データベースレベル CMK を使用した TDE の ID とキーの管理

[アーティクル]
04/11/2024

Note

データベースレベルの TDE CMK が Azure SQL Database (すべての SQL Database エディション) で使用できます。 Azure SQL Managed Instance、SQL Server オンプレミス、Azure VM、Azure Synapse Analytics (専用 SQL プール (旧称 SQL DW)) では使用できません。
同じガイドを適用して、フェデレーションクライアント ID パラメーターを除外することで、同じテナントでデータベースレベルのカスタマーマネージドキーを構成できます。データベースレベルのカスタマーマネージドキーの詳細については、「データベースレベルのカスタマーマネージドキーを使用した Transparent Data Encryption (TDE)」を参照してください。

このガイドでは、データベースレベルの Transparent Data Encryption (TDE) とカスタマーマネージドキー (CMK) を使用して Azure SQL Database を作成、更新、取得するステップについて説明します。Azure Key Vault へのアクセスにはユーザー割り当てマネージド ID を使用します。 Azure Key Vault は、Azure SQL Database とは異なる Microsoft Entra テナントにあります。詳しくは、「Transparent Data Encryption でのクロステナントカスタマーマネージドキー」をご覧ください。

Note

Microsoft Entra ID の、旧称は Azure Active Directory（Azure AD）です。

前提条件

このガイドでは、2 つの Microsoft Entra テナントがあることを前提としています。
- 1 つ目は、Azure SQL Database リソース、マルチテナント Microsoft Entra アプリケーションン、ユーザー割り当てマネージド ID で構成されます。
- 2 つ目のテナントは、Azure Key Vault を格納します。
Microsoft Entra アプリケーションと Azure Key Vault の構成に必要なテナント間 CMK および RBAC アクセス許可のセットアップに関する包括的な手順については、次のいずれかのガイドを参照してください。
- 新しいストレージアカウント用のクロステナントのカスタマーマネージドキーを構成する
- 既存のストレージアカウント用のクロステナントのカスタマーマネージドキーを構成する
Azure CLI バージョン 2.52.0 以降。
Az PowerShell モジュールバージョン 10.3.0 以降。
データベースレベルの CMK に必要な RBAC アクセス許可は、サーバーレベルの CMK に必要なアクセス許可と同じです。具体的には、サーバーレベルで Azure Key Vault、マネージド ID、および TDE のクロステナント CMK を使用する場合に適用できるのと同じ RBAC アクセス許可が、データベースレベルで適用されます。キー管理とアクセスポリシーの詳細については、「キー管理」に関する記事を参照してください。

1 つ目のテナントで必要なリソース

このチュートリアルでは、1 つ目のテナントは独立系ソフトウェアベンダー (ISV) に属し、2 つ目のテナントはクライアントのものであると仮定します。このシナリオについて詳しくは、「Transparent Data Encryption でのクロステナントカスタマーマネージドキー」をご覧ください。

テナント間 CMK を使って Azure SQL Database 用に TDE を構成する前に、アプリケーションのフェデレーション ID 資格情報として割り当てられたユーザー割り当てマネージド ID を使って構成されたマルチテナント Microsoft Entra アプリケーションを用意する必要があります。前提条件のガイドのいずれかに従って行います。

Azure SQL Database を作成する 1 つ目のテナントで、マルチテナント Microsoft Entra アプリケーションを作成して構成します。
「ユーザー割り当てマネージド ID を作成する」の手順を使用して、ユーザー割り当てマネージド ID を作成します。
マルチテナントアプリケーションのフェデレーション ID 資格情報として、ユーザー割り当てマネージド ID を構成します。
アプリケーション名とアプリケーション ID を記録しておきます。これは、Azure portal>[Microsoft Entra ID]>[エンタープライズアプリケーション] で作成されたアプリケーションを検索することで確認できます。

