Gestione delle identità e delle chiavi per TDE con chiavi gestite dal cliente a livello di database

Si applica a:Database SQL di Azure

Nota

• Le chiavi gestite dal cliente per il TDE a livello di database sono disponibili per database SQL di Azure (tutte le edizioni database SQL). Non è disponibile per Istanza gestita di SQL di Azure, SQL Server locale, macchine virtuali di Azure e Azure Synapse Analytics (pool SQL dedicati (in precedenza SQL Data Warehouse)).
• La stessa guida può essere applicata per configurare le chiavi gestite dal cliente a livello di database nello stesso tenant escludendo il parametro ID client federato. Per altre informazioni sulle chiavi gestite dal cliente a livello di database, vedere Transparent Data Encryption (TDE) con chiavi gestite dal cliente a livello di database.

In questa guida vengono illustrati i passaggi per creare, aggiornare e recuperare un database SQL di Azure con Transparent Data Encryption (TDE) e chiavi gestite dal cliente a livello di database, usando un'identità gestita assegnata dall'utente per accedere ad Azure Key Vault. Azure Key Vault si trova in un tenant di Microsoft Entra diverso rispetto al database SQL di Azure. Per altre informazioni, vedere Chiavi gestite dal cliente multi-tenant con Transparent Data Encryption.

Nota

Microsoft Entra ID era noto in precedenza come Azure Active Directory (Azure AD).

Prerequisiti

• Questa guida presuppone che siano presenti due tenant di Microsoft Entra.
  • Il primo è costituito dalla risorsa database SQL di Azure, da un'applicazione Microsoft Entra multi-tenant e da un'identità gestita assegnata dall'utente.
  • Il secondo tenant ospita Azure Key Vault.
• Per istruzioni complete sulla configurazione delle chiavi gestite dal cliente tra tenant e le autorizzazioni di controllo degli accessi in base al ruolo necessarie per configurare le applicazioni Microsoft Entra e Azure Key Vault, vedere una delle guide seguenti:
  • Configurare chiavi gestite dal cliente tra tenant per un nuovo account di archiviazione
  • Configurare chiavi gestite dal cliente tra tenant per un account di archiviazione esistente
• Interfaccia della riga di comando di Azure versione 2.52.0 o successiva.
• Modulo Az PowerShell versione 10.3.0 o successive.
• Le autorizzazioni di controllo degli accessi in base al ruolo necessarie per le chiavi gestite dal cliente a livello di database sono le stesse autorizzazioni necessarie per le chiavi gestite dal cliente a livello di server. In particolare, le stesse autorizzazioni di controllo degli accessi in base al ruolo applicabili quando si usano Azure Key Vault, identità gestite e chiavi gestite dal cliente tra tenant per TDE a livello di server sono applicabili a livello di database. Per altre informazioni sulla gestione delle chiavi e sui criteri di accesso, vedere Gestione delle chiavi.

Risorse necessarie nel primo tenant

Ai fini di questa esercitazione, si presuppone che il primo tenant appartenga a un fornitore di software indipendente (ISV) e che il secondo tenant provenga dal client. Per altre informazioni su questo scenario, vedere Chiavi gestite dal cliente tra tenant con Transparent Data Encryption.

Prima di poter configurare TDE per database SQL di Azure con una chiave gestita dal cliente tra tenant, è necessario disporre di un'applicazione Microsoft Entra multi-tenant configurata con un'identità gestita assegnata dall'utente assegnata come credenziale di identità federata per l'applicazione. Seguire una delle guide riportate in Prerequisiti.

1. Nel primo tenant in cui si vuole creare il database SQL di Azure creare e configurare un'applicazione Microsoft Entra multi-tenant.

2. Creare un'identità gestita assegnata dall'utente.

3. Configurare l'identità gestita assegnata dall'utente come credenziale di identità federata per l'applicazione multi-tenant.

4. Registrare il nome dell'applicazione e l'ID applicazione. Per trovarlo, aprire Portale di Azure>Microsoft Entra ID>Applicazioni Enterprise e cercare l'applicazione creata.

