Membuat server yang dikonfigurasi dengan identitas terkelola yang ditetapkan pengguna dan TDE yang dikelola pelanggan

Artikel
10/20/2023

Panduan cara ini menguraikan langkah-langkah untuk membuat server logis di Azure yang dikonfigurasi dengan enkripsi data transparan (TDE) dengan kunci yang dikelola pelanggan (CMK) menggunakan identitas terkelola yang ditetapkan pengguna untuk mengakses Azure Key Vault.

Catatan

ID Microsoft Entra sebelumnya dikenal sebagai Azure Active Directory (Azure AD).

Prasyarat

Panduan cara kerja ini mengasumsikan bahwa Anda telah membuat Azure Key Vault dan mengimpor kunci ke dalamnya untuk digunakan sebagai pelindung TDE untuk Azure SQL Database. Untuk informasi selengkapnya, lihat enkripsi data transparan dengan dukungan BYOK.
Perlindungan dari penghapusan sementara dan Pembersihan harus diaktifkan di vault utama
Anda harus telah membuat identitas terkelola yang ditetapkan oleh pengguna dan memberikannya izin TDE yang diperlukan (Dapatkan, Bungkus Kunci, Buka Bungkus Kunci) pada brankas kunci di atas. Untuk membuat identitas terkelola yang ditetapkan oleh pengguna, lihat Membuat identitas terkelola yang ditetapkan oleh pengguna.
Anda harus memiliki Azure PowerShell yang diinstal dan bekerja.
[Direkomendasikan tetapi opsional] Buat material kunci untuk pelindung TDE dalam modul keamanan perangkat keras (HSM) atau penyimpanan kunci lokal terlebih dahulu, dan impor material kunci ke Azure Key Vault. Ikuti instruksi untuk menggunakan modul keamanan perangkat keras (HSM) dan Key Vault untuk belajar lebih banyak.

Buat server yang dikonfigurasi dengan TDE dengan kunci yang dikelola pelanggan (CMK)

Langkah-langkah berikut menguraikan proses pembuatan server logis Azure SQL Database baru dan database baru dengan identitas terkelola yang ditetapkan oleh pengguna. Identitas terkelola yang ditetapkan pengguna diperlukan guna mengonfigurasi kunci yang dikelola pelanggan untuk TDE pada waktu pembuatan server.

Telusuri halaman opsi Pilih penyebaran SQL di portal Azure.
Jika Anda belum masuk ke portal Azure, masuk jika diminta.
Di bawah database SQL, biarkan Jenis sumber daya diatur ke Database tunggal dan pilih Buat.
Pada tab Dasar formulir Buat Database SQL, di bawah Detail proyek, pilih Langganan Azure yang diinginkan.
Untuk Grup sumber daya, pilih Buat baru, masukkan nama untuk grup sumber daya, lalu pilih OK.
Untuk Nama database masukkan ContosoHR.
Untuk Server, pilih Buat baru,dan isi formulir Server baru dengan nilai berikut ini:
- Nama server: Masukkan nama server unik. Nama server harus unik secara global untuk semua server di Azure, bukan hanya unik dalam langganan. Masukkan sesuatu seperti mysqlserver135, dan portal Microsoft Azure akan memberi tahu Anda apakah tersedia atau tidak.
- Masuk admin server: Masukkan ID masuk admin, misalnya: azureuser.
- Kata sandi: Masukkan kata sandi yang memenuhi persyaratan sandi, dan masukkan lagi di bidang Konfirmasi sandi.
- Lokasi: Pilih lokasi dari menu drop-down
Pilih Berikutnya: Jaringan di bagian bawah halaman.
Pada tab Jaringan, untuk metode Konektivitas, pilih Titik akhir publik.
Untuk aturan Firewall, atur Tambahkan alamat IP klien saat ini ke Ya. Biarkan Izinkan layanan dan sumber daya Azure untuk mengakses server ini diatur ke Tidak.
Pilih Berikutnya: Keamanan di bagian bawah halaman.
Pada tab Keamanan, di bawah Identitas Server, pilih Konfigurasikan Identitas.
Pada panel Identitas , pilih Nonaktif untuk Identitas terkelola yang ditetapkan sistem lalu pilih Tambahkan di bawah Identitas terkelola yang ditetapkan pengguna. Pilih Langganan yang diinginkan lalu di bawah Identitas terkelola yang ditetapkan pengguna, pilih identitas terkelola yang ditetapkan pengguna yang diinginkan dari langganan yang dipilih. Kemudian pilih tombol Tambahkan.
Di bagian Identitas utama, pilih identitas terkelola yang ditetapkan pengguna yang sama dengan yang dipilih pada langkah sebelumnya.
Pilih Terapkan
Pada tab Keamanan, di bawah Manajemen Kunci Enkripsi Data Transparan, Anda memiliki opsi untuk mengonfigurasi enkripsi data transparan untuk server atau database.
- Untuk Kunci tingkat server: Pilih Konfigurasikan enkripsi data transparan. Pilih Kunci yang Dikelola Pelanggan, dan opsi untuk memilih Pilih kunci akan muncul. Pilih Ubah kunci. Pilih Langganan yang diinginkan, Brankas kunci, Kunci, dan Versi untuk kunci yang dikelola pelanggan yang akan digunakan untuk TDE. Pilih tombol Pilih.
- Untuk Kunci tingkat database: Pilih Konfigurasikan enkripsi data transparan. Pilih Kunci yang Dikelola Pelanggan tingkat database, dan opsi untuk mengonfigurasi Identitas Database dan Kunci yang Dikelola Pelanggan akan muncul. Pilih Konfigurasikan untuk mengonfigurasi Identitas Terkelola yang Ditetapkan Pengguna untuk database, mirip dengan langkah 13. Pilih Ubah kunci untuk mengonfigurasi Kunci yang Dikelola Pelanggan. Pilih Langganan yang diinginkan, Brankas kunci, Kunci, dan Versi untuk kunci yang dikelola pelanggan yang akan digunakan untuk TDE. Anda juga memiliki opsi untuk mengaktifkan Kunci putar otomatis di menu Enkripsi Data Transparan. Pilih tombol Pilih.
Pilih Terapkan
Pilih Tinjau + buat di bagian bawah halaman
Pada halaman Tinjau + buat, setelah mengulas, pilih Buat.