2 つ目のテナントで必要なリソース

Note

Azure AD および MSOnline PowerShell モジュールは、2024 年 3 月 30 日の時点で非推奨となります。詳細については、非推奨の最新情報を参照してください。この日以降、これらのモジュールのサポートは、Microsoft Graph PowerShell SDK への移行支援とセキュリティ修正プログラムに限定されます。非推奨になるモジュールは、2025 年 3 月 30 日まで引き続き機能します。

Microsoft Entra ID (旧称 Azure AD) を使用するには、 Microsoft Graph PowerShell に移行することをお勧めします。移行に関する一般的な質問については、「移行に関する FAQ」を参照してください。注: バージョン 1.0.x の MSOnline では、2024 年 6 月 30 日以降に中断が発生する可能性があります。

Azure Key Vault が存在する 2 つ目のテナントでは、1 つ目のテナントの登録済みアプリケーションのアプリケーション ID を使ってサービスプリンシパル (アプリケーション) を作成します。マルチテナントアプリケーションを登録する方法の例をいくつか次に示します。 <TenantID> と <ApplicationID> をそれぞれ、Microsoft Entra ID のクライアント テナント ID と、マルチテナントアプリケーションのアプリケーション ID に置き換えます。
- PowerShell:
```
Connect-AzureAD -TenantID <TenantID>
New-AzADServicePrincipal  -ApplicationId <ApplicationID>
```
- Azure CLI:
```
az login --tenant <TenantID>
az ad sp create --id <ApplicationID>
```
Azure portal>[Microsoft Entra ID]>[エンタープライズアプリケーション] に移動し、作成したアプリケーションを検索します。
Azure Key Vault を持っていなければ作成し、キーを作成します。
アクセスポリシーを作成または設定します。
1. アクセスポリシーを作成するときに、[キーのアクセス許可] で [キーの取得、キーの折り返し、キーの折り返し解除] のアクセス許可を選択します。
2. アクセスポリシーを作成するときに、最初のステップで作成したマルチテナントアプリケーションを [プリンシパル] オプションで選択します。
アクセスポリシーとキーが作成されたら、Key Vault からキーを取得して、キー識別子を記録します。

データベースレベルのカスタマーマネージドキーを使用して新しい Azure SQL Database を作成する

ユーザー割り当てマネージド ID を使用して Azure SQL Database にデータベースを作成する例と、データベースレベルでテナント間カスタマーマネージドキーを設定する方法を次に示します。ユーザー割り当てマネージド ID は、データベース作成フェーズの間に Transparent Data Encryption 用にカスタマーマネージドキーを設定するために必要です。

Azure portal の [SQL デプロイオプションの選択] ページを参照します。
まだ Azure portal にサインインしていない場合は、求められたらサインインします。
[SQL データベース] で、 [リソースの種類] を [単一データベース] に設定し、 [作成] を選択します。
[SQL データベースの作成] フォームの [基本] タブにある [プロジェクトの詳細] で、データベースの Azure [サブスクリプション]、[リソースグループ]、[サーバー] を選びます。次に、[データベース名] に一意の名前を指定します。 Azure SQL Database 用の論理サーバーを作成していない場合は、「TDE とテナント間カスタマーマネージドキー (CMK) を使用して構成されたサーバーを作成する」をご覧ください。
[セキュリティ] タブに移動したら、[Transparent Data Encryption を構成する] を選びます。
[Transparent Data Encryption ] のメニューで、[Database level customer managed key (CMK)] (データベースレベルのカスタマーマネージドキー) を選びます。
[User-Assigned Managed Identity] (ユーザー割り当てマネージド ID) では、[Configure] (構成) を選択して[Database identity] (データベース ID) を有効にし、[Identity] (ID) メニューの一覧に目的の ID がない場合はユーザー割り当てマネージド ID をリソースに [Add] (追加) で設定します。次に、[適用] を選択します。