Risorse necessarie nel secondo tenant

Nota

I moduli di Azure AD e MSOnline PowerShell sono deprecati dal 30 marzo 2024. Per altre informazioni, leggere l'aggiornamento deprecato. Dopo questa data, il supporto per questi moduli è limitato all'assistenza per la migrazione a Microsoft Graph PowerShell SDK e alle correzioni di sicurezza. I moduli deprecati continueranno a funzionare fino al 30 marzo 2025.

È consigliabile eseguire la migrazione a Microsoft Graph PowerShell per interagire con Microsoft Entra ID (in precedenza Azure AD). Per domande comuni sulla migrazione, vedere Domande frequenti sulla migrazione. Nota: le versioni 1.0.x di MSOnline potrebbero subire interruzioni dopo il 30 giugno 2024.

1. Nel secondo tenant in cui risiede Azure Key Vault creare un'entità servizio (applicazione) usando l'ID applicazione dall'applicazione registrata dal primo tenant. Ecco alcuni esempi di come registrare l'applicazione multi-tenant. Sostituire <TenantID> e <ApplicationID> con l'ID tenant del client da Microsoft Entra ID e ID applicazione rispettivamente dall'applicazione multi-tenant:

   • PowerShell:

     Connect-AzureAD -TenantID <TenantID>
     New-AzADServicePrincipal  -ApplicationId <ApplicationID>
     

   • L’interfaccia della riga di comando di Azure:

     az login --tenant <TenantID>
     az ad sp create --id <ApplicationID>
     

2. Passare a portale di Azure> Microsoft Entra ID>Applicazioni enterprise e cercare l'applicazione creata.

3. Se non si ha un account Azure Key Vault, crearne uno e creare una chiave.

4. Creare o impostare i criteri di accesso.

   1. Selezionare le autorizzazioni Get, Wrap Key, Unwrap Key in Autorizzazioni chiave durante la creazione dei criteri di accesso.
   2. Selezionare l'applicazione multi-tenant creata nel primo passaggio dell'opzione Entità di sicurezza durante la creazione dei criteri di accesso.

   

5. Dopo aver creato i criteri di accesso e la chiave, recuperare la chiave da Key Vault e registrare l'identificatore della chiave.

Creare una nuova database SQL di Azure con chiavi gestite dal cliente a livello di database

Di seguito sono riportati alcuni esempi per la creazione di un database in database SQL di Azure con un'identità gestita assegnata dall'utente e come impostare una chiave gestita dal cliente tra tenant a livello di database. L'identità gestita assegnata dall'utente è necessaria per configurare una chiave gestita dal cliente per Transparent Data Encryption durante la fase di creazione del database.

Portale

1. Accedere alla pagina di opzione Selezionare la distribuzione SQL nel portale di Azure.

2. Se non lo si è già fatto, eseguire l’accesso al portale di Azure quando richiesto.

3. In Database SQL lasciare l'opzione Tipo di risorsa impostata su Database singolo e selezionare Crea.

4. Nella scheda Informazioni di base del modulo Crea database SQL in Dettagli progetto, selezionare la Sottoscrizione, il Gruppo di risorse e il Server desiderati per il database. Usare un nome univoco come nome del database. Se non è stato creato un server logico per database SQL di Azure, consultare Creare un server configurato con TDE con chiave gestita dal cliente cross-tenant (CMK).

5. Quando si arriva alla scheda Sicurezza, selezionare Configura Transparent Data Encryption.

   

6. Nel menu Transparent Data Encryption selezionare Chiave gestita dal cliente a livello di database.

   

7. Per Identità gestita assegnata dall'utente selezionare Configura per abilitare un'identità del database e Aggiungere un'identità gestita assegnata dall'utente alla risorsa se un'identità desiderata non è presente nel menu Identità. Quindi seleziona Applica.

   

   Nota

   È possibile configurare l'Identità client federata qui se si configura la chiave gestita dal cliente tra tenant per TDE.

