Membuat server yang dikonfigurasi dengan identitas terkelola yang ditetapkan pengguna dan CMK lintas penyewa untuk TDE

Artikel
10/20/2023

Dalam panduan ini, kita akan melalui langkah-langkah untuk membuat server logis Azure SQL dengan enkripsi data transparan (TDE) dan kunci yang dikelola pelanggan (CMK), menggunakan identitas terkelola yang ditetapkan pengguna untuk mengakses Azure Key Vault di penyewa Microsoft Entra yang berbeda dari penyewa server logis. Untuk informasi selengkapnya, lihat Kunci yang dikelola pelanggan lintas penyewa dengan enkripsi data transparan.

Catatan

ID Microsoft Entra sebelumnya dikenal sebagai Azure Active Directory (Azure AD).

Prasyarat

Panduan ini presupposisi bahwa Anda memiliki dua penyewa Microsoft Entra.
- Yang pertama berisi sumber daya Azure SQL Database, aplikasi Microsoft Entra multi-penyewa, dan identitas terkelola yang ditetapkan pengguna.
- Penyewa kedua menampung Azure Key Vault.
Untuk instruksi komprehensif tentang menyiapkan CMK lintas penyewa dan izin RBAC yang diperlukan untuk mengonfigurasi aplikasi Microsoft Entra dan Azure Key Vault, lihat salah satu panduan berikut:
- Mengonfigurasi kunci yang dikelola pelanggan lintas penyewa untuk akun penyimpanan baru
- Mengonfigurasikan kunci yang dikelola pelanggan lintas penyewa untuk akun penyimpanan yang ada

Sumber daya yang diperlukan pada penyewa pertama

Untuk tujuan tutorial ini, kita akan menganggap penyewa pertama milik vendor perangkat lunak independen (ISV), dan penyewa kedua berasal dari klien mereka. Untuk informasi selengkapnya tentang skenario ini, lihat Kunci yang dikelola pelanggan lintas penyewa dengan enkripsi data transparan.

Sebelum kita dapat mengonfigurasi TDE untuk Azure SQL Database dengan CMK lintas penyewa, kita harus memiliki aplikasi Microsoft Entra multi-penyewa yang dikonfigurasi dengan identitas terkelola yang ditetapkan pengguna yang ditetapkan sebagai kredensial identitas federasi untuk aplikasi. Ikuti salah satu panduan dalam Prasyarat.

Pada penyewa pertama tempat Anda ingin membuat Azure SQL Database, buat dan konfigurasikan aplikasi Microsoft Entra multi-penyewa
Buat identitas terkelola yang ditetapkan pengguna
Mengonfigurasi identitas terkelola yang ditetapkan pengguna sebagai kredensial identitas federasi untuk aplikasi multi-penyewa
Rekam nama aplikasi dan ID aplikasi. Ini dapat ditemukan di aplikasi Enterprise portal Azure> Microsoft Entra ID>Enterprise dan mencari aplikasi yang dibuat

Sumber daya yang diperlukan pada penyewa kedua

Catatan

Modul Azure ACTIVE Directory dan MSOnline PowerShell tidak digunakan lagi per 30 Maret 2024. Untuk mempelajari lebih lanjut, baca pembaruan penghentian. Setelah tanggal ini, dukungan untuk modul ini terbatas pada bantuan migrasi ke Microsoft Graph PowerShell SDK dan perbaikan keamanan. Modul yang tidak digunakan lagi akan terus berfungsi hingga Maret, 30 2025.

Sebaiknya migrasi ke Microsoft Graph PowerShell untuk berinteraksi dengan ID Microsoft Entra (sebelumnya Microsoft Azure AD). Untuk pertanyaan umum tentang migrasi, lihat Tanya Jawab Umum Migrasi. Catatan: MSOnline versi 1.0.x mungkin mengalami gangguan setelah 30 Juni 2024.

Pada penyewa kedua tempat Azure Key Vault berada, buat perwakilan layanan (aplikasi) menggunakan ID aplikasi dari aplikasi terdaftar dari penyewa pertama. Berikut adalah beberapa contoh cara mendaftarkan aplikasi multi-penyewa. Ganti <TenantID> dan <ApplicationID> dengan ID Penyewa klien dari ID Microsoft Entra dan ID Aplikasi dari aplikasi multi-penyewa, masing-masing:
- PowerShell:
```
Connect-AzureAD -TenantID <TenantID>
New-AzADServicePrincipal  -ApplicationId <ApplicationID>
```
- Azure CLI:
```
az login --tenant <TenantID>
az ad sp create --id <ApplicationID>
```
Buka aplikasi Portal Azure> Microsoft Entra ID>Enterprise dan cari aplikasi yang baru saja dibuat.
Buat Azure Key Vault jika Anda tidak memilikinya, dan buat kunci
Membuat atau mengatur kebijakan akses.
1. Pilih izin Dapatkan, Bungkus Kunci, Buka Bungkus Kunci di bawah Izin kunci saat membuat kebijakan akses
2. Pilih aplikasi multi-penyewa yang dibuat pada langkah pertama dalam opsi Utama saat membuat kebijakan akses
Setelah kebijakan akses dan kunci dibuat, Ambil kunci dari Key Vault dan rekam Pengidentifikasi Kunci

Membuat server yang dikonfigurasi dengan TDE dengan kunci yang dikelola pelanggan lintas penyewa (CMK)

Panduan ini akan memandu Anda melalui proses pembuatan server logis dan database di Azure SQL dengan identitas terkelola yang ditetapkan pengguna, serta cara mengatur kunci yang dikelola pelanggan lintas penyewa. Identitas terkelola yang ditetapkan pengguna adalah suatu keharusan untuk menyiapkan kunci yang dikelola pelanggan untuk enkripsi data transparan selama fase pembuatan server.

