Kunci lintas penyewa yang dikelola pelanggan dengan enkripsi data transparan

Berlaku untuk: Azure SQL Database Azure Synapse Analytics (hanya kumpulan SQL khusus)

Azure SQL sekarang menawarkan dukungan untuk kunci yang dikelola pelanggan lintas penyewa (CMK) dengan enkripsi data transparan (TDE). CMK lintas penyewa diperluas pada skenario Bring Your Own Key (BYOK) untuk menggunakan TDE tanpa perlu memiliki server logis di Azure di penyewa Microsoft Entra yang sama dengan Azure Key Vault yang menyimpan kunci yang dikelola pelanggan yang digunakan untuk melindungi server.

Anda dapat mengonfigurasi TDE dengan CMK untuk Azure SQL Database untuk kunci yang disimpan dalam brankas kunci yang dikonfigurasi di penyewa Microsoft Entra yang berbeda. MICROSOFT Entra ID (sebelumnya Azure Active Directory) memperkenalkan fitur yang disebut federasi identitas beban kerja, dan memungkinkan sumber daya Azure dari satu penyewa Microsoft Entra kemampuan untuk mengakses sumber daya di penyewa Microsoft Entra lain.

Untuk dokumentasi tentang enkripsi data transparan untuk kumpulan SQL khusus di dalam ruang kerja Synapse, lihat enkripsi Azure Synapse Analytics.

Catatan

ID Microsoft Entra sebelumnya dikenal sebagai Azure Active Directory (Azure AD).

Skenario penggunaan umum

Kemampuan CMK lintas penyewa memungkinkan penyedia layanan atau vendor perangkat lunak independen (ISV) membangun layanan di atas Azure SQL untuk memperluas TDE Azure SQL dengan kemampuan CMK kepada pelanggan masing-masing. Dengan dukungan CMK lintas penyewa diaktifkan, pelanggan ISV dapat memiliki brankas kunci dan kunci enkripsi dalam langganan mereka sendiri dan penyewa Microsoft Entra. Pelanggan memiliki kontrol penuh atas operasi manajemen kunci, saat mengakses sumber daya Azure SQL di penyewa ISV.

Interaksi lintas penyewa

Interaksi lintas penyewa antara Azure SQL dan brankas kunci di penyewa Microsoft Entra lain diaktifkan dengan fitur Microsoft Entra, federasi identitas beban kerja.

ISV yang menyebarkan layanan Azure SQL dapat membuat aplikasi multi-penyewa di ID Microsoft Entra, lalu mengonfigurasi kredensial identitas federasi untuk aplikasi ini menggunakan identitas terkelola yang ditetapkan pengguna. Dengan nama aplikasi dan ID aplikasi yang sesuai, klien atau pelanggan ISV dapat menginstal aplikasi yang dibuat ISV di penyewa mereka sendiri. Pelanggan kemudian memberikan perwakilan layanan yang terkait dengan izin aplikasi (diperlukan untuk Azure SQL) ke brankas kunci mereka di penyewa mereka, dan membagikan lokasi kunci mereka dengan ISV. Setelah ISV menetapkan identitas terkelola dan identitas klien gabungan ke sumber daya Azure SQL, sumber daya Azure SQL di penyewa ISV dapat mengakses brankas kunci pelanggan.

Untuk informasi selengkapnya, lihat:

• Mengonfigurasi kunci yang dikelola pelanggan lintas penyewa untuk akun penyimpanan baru
• Mengonfigurasikan kunci yang dikelola pelanggan lintas penyewa untuk akun penyimpanan yang ada

Menyiapkan CMK lintas penyewa

Diagram berikut mewakili langkah-langkah untuk skenario yang menggunakan server logis Azure SQL yang menggunakan TDE untuk mengenkripsi data tidak aktif menggunakan CMK lintas penyewa dengan identitas terkelola yang ditetapkan pengguna.

Gambaran umum penyiapan

Pada penyewa ISV

1. Membuat identitas terkelola yang ditetapkan pengguna

2. Membuat aplikasi multi-penyewa

   1. Mengonfigurasi identitas terkelola yang ditetapkan pengguna sebagai kredensial federasi pada aplikasi

Pada penyewa klien

3. Menginstal aplikasi multi-penyewa

4. Membuat atau menggunakan brankas kunci yang ada dan memberikan izin kunci ke aplikasi multi-penyewa

   1. Membuat baru atau menggunakan kunci yang sudah ada

   2. Ambil kunci dari Key Vault dan rekam Pengidentifikasi Kunci

Pada penyewa ISV

5. Tetapkan identitas terkelola yang ditetapkan pengguna yang dibuat sebagai Identitas utama di menu Identitas sumber daya Azure SQL di portal Azure

6. Tetapkan identitas klien Federasi di menu Identitas yang sama, dan gunakan nama aplikasi

7. Di menu Enkripsi data transparan dari sumber daya Azure SQL, tetapkan Pengidentifikasi kunci menggunakan Pengidentifikasi Kunci pelanggan yang diperoleh dari penyewa klien.

Keterangan

• CMK lintas penyewa dengan fitur TDE hanya didukung untuk identitas terkelola yang ditetapkan pengguna. Anda tidak dapat menggunakan identitas terkelola yang ditetapkan sistem untuk CMK lintas penyewa dengan TDE.
• Menyiapkan CMK lintas penyewa dengan TDE didukung di tingkat server dan tingkat database untuk Azure SQL Database. Untuk informasi selengkapnya, lihat Enkripsi data transparan (TDE) dengan kunci yang dikelola pelanggan di tingkat database.

Langkah berikutnya

Membuat server yang dikonfigurasi dengan identitas terkelola yang ditetapkan pengguna dan CMK lintas penyewa untuk TDE

Lihat juga

• Membuat database Azure SQL yang dikonfigurasi dengan identitas terkelola yang ditetapkan pengguna dan TDE yang dikelola pelanggan
• Mengonfigurasi kunci yang dikelola pelanggan lintas penyewa untuk akun penyimpanan baru
• Mengonfigurasikan kunci yang dikelola pelanggan lintas penyewa untuk akun penyimpanan yang ada
• Enkripsi data transparan (TDE) dengan kunci yang dikelola pelanggan di tingkat database
• Mengonfigurasi replikasi geografis dan pemulihan cadangan untuk enkripsi data transparan dengan kunci yang dikelola pelanggan tingkat database
• Manajemen identitas dan kunci untuk TDE dengan kunci yang dikelola pelanggan tingkat database