8. Nel menu Transparent Data Encryption selezionare Cambia chiave. Selezionare la sottoscrizione desiderata, l'insieme di credenziali delle chiavi, la chiave e la versione per la chiave gestita dal cliente da usare per TDE. Fare clic sul pulsante Seleziona. Dopo aver selezionato una chiave, è anche possibile aggiungere chiavi di database aggiuntive in base alle esigenze usando l'URI dell'insieme di Azure Key Vault (identificatore di oggetto) nel menu Transparent Data Encryption .

   La rotazione automatica delle chiavi può essere abilitata anche a livello di database usando la casella di controllo Ruota automaticamente la chiave nel menu Transparent Data Encryption .

   

9. Selezionare Applica per continuare a creare il database.

10. Selezionare Rivedi e crea nella parte inferiore della pagina

11. Nella pagina Rivedi e crea, dopo aver rivisto le impostazioni, selezionare Crea.

Nota

Non sarà possibile creare il database avrà se l'identità gestita assegnata dall'utente non dispone delle autorizzazioni appropriate abilitate per l'insieme di credenziali delle chiavi. L'identità gestita assegnata dall'utente richiederà le autorizzazioni Get, wrapKey e unwrapKey nell'insieme di credenziali delle chiavi. Per altre informazioni, vedere Identità gestite per Transparent Data Encryption con chiave gestita dal cliente.

Interfaccia della riga di comando di Azure

Per informazioni sull'installazione della versione attuale dell’interfaccia della riga di comando di Azure, consultare l’articolo Installare l’interfaccia della riga di comando di Azure.

Creare un database configurato con identità gestita assegnata dall'utente e TDE multi-tenant gestito dal cliente usando il comando az sql db create. L'identificatore di chiave del secondo tenant può essere usato nel campo encryption-protector. L'ID applicazione dell'applicazione multi-tenant può essere usato nel campo federated-client-id. Il parametro --encryption-protector-auto-rotation può essere usato per abilitare la rotazione automatica delle chiavi a livello di database.

Per ottenere l'ID risorsa dell'identità gestita assegnata dall'utente, cercare Identità gestite nel portale di Azure. Trovare l'identità gestita e passare a Proprietà. Un esempio di ID risorsa UMI è simile a /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>

az sql db create --resource-group $resourceGroupName --server $serverName --name mySampleDatabase --sample-name AdventureWorksLT --edition GeneralPurpose --compute-model Serverless --family Gen5 --capacity 2 --assign-identity --user-assigned-identity-id $identityid --encryption-protector $keyid --federated-client-id $federatedclientid --encryption-protector-auto-rotation True

PowerShell

Creare un database configurato con identità gestita assegnata dall'utente e TDE tra tenant gestito dal cliente a livello di database usando PowerShell.

Per istruzioni sull'installazione del modulo Az PowerShell, vedere Installare Azure PowerShell. Per i cmdlet specifici, vedere AzureRM.Sql.

Usare il cdmlet New-AzSqlDatabase.

Nell'esempio seguente, sostituire questi valori:

• <ResourceGroupName>: nome del gruppo di risorse per il server logico SQL di Azure
• <DatabaseName>: usare un nome univoco del database SQL di Azure
• <ServerName>: usare un nome univoco del server logico SQL di Azure
• <UserAssignedIdentityId>: elenco di identità gestite assegnate dall'utente da assegnare al server (può essere uno o più)
• <CustomerManagedKeyId>: identificatore di chiave dal secondo insieme di credenziali delle chiavi del tenant
• <FederatedClientId>: ID applicazione dell'applicazione multi-tenant
• -EncryptionProtectorAutoRotation: può essere usato per abilitare la rotazione automatica delle chiavi a livello di database

Per ottenere l'ID risorsa dell'identità gestita assegnata dall'utente, cercare Identità gestite nel portale di Azure. Trovare l'identità gestita e passare a Proprietà. Un esempio di ID risorsa UMI è simile a /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>

# create a server with user-assigned managed identity and cross-tenant customer-managed TDE with automatic key rotation enabled
$params = @{
    ResourceGroupName = '<ResourceGroupName>'
    ServerName = '<ServerName>'
    DatabaseName = '<DatabaseName>'
    AssignIdentity = $true
    UserAssignedIdentityId = '<UserAssignedIdentityId>'
    EncryptionProtector = '<CustomerManagedKeyId>'
    FederatedClientId = '<FederatedClientId>'
    EncryptionProtectorAutoRotation = $true
}

New-AzSqlDatabase @params

Modello ARM

Di seguito è riportato un esempio di modello di ARM che crea un database SQL di Azure con un'identità gestita assegnata dall'utente e un TDE gestito dal cliente a livello di database. Per una chiave gestita dal cliente multi-tenant, usare l'identificatore chiave del secondo insieme di credenziali delle chiavi del tenant e l'ID applicazione dell'applicazione multi-tenant.

