Felügyelt identitások transzparens adattitkosításhoz ügyfél által felügyelt kulccsal

A következőkre vonatkozik: Azure SQL Database Azure SQL Managed Instance

Az Azure Active Directory (Azure AD) felügyelt identitásai automatikusan felügyelt identitást biztosítanak az Azure-szolgáltatásoknak Azure AD. Ez az identitás bármely olyan szolgáltatásban használható hitelesítésre, amely támogatja a Azure AD hitelesítést, például az Azure Key Vault, anélkül, hogy a kódban hitelesítő adatokat kellene megadnia. További információ: Felügyelt identitástípusok az Azure-ban.

A felügyelt identitások kétféle típusúak lehetnek:

  • Rendszer által hozzárendelt
  • Felhasználó által hozzárendelt

További információ: Felügyelt identitások a Azure SQL Azure AD-ban.

A Azure SQL ügyfél által felügyelt kulccsal (CMK) rendelkező TDE esetében a rendszer a kiszolgálón található felügyelt identitással biztosít hozzáférési jogosultságokat a kulcstartóban lévő kiszolgálónak. A kiszolgáló rendszer által hozzárendelt felügyelt identitását például kulcstartó-engedélyekkel kell ellátni, mielőtt engedélyezi a TDE-t a CMK-val a kiszolgálón.

A CMK-val már támogatott, rendszer által hozzárendelt felügyelt identitás mellett a kiszolgálóhoz rendelt felhasználó által hozzárendelt felügyelt identitás (UMI) is használható a kulcstartó eléréséhez. A Key Vault-hozzáférés engedélyezésének előfeltétele annak biztosítása, hogy a felhasználó által hozzárendelt felügyelt identitás megkapja a Kulcstartón a Get, wrapKey és unwrapKey engedélyeket. Mivel a felhasználó által hozzárendelt felügyelt identitás egy önálló erőforrás, amely létrehozható és hozzáférést biztosít a kulcstartóhoz, az ügyfél által felügyelt kulccsal rendelkező TDE mostantól engedélyezhető a kiszolgáló vagy az adatbázis létrehozásakor.

Megjegyzés

Ha felhasználó által hozzárendelt felügyelt identitást szeretne hozzárendelni a logikai kiszolgálóhoz vagy felügyelt példányhoz, a felhasználónak rendelkeznie kell a SQL Server Közreműködő vagy SQL Managed Instance Közreműködő Azure RBAC-szerepkörrel, valamint minden más, a Microsoft.ManagedIdentity/userAssignedIdentities/*/assign/action műveletet tartalmazó Azure RBAC-szerepkörrel.

Az UMI ügyfél által felügyelt TDE-hez való használatának előnyei

  • Lehetővé teszi a kulcstartó hozzáférésének előzetes engedélyezését Azure SQL logikai kiszolgálókhoz vagy felügyelt példányokhoz egy felhasználó által hozzárendelt felügyelt identitás létrehozásával, valamint a kulcstartóhoz való hozzáférés biztosításával még a kiszolgáló vagy az adatbázis létrehozása előtt

  • Lehetővé teszi egy Azure SQL logikai kiszolgáló létrehozását, amelyen engedélyezve van a TDE és a CMK

  • Lehetővé teszi, hogy ugyanazt a felhasználó által hozzárendelt felügyelt identitást több kiszolgálóhoz lehessen hozzárendelni, így nincs szükség külön-külön bekapcsolni a rendszer által hozzárendelt felügyelt identitást minden Azure SQL logikai kiszolgálóhoz vagy felügyelt példányhoz, és hozzáférést kell biztosítani a Key Vaulthoz

  • Lehetővé teszi a CMK kényszerítését kiszolgálólétrehozáskor egy elérhető beépített Azure-szabályzattal

Az UMI ügyfél által felügyelt TDE-hez való használata során megfontolandó szempontok

