Een server maken die is geconfigureerd met door de gebruiker toegewezen beheerde identiteit en door de klant beheerde TDE

Van toepassing op: Azure SQL Database

Deze instructiegids bevat een overzicht van de stappen voor het maken van een logische server in Azure die is geconfigureerd met TDE (Transparent Data Encryption) met door de klant beheerde sleutels (CMK) met behulp van een door de gebruiker toegewezen beheerde identiteit voor toegang tot Azure Key Vault.

Notitie

Microsoft Entra-id is de nieuwe naam voor Azure Active Directory (Azure AD). Op dit moment wordt de documentatie bijgewerkt.

Vereisten

• In deze instructiegids wordt ervan uitgegaan dat u al een Azure Key Vault hebt gemaakt en er een sleutel in hebt geïmporteerd voor gebruik als TDE-protector voor Azure SQL Database. Zie transparante gegevensversleuteling met BYOK-ondersteuning voor meer informatie.
• Beveiliging tegen voorlopig verwijderen en opschonen moet zijn ingeschakeld voor de sleutelkluis
• U moet een door de gebruiker toegewezen beheerde identiteit hebben gemaakt en deze de vereiste TDE-machtigingen (Get, Wrap Key, Unwrap Key) hebben opgegeven in de bovenstaande sleutelkluis. Zie Een door de gebruiker toegewezen beheerde identiteit maken voor informatie over het maken van een door de gebruiker toegewezen beheerde identiteit.
• U moet Azure PowerShell hebben geïnstalleerd en uitgevoerd.
• [Aanbevolen maar optioneel] Maak eerst het sleutelmateriaal voor de TDE-protector in een HSM (Hardware Security Module) of lokaal sleutelarchief en importeer het sleutelmateriaal in Azure Key Vault. Volg de instructies voor het gebruik van een HSM (Hardware Security Module) en Key Vault voor meer informatie.

Een server maken die is geconfigureerd met TDE met door de klant beheerde sleutel (CMK)

De volgende stappen geven een overzicht van het proces voor het maken van een nieuwe logische Azure SQL Database-server en een nieuwe database waaraan een door de gebruiker toegewezen beheerde identiteit is toegewezen. De door de gebruiker toegewezen beheerde identiteit is vereist voor het configureren van een door de klant beheerde sleutel voor TDE tijdens het maken van de server.

Portal

1. Blader naar de optiepagina sql-implementatie selecteren in Azure Portal.

2. Als u nog niet bent aangemeld bij Azure Portal, meldt u zich aan wanneer u hierom wordt gevraagd.

3. Laat onder SQL-databases de optie Resourcetype ingesteld op Eén database en selecteer Maken.

4. Selecteer op het tabblad Basisinformatie van het formulier SQL-database maken, onder Projectgegevens, het gewenste Azure-abonnement.

5. Selecteer Nieuwe maken voor de resourcegroep, voer een naam in voor uw resourcegroep en selecteer OK.

6. Voer de naam van de database in ContosoHR.

7. Selecteer voor Server de optie Nieuwe maken en vul het formulier Nieuwe server in met de volgende waarden:

   • Servernaam: Voer een unieke servernaam in. Servernamen moeten globaal uniek zijn voor alle servers in Azure, niet alleen uniek binnen een abonnement. Voer iets als mysqlserver135in en azure Portal laat u weten of deze beschikbaar is of niet.
   • Aanmelding van de serverbeheerder: voer een aanmeldingsnaam van een beheerder in, bijvoorbeeld: azureuser.
   • Wachtwoord: voer een wachtwoord in dat voldoet aan de wachtwoordvereisten en voer het opnieuw in het veld Wachtwoord bevestigen in.
   • Locatie: Selecteer een locatie in de vervolgkeuzelijst

8. Selecteer Volgende: Netwerken onder aan de pagina.

9. Selecteer op het tabblad Netwerken voor Verbindingsmethode de optie Openbaar eindpunt.

10. Stel voor Firewallregels de optie Huidig IP-adres van client toevoegen in op Ja. Laat de instelling voor Toestaan dat Azure-services en -resources toegang tot deze server krijgen ongewijzigd op Nee.

    

11. Selecteer Volgende: Beveiliging onderaan de pagina.

12. Selecteer Identiteiten configureren op het tabblad Beveiliging onder Serveridentiteit.

    

13. Selecteer op de blade Identiteit de optie Uit voor door het systeem toegewezen beheerde identiteit en selecteer vervolgens Toevoegen onder Door de gebruiker toegewezen beheerde identiteit. Selecteer het gewenste abonnement en selecteer vervolgens onder Door de gebruiker toegewezen beheerde identiteiten de gewenste door de gebruiker toegewezen beheerde identiteit in het geselecteerde abonnement. Selecteer vervolgens de knop Toevoegen .

    

    

14. Selecteer onder Primaire identiteit dezelfde door de gebruiker toegewezen beheerde identiteit die in de vorige stap is geselecteerd.

    

15. Selecteer toepassen

16. Op het tabblad Beveiliging, onder Transparent Data Encryption Key Management, kunt u transparante gegevensversleuteling configureren voor de server of database.

    • Voor de sleutel op serverniveau: selecteer Transparante gegevensversleuteling configureren. Selecteer Door de klant beheerde sleutel en een optie om een sleutel selecteren te selecteren, wordt weergegeven. Selecteer Sleutel wijzigen. Selecteer het gewenste abonnement, de sleutelkluis, de sleutel en de versie voor de door de klant beheerde sleutel die moet worden gebruikt voor TDE. Selecteer de knop Selecteren.