Note

TDE 用のテナント間 CMK を構成している場合は、ここで [フェデレーションクライアント ID] を構成できます。
[Transparent Data Encryption] のメニューで、[Change key] (鍵変更) を選びます。 TDE に使用するカスタマーマネージドキーの目的のサブスクリプション、キーコンテナー、キー、バージョンを選択します。 [選択] ボタンを選択します。キーを選んだら、必要に応じて、[Transparent Data Encryption] メニューで Azure Key Vault の URI (オブジェクト識別子) を使ってデータベースキーを追加することもできます。

[Transparent data encryption] (透過的なデータ暗号化) メニューの [Auto-rotate key] (キーの自動ローテーション) チェックボックスを使用して、データベースレベルでキーの[Automatic key rotation (自動ローテーション)] を有効にすることもできます。
[適用] を選んで、データベースの作成を続けます。
ページの下部にある [確認と作成] を選択します
[確認と作成] ページで、確認後、 [作成] を選択します。

Note

ユーザー割り当てマネージド ID でキーコンテナーに対する適切なアクセス許可が有効になっていない場合、データベースの作成は失敗します。ユーザー割り当てマネージド ID には、キーコンテナーに対する "Get、wrapKey、unwrapKey" のアクセス許可が必要です。詳しくは、「カスタマーマネージドキーを使用した Transparent Data Encryption 用のマネージド ID」をご覧ください。

Azure CLI の現在のリリースのインストールについては、Azure CLI のインストールに関する記事を参照してください。

az sql db create コマンドを使って、ユーザー割り当てマネージド ID とテナント間カスタマーマネージド TDE で構成されたデータベースを作成します。 encryption-protector フィールドは、2 つ目のテナントのキー識別子を使用できます。 federated-client-id フィールドでは、マルチテナントアプリケーションのアプリケーション ID を使用できます。この --encryption-protector-auto-rotation パラメーターを使用すると、データベースレベルでキーの自動ローテーションを有効にすることができます。

az sql db create --resource-group $resourceGroupName --server $serverName --name mySampleDatabase --sample-name AdventureWorksLT --edition GeneralPurpose --compute-model Serverless --family Gen5 --capacity 2 --assign-identity --user-assigned-identity-id $identityid --encryption-protector $keyid --federated-client-id $federatedclientid --encryption-protector-auto-rotation True

PowerShell を使って、ユーザー割り当てマネージド ID とデータベースレベルのテナント間カスタマーマネージド TDE で構成されたデータベースを作成します。

Az PowerShell モジュールのインストール手順については、Azure PowerShell のインストールを参照してください。具体的なコマンドレットについては、「AzureRM.Sql」を参照してください。

New-AzSqlDatabase コマンドレットを使用します。

この例では次の値を置き換えます。

<ResourceGroupName>: Azure SQL 論理サーバーのリソースグループの名前
<DatabaseName>: 一意の Azure SQL データベース名を使用します
<ServerName>: 一意の Azure SQL 論理サーバー名を使用します
<UserAssignedIdentityId>: サーバーに割り当てるユーザー割り当てマネージド ID の一覧 (1 つ以上を指定できます)
<CustomerManagedKeyId>: 2 つ目のテナントの Key Vault のキー識別子
<FederatedClientId>: マルチテナントアプリケーションのアプリケーション ID
-EncryptionProtectorAutoRotation: データベースレベルでキーの自動ローテーションを有効にすることができます。

# create a server with user-assigned managed identity and cross-tenant customer-managed TDE with automatic key rotation enabled
$params = @{
    ResourceGroupName = '<ResourceGroupName>'
    ServerName = '<ServerName>'
    DatabaseName = '<DatabaseName>'
    AssignIdentity = $true
    UserAssignedIdentityId = '<UserAssignedIdentityId>'
    EncryptionProtector = '<CustomerManagedKeyId>'
    FederatedClientId = '<FederatedClientId>'
    EncryptionProtectorAutoRotation = $true
}

New-AzSqlDatabase @params

ユーザー割り当てマネージド ID とデータベースレベルのカスタマーマネージド TDE を持つ Azure SQL Database を作成する ARM テンプレートの例を次に示します。テナント間 CMK の場合は、2 つ目のテナントのキーコンテナーのキー識別子と、マルチテナントアプリケーションのアプリケーション ID を使います。