Untuk informasi tentang penginstalan rilis Azure CLI saat ini, lihat artikel Menginstal Azure CLI.

Buat server yang dikonfigurasi dengan identitas terkelola yang ditetapkan pengguna dan TDE yang dikelola pelanggan menggunakan perintah az sql server create.

az sql server create \
    --name $serverName \
    --resource-group $resourceGroupName \
    --location $location  \
    --admin-user $adminlogin \
    --admin-password $password \
    --assign-identity \
    --identity-type $identitytype \
    --user-assigned-identity-id $identityid \
    --primary-user-assigned-identity-id $primaryidentityid \
    --key-id $keyid

Buat database dengan perintah buat sql db az.

az sql db create \
    --resource-group $resourceGroupName \
    --server $serverName \
    --name mySampleDatabase \
    --sample-name AdventureWorksLT \
    --edition GeneralPurpose \
    --compute-model Serverless \
    --family Gen5 \
    --capacity 2

Buat server yang dikonfigurasi dengan identitas terkelola yang ditetapkan pengguna dan TDE yang dikelola pelanggan menggunakan PowerShell.

Untuk instruksi penginstalan modul Az PowerShell, lihat Menginstal Azure PowerShell. Untuk cmdlet khusus, lihat AzureRM.Sql.

Gunakan cmdlet New-AzSqlServer.

Ganti nilai berikut dalam contoh:

<ResourceGroupName>: Nama grup sumber daya untuk server logis Azure SQL Anda
<Location>: Lokasi server, seperti West US, atau Central US
<ServerName>: Gunakan nama server logis Azure SQL yang unik
<ServerAdminName>: Masuk Administrator SQL
<ServerAdminPassword>: Kata sandi Administrator SQL
<IdentityType>: Jenis identitas yang akan ditetapkan ke server. Nilai yang mungkin adalah SystemAssigned, UserAssigned, SystemAssigned,UserAssigned, dan Tidak Ada
<UserAssignedIdentityId>: Daftar identitas terkelola yang ditetapkan pengguna untuk ditetapkan ke server (bisa satu atau beberapa)
<PrimaryUserAssignedIdentityId>: Identitas terkelola yang ditetapkan pengguna harus digunakan sebagai identitas utama atau default di server ini
<CustomerManagedKeyId>: Pengidentifikasi Kunci dan dapat diambil dari kunci di Key Vault

Untuk mendapatkan ID Sumber Daya identitas terkelola yang ditetapkan oleh pengguna, telusuri Identitas Terkelola di portal Microsoft Azure. Temukan identitas terkelola Anda, dan buka Properti. Contoh ID Sumber Daya UMI Anda terlihat seperti/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>

# create a server with user-assigned managed identity and customer-managed TDE
$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    SqlAdministratorCredentials = (Get-Credential)
    SqlAdministratorLogin = "<ServerAdminName>"
    SqlAdministratorPassword = "<ServerAdminPassword>"
    AssignIdentity = $true
    IdentityType = "<IdentityType>"
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    PrimaryUserAssignedIdentityId = "<PrimaryUserAssignedIdentityId>"
    KeyId = "<CustomerManagedKeyId>"
}

New-AzSqlServer @params

Berikut adalah contoh templat ARM yang membuat server logis di Azure dengan identitas terkelola yang ditetapkan pengguna dan TDE yang dikelola pelanggan. Templat ini juga menambahkan set admin Microsoft Entra untuk server dan mengaktifkan autentikasi khusus Microsoft Entra, tetapi ini dapat dihapus dari contoh templat.

Untuk informasi selengkapnya dan template ARM, lihat Template Azure Resource Manager untuk Azure SQL Database & SQL Managed Instance.

Gunakan Penyebaran khusus di portal Microsoft Azure, dan Buat template Anda sendiri di editor. Selanjutnya, Simpan konfigurasi setelah Anda menempelkan pada contoh.

Untuk mendapatkan ID Sumber Daya identitas terkelola yang ditetapkan oleh pengguna, telusuri Identitas Terkelola di portal Microsoft Azure. Temukan identitas terkelola Anda, dan buka Properti. Contoh ID Sumber Daya UMI Anda terlihat seperti /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "String"
        },
        "location": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity."
            }
        },
        "keyvault_url": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The key vault URI."
            }
        },
        "AdminLogin": {
            "minLength": 1,
            "type": "String"
        },
        "AdminLoginPassword": {
            "type": "SecureString"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "administratorLogin": "[parameters('AdminLogin')]",
                "administratorLoginPassword": "[parameters('AdminLoginPassword')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "KeyId": "[parameters('keyvault_url')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Langkah berikutnya

Mulai dengan integrasi Azure Key Vault dan dukungan Bring Your Own Key untuk TDE: Aktifkan TDE menggunakan kunci Anda sendiri dari Key Vault.

Bagikan melalui

Membuat server yang dikonfigurasi dengan identitas terkelola yang ditetapkan pengguna dan TDE yang dikelola pelanggan

Prasyarat

Buat server yang dikonfigurasi dengan TDE dengan kunci yang dikelola pelanggan (CMK)

Langkah berikutnya

Saran dan Komentar

Sumber Daya Tambahan: