Megosztás a következőn keresztül:


Felügyelt identitások transzparens adattitkosításhoz ügyfél által felügyelt kulccsal

A következőre vonatkozik: Azure SQL DatabaseFelügyelt Azure SQL-példány

A Microsoft Entra ID korábbi nevén Azure Active Directory automatikusan felügyelt identitást biztosít a Microsoft Entra-hitelesítést támogató Azure-szolgáltatások, például az Azure Key Vault hitelesítéséhez anélkül, hogy hitelesítő adatokat ad meg a kódban. További információ: Felügyelt identitástípusok az Azure-ban.

A felügyelt identitások kétféle típusúak lehetnek:

  • Rendszer általi hozzárendelés esetén
  • Felhasználó általi hozzárendelés esetén

További információ: Felügyelt identitások az Azure SQL-hez készült Microsoft Entra ID-ban.

Az Azure SQL-ben ügyfél által felügyelt kulccsal (CMK) rendelkező TDE esetén a rendszer a kiszolgálón lévő felügyelt identitással biztosít hozzáférési jogosultságokat a kulcstartóban lévő kiszolgáló számára. A kiszolgáló rendszer által hozzárendelt felügyelt identitásának például kulcstartó-engedélyekkel kell rendelkeznie ahhoz, hogy a TDE és a CMK engedélyezve legyen a kiszolgálón.

A CMK-val már támogatott rendszer által hozzárendelt felügyelt identitás mellett a kiszolgálóhoz hozzárendelt felhasználó által hozzárendelt felügyelt identitás (UMI) is lehetővé teszi a kiszolgáló számára a kulcstartó elérését. A kulcstartó-hozzáférés engedélyezésének előfeltétele annak biztosítása, hogy a felhasználó által hozzárendelt felügyelt identitás megkapja a kulcstartón a Get, wrapKey és unwrapKey engedélyeket. Mivel a felhasználó által hozzárendelt felügyelt identitás önálló erőforrás, amely létrehozható és hozzáférést biztosít a kulcstartóhoz, az ügyfél által felügyelt kulccsal rendelkező TDE mostantól engedélyezhető a kiszolgáló vagy az adatbázis létrehozásakor.

Megjegyzés:

Ha felhasználó által hozzárendelt felügyelt identitást rendel a logikai kiszolgálóhoz vagy a felügyelt példányhoz, a felhasználónak rendelkeznie kell az SQL Server közreműködői vagy az SQL Managed Instance Közreműködő Azure RBAC-szerepkörével, valamint a Microsoft.ManagedIdentity/userAssignedIdentities/*/assign/action műveletet tartalmazó egyéb Azure RBAC-szerepkörökkel.

Az UMI ügyfél által felügyelt TDE-hez való használatának előnyei

  • Lehetővé teszi a kulcstartó hozzáférésének előzetes engedélyezését az Azure SQL logikai kiszolgálók vagy felügyelt példányok számára egy felhasználó által hozzárendelt felügyelt identitás létrehozásával, valamint a kulcstartóhoz való hozzáférés biztosításával még a kiszolgáló vagy adatbázis létrehozása előtt

  • Azure SQL logikai kiszolgáló létrehozását teszi lehetővé a TDE és a CMK engedélyezésével

  • Lehetővé teszi, hogy ugyanazt a felhasználó által hozzárendelt felügyelt identitást több kiszolgálóhoz lehessen hozzárendelni, így nincs szükség külön-külön bekapcsolni a rendszer által hozzárendelt felügyelt identitást az egyes Azure SQL logikai kiszolgálókhoz vagy felügyelt példányokhoz, és hozzáférést biztosítani a Key Vaulthoz

  • Lehetővé teszi a CMK kényszerítését kiszolgálólétrehozáskor egy elérhető beépített Azure-szabályzattal

Szempontok az UMI ügyfél által felügyelt TDE-hez való használata során

  • Alapértelmezés szerint az Azure SQL-ben a TDE a kiszolgálón beállított elsődleges felhasználó által hozzárendelt felügyelt identitást használja a kulcstartó eléréséhez. Ha nincs hozzárendelve felhasználó által hozzárendelt identitás a kiszolgálóhoz, akkor a rendszer a kiszolgáló rendszer által hozzárendelt felügyelt identitását használja a kulcstartó-hozzáféréshez.
  • Ha felhasználó által hozzárendelt felügyelt identitást használ a TDE-hez a CMK-val, rendelje hozzá az identitást a kiszolgálóhoz, és állítsa be elsődleges identitásként a kiszolgálóhoz
  • Az elsődleges, felhasználó által hozzárendelt felügyelt identitáshoz folyamatos kulcstartó-hozzáférés szükséges (get, wrapKey, unwrapKey engedélyek). Ha az identitás hozzáférése a key vaulthoz visszavonva, vagy nincs megadva a megfelelő engedély, az adatbázis elérhetetlen állapotba kerül
  • Ha az elsődleges felhasználó által hozzárendelt felügyelt identitást egy másik felhasználó által hozzárendelt felügyelt identitásra frissítik, az új identitásnak meg kell adni a kulcstartóhoz szükséges engedélyeket az elsődleges frissítés előtt
  • Ha a kiszolgálót felhasználó által hozzárendeltről rendszer által hozzárendelt felügyelt identitásra szeretné váltani a kulcstartó-hozzáféréshez, adja meg a rendszer által hozzárendelt felügyelt identitást a szükséges kulcstartó-engedélyekkel, majd távolítsa el a felhasználó által hozzárendelt felügyelt identitásokat a kiszolgálóról