ARM テンプレートの詳細については、「Azure SQL Database および SQL Managed Instance 用 Azure Resource Manager テンプレート」を参照してください。

Azure portal のカスタムデプロイを使用し、エディターで独自のテンプレートを作成します。次に、例に貼り付けたら、構成を保存します。

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "server_name": {
      "type": "String"
    },
    "database_name": {
      "type": "String"
    },
    "user_assigned_identity": {
      "type": "String"
    },
    "encryption_protector": {
      "type": "String"
    },
    "federated_client_id": {
      "type": "String"
    },
    "location": {
      "type": "String"
    },
    "encryption_protector_auto_rotation": {
      "type": "bool"
    }
  },
  "variables": {},
  "resources": [
    {
      "type": "Microsoft.Sql/servers/databases",
      "apiVersion": "2023-02-01-preview",
      "name": "[concat(parameters('server_name'), concat('/',parameters('database_name')))]",
      "location": "[parameters('location')]",
      "sku": {
        "name": "Basic",
        "tier": "Basic",
        "capacity": 5
      },
      "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
          "[parameters('user_assigned_identity')]": {}
        }
      },
      "properties": {
        "collation": "SQL_Latin1_General_CP1_CI_AS",
        "maxSizeBytes": 104857600,
        "catalogCollation": "SQL_Latin1_General_CP1_CI_AS",
        "zoneRedundant": false,
        "readScale": "Disabled",
        "requestedBackupStorageRedundancy": "Geo",
        "maintenanceConfigurationId": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Maintenance/publicMaintenanceConfigurations/SQL_Default",
        "isLedgerOn": false,
        "encryptionProtector": "[parameters('encryption_protector')]",
        "federatedClientId": "[parameters('federated_client_id')]",
        "encryptionProtectorAutoRotation": "[parameters('encryption_protector_auto_rotation')]"
      }
    }
  ]
}

データベースレベルのカスタマーマネージドキーを使用して既存の Azure SQL Database を更新する

ユーザー割り当てマネージド ID を使用して Azure SQL Database の既存のデータベースを更新する例と、データベースレベルでテナント間カスタマーマネージドキーを設定する方法を次に示します。ユーザー割り当てマネージド ID は、データベース作成フェーズの間に Transparent Data Encryption 用にカスタマーマネージドキーを設定するために必要です。

Azure portal で、データベースレベルのカスタマーマネージドキーで更新する SQL データベース リソースに移動します。
[セキュリティ] で [ID] を選択します。このデータベースにユーザー割り当てマネージド ID を追加して、[保存] を選びます
次に、データベースの [セキュリティ] の下にある [データ暗号化] メニューに移動します。 [データベースレベルのカスタマーマネージドキー] を選びます。最後のステップで ID を構成したので、データベースの [データベース ID] は既に [有効] になっているはずです。
[キーの変更] を選びます。 TDE に使用するカスタマーマネージドキーの目的のサブスクリプション、キーコンテナー、キー、バージョンを選択します。 [選択] ボタンを選択します。キーを選んだら、必要に応じて、[Data Encryption] メニューでオブジェクト識別子を使ってデータベースキーを追加することもできます。

データベースレベルでキーの自動ローテーションを有効にする場合は、[キーの自動ローテーション] チェックボックスを選択します。
[保存] を選択します。

Azure CLI の現在のリリースのインストールについては、Azure CLI のインストールに関する記事を参照してください。

az sql db create コマンドを使って、ユーザー割り当てマネージド ID とテナント間カスタマーマネージド TDE で構成されたデータベースを更新します。 encryption-protector フィールドは、2 つ目のテナントのキー識別子を使用できます。 federated-client-id フィールドでは、マルチテナントアプリケーションのアプリケーション ID を使用できます。