Penting

Pengguna atau aplikasi yang menggunakan API untuk membuat server logis SQL memerlukan peran RBAC Kontributor SQL Server dan Operator Identitas Terkelola atau yang lebih tinggi pada langganan.

Telusuri halaman opsi Pilih penyebaran SQL di portal Azure.
Jika Anda belum masuk ke portal Azure, masuk jika diminta.
Di bawah database SQL, biarkan Jenis sumber daya diatur ke Database tunggal dan pilih Buat.
Pada tab Dasar formulir Buat Database SQL, di bawah Detail proyek, pilih Langganan Azure yang diinginkan.
Untuk Grup sumber daya, pilih Buat baru, masukkan nama untuk grup sumber daya, lalu pilih OK.
Untuk Nama database masukkan nama database. Contohnya,ContosoHR.
Untuk Server, pilih Buat baru,dan isi formulir Server baru dengan nilai berikut ini:
- Nama server: Masukkan nama server unik. Nama server harus unik secara global untuk semua server di Azure, bukan hanya unik dalam langganan. Masukkan sesuatu seperti mysqlserver135, dan portal Microsoft Azure akan memberi tahu Anda apakah tersedia atau tidak.
- Masuk admin server: Masukkan ID masuk admin, misalnya: azureuser.
- Kata sandi: Masukkan kata sandi yang memenuhi persyaratan sandi, dan masukkan lagi di bidang Konfirmasi sandi.
- Lokasi: Pilih lokasi dari menu drop-down
Pilih Berikutnya: Jaringan di bagian bawah halaman.
Pada tab Jaringan, untuk metode Konektivitas, pilih Titik akhir publik.
Untuk aturan Firewall, atur Tambahkan alamat IP klien saat ini ke Ya. Biarkan Izinkan layanan dan sumber daya Azure untuk mengakses server ini diatur ke Tidak. Pilihan lainnya di halaman ini dapat dibiarkan sebagai default.
Pilih Berikutnya: Keamanan di bagian bawah halaman.
Pada tab Keamanan, di bawah Identitas, pilih Konfigurasikan Identitas.
Pada menu Identitas, pilih Nonaktif untuk Identitas terkelola yang ditetapkan sistem lalu pilih Tambahkan di bawah Identitas terkelola yang ditetapkan pengguna. Pilih Langganan yang diinginkan lalu di bawah Identitas terkelola yang ditetapkan pengguna, pilih identitas terkelola yang ditetapkan pengguna yang diinginkan dari langganan yang dipilih. Kemudian pilih tombol Tambahkan.
Di bagian Identitas utama, pilih identitas terkelola yang ditetapkan pengguna yang sama dengan yang dipilih pada langkah sebelumnya.
Untuk Identitas klien federasi, pilih opsi Ubah identitas , dan cari aplikasi multi-penyewa yang Anda buat di Prasyarat.

Catatan

Jika aplikasi multi-penyewa belum ditambahkan ke kebijakan akses brankas kunci dengan izin yang diperlukan (Get, Wrap Key, Unwrap Key), menggunakan aplikasi ini untuk federasi identitas di portal Azure akan menampilkan kesalahan. Pastikan bahwa izin dikonfigurasi dengan benar sebelum mengonfigurasi identitas klien federasi.
Pilih Terapkan
Pada tab Keamanan, di bawah Enkripsi data transparan, pilih Konfigurasikan enkripsi data transparan. Pilih Kunci yang dikelola pelanggan, dan opsi untuk Memasukkan pengidentifikasi kunci akan muncul. Tambahkan Pengidentifikasi Kunci yang diperoleh dari kunci di penyewa kedua.
Pilih Terapkan
Pilih Tinjau + buat di bagian bawah halaman
Pada halaman Tinjau + buat, setelah mengulas, pilih Buat.

Untuk informasi tentang penginstalan rilis Azure CLI saat ini, lihat artikel Menginstal Azure CLI.

