Felhasználó által hozzárendelt felügyelt identitással és ügyfél által felügyelt TDE-vel konfigurált kiszolgáló létrehozása

A következőre vonatkozik: Azure SQL Database

Ez az útmutató bemutatja, hogyan hozhat létre egy logikai kiszolgálót az Azure-ban transzparens adattitkosítással (TDE) konfigurálva, ügyfél által felügyelt kulcsokkal (CMK) egy felhasználó által hozzárendelt felügyelt identitás használatával az Azure Key Vault eléréséhez.

Megjegyzés:

A Microsoft Entra ID az Azure Active Directory (Azure AD) új neve. Jelenleg frissítjük a dokumentációt.

Előfeltételek

• Ez az útmutató feltételezi, hogy már létrehozott egy Azure Key Vaultot , és importált belőle egy kulcsot, amelyet az Azure SQL Database TDE-védőjeként használ. További információ: transzparens adattitkosítás BYOK-támogatással.
• A helyreállítható törlés és a törlés elleni védelmet engedélyezni kell a kulcstartóban
• Létre kell hoznia egy felhasználó által hozzárendelt felügyelt identitást , és meg kell adnia a szükséges TDE-engedélyeket (Get, Wrap Key, Unwrap Key) a fenti kulcstartóban. Felhasználó által hozzárendelt felügyelt identitás létrehozásához lásd : Felhasználó által hozzárendelt felügyelt identitás létrehozása.
• Telepítenie és futtatnia kell az Azure PowerShellt.
• [Ajánlott, de nem kötelező] Először hozza létre a TDE-védő kulcsanyagát egy hardveres biztonsági modulban (HSM) vagy helyi kulcstárolóban, majd importálja a kulcsanyagot az Azure Key Vaultba. További információért kövesse a hardveres biztonsági modul (HSM) és a Key Vault használatára vonatkozó utasításokat.

TDE-vel konfigurált kiszolgáló létrehozása ügyfél által felügyelt kulccsal (CMK)

Az alábbi lépések egy új Azure SQL Database logikai kiszolgáló és egy felhasználó által hozzárendelt felügyelt identitással rendelkező új adatbázis létrehozásának folyamatát ismertetik. A felhasználó által hozzárendelt felügyelt identitás szükséges a TDE ügyfél által felügyelt kulcsának konfigurálásához a kiszolgáló létrehozásakor.

Portal

1. Keresse meg az SQL-telepítés kiválasztása lehetőséget az Azure Portalon.

2. Ha még nem jelentkezett be az Azure Portalra, jelentkezzen be, amikor a rendszer kéri.

3. Az SQL-adatbázisok alatt hagyja meg az erőforrástípust önálló adatbázisként, és válassza a Létrehozás lehetőséget.

4. Az SQL Database létrehozása űrlap Alapismeretek lapján, a Project részletei alatt válassza ki a kívánt Azure-előfizetést.

5. Erőforráscsoport esetén válassza az Új létrehozása lehetőséget, adja meg az erőforráscsoport nevét, majd kattintson az OK gombra.

6. Az Adatbázis neve mezőbe írja be a következőtContosoHR:

7. Kiszolgáló esetén válassza az Új létrehozása lehetőséget, és töltse ki az Új kiszolgáló űrlapot a következő értékekkel:

   • Kiszolgálónév: Adjon meg egy egyedi kiszolgálónevet. A kiszolgálóneveknek globálisan egyedinek kell lenniük az Azure összes kiszolgálója számára, nem csak az előfizetésen belül. Írjon be valami hasonlót mysqlserver135, és az Azure Portalon tudhatja, hogy elérhető-e vagy sem.
   • Kiszolgálói rendszergazdai bejelentkezés: Adjon meg egy rendszergazdai bejelentkezési nevet, például: azureuser.
   • Jelszó: Adjon meg egy jelszót, amely megfelel a jelszó követelményeinek, és írja be újra a Jelszó megerősítése mezőbe.
   • Hely: Válasszon egy helyet a legördülő listából

8. Válassza a Tovább elemet : Hálózatkezelés a lap alján.

9. A Hálózatkezelés lap Csatlakozás ivity metódusához válassza a Nyilvános végpont lehetőséget.

10. Tűzfalszabályok esetén állítsa az Aktuális ügyfél IP-címének hozzáadása igen értékre. Hagyja meg, hogy az Azure-szolgáltatások és -erőforrások elérhessék ezt a kiszolgálót Nem értékre állítva.