ユーザー割り当てマネージド ID のリソース ID を取得するには、Azure portal でマネージド ID を検索します。マネージド ID を見つけて、[プロパティ] に移動します。 UMI リソース ID の例は、/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity> のようになります。この --encryption-protector-auto-rotation パラメーターを使用すると、データベースレベルでキーの自動ローテーションを有効にすることができます。

az sql db update --resource-group $resourceGroupName --server $serverName --name mySampleDatabase --sample-name AdventureWorksLT --edition GeneralPurpose --compute-model Serverless --family Gen5 --capacity 2 --assign-identity --user-assigned-identity-id $identityid --encryption-protector $keyid --federated-client-id $federatedclientid --keys $keys --keys-to-remove $keysToRemove --encryption-protector-auto-rotation True

リスト $keys はデータベースに追加するキーのスペース区切りリストであり、$keysToRemove はデータベースから削除する必要があるキーのスペース区切りリストです

$keys = '"https://yourvault.vault.azure.net/keys/yourkey1/6638b3667e384aefa31364f94d230000" "https://yourvault.vault.azure.net/keys/yourkey2/ fd021f84a0d94d43b8ef33154bca0000"'

$keysToRemove = '"https://yourvault.vault.azure.net/keys/yourkey3/6638b3667e384aefa31364f94d230000" "https://yourvault.vault.azure.net/keys/yourkey4/fd021f84a0d94d43b8ef33154bca0000"'

PowerShell を使って、ユーザー割り当てマネージド ID とデータベースレベルのテナント間カスタマーマネージド TDE で構成されたデータベースを更新します。

Set-AzSqlDatabase コマンドレットを使用します。

この例では次の値を置き換えます。

<ResourceGroupName>: Azure SQL 論理サーバーのリソースグループの名前
<DatabaseName>: 一意の Azure SQL データベース名を使用します
<ServerName>: 一意の Azure SQL 論理サーバー名を使用します
<UserAssignedIdentityId>: サーバーに割り当てるユーザー割り当てマネージド ID の一覧 (1 つ以上を指定できます)
<CustomerManagedKeyId>: 2 つ目のテナントの Key Vault のキー識別子
<FederatedClientId>: マルチテナントアプリケーションのアプリケーション ID
<ListOfKeys>: データベースに追加するデータベースレベルのカスタマーマネージドキーのコンマ区切りリスト
<ListOfKeysToRemove>: データベースから削除するデータベースレベルのカスタマーマネージドキーのコンマ区切りリスト
-EncryptionProtectorAutoRotation: データベースレベルでキーの自動ローテーションを有効にすることができます。

$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    ServerName = "<ServerName>"
    DatabaseName = "<DatabaseName>"
    AssignIdentity = $true
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    EncryptionProtector = "<CustomerManagedKeyId>"
    FederatedClientId = "<FederatedClientId>"
    KeyList = "<ListOfKeys>"
    KeysToRemove = "<ListOfKeysToRemove>"
    EncryptionProtectorAutoRotation = $true
}

Set-AzSqlDatabase @params

-KeyList と -KeysToRemove の例を次に示します。

$keysToAdd = "https://yourvault.vault.azure.net/keys/yourkey1/fd021f84a0d94d43b8ef33154bca0000","https://yourvault.vault.azure.net/keys/yourkey2/fd021f84a0d94d43b8ef33154bca0000"

$keysToRemove = "https://yourvault.vault.azure.net/keys/yourkey3/fd021f84a0d94d43b8ef33154bca0000"

ユーザー割り当てマネージド ID とデータベースレベルのカスタマーマネージド TDE を持つ Azure SQL Database を更新する ARM テンプレートの例を次に示します。テナント間 CMK の場合は、2 つ目のテナントの Key Vault のキー識別子と、マルチテナントアプリケーションのアプリケーション ID を使います。

ARM テンプレートの詳細については、「Azure SQL Database および SQL Managed Instance 用 Azure Resource Manager テンプレート」を参照してください。