Per altre informazioni e modelli di ARM, vedere Modelli di Azure Resource Manager per database SQL di Azure e Istanza gestita di SQL.

Usa una distribuzione personalizzata nel portale di Azure e crea un modello personalizzato nell'editor. Salva quindi la configurazione dopo aver incollato l'esempio.

Per ottenere l'ID della risorsa dell'identità gestita assegnata dall'utente, cercare Identità gestite nel portale di Azure. Trovare l'identità gestita e passare a Proprietà. Un esempio di ID risorsa UMI è simile a /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "server_name": {
      "type": "String"
    },
    "database_name": {
      "type": "String"
    },
    "user_assigned_identity": {
      "type": "String"
    },
    "encryption_protector": {
      "type": "String"
    },
    "federated_client_id": {
      "type": "String"
    },
    "location": {
      "type": "String"
    },
    "encryption_protector_auto_rotation": {
      "type": "bool"
    }
  },
  "variables": {},
  "resources": [
    {
      "type": "Microsoft.Sql/servers/databases",
      "apiVersion": "2023-02-01-preview",
      "name": "[concat(parameters('server_name'), concat('/',parameters('database_name')))]",
      "location": "[parameters('location')]",
      "sku": {
        "name": "Basic",
        "tier": "Basic",
        "capacity": 5
      },
      "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
          "[parameters('user_assigned_identity')]": {}
        }
      },
      "properties": {
        "collation": "SQL_Latin1_General_CP1_CI_AS",
        "maxSizeBytes": 104857600,
        "catalogCollation": "SQL_Latin1_General_CP1_CI_AS",
        "zoneRedundant": false,
        "readScale": "Disabled",
        "requestedBackupStorageRedundancy": "Geo",
        "maintenanceConfigurationId": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Maintenance/publicMaintenanceConfigurations/SQL_Default",
        "isLedgerOn": false,
        "encryptionProtector": "[parameters('encryption_protector')]",
        "federatedClientId": "[parameters('federated_client_id')]",
        "encryptionProtectorAutoRotation": "[parameters('encryption_protector_auto_rotation')]"
      }
    }
  ]
}

Aggiornare un database SQL di Azure esistente con chiavi gestite dal cliente a livello di database

Di seguito sono riportati esempi di aggiornamento di un database esistente in database SQL di Azure con un'identità gestita assegnata dall'utente e come impostare una chiave gestita dal cliente tra tenant a livello di database. L'identità gestita assegnata dall'utente è necessaria per configurare una chiave gestita dal cliente per Transparent Data Encryption durante la fase di creazione del database.

Portale

1. Nel portale di Azure passare alla risorsa del database SQL che si vuole aggiornare con una chiave gestita dal cliente a livello di database.

2. In Sicurezza selezionare Identità. Aggiungere un'identità gestita assegnata dall'utente per questo database e quindi selezionare Salva

3. Passare ora al menu Crittografia dati in Sicurezza per il database. Selezionare Chiave gestita dal cliente a livello di database. L'identità del database per il database deve essere già abilitata perché l'identità è stata configurata nell'ultimo passaggio.

4. Selezionare Cambia chiave. Selezionare la sottoscrizione desiderata, l'insieme di credenziali delle chiavi, la chiave e la versione per la chiave gestita dal cliente da usare per TDE. Fare clic sul pulsante Seleziona. Dopo aver selezionato una chiave, è anche possibile aggiungere chiavi di database aggiuntive in base alle esigenze usando l'URI di Azure Key Vault (identificatore di oggetto) nel menu Crittografia dati.

