Identiteits- en sleutelbeheer voor TDE met door de klant beheerde sleutels op databaseniveau

Van toepassing op: Azure SQL Database

Notitie

• TDE CMK op databaseniveau is beschikbaar voor Azure SQL Database (alle SQL Database-edities). Het is niet beschikbaar voor Azure SQL Managed Instance, on-premises SQL Server, Azure-VM's en Azure Synapse Analytics (toegewezen SQL-pools (voorheen SQL DW)).
• Dezelfde handleiding kan worden toegepast om door de klant beheerde sleutels op databaseniveau in dezelfde tenant te configureren door de parameter federatieve client-id uit te sluiten. Zie Transparent Data Encryption (TDE) met door de klant beheerde sleutels op databaseniveau voor meer informatie over door de klant beheerde sleutels op databaseniveau.

In deze handleiding doorlopen we de stappen voor het maken, bijwerken en ophalen van een Azure SQL Database met transparante gegevensversleuteling (TDE) en door de klant beheerde sleutels (CMK) op databaseniveau, waarbij gebruik wordt gemaakt van een door de gebruiker toegewezen beheerde identiteit voor toegang tot Azure Key Vault. De Azure Key Vault bevindt zich in een andere Microsoft Entra-tenant dan de Azure SQL Database. Zie door de klant beheerde sleutels voor meerdere tenants met transparante gegevensversleuteling voor meer informatie.

Notitie

Microsoft Entra-id is de nieuwe naam voor Azure Active Directory (Azure AD). Op dit moment wordt de documentatie bijgewerkt.

Vereisten

• In deze handleiding wordt ervan uitgegaan dat u twee Microsoft Entra-tenants hebt.
  • De eerste bestaat uit de Azure SQL Database-resource, een Microsoft Entra-toepassing met meerdere tenants en een door de gebruiker toegewezen beheerde identiteit.
  • De tweede tenant bevat de Azure Key Vault.
• Raadpleeg een van de volgende handleidingen voor uitgebreide instructies over het instellen van CMK voor meerdere tenants en de RBAC-machtigingen die nodig zijn voor het configureren van Microsoft Entra-toepassingen en Azure Key Vault:
  • Door de klant beheerde sleutels voor meerdere tenants configureren voor een nieuw opslagaccount
  • Door de klant beheerde sleutels voor meerdere tenants configureren voor een bestaand opslagaccount
• Azure CLI versie 2.52.0 of hoger.
• Az PowerShell module versie 10.3.0 of hoger.
• De RBAC-machtigingen die nodig zijn voor CMK op databaseniveau zijn dezelfde machtigingen die vereist zijn voor CMK op serverniveau. Met name zijn dezelfde RBAC-machtigingen die van toepassing zijn bij het gebruik van Azure Key Vault, beheerde identiteiten en CMK voor meerdere tenants voor TDE op serverniveau, van toepassing op databaseniveau. Zie Sleutelbeheer voor meer informatie over sleutelbeheer en toegangsbeleid.

Vereiste resources voor de eerste tenant

Voor deze zelfstudie gaan we ervan uit dat de eerste tenant deel uitmaakt van een onafhankelijke softwareleverancier (ISV) en dat de tweede tenant afkomstig is van hun client. Zie voor meer informatie over dit scenario door de klant beheerde sleutels voor meerdere tenants met transparante gegevensversleuteling.

Voordat we TDE kunnen configureren voor Azure SQL Database met een CMK voor meerdere tenants, moeten we een Microsoft Entra-toepassing met meerdere tenants hebben die is geconfigureerd met een door de gebruiker toegewezen beheerde identiteit die is toegewezen als federatieve identiteitsreferentie voor de toepassing. Volg een van de handleidingen in de vereisten.

1. In de eerste tenant waar u de Azure SQL Database wilt maken, maakt en configureert u een Microsoft Entra-toepassing met meerdere tenants.

2. Een door een gebruiker toegewezen beheerde identiteit maken.

3. Configureer de door de gebruiker toegewezen beheerde identiteit als een federatieve identiteitsreferentie voor de toepassing met meerdere tenants.

4. Noteer de naam van de toepassing en de toepassings-id. Deze vindt u in Azure Portal>Microsoft Entra ID>Enterprise-toepassingen en zoekt naar de gemaakte toepassing.

Vereiste resources voor de tweede tenant

1. Maak in de tweede tenant waarin de Azure Key Vault zich bevindt een service-principal (toepassing) met behulp van de toepassings-id van de geregistreerde toepassing van de eerste tenant. Hier volgen enkele voorbeelden van het registreren van de toepassing voor meerdere tenants. Vervang en vervang <TenantID> de <ApplicationID> clienttenant-id van Microsoft Entra ID en toepassings-id uit respectievelijk de toepassing met meerdere tenants:

   • PowerShell:

     Connect-AzureAD -TenantID <TenantID>
     New-AzADServicePrincipal  -ApplicationId <ApplicationID>
     

   • De Azure CLI:

     az login --tenant <TenantID>
     az ad sp create --id <ApplicationID>
     

2. Ga naar De Microsoft Entra ID>Enterprise-toepassingen van Azure Portal>en zoek naar de toepassing die is gemaakt.

3. Maak een Azure Key Vault als u er nog geen hebt en maak een sleutel.

4. Het toegangsbeleid maken of instellen.

   1. Selecteer bij het maken van het toegangsbeleid de machtigingen Ophalen, Sleutel verpakken, Sleutel uitpakken onder Sleutelmachtigingen .
   2. Selecteer de toepassing met meerdere tenants die u in de eerste stap in de optie Principal hebt gemaakt bij het maken van het toegangsbeleid.