Azure portal のカスタムデプロイを使用し、エディターで独自のテンプレートを作成します。次に、例に貼り付けたら、構成を保存します。

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "server_name": {
      "type": "String"
    },
    "database_name": {
      "type": "String"
    },
    "user_assigned_identity": {
      "type": "String"
    },
    "encryption_protector": {
      "type": "String"
    },
    "location": {
      "type": "String"
    },
    "federated_client_id": {
      "type": "String"
    },
    "keys_to_add": {
      "type": "Object"
    },
    "encryption_protector_auto_rotation": {
      "type": "bool"
    }
  },
  "variables": {},
  "resources": [
    {
      "type": "Microsoft.Sql/servers/databases",
      "apiVersion": "2023-02-01-preview",
      "name": "[concat(parameters('server_name'), concat('/',parameters('database_name')))]",
      "location": "[parameters('location')]",
      "sku": {
        "name": "Basic",
        "tier": "Basic",
        "capacity": 5
      },
      "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
          "[parameters('user_assigned_identity')]": {}
        }
      },
      "properties": {
        "collation": "SQL_Latin1_General_CP1_CI_AS",
        "maxSizeBytes": 104857600,
        "catalogCollation": "SQL_Latin1_General_CP1_CI_AS",
        "zoneRedundant": false,
        "readScale": "Disabled",
        "requestedBackupStorageRedundancy": "Geo",
        "maintenanceConfigurationId": "/subscriptions/e1775f9f-a286-474d-b6f0-29c42ac74554/providers/Microsoft.Maintenance/publicMaintenanceConfigurations/SQL_Default",
        "isLedgerOn": false,
        "encryptionProtector": "[parameters('encryption_protector')]",
        "keys": "[parameters('keys_to_add')]",
        "federatedClientId": "[parameters('federated_client_id')]",
        "encryptionProtectorAutoRotation": "[parameters('encryption_protector_auto_rotation')]"
      }
    }
  ]
}

encryption_protector と keys_to_add のパラメーターの例を次に示します。

    "keys_to_add": {
      "value": {
        "https://yourvault.vault.azure.net/keys/yourkey1/fd021f84a0d94d43b8ef33154bca0000": {},
        "https://yourvault.vault.azure.net/keys/yourkey2/fd021f84a0d94d43b8ef33154bca0000": {}
      }
    },
    "encryption_protector": {
      "value": "https://yourvault.vault.azure.net/keys/yourkey2/fd021f84a0d94d43b8ef33154bca0000"
    }

重要

データベースからキーを削除するには、特定のキーのキーディクショナリ値を null として渡す必要があります。たとえば、「 "https://yourvault.vault.azure.net/keys/yourkey1/fd021f84a0d94d43b8ef33154bca0000": null 」のように入力します。

Azure SQL Database のデータベースレベルのカスタマーマネージドキー設定を表示する

次に、データベースのデータベースレベルのカスタマーマネージドキーを取得する例を示します。 ARM リソース Microsoft.Sql/servers/databases には、既定では、データベースで構成された TDE 保護機能とマネージド ID のみが表示されます。キーの完全なリストを展開するには、-ExpandKeyList パラメーターを使用します。さらに、-KeysFilter "current" や特定の時点の値 (たとえば 2023-01-01) などのフィルターを使用して、現在使用されているキーと過去の特定の時点で使用されたキーを取得できます。これらのフィルターは、個々のデータベースクエリでのみサポートされ、サーバーレベルのクエリではサポートされません。

Azure portal でデータベースレベルのカスタマーマネージドキーを表示するには、SQL データベースリソースの [データ暗号化] メニューに移動します。

Azure CLI の現在のリリースのインストールについては、Azure CLI のインストールに関する記事を参照してください。

# Retrieve the basic database level customer-managed key settings from a database
az sql db show --resource-group $resourceGroupName --server $serverName --name mySampleDatabase