   Selezionare la casella di controllo Rotazione automatica della chiave se si vuole abilitare la rotazione automatica delle chiavi a livello di database.

   

5. Seleziona Salva.

Interfaccia della riga di comando di Azure

Per informazioni sull'installazione della versione attuale dell’interfaccia della riga di comando di Azure, consultare l’articolo Installare l’interfaccia della riga di comando di Azure.

Aggiornare un database configurato con l'identità gestita assegnata dall'utente e TDE multi-tenant gestito dal cliente usando il comando az sql db create. L'identificatore di chiave del secondo tenant può essere usato nel campo encryption-protector. L'ID applicazione dell'applicazione multi-tenant può essere usato nel campo federated-client-id.

Per ottenere l'ID risorsa dell'identità gestita assegnata dall'utente, cercare Identità gestite nel portale di Azure. Trovare l'identità gestita e passare a Proprietà. Un esempio di ID risorsa UMI è simile a /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>. Il parametro --encryption-protector-auto-rotation può essere usato per abilitare la rotazione automatica delle chiavi a livello di database.

az sql db update --resource-group $resourceGroupName --server $serverName --name mySampleDatabase --sample-name AdventureWorksLT --edition GeneralPurpose --compute-model Serverless --family Gen5 --capacity 2 --assign-identity --user-assigned-identity-id $identityid --encryption-protector $keyid --federated-client-id $federatedclientid --keys $keys --keys-to-remove $keysToRemove --encryption-protector-auto-rotation True

L'elenco $keys è un elenco separato da spazi di chiavi che devono essere aggiunte nel database e $keysToRemove è un elenco separato da spazi di chiavi che devono essere rimosse dal database

$keys = '"https://yourvault.vault.azure.net/keys/yourkey1/6638b3667e384aefa31364f94d230000" "https://yourvault.vault.azure.net/keys/yourkey2/ fd021f84a0d94d43b8ef33154bca0000"'

$keysToRemove = '"https://yourvault.vault.azure.net/keys/yourkey3/6638b3667e384aefa31364f94d230000" "https://yourvault.vault.azure.net/keys/yourkey4/fd021f84a0d94d43b8ef33154bca0000"'

PowerShell

Aggiornare un database configurato con identità gestita assegnata dall'utente e TDE multi-tenant gestito dal cliente a livello di database usando PowerShell.

Per istruzioni sull'installazione del modulo Az PowerShell, vedere Installare Azure PowerShell. Per i cmdlet specifici, vedere AzureRM.Sql.

Usare il cmdlet Set-AzSqlDatabase.

Nell'esempio seguente, sostituire questi valori:

• <ResourceGroupName>: nome del gruppo di risorse per il server logico SQL di Azure
• <DatabaseName>: usare un nome univoco del database SQL di Azure
• <ServerName>: usare un nome univoco del server logico SQL di Azure
• <UserAssignedIdentityId>: elenco di identità gestite assegnate dall'utente da assegnare al server (può essere uno o più)
• <CustomerManagedKeyId>: identificatore di chiave dal secondo insieme di credenziali delle chiavi del tenant
• <FederatedClientId>: ID applicazione dell'applicazione multi-tenant
• <ListOfKeys>: elenco delimitato da virgole di chiavi gestite dal cliente a livello di database da aggiungere al database
• <ListOfKeysToRemove>: elenco delimitato da virgole di chiavi gestite dal cliente a livello di database da rimuovere dal database
• -EncryptionProtectorAutoRotation: può essere usato per abilitare la rotazione automatica delle chiavi a livello di database

Per ottenere l'ID risorsa dell'identità gestita assegnata dall'utente, cercare Identità gestite nel portale di Azure. Trovare l'identità gestita e passare a Proprietà. Un esempio di ID risorsa UMI è simile a /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>.