    

11. Válassza a Tovább elemet : Biztonság a lap alján.

12. A Biztonság lap Kiszolgálóidentitás területén válassza az Identitások konfigurálása lehetőséget.

    

13. Az Identitás panelen válassza a Ki elemet a rendszer által hozzárendelt felügyelt identitáshoz, majd válassza a Hozzáadás lehetőséget a Felhasználó által hozzárendelt felügyelt identitás területen. Válassza ki a kívánt előfizetést, majd a Felhasználó által hozzárendelt felügyelt identitások területen válassza ki a kívánt felhasználó által hozzárendelt felügyelt identitást a kiválasztott előfizetésből. Ezután válassza a Hozzáadás gombot.

    

    

14. Az Elsődleges identitás területen válassza ki ugyanazt a felhasználó által hozzárendelt felügyelt identitást, amelyet az előző lépésben választott ki.

    

15. Válassza az Alkalmaz lehetőséget

16. A Biztonság lap transzparens adattitkosítás Kulcskezelés területén lehetősége van transzparens adattitkosítást konfigurálni a kiszolgálóhoz vagy az adatbázishoz.

    • Kiszolgálószintű kulcs esetén: Válassza a Transzparens adattitkosítás konfigurálása lehetőséget. Válassza ki az Ügyfél által kezelt kulcsot, és megjelenik a Kulcs kiválasztása lehetőség. Válassza a Change key (Kulcs módosítása) lehetőséget. Válassza ki a TDE-hez használni kívánt előfizetést, kulcstartót, kulcsot és verziót az ügyfél által felügyelt kulcshoz. Kattintson a Kiválasztás gombra.

    

    

    • Adatbázisszintű kulcs esetén: Válassza a Transzparens adattitkosítás konfigurálása lehetőséget. Válassza ki az adatbázisszintű ügyfél által kezelt kulcsot, és megjelenik egy lehetőség az adatbázis-identitás és az ügyfél által felügyelt kulcs konfigurálására. Válassza a Konfigurálás lehetőséget a felhasználó által hozzárendelt felügyelt identitás adatbázishoz való konfigurálásához a 13. lépéshez hasonlóan. Válassza a Kulcs módosítása lehetőséget az ügyfél által felügyelt kulcs konfigurálásához. Válassza ki a TDE-hez használni kívánt előfizetést, kulcstartót, kulcsot és verziót az ügyfél által felügyelt kulcshoz. A transzparens adattitkosítás menüben lehetősége van az automatikus elforgatás engedélyezésére is. Kattintson a Kiválasztás gombra.

    

17. Válassza az Alkalmaz lehetőséget

18. Válassza a Véleményezés + létrehozás lehetőséget a lap alján

19. A Véleményezés + létrehozás lapon a felülvizsgálat után válassza a Létrehozás lehetőséget.

Az Azure CLI

Az Azure CLI aktuális kiadásának telepítéséről további információt az Azure CLI telepítéséről szóló cikkben talál.

Hozzon létre egy felhasználó által hozzárendelt felügyelt identitással és ügyfél által felügyelt TDE-vel konfigurált kiszolgálót az sql server create parancsával.

az sql server create \
    --name $serverName \
    --resource-group $resourceGroupName \
    --location $location  \
    --admin-user $adminlogin \
    --admin-password $password \
    --assign-identity \
    --identity-type $identitytype \
    --user-assigned-identity-id $identityid \
    --primary-user-assigned-identity-id $primaryidentityid \
    --key-id $keyid
 

Hozzon létre egy adatbázist az az sql db create paranccsal.

az sql db create \
    --resource-group $resourceGroupName \
    --server $serverName \
    --name mySampleDatabase \
    --sample-name AdventureWorksLT \
    --edition GeneralPurpose \
    --compute-model Serverless \
    --family Gen5 \
    --capacity 2

PowerShell

Hozzon létre egy felhasználó által hozzárendelt felügyelt identitással és ügyfél által felügyelt TDE-vel konfigurált kiszolgálót a PowerShell használatával.