# Retrieve the basic database level customer-managed key settings from a database and all the keys ever added
az sql db show --resource-group $resourceGroupName --server $serverName --name mySampleDatabase --expand-keys

# Retrieve the basic database level customer-managed key settings from a database and the current keys in use
az sql db show --resource-group $resourceGroupName --server $serverName --name mySampleDatabase --expand-keys --keys-filter current

# Retrieve the basic database level customer-managed key settings from a database and the keys in use at a particular point in time
az sql db show --resource-group $resourceGroupName --server $serverName --name mySampleDatabase --expand-keys --keys-filter 01-01-2015

# Retrieve all the databases in a server to check which ones are configured with database level customer-managed keys
az sql db list --resource-group $resourceGroupName --server $serverName

Get-AzSqlDatabase コマンドレットを使用します。

# Retrieve the basic database level customer-managed key settings from a database
Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName>

# Retrieve the basic database level customer-managed key settings from a database and all the keys ever added
Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList

# Retrieve the basic database level customer-managed key settings from a database and the current keys in use
Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter "current"

# Retrieve the basic database level customer-managed key settings from a database and the keys in use at a particular point in time
Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter '2023-02-03 00:00:00'

# Retrieve all the databases in a server to check which ones are configured with database level customer-managed keys
Get-AzSqlDatabase -resourceGroupName <ResourceGroupName> -ServerName <ServerName> | Select DatabaseName, EncryptionProtector

2022-08-01-preview の Azure SQL Database 用 REST API を使用します。

データベースから基本的なデータベースレベルのカスタマーマネージドキー設定を取得します。

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}?api-version=2022-08-01-preview

データベースから基本的なデータベースレベルのカスタマーマネージドキー設定と、これまでに追加されたすべてのキーを取得します

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}?api-version=2022-08-01-preview&$expand=keys

データベースから基本的なデータベースレベルのカスタマーマネージドキー設定と、現在使用されているキーを取得します

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}?api-version=2022-08-01-preview&$expand=keys($filter=pointInTime('current'))

データベースから基本的なデータベースレベルのカスタマーマネージドキー設定と、特定の時点で使用されていたキーを取得します

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}?api-version=2022-08-01-preview&$expand=keys($filter=pointInTime('2023-02-04T01:57:42.49Z'))

論理サーバー内のすべてのキーを一覧表示する

サーバーの下の各データベースで使用されるすべてのキー (単なるプライマリ保護機能ではない) のリストをフェッチするには、キーフィルターを使用して個別にクエリを実行する必要があります。論理サーバーの下の各キーを一覧表示する PowerShell クエリの例を次に示します。

Get-AzSqlDatabase コマンドレットを使用します。

$dbs = Get-AzSqlDatabase -resourceGroupName <ResourceGroupName> -ServerName <ServerName>
foreach ($db in $dbs)
{
Get-AzSqlDatabase -DatabaseName $db.DatabaseName -ServerName $db.ServerName -ResourceGroupName $db.ResourceGroupName -ExpandKeyList
}

Azure SQL Database のデータベースレベルのカスタマーマネージドキーを再検証する

CMK を使用した Transparent Data Encryption (TDE) に関する記事で説明されているように、TDE 保護機能にアクセスできない場合は、キーアクセスを修正した後、キーの再検証操作を使ってデータベースにアクセスできるようにすることができます。例については、以下の手順またはコマンドをご覧ください。

Azure portal を使って、SQL データベースリソースを見つけます。 SQL データベースリソースを選んだら、[セキュリティ] 設定の下にある [データ暗号化] メニューの [Transparent Data Encryption] タブに移動します。データベースが Azure Key Vault にアクセスできなくなった場合は、[キーの再検証] ボタンが表示され、[既存のキーの再試行] を選んで既存のキーを再検証するか、[バックアップキーの選択] を選んで別のキーを再検証することができます。

Azure CLI の現在のリリースのインストールについては、Azure CLI のインストールに関する記事を参照してください。

az sql db tde key revalidate --resource-group $resourceGroupName --server $serverName --database mySampleDatabase