$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    ServerName = "<ServerName>"
    DatabaseName = "<DatabaseName>"
    AssignIdentity = $true
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    EncryptionProtector = "<CustomerManagedKeyId>"
    FederatedClientId = "<FederatedClientId>"
    KeyList = "<ListOfKeys>"
    KeysToRemove = "<ListOfKeysToRemove>"
    EncryptionProtectorAutoRotation = $true
}

Set-AzSqlDatabase @params

Un esempio di -KeyList e -KeysToRemove è:

$keysToAdd = "https://yourvault.vault.azure.net/keys/yourkey1/fd021f84a0d94d43b8ef33154bca0000","https://yourvault.vault.azure.net/keys/yourkey2/fd021f84a0d94d43b8ef33154bca0000"

$keysToRemove = "https://yourvault.vault.azure.net/keys/yourkey3/fd021f84a0d94d43b8ef33154bca0000"

Modello ARM

Di seguito è riportato un esempio di modello di ARM che aggiorna un database SQL di Azure con un'identità gestita assegnata dall'utente e un TDE gestito dal cliente a livello di database. Per una chiave gestita dal cliente multi-tenant, usare l'identificatore chiave del secondo insieme di credenziali delle chiavi del tenant e l'ID applicazione dell'applicazione multi-tenant.

Per altre informazioni e modelli di ARM, vedere Modelli di Azure Resource Manager per database SQL di Azure e Istanza gestita di SQL.

Usa una distribuzione personalizzata nel portale di Azure e crea un modello personalizzato nell'editor. Salva quindi la configurazione dopo aver incollato l'esempio.

Per ottenere l'ID della risorsa dell'identità gestita assegnata dall'utente, cercare Identità gestite nel portale di Azure. Trovare l'identità gestita e passare a Proprietà. Un esempio di ID risorsa UMI è simile a /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "server_name": {
      "type": "String"
    },
    "database_name": {
      "type": "String"
    },
    "user_assigned_identity": {
      "type": "String"
    },
    "encryption_protector": {
      "type": "String"
    },
    "location": {
      "type": "String"
    },
    "federated_client_id": {
      "type": "String"
    },
    "keys_to_add": {
      "type": "Object"
    },
    "encryption_protector_auto_rotation": {
      "type": "bool"
    }
  },
  "variables": {},
  "resources": [
    {
      "type": "Microsoft.Sql/servers/databases",
      "apiVersion": "2023-02-01-preview",
      "name": "[concat(parameters('server_name'), concat('/',parameters('database_name')))]",
      "location": "[parameters('location')]",
      "sku": {
        "name": "Basic",
        "tier": "Basic",
        "capacity": 5
      },
      "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
          "[parameters('user_assigned_identity')]": {}
        }
      },
      "properties": {
        "collation": "SQL_Latin1_General_CP1_CI_AS",
        "maxSizeBytes": 104857600,
        "catalogCollation": "SQL_Latin1_General_CP1_CI_AS",
        "zoneRedundant": false,
        "readScale": "Disabled",
        "requestedBackupStorageRedundancy": "Geo",
        "maintenanceConfigurationId": "/subscriptions/e1775f9f-a286-474d-b6f0-29c42ac74554/providers/Microsoft.Maintenance/publicMaintenanceConfigurations/SQL_Default",
        "isLedgerOn": false,
        "encryptionProtector": "[parameters('encryption_protector')]",
        "keys": "[parameters('keys_to_add')]",
        "federatedClientId": "[parameters('federated_client_id')]",
        "encryptionProtectorAutoRotation": "[parameters('encryption_protector_auto_rotation')]"
      }
    }
  ]
}

Un esempio dei parametri encryption_protector e keys_to_add è:

    "keys_to_add": {
      "value": {
        "https://yourvault.vault.azure.net/keys/yourkey1/fd021f84a0d94d43b8ef33154bca0000": {},
        "https://yourvault.vault.azure.net/keys/yourkey2/fd021f84a0d94d43b8ef33154bca0000": {}
      }
    },
    "encryption_protector": {
      "value": "https://yourvault.vault.azure.net/keys/yourkey2/fd021f84a0d94d43b8ef33154bca0000"
    }

Importante

Per rimuovere una chiave dal database, il valore del dizionario chiavi di una chiave specifica deve essere passato come Null. Ad esempio: "https://yourvault.vault.azure.net/keys/yourkey1/fd021f84a0d94d43b8ef33154bca0000": null.