    

    

    • Voor de sleutel op databaseniveau: selecteer Transparante gegevensversleuteling configureren. Selecteer Door de klant beheerde sleutel op databaseniveau en er wordt een optie weergegeven voor het configureren van de database-identiteit en de door de klant beheerde sleutel. Selecteer Configureren om een door de gebruiker toegewezen beheerde identiteit voor de database te configureren, vergelijkbaar met stap 13. Selecteer Sleutel wijzigen om een door de klant beheerde sleutel te configureren. Selecteer het gewenste abonnement, de sleutelkluis, de sleutel en de versie voor de door de klant beheerde sleutel die moet worden gebruikt voor TDE. U kunt de sleutel ook automatisch draaien inschakelen in het menu Transparent Data Encryption. Selecteer de knop Selecteren.

    

17. Selecteer toepassen

18. Selecteer Beoordelen en maken onder aan de pagina

19. Selecteer op de pagina Controleren en maken na het controleren de optie Maken.

De Azure CLI

Zie het artikel Azure CLI installeren voor meer informatie over het installeren van de huidige versie van Azure CLI.

Maak een server die is geconfigureerd met door de gebruiker toegewezen beheerde identiteit en door de klant beheerde TDE met behulp van de opdracht az sql server create .

az sql server create \
    --name $serverName \
    --resource-group $resourceGroupName \
    --location $location  \
    --admin-user $adminlogin \
    --admin-password $password \
    --assign-identity \
    --identity-type $identitytype \
    --user-assigned-identity-id $identityid \
    --primary-user-assigned-identity-id $primaryidentityid \
    --key-id $keyid
 

Maak een database met de opdracht az sql db create.

az sql db create \
    --resource-group $resourceGroupName \
    --server $serverName \
    --name mySampleDatabase \
    --sample-name AdventureWorksLT \
    --edition GeneralPurpose \
    --compute-model Serverless \
    --family Gen5 \
    --capacity 2

PowerShell

Maak een server die is geconfigureerd met door de gebruiker toegewezen beheerde identiteit en door de klant beheerde TDE met behulp van PowerShell.

Zie Azure PowerShell installeren voor instructies voor de installatie van de Az PowerShell-module. Zie AzureRM.Sql voor specifieke cmdlets.

Gebruik de cmdlet New-AzSqlServer .

Vervang de volgende waarden in het voorbeeld:

• <ResourceGroupName>: Naam van de resourcegroep voor uw logische Azure SQL-server
• <Location>: locatie van de server, zoals West US, of Central US
• <ServerName>: Een unieke naam voor een logische Azure SQL-server gebruiken
• <ServerAdminName>: De sql Beheer istratoraanmelding
• <ServerAdminPassword>: het wachtwoord van de SQL-Beheer istrator
• <IdentityType>: Het type identiteit dat moet worden toegewezen aan de server. Mogelijke waarden zijnSystemAssigned, UserAssignedSystemAssigned,UserAssigned en Geen
• <UserAssignedIdentityId>: De lijst met door de gebruiker toegewezen beheerde identiteiten die aan de server moeten worden toegewezen (kan een of meerdere zijn)
• <PrimaryUserAssignedIdentityId>: De door de gebruiker toegewezen beheerde identiteit die moet worden gebruikt als de primaire of standaardinstelling op deze server
• <CustomerManagedKeyId>: Sleutel-id en kan worden opgehaald uit de sleutel in Key Vault

Als u de resource-id van uw door de gebruiker toegewezen beheerde identiteit wilt ophalen, zoekt u in Azure Portal naar beheerde identiteiten. Zoek uw beheerde identiteit en ga naar Eigenschappen. Een voorbeeld van uw UMI-resource-id ziet er als volgt uit/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>

# create a server with user-assigned managed identity and customer-managed TDE
$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    SqlAdministratorCredentials = (Get-Credential)
    SqlAdministratorLogin = "<ServerAdminName>"
    SqlAdministratorPassword = "<ServerAdminPassword>"
    AssignIdentity = $true
    IdentityType = "<IdentityType>"
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    PrimaryUserAssignedIdentityId = "<PrimaryUserAssignedIdentityId>"
    KeyId = "<CustomerManagedKeyId>"
}

New-AzSqlServer @params

Azure VPN-gateway

Hier volgt een voorbeeld van een ARM-sjabloon waarmee een logische server in Azure wordt gemaakt met een door de gebruiker toegewezen beheerde identiteit en door de klant beheerde TDE. De sjabloon voegt ook een Microsoft Entra-beheerdersset toe voor de server en schakelt Microsoft Entra-verificatie in, maar dit kan worden verwijderd uit het sjabloonvoorbeeld.

Zie Azure Resource Manager-sjablonen voor Azure SQL Database & SQL Managed Instance voor meer informatie en ARM-sjablonen.

Gebruik een aangepaste implementatie in Azure Portal en bouw uw eigen sjabloon in de editor. Sla vervolgens de configuratie op nadat u in het voorbeeld hebt geplakt.

Als u de resource-id van uw door de gebruiker toegewezen beheerde identiteit wilt ophalen, zoekt u in Azure Portal naar beheerde identiteiten. Zoek uw beheerde identiteit en ga naar Eigenschappen. Een voorbeeld van uw UMI-resource-id ziet er als volgt uit/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "String"
        },
        "location": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity."
            }
        },
        "keyvault_url": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The key vault URI."
            }
        },
        "AdminLogin": {
            "minLength": 1,
            "type": "String"
        },
        "AdminLoginPassword": {
            "type": "SecureString"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "administratorLogin": "[parameters('AdminLogin')]",
                "administratorLoginPassword": "[parameters('AdminLoginPassword')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "KeyId": "[parameters('keyvault_url')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Volgende stappen

• Aan de slag met Azure Key Vault-integratie en Bring Your Own Key-ondersteuning voor TDE: Schakel TDE in met uw eigen sleutel uit Key Vault.