  • Alapértelmezés szerint a Azure SQL TDE a kiszolgálón beállított elsődleges felhasználó által hozzárendelt felügyelt identitást használja a Key Vault-hozzáféréshez. Ha nincs hozzárendelve felhasználó által hozzárendelt identitás a kiszolgálóhoz, akkor a rendszer a kiszolgáló rendszer által hozzárendelt felügyelt identitását használja a Key Vault-hozzáféréshez.
  • Ha felhasználó által hozzárendelt felügyelt identitást használ a TDE-hez a CMK-val, rendelje hozzá az identitást a kiszolgálóhoz, és állítsa be a kiszolgáló elsődleges identitásaként
  • Az elsődleges felhasználó által hozzárendelt felügyelt identitáshoz folyamatos kulcstartó-hozzáférés szükséges (get, wrapKey, unwrapKey engedélyek). Ha az identitás hozzáférése a Key Vaulthoz vissza van vonva, vagy nincs megfelelő engedély megadva, az adatbázis elérhetetlen állapotba kerül
  • Ha az elsődleges felhasználó által hozzárendelt felügyelt identitást egy másik, felhasználó által hozzárendelt felügyelt identitásra frissítik, az új identitásnak meg kell adni a kulcstartóhoz szükséges engedélyeket az elsődleges identitás frissítése előtt
  • Ha a kiszolgálót felhasználó által hozzárendeltről rendszer által hozzárendelt felügyelt identitásra szeretné váltani a Key Vault-hozzáféréshez, adja meg a rendszer által hozzárendelt felügyelt identitásnak a szükséges kulcstartó-engedélyeket, majd távolítsa el az összes felhasználó által hozzárendelt felügyelt identitást a kiszolgálóról

Fontos

A TDE-hez a CMK-val használt elsődleges felhasználó által hozzárendelt felügyelt identitást nem szabad törölni az Azure-ból. Az identitás törlése azt eredményezi, hogy a kiszolgáló elveszíti a key vaulthoz való hozzáférést, és az adatbázisok elérhetetlenné válnak.

Korlátozások és ismert problémák

  • Ha a kulcstartó tűzfalat használó virtuális hálózat mögött található, akkor ha felhasználó által hozzárendelt felügyelt identitást szeretne használni, engedélyeznie kell a Kulcstartó Hálózat menüjében a Megbízható Microsoft-szolgáltatások számára a tűzfal megkerülését. Ha ez a beállítás engedélyezve van, az elérhető kulcsok nem adhatók meg az SQL Server TDE menüjében a Azure Portal. Az egyes CMK-k beállításához kulcsazonosítót kell használni. Ha nincs engedélyezve a Megbízható Microsoft-szolgáltatások engedélyezése a tűzfal megkerüléséhez beállítás, a következő hibaüzenet jelenik meg:
    • The managed identity with ID '/subscriptions/subsriptionID/resourcegroups/resource_name/providers/Microsoft.ManagedIdentity/userAssignedIdentities/umi_name' requires the following Azure Key Vault permissions: 'Get, WrapKey, UnwrapKey' to the key 'https://keyvault_name/keys/key_name'. Please grant the missing permissions to the identity. (https://aka.ms/sqltdebyokcreateserver).
    • Ha a fenti hibaüzenetet kapja, ellenőrizze, hogy a kulcstartó virtuális hálózat vagy tűzfal mögött van-e, és győződjön meg arról, hogy engedélyezve van a Megbízható Microsoft-szolgáltatások engedélyezése a tűzfal megkerüléséhez beállítás.
  • A rendszer által hozzárendelt felügyelt identitások anélkül használhatók, hogy engedélyezve lenne a Megbízható Microsoft-szolgáltatások számára a tűzfal megkerülése . További információ: Azure Key Vault tűzfalak és virtuális hálózatok konfigurálása.
  • Az SQL Managed Instance felhasználó által hozzárendelt felügyelt identitása jelenleg nem támogatott, ha az AKV-tűzfal engedélyezve van.
  • Ha több felhasználó által hozzárendelt felügyelt identitás van hozzárendelve a kiszolgálóhoz vagy a felügyelt példányhoz, ha egyetlen identitást távolít el a kiszolgálóról a Azure Portal Identitás paneljén, a művelet sikeres lesz, de az identitás nem lesz eltávolítva a kiszolgálóról. Az összes felhasználó által hozzárendelt felügyelt identitás együttes eltávolítása a Azure Portal sikeresen működik.
  • Ha a kiszolgáló vagy a felügyelt példány ügyfél által felügyelt TDE-vel van konfigurálva, és a rendszer által hozzárendelt és a felhasználó által hozzárendelt felügyelt identitások is engedélyezve vannak a kiszolgálón, a felhasználó által hozzárendelt felügyelt identitások eltávolítása a kiszolgálóról anélkül, hogy először hozzáférést ad a rendszer által hozzárendelt felügyelt identitásnak a kulcstartóhoz , váratlan hibaüzenetet eredményez. Győződjön meg arról, hogy a rendszer által hozzárendelt felügyelt identitás kulcstartó-hozzáféréssel rendelkezik, mielőtt eltávolítaná az elsődleges felhasználó által hozzárendelt felügyelt identitást (és bármely más felhasználó által hozzárendelt felügyelt identitást) a kiszolgálóról.

Következő lépések

Lásd még