Visualizzare le impostazioni della chiave gestita dal cliente a livello di database in un database SQL di Azure

Di seguito sono riportati esempi di recupero delle chiavi gestite dal cliente a livello di database per un database. Per impostazione predefinita, la risorsa ARM Microsoft.Sql/servers/databases mostra solo la protezione TDE e l'identità gestita configurata nel database. Per espandere l'elenco completo delle chiavi, usare il parametro -ExpandKeyList. Inoltre, è possibile usare filtri come -KeysFilter "current" e un valore temporizzato (ad esempio 2023-01-01,) per recuperare le chiavi correnti usate e le chiavi usate in passato in un momento specifico. Questi filtri sono supportati solo per le singole query di database e non per le query a livello di server.

Portale

Per visualizzare le chiavi gestite dal cliente a livello di database nel portale di Azure, passare al menu Crittografia dei dati della risorsa del database SQL.

Interfaccia della riga di comando di Azure

Per informazioni sull'installazione della versione attuale dell’interfaccia della riga di comando di Azure, consultare l’articolo Installare l’interfaccia della riga di comando di Azure.

# Retrieve the basic database level customer-managed key settings from a database
az sql db show --resource-group $resourceGroupName --server $serverName --name mySampleDatabase

# Retrieve the basic database level customer-managed key settings from a database and all the keys ever added
az sql db show --resource-group $resourceGroupName --server $serverName --name mySampleDatabase --expand-keys

# Retrieve the basic database level customer-managed key settings from a database and the current keys in use
az sql db show --resource-group $resourceGroupName --server $serverName --name mySampleDatabase --expand-keys --keys-filter current

# Retrieve the basic database level customer-managed key settings from a database and the keys in use at a particular point in time
az sql db show --resource-group $resourceGroupName --server $serverName --name mySampleDatabase --expand-keys --keys-filter 01-01-2015

# Retrieve all the databases in a server to check which ones are configured with database level customer-managed keys
az sql db list --resource-group $resourceGroupName --server $serverName

PowerShell

Per istruzioni sull'installazione del modulo Az PowerShell, vedere Installare Azure PowerShell. Per i cmdlet specifici, vedere AzureRM.Sql.

Usare il cmdlet Get-AzSqlDatabase.

# Retrieve the basic database level customer-managed key settings from a database
Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName>

# Retrieve the basic database level customer-managed key settings from a database and all the keys ever added
Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList

# Retrieve the basic database level customer-managed key settings from a database and the current keys in use
Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter "current"

# Retrieve the basic database level customer-managed key settings from a database and the keys in use at a particular point in time
Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter '2023-02-03 00:00:00'

# Retrieve all the databases in a server to check which ones are configured with database level customer-managed keys
Get-AzSqlDatabase -resourceGroupName <ResourceGroupName> -ServerName <ServerName> | Select DatabaseName, EncryptionProtector

REST API

Usare l'API REST 2022-08-01-preview per database SQL di Azure.

Recuperare le impostazioni della chiave gestita dal cliente a livello di database di base da un database.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}?api-version=2022-08-01-preview

Recuperare le impostazioni della chiave gestita dal cliente a livello di database di base da un database e tutte le chiavi aggiunte

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}?api-version=2022-08-01-preview&$expand=keys

Recuperare le impostazioni della chiave gestita dal cliente a livello di database di base da un database e dalle chiavi correnti in uso

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}?api-version=2022-08-01-preview&$expand=keys($filter=pointInTime('current'))

Recuperare le impostazioni della chiave gestita dal cliente a livello di database di base da un database e dalle chiavi in uso in un determinato momento

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}?api-version=2022-08-01-preview&$expand=keys($filter=pointInTime('2023-02-04T01:57:42.49Z'))

Elencare tutte le chiavi in un server logico

Per recuperare l'elenco di tutte le chiavi (e non solo la protezione primaria) usata da ogni database nel server, è necessario eseguire query singolarmente con i filtri delle chiavi. Di seguito è riportato un esempio di query di PowerShell per elencare ogni chiave nel server logico.

Usare il cmdlet Get-AzSqlDatabase.

