Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Berlaku untuk:
Azure SQL DatabaseAzure SQL Managed Instance
ID Microsoft Entra, sebelumnya Azure Active Directory, menyediakan identitas yang dikelola secara otomatis untuk mengautentikasi ke layanan Azure apa pun yang mendukung autentikasi Microsoft Entra, seperti Azure Key Vault, tanpa mengekspos kredensial dalam kode. Untuk informasi selengkapnya, lihat Jenis identitas terkelola di Azure.
Identitas terkelola terdiri dari dua jenis:
- Ditetapkan sistem
- Ditetapkan-pengguna
Untuk informasi selengkapnya, lihat Identitas terkelola di ID Microsoft Entra untuk Azure SQL.
Untuk TDE dengan kunci yang dikelola pelanggan (CMK) di Azure SQL, identitas terkelola di server digunakan untuk memberikan hak akses ke server di brankas kunci atau HSM terkelola. Misalnya, identitas terkelola server yang ditetapkan sistem harus diberikan izin Azure Key Vault sebelum mengaktifkan TDE dengan CMK di server.
Selain identitas terkelola yang ditetapkan oleh sistem, yang sudah didukung untuk TDE dengan CMK, identitas terkelola yang ditetapkan oleh pengguna (UMI) yang ditetapkan ke server dapat digunakan agar server dapat mengakses brankas kunci atau HSM terkelola. Prasyarat untuk mengaktifkan brankas kunci atau akses HSM terkelola adalah untuk memastikan identitas terkelola yang ditetapkan pengguna telah diberikan izin Get, wrapKey , dan unwrapKey pada brankas kunci atau HSM terkelola. Karena identitas terkelola yang ditetapkan pengguna adalah sumber daya mandiri yang dapat dibuat dan diberikan akses ke brankas kunci atau HSM terkelola, TDE dengan kunci yang dikelola pelanggan sekarang dapat diaktifkan pada waktu pembuatan untuk server atau database.
Catatan
Untuk menetapkan identitas terkelola yang ditetapkan oleh pengguna ke server logis atau instans terkelola, pengguna harus memiliki peran Kontributor SQL Server atau Kontributor SQL Managed Instance Azure RBAC bersama dengan peran Azure RBAC lainnya yang berisi tindakan Microsoft.ManagedIdentity/userAssignedIdentities/*/assign/action.
Manfaat dari penggunaan UMI untuk TDE yang dikelola pelanggan
Memungkinkan kemampuan untuk melakukan praotorisasi brankas kunci atau akses HSM terkelola untuk server logis Azure SQL atau Azure SQL Managed Instances dengan membuat identitas terkelola yang ditetapkan pengguna, dan memberinya akses ke brankas kunci atau HSM terkelola, bahkan sebelum server atau database dibuat.
Memungkinkan pembuatan server logis Azure SQL dengan TDE dan CMK diaktifkan.
Memungkinkan identitas terkelola yang ditetapkan pengguna yang sama untuk ditetapkan ke beberapa server, menghilangkan kebutuhan untuk mengaktifkan identitas terkelola yang ditetapkan sistem secara individual untuk setiap server logis Azure SQL atau Azure SQL Managed Instance, dan menyediakannya akses ke brankas kunci atau HSM terkelola.
Menyediakan kemampuan untuk memberlakukan CMK pada waktu pembuatan server dengan kebijakan Azure bawaan yang tersedia.
Pertimbangan saat menggunakan UMI untuk TDE yang dikelola pelanggan
- Secara bawaan, TDE di Azure SQL menggunakan identitas terkelola yang ditetapkan pengguna utama yang diatur di server untuk akses ke Key Vault atau Managed HSM. Jika tidak ada identitas yang ditetapkan oleh pengguna kepada server, maka identitas terkelola yang ditetapkan sistem pada server digunakan untuk akses ke brankas kunci atau HSM terkelola.
- Saat menggunakan identitas terkelola yang ditetapkan pengguna untuk TDE dengan CMK, tetapkan identitas ke server dan atur sebagai identitas utama untuk server.