Invoke-AzSqlDatabaseTransparentDataEncryptionProtectorRevalidation を使用すると、データベースにアクセスできるようにします。

Invoke-AzSqlDatabaseTransparentDataEncryptionProtectorRevalidation -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName>

2022-08-01-preview の Azure SQL Database 用 REST API を使用します。

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/encryptionProtector/current/revalidate?api-version=2022-08-01-preview

Azure SQL Database のデータベースレベルのカスタマーマネージドキーを元に戻す

次のコマンドを使用してサーバーにサービスマネージドキーが構成されている場合、データベースレベルの CMK が構成されたデータベースをサーバーレベルの暗号化に戻すことができます。

Azure portal でデータベースレベルのカスタマーマネージドキーの設定をサーバーレベルの暗号化キーに戻すには、[Data Encryption (データ暗号化)] メニューの [Transparent Data Encryption] タブに移動します。 [Server level encryption key] (サーバーレベルの暗号化キー) を選び、[保存] を選んで設定を保存します。

Note

個々のデータベースに対して [Server level encryption key] (サーバーレベルの暗号化キー) の設定を使うには、Azure SQL Database の論理サーバーが TDE にサービスマネージドキーを使うように構成されている必要があります。

Azure CLI の現在のリリースのインストールについては、Azure CLI のインストールに関する記事を参照してください。

az sql db tde key revert --resource-group $resourceGroupName --server $serverName --name mySampleDatabase

Invoke-AzSqlDatabaseTransparentDataEncryptionProtectorRevert を使用すると、この操作を実行できます。

Invoke-AzSqlDatabaseTransparentDataEncryptionProtectorRevert -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName>

2022-08-01-preview の Azure SQL Database 用 REST API を使用します。

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/encryptionProtector/current/revert?api-version=2022-08-01-preview

次のステップ

さまざまなデータベースレベルの CMK 操作に関する次のドキュメントを確認してください。

次の方法で共有

データベースレベル CMK を使用した TDE の ID とキーの管理

前提条件

1 つ目のテナントで必要なリソース

2 つ目のテナントで必要なリソース

データベースレベルのカスタマーマネージドキーを使用して新しい Azure SQL Database を作成する

データベースレベルのカスタマーマネージドキーを使用して既存の Azure SQL Database を更新する

Azure SQL Database のデータベースレベルのカスタマーマネージドキー設定を表示する

論理サーバー内のすべてのキーを一覧表示する

Azure SQL Database のデータベースレベルのカスタマーマネージドキーを再検証する

Azure SQL Database のデータベースレベルのカスタマーマネージドキーを元に戻す

次のステップ

フィードバック

その他のリソース

次の方法で共有

データベース レベル CMK を使用した TDE の ID とキーの管理

前提条件

1 つ目のテナントで必要なリソース

2 つ目のテナントで必要なリソース

データベース レベルのカスタマー マネージド キーを使用して新しい Azure SQL Database を作成する

データベース レベルのカスタマー マネージド キーを使用して既存の Azure SQL Database を更新する

Azure SQL Database のデータベース レベルのカスタマー マネージド キー設定を表示する

論理サーバー内のすべてのキーを一覧表示する

Azure SQL Database のデータベース レベルのカスタマー マネージド キーを再検証する

Azure SQL Database のデータベース レベルのカスタマー マネージド キーを元に戻す

次のステップ

フィードバック

その他のリソース

データベースレベル CMK を使用した TDE の ID とキーの管理

データベースレベルのカスタマーマネージドキーを使用して新しい Azure SQL Database を作成する

データベースレベルのカスタマーマネージドキーを使用して既存の Azure SQL Database を更新する

Azure SQL Database のデータベースレベルのカスタマーマネージドキー設定を表示する

Azure SQL Database のデータベースレベルのカスタマーマネージドキーを再検証する

Azure SQL Database のデータベースレベルのカスタマーマネージドキーを元に戻す