Fontos

A CMK-val rendelkező TDE-hez használt elsődleges felhasználó által hozzárendelt felügyelt identitás nem törölhető az Azure-ból. Az identitás törlése azt eredményezi, hogy a kiszolgáló elveszíti a kulcstartóhoz való hozzáférést, és az adatbázisok elérhetetlenné válnak.

Korlátozások és ismert problémák

  • Ha a kulcstartó tűzfalat használó virtuális hálózat mögött található, akkor ha felhasználó által hozzárendelt felügyelt identitást vagy rendszer által hozzárendelt felügyelt identitást szeretne használni, engedélyeznie kell, hogy a megbízható Microsoft-szolgáltatások megkerüljék ezt a tűzfalat. Ha ez a beállítás engedélyezve van, az elérhető kulcsok nem adhatók meg az SQL Server TDE menüjében az Azure Portalon. Az egyes CMK-k beállításához kulcsazonosítót kell használni. Ha nincs engedélyezve a megbízható Microsoft Services tűzfal megkerülése lehetőség, a következő hibaüzenet jelenik meg:
    • Failed to save Transparent Data Encryption settings for SQL resource: <ServerName>. Error message: The managed identity with ID '/subscriptions/subsriptionID/resourcegroups/resource_name/providers/Microsoft.ManagedIdentity/userAssignedIdentities/umi_name' requires the following Azure Key Vault permissions: 'Get, WrapKey, UnwrapKey' to the key 'https://keyvault_name/keys/key_name'. Please grant the missing permissions to the identity. Additionally ensure the key is not expired and is not disabled. For expired key, please extend the key expiry time so that SQL can use it to perform wrap and unwrap operations. If your key vault is behind a virtual network or firewall, ensure you select the 'Allow trusted Microsoft services to bypass this firewall' option. (https://aka.ms/sqltdebyokcreateserver).
    • Ha a fenti hibaüzenet jelenik meg, ellenőrizze, hogy a kulcstartó egy virtuális hálózat vagy tűzfal mögött található-e, és győződjön meg arról, hogy engedélyezve van a Megbízható Microsoft Services engedélyezése a tűzfal megkerülésére.
  • A felügyelt SQL-példányok felhasználó által hozzárendelt felügyelt identitása jelenleg csak olyan kulcstartók esetében támogatott, amelyek minden engedélyezett hálózatról nyilvános hozzáféréssel rendelkeznek. Ez nem támogatott, ha az AKV-tűzfal bizonyos virtuális hálózatokat és IP-címeket szűr, vagy privát végpontkapcsolatokat használ.
  • Ha több felhasználó által hozzárendelt felügyelt identitás van hozzárendelve a kiszolgálóhoz vagy a felügyelt példányhoz, ha egyetlen identitást távolít el a kiszolgálóról az Azure Portal Identitás paneljén, a művelet sikeres, de az identitás nem lesz eltávolítva a kiszolgálóról. Sikeresen eltávolítja az összes felhasználó által hozzárendelt felügyelt identitást az Azure Portalról.
  • Ha a kiszolgáló vagy a felügyelt példány ügyfél által felügyelt TDE-vel van konfigurálva, és a rendszer által hozzárendelt és a felhasználó által hozzárendelt felügyelt identitások is engedélyezve vannak a kiszolgálón, a felhasználó által hozzárendelt felügyelt identitások eltávolítása a kiszolgálóról anélkül, hogy a rendszer által hozzárendelt felügyelt identitás hozzáférést ad a kulcstartóhoz, váratlan hibaüzenetet eredményez. Győződjön meg arról, hogy a rendszer által hozzárendelt felügyelt identitás kulcstartó-hozzáféréssel rendelkezik, mielőtt eltávolítaná az elsődleges felhasználó által hozzárendelt felügyelt identitást (és bármely más felhasználó által hozzárendelt felügyelt identitást) a kiszolgálóról.

További lépések

Kapcsolódó információk