- Identitas terkelola pengguna yang utama memerlukan akses berkelanjutan ke Brankas Kunci atau HSM yang dikelola (izin get, wrapKey, unwrapKey). Jika akses identitas ke brankas kunci atau HSM terkelola dicabut atau izin yang memadai tidak disediakan, database akan berpindah ke status Tidak dapat diakses .
- Jika identitas terkelola utama yang ditetapkan pengguna sedang diperbarui ke identitas terkelola yang ditetapkan pengguna yang berbeda, identitas baru harus diberikan izin yang diperlukan ke brankas kunci atau HSM terkelola sebelum identitas utama diperbarui.
- Untuk mengalihkan server dari yang ditetapkan pengguna ke identitas terkelola yang ditetapkan sistem untuk brankas kunci atau akses HSM terkelola, berikan identitas terkelola yang ditetapkan sistem dengan brankas kunci yang diperlukan atau izin HSM terkelola, lalu hapus semua identitas terkelola yang ditetapkan pengguna dari server.
Penting
Identitas terkelola utama yang ditetapkan pengguna yang digunakan untuk TDE dengan CMK tidak boleh dihapus dari Azure. Menghapus identitas ini akan menyebabkan server kehilangan akses ke brankas kunci atau HSM terkelola dan database menjadi tidak dapat diakses.
Batasan dan masalah yang diketahui
- Jika brankas kunci atau HSM terkelola berada di belakang jaringan virtual yang menggunakan firewall, opsi untuk Mengizinkan Layanan Microsoft Tepercaya melewati firewall ini harus diaktifkan di menu Jaringan dari brankas kunci atau HSM terkelola tersebut jika Anda ingin menggunakan identitas terkelola yang ditetapkan pengguna atau identitas terkelola yang ditetapkan sistem. Setelah opsi ini diaktifkan, kunci yang tersedia tidak dapat dicantumkan di menu TDE server SQL di portal Azure. Untuk mengatur CMK individual, pengidentifikasi kunci harus digunakan. Ketika opsi untuk Mengizinkan Layanan Microsoft Tepercaya melewati firewall ini tidak diaktifkan, kesalahan berikut dikembalikan:
Failed to save Transparent Data Encryption settings for SQL resource: <ServerName>. Error message: The managed identity with ID '/subscriptions/subscriptionID/resourcegroups/resource_name/providers/Microsoft.ManagedIdentity/userAssignedIdentities/umi_name' requires the following Azure Key Vault permissions: 'Get, WrapKey, UnwrapKey' to the key 'https://keyvault_name/keys/key_name'. Please grant the missing permissions to the identity. Additionally ensure the key is not expired and is not disabled. For expired key, please extend the key expiry time so that SQL can use it to perform wrap and unwrap operations. If your key vault is behind a virtual network or firewall, ensure you select the 'Allow trusted Microsoft services to bypass this firewall' option. (https://aka.ms/sqltdebyokcreateserver).- Jika Anda mendapatkan kesalahan di atas, periksa apakah brankas kunci atau HSM terkelola berada di belakang jaringan virtual atau firewall, dan pastikan opsi Izinkan Layanan Microsoft Tepercaya melewati firewall ini diaktifkan.
- Ketika beberapa identitas terkelola yang ditetapkan pengguna ditetapkan ke server atau instans terkelola, jika satu identitas dihapus dari server menggunakan panel Identitas portal Azure, operasi berhasil tetapi identitas tidak dihapus dari server. Menghapus semua identitas terkelola yang ditetapkan pengguna secara bersama dari portal Microsoft Azure berhasil.
- Ketika server atau instans terkelola dikonfigurasi dengan TDE yang dikelola oleh pelanggan dan baik identitas terkelola yang ditetapkan sistem maupun yang ditetapkan pengguna diaktifkan di server, menghapus identitas terkelola yang ditetapkan pengguna dari server tanpa terlebih dahulu memberikan akses identitas terkelola yang ditetapkan sistem ke brankas kunci atau HSM terkelola akan menghasilkan pesan kesalahan tak terduga. Pastikan identitas terkelola yang ditetapkan sistem telah disediakan brankas kunci atau akses HSM terkelola sebelum menghapus identitas terkelola utama yang ditetapkan pengguna (dan identitas terkelola lain yang ditetapkan pengguna) dari server.