Az Az PowerShell-modul telepítési utasításait az Azure PowerShell telepítése című témakörben találja. Adott parancsmagokért lásd: AzureRM.Sql.

Használja a New-AzSqlServer parancsmagot.

Cserélje le a példában a következő értékeket:

• <ResourceGroupName>: Az Azure SQL logikai kiszolgáló erőforráscsoportjának neve
• <Location>: A kiszolgáló helye, például West US, vagy Central US
• <ServerName>: Egyedi Azure SQL logikai kiszolgálónév használata
• <ServerAdminName>: Az SQL Rendszergazda istrator-bejelentkezés
• <ServerAdminPassword>: Az SQL Rendszergazda istrator jelszava
• <IdentityType>: A kiszolgálóhoz rendelendő identitás típusa. A lehetséges értékek a következők: SystemAssigned, UserAssignedSystemAssigned,UserAssigned és Nincs
• <UserAssignedIdentityId>: A kiszolgálóhoz hozzárendelni kívánt felhasználó által hozzárendelt felügyelt identitások listája (lehet egy vagy több)
• <PrimaryUserAssignedIdentityId>: A felhasználó által hozzárendelt felügyelt identitás, amelyet elsődlegesként vagy alapértelmezettként kell használni ezen a kiszolgálón
• <CustomerManagedKeyId>: Kulcsazonosító , és lekérhető a Key Vault kulcsából

A felhasználó által hozzárendelt felügyelt identitás erőforrás-azonosítójának lekéréséhez keressen felügyelt identitásokat az Azure Portalon. Keresse meg a felügyelt identitást, és lépjen a Tulajdonságok elemre. Egy példa az UMI-erőforrásazonosítóra /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>

# create a server with user-assigned managed identity and customer-managed TDE
$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    SqlAdministratorCredentials = (Get-Credential)
    SqlAdministratorLogin = "<ServerAdminName>"
    SqlAdministratorPassword = "<ServerAdminPassword>"
    AssignIdentity = $true
    IdentityType = "<IdentityType>"
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    PrimaryUserAssignedIdentityId = "<PrimaryUserAssignedIdentityId>"
    KeyId = "<CustomerManagedKeyId>"
}

New-AzSqlServer @params

ARM Template

Íme egy példa egy ARM-sablonra, amely létrehoz egy logikai kiszolgálót az Azure-ban egy felhasználó által hozzárendelt felügyelt identitással és ügyfél által felügyelt TDE-vel. A sablon emellett hozzáad egy Microsoft Entra rendszergazdai csoportot a kiszolgálóhoz, és engedélyezi a Csak Microsoft Entra hitelesítést, de ez eltávolítható a sablon példájából.

További információkért és ARM-sablonokért tekintse meg az Azure SQL Database és a felügyelt SQL-példány Azure Resource Manager-sablonjait.

Egyéni üzembe helyezést használhat az Azure Portalon, és saját sablont készíthet a szerkesztőben. Ezután mentse a konfigurációt, miután beillesztette a példában.

A felhasználó által hozzárendelt felügyelt identitás erőforrás-azonosítójának lekéréséhez keressen felügyelt identitásokat az Azure Portalon. Keresse meg a felügyelt identitást, és lépjen a Tulajdonságok elemre. Az UMI-erőforrás-azonosító egy példája a következőképpen /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>néz ki.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "String"
        },
        "location": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity."
            }
        },
        "keyvault_url": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The key vault URI."
            }
        },
        "AdminLogin": {
            "minLength": 1,
            "type": "String"
        },
        "AdminLoginPassword": {
            "type": "SecureString"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "administratorLogin": "[parameters('AdminLogin')]",
                "administratorLoginPassword": "[parameters('AdminLoginPassword')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "KeyId": "[parameters('keyvault_url')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

További lépések

• Ismerkedés az Azure Key Vault integrációjával és a TDE saját kulcsának támogatásával: A TDE bekapcsolása a Key Vault saját kulcsával.