$dbs = Get-AzSqlDatabase -resourceGroupName <ResourceGroupName> -ServerName <ServerName>
foreach ($db in $dbs)
{
Get-AzSqlDatabase -DatabaseName $db.DatabaseName -ServerName $db.ServerName -ResourceGroupName $db.ResourceGroupName -ExpandKeyList
}

Riconvalidare la chiave gestita dal cliente a livello di database in un database SQL di Azure

In caso di protezione TDE inaccessibile, come descritto in Transparent Data Encryption (TDE) con chiave gestita dal cliente, una volta corretto l'accesso alla chiave, è possibile usare un'operazione di riconvalida della chiave per rendere accessibile il database. Per esempi, vedere le istruzioni o i comandi seguenti.

Portale

Trovare la risorsa Database SQL nel portale di Azure. Dopo aver selezionato la risorsa del database SQL, passare alla scheda Transparent Data Encryption del menu Crittografia dati nelle impostazioni di Sicurezza. Se il database ha perso l'accesso all’Azure Key Vault, verrà visualizzato il pulsante Convalida nuovamente la chiave e sarà possibile riconvalidare la chiave esistente selezionando Riprova chiave esistente o un'altra chiave selezionando Seleziona chiave di backup.

Interfaccia della riga di comando di Azure

Per informazioni sull'installazione della versione attuale dell’interfaccia della riga di comando di Azure, consultare l’articolo Installare l’interfaccia della riga di comando di Azure.

az sql db tde key revalidate --resource-group $resourceGroupName --server $serverName --database mySampleDatabase

PowerShell

Per istruzioni sull'installazione del modulo Az PowerShell, vedere Installare Azure PowerShell. Per i cmdlet specifici, vedere AzureRM.Sql.

È possibile utilizzare Invoke-AzSqlDatabaseTransparentDataEncryptionProtectorRevalidation per rendere accessibile il database.

Invoke-AzSqlDatabaseTransparentDataEncryptionProtectorRevalidation -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName>

REST API

Usare l'API REST 2022-08-01-preview per database SQL di Azure.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/encryptionProtector/current/revalidate?api-version=2022-08-01-preview

Ripristinare la chiave gestita dal cliente a livello di database in un database SQL di Azure

Un database configurato con chiave gestita dal cliente a livello di database può essere ripristinato alla crittografia a livello di server se il server è configurato con una chiave gestita dal servizio usando i comandi seguenti.

Portale

Per ripristinare l'impostazione della chiave gestita dal cliente a livello di database sulla chiave di crittografia a livello di server nel portale di Azure, passare alla scheda Transparent Data Encryption del menu Crittografia dati della risorsa del database SQL. Selezionare Chiave di crittografia a livello di server e selezionare Salva per salvare le impostazioni.

Nota

Per usare l'impostazione chiave di crittografia a livello di server per singoli database, il server logico per il database SQL di Azure deve essere configurato per l'uso della chiave gestita dal servizio per TDE.

Interfaccia della riga di comando di Azure

Per informazioni sull'installazione della versione attuale dell’interfaccia della riga di comando di Azure, consultare l’articolo Installare l’interfaccia della riga di comando di Azure.

az sql db tde key revert --resource-group $resourceGroupName --server $serverName --name mySampleDatabase

PowerShell

Per istruzioni sull'installazione del modulo Az PowerShell, vedere Installare Azure PowerShell. Per i cmdlet specifici, vedere AzureRM.Sql.

Per eseguire questa operazione, è possibile usare Invoke-AzSqlDatabaseTransparentDataEncryptionProtectorRevert.

Invoke-AzSqlDatabaseTransparentDataEncryptionProtectorRevert -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName>

REST API

Usare l'API REST 2022-08-01-preview per database SQL di Azure.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/encryptionProtector/current/revert?api-version=2022-08-01-preview

Passaggi successivi

Vedere la documentazione seguente su varie operazioni della chiave gestita dal cliente a livello di database:

• Transparent Data Encryption con chiave gestita dal cliente a livello di database

• Configurare la replica geografica e il ripristino del backup per Transparent Data Encryption con chiavi gestite dal cliente a livello di database