Buat server yang dikonfigurasi dengan identitas terkelola yang ditetapkan pengguna dan TDE yang dikelola pelanggan lintas penyewa menggunakan perintah az sql server create . Pengidentifikasi Kunci dari penyewa kedua dapat digunakan di key-id bidang . ID Aplikasi dari aplikasi multi-penyewa dapat digunakan di federated-client-id bidang .

az sql server create \
    --name $serverName \
    --resource-group $resourceGroupName \
    --location $location  \
    --admin-user $adminlogin \
    --admin-password $password \
    --assign-identity \
    --identity-type $identitytype \
    --user-assigned-identity-id $identityid \
    --primary-user-assigned-identity-id $primaryidentityid \
    --key-id $keyid \
    --federated-client-id $federatedid

Buat database dengan perintah buat sql db az.

az sql db create \
    --resource-group $resourceGroupName \
    --server $serverName \
    --name mySampleDatabase \
    --sample-name AdventureWorksLT \
    --edition GeneralPurpose \
    --compute-model Serverless \
    --family Gen5 \
    --capacity 2

Buat server yang dikonfigurasi dengan identitas terkelola yang ditetapkan pengguna dan TDE yang dikelola pelanggan lintas penyewa menggunakan PowerShell.

Untuk instruksi penginstalan modul Az PowerShell, lihat Menginstal Azure PowerShell. Untuk cmdlet khusus, lihat AzureRM.Sql.

Gunakan cmdlet New-AzSqlServer.

Ganti nilai berikut dalam contoh:

<ResourceGroupName>: Nama grup sumber daya untuk server logis Azure SQL Anda
<Location>: Lokasi server, seperti West US, atau Central US
<ServerName>: Gunakan nama server logis Azure SQL yang unik
<ServerAdminName>: Masuk Administrator SQL
<ServerAdminPassword>: Kata sandi Administrator SQL
<IdentityType>: Jenis identitas yang akan ditetapkan ke server. Nilai yang mungkin adalah SystemAssigned, UserAssigned, SystemAssigned,UserAssigned, dan Tidak Ada
<UserAssignedIdentityId>: Daftar identitas terkelola yang ditetapkan pengguna untuk ditetapkan ke server (bisa satu atau beberapa)
<PrimaryUserAssignedIdentityId>: Identitas terkelola yang ditetapkan pengguna harus digunakan sebagai identitas utama atau default di server ini
<CustomerManagedKeyId>: Pengidentifikasi Kunci dari Key Vault penyewa kedua
<FederatedClientId>: ID Aplikasi dari aplikasi multi-penyewa

Untuk mendapatkan ID Sumber Daya identitas terkelola yang ditetapkan oleh pengguna, telusuri Identitas Terkelola di portal Microsoft Azure. Temukan identitas terkelola Anda, dan buka Properti. Contoh ID Sumber Daya UMI Anda terlihat seperti/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>

# create a server with user-assigned managed identity and cross-tenant customer-managed TDE
$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    SqlAdministratorCredentials = (Get-Credential)
    SqlAdministratorLogin = "<ServerAdminName>"
    SqlAdministratorPassword = "<ServerAdminPassword>"
    AssignIdentity = $true
    IdentityType = "<IdentityType>"
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    PrimaryUserAssignedIdentityId = "<PrimaryUserAssignedIdentityId>"
    KeyId = "<CustomerManagedKeyId>"
    FederatedClientId = "<FederatedClientId>"
}

New-AzSqlServer @params

Berikut adalah contoh templat ARM yang membuat server logis Azure SQL dengan identitas terkelola yang ditetapkan pengguna serta TDE yang dikelola pelanggan. Untuk CMK lintas penyewa, gunakan Pengidentifikasi Kunci dari Key Vault penyewa kedua, dan ID Aplikasi dari aplikasi multi-penyewa.

Templat ini juga menambahkan set admin Microsoft Entra untuk server dan mengaktifkan autentikasi khusus Microsoft Entra, tetapi ini dapat dihapus dari contoh templat.

Untuk informasi selengkapnya dan template ARM, lihat Template Azure Resource Manager untuk Azure SQL Database & SQL Managed Instance.

Gunakan Penyebaran khusus di portal Microsoft Azure, dan Buat template Anda sendiri di editor. Selanjutnya, Simpan konfigurasi setelah Anda menempelkan pada contoh.

Untuk mendapatkan ID Sumber Daya identitas terkelola yang ditetapkan oleh pengguna, telusuri Identitas Terkelola di portal Microsoft Azure. Temukan identitas terkelola Anda, dan buka Properti. Contoh ID Sumber Daya UMI Anda terlihat seperti /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "String"
        },
        "location": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity."
            }
        },
        "federated_clientid": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Application ID of the multi-tenant application."
            }
        },
        "keyvault_url": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The key vault URI."
            }
        },
        "AdminLogin": {
            "minLength": 1,
            "type": "String"
        },
        "AdminLoginPassword": {
            "type": "SecureString"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2022-05-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "administratorLogin": "[parameters('AdminLogin')]",
                "administratorLoginPassword": "[parameters('AdminLoginPassword')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "federatedClientId": "[parameters('federated_clientid')]",
                "KeyId": "[parameters('keyvault_url')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Langkah berikutnya

Mulai menggunakan integrasi Azure Key Vault dan dukungan Bring Your Own Key untuk TDE: Aktifkan TDE menggunakan kunci Anda sendiri dari Key Vault
Kunci lintas penyewa yang dikelola pelanggan dengan enkripsi data transparan

Bagikan melalui