az sql server create \
    --name $serverName \
    --resource-group $resourceGroupName \
    --location $location  \
    --admin-user $adminlogin \
    --admin-password $password \
    --assign-identity \
    --identity-type $identitytype \
    --user-assigned-identity-id $identityid \
    --primary-user-assigned-identity-id $primaryidentityid \
    --key-id $keyid \
    --federated-client-id $federatedid
 

Hozzon létre egy adatbázist az az sql db create paranccsal.

az sql db create \
    --resource-group $resourceGroupName \
    --server $serverName \
    --name mySampleDatabase \
    --sample-name AdventureWorksLT \
    --edition GeneralPurpose \
    --compute-model Serverless \
    --family Gen5 \
    --capacity 2

PowerShell

Hozzon létre egy felhasználó által hozzárendelt felügyelt identitással és bérlők közötti, ügyfél által felügyelt TDE-vel konfigurált kiszolgálót a PowerShell használatával.

Az Az PowerShell-modul telepítési utasításait az Azure PowerShell telepítése című témakörben találja. Adott parancsmagokért lásd: AzureRM.Sql.

Használja a New-AzSqlServer parancsmagot.

Cserélje le a példában a következő értékeket:

• <ResourceGroupName>: Az Azure SQL logikai kiszolgáló erőforráscsoportjának neve
• <Location>: A kiszolgáló helye, például West US, vagy Central US
• <ServerName>: Egyedi Azure SQL logikai kiszolgálónév használata
• <ServerAdminName>: Az SQL Rendszergazda istrator-bejelentkezés
• <ServerAdminPassword>: Az SQL Rendszergazda istrator jelszava
• <IdentityType>: A kiszolgálóhoz rendelendő identitás típusa. A lehetséges értékek a következők: SystemAssigned, UserAssignedSystemAssigned,UserAssigned és Nincs
• <UserAssignedIdentityId>: A kiszolgálóhoz hozzárendelni kívánt felhasználó által hozzárendelt felügyelt identitások listája (lehet egy vagy több)
• <PrimaryUserAssignedIdentityId>: A felhasználó által hozzárendelt felügyelt identitás, amelyet elsődlegesként vagy alapértelmezettként kell használni ezen a kiszolgálón
• <CustomerManagedKeyId>: A második bérlő kulcstartójának kulcsazonosítója
• <FederatedClientId>: A több-bérlős alkalmazás alkalmazásazonosítója

A felhasználó által hozzárendelt felügyelt identitás erőforrás-azonosítójának lekéréséhez keressen felügyelt identitásokat az Azure Portalon. Keresse meg a felügyelt identitást, és lépjen a Tulajdonságok elemre. Egy példa az UMI-erőforrásazonosítóra /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>

# create a server with user-assigned managed identity and cross-tenant customer-managed TDE
$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    SqlAdministratorCredentials = (Get-Credential)
    SqlAdministratorLogin = "<ServerAdminName>"
    SqlAdministratorPassword = "<ServerAdminPassword>"
    AssignIdentity = $true
    IdentityType = "<IdentityType>"
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    PrimaryUserAssignedIdentityId = "<PrimaryUserAssignedIdentityId>"
    KeyId = "<CustomerManagedKeyId>"
    FederatedClientId = "<FederatedClientId>"
}

New-AzSqlServer @params

ARM Template

Íme egy példa egy ARM-sablonra, amely létrehoz egy Azure SQL logikai kiszolgálót egy felhasználó által hozzárendelt felügyelt identitással és ügyfél által felügyelt TDE-vel. Bérlők közötti CMK esetén használja a második bérlő kulcstartójának kulcsazonosítóját és a több-bérlős alkalmazás alkalmazásazonosítóját .

A sablon emellett hozzáad egy Microsoft Entra rendszergazdai csoportot a kiszolgálóhoz, és engedélyezi a Csak Microsoft Entra hitelesítést, de ez eltávolítható a sablon példájából.

További információkért és ARM-sablonokért tekintse meg az Azure SQL Database és a felügyelt SQL-példány Azure Resource Manager-sablonjait.

Egyéni üzembe helyezést használhat az Azure Portalon, és saját sablont készíthet a szerkesztőben. Ezután mentse a konfigurációt, miután beillesztette a példában.

A felhasználó által hozzárendelt felügyelt identitás erőforrás-azonosítójának lekéréséhez keressen felügyelt identitásokat az Azure Portalon. Keresse meg a felügyelt identitást, és lépjen a Tulajdonságok elemre. Az UMI-erőforrás-azonosító egy példája a következőképpen /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>néz ki.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "String"
        },
        "location": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity."
            }
        },
        "federated_clientid": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Application ID of the multi-tenant application."
            }
        },
        "keyvault_url": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The key vault URI."
            }
        },
        "AdminLogin": {
            "minLength": 1,
            "type": "String"
        },
        "AdminLoginPassword": {
            "type": "SecureString"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2022-05-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "administratorLogin": "[parameters('AdminLogin')]",
                "administratorLoginPassword": "[parameters('AdminLoginPassword')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "federatedClientId": "[parameters('federated_clientid')]",
                "KeyId": "[parameters('keyvault_url')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

További lépések

• Az Azure Key Vault integrációjának első lépései és a saját kulcs támogatása a TDE-hez: A TDE bekapcsolása saját kulcs használatával a Key Vaultból
• Bérlők közötti, ügyfél által felügyelt kulcsok transzparens adattitkosítással

Kapcsolódó információk

• Transzparens adattitkosítás (TDE) ügyfél által felügyelt kulcsokkal az adatbázis szintjén
• Georeplikációs és biztonsági mentési visszaállítás konfigurálása transzparens adattitkosításhoz adatbázisszintű, ügyfél által felügyelt kulcsokkal
• Identitás- és kulcskezelés a TDE-hez adatbázisszintű, ügyfél által felügyelt kulcsokkal