   

5. Zodra het toegangsbeleid en de sleutel zijn gemaakt, haalt u de sleutel op uit Key Vault en registreert u de sleutel-id.

Een nieuwe Azure SQL Database maken met door de klant beheerde sleutels op databaseniveau

Hier volgen voorbeelden voor het maken van een database in Azure SQL Database met een door de gebruiker toegewezen beheerde identiteit en het instellen van een door de gebruiker beheerde sleutel voor meerdere tenants op databaseniveau. De door de gebruiker toegewezen beheerde identiteit is vereist voor het instellen van een door de klant beheerde sleutel voor transparante gegevensversleuteling tijdens de fase voor het maken van de database.

Portal

1. Blader naar de optiepagina sql-implementatie selecteren in Azure Portal.

2. Als u nog niet bent aangemeld bij Azure Portal, meldt u zich aan wanneer u hierom wordt gevraagd.

3. Laat onder SQL-databases de optie Resourcetype ingesteld op Eén database en selecteer Maken.

4. Selecteer op het tabblad Basisbeginselen van het formulier SQL Database maken onder Projectdetails het gewenste Azure-abonnement, de resourcegroep en de server voor uw database. Gebruik vervolgens een unieke naam voor uw databasenaam. Als u geen logische server voor Azure SQL Database hebt gemaakt, raadpleegt u De server maken die is geconfigureerd met TDE met door de klant beheerde sleutel (CMK) voor meerdere tenants voor naslaginformatie.

5. Wanneer u bij het tabblad Beveiliging bent, selecteert u Transparante gegevensversleuteling configureren.

   

6. Selecteer in het menu Transparante gegevensversleuteling de door de klant beheerde sleutel (CMK) op databaseniveau.

   

7. Voor door de gebruiker toegewezen beheerde identiteit selecteert u Configureren om een database-identiteit in te schakelen en voegt u een door de gebruiker toegewezen beheerde identiteit toe aan de resource als een gewenste identiteit niet wordt weergegeven in het menu Identiteit. Selecteer vervolgens Toepassen.

   

   Notitie

   U kunt hier de federatieve clientidentiteit configureren als u CMK voor meerdere tenants configureert voor TDE.

8. Selecteer In het menu Transparante gegevensversleuteling de optie Sleutel wijzigen. Selecteer het gewenste abonnement, de sleutelkluis, de sleutel en de versie voor de door de klant beheerde sleutel die moet worden gebruikt voor TDE. Selecteer de knop Selecteren. Nadat u een sleutel hebt geselecteerd, kunt u indien nodig extra databasesleutels toevoegen met behulp van de Azure Key Vault-URI (object-id) in het menu Transparante gegevensversleuteling .

   Automatische sleutelrotatie kan ook worden ingeschakeld op databaseniveau met behulp van het selectievakje Voor automatisch draaien van sleutels in het menu Transparante gegevensversleuteling.

   

9. Selecteer Toepassen om door te gaan met het maken van de database.

10. Selecteer Beoordelen en maken onder aan de pagina

11. Selecteer op de pagina Controleren en maken na het controleren de optie Maken.

Notitie

Het maken van de database mislukt als de door de gebruiker toegewezen beheerde identiteit niet over de juiste machtigingen beschikt voor de sleutelkluis. De door de gebruiker toegewezen beheerde identiteit heeft de machtigingen Get, WrapKey en UnwrapKey nodig voor de sleutelkluis. Zie Beheerde identiteiten voor transparante gegevensversleuteling met door de klant beheerde sleutel voor meer informatie.

Azure-CLI

Zie het artikel Azure CLI installeren voor meer informatie over het installeren van de huidige versie van Azure CLI.

Maak een database die is geconfigureerd met door de gebruiker toegewezen beheerde identiteit en door de klant beheerde TDE voor meerdere tenants met behulp van de opdracht az sql db create . De sleutel-id van de tweede tenant kan in het encryption-protector veld worden gebruikt. De toepassings-id van de toepassing met meerdere tenants kan in het federated-client-id veld worden gebruikt. De --encryption-protector-auto-rotation parameter kan worden gebruikt om automatische sleutelrotatie op databaseniveau in te schakelen.

Als u de resource-id van uw door de gebruiker toegewezen beheerde identiteit wilt ophalen, zoekt u in Azure Portal naar beheerde identiteiten. Zoek uw beheerde identiteit en ga naar Eigenschappen. Een voorbeeld van uw UMI-resource-id ziet er als volgt uit/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>

az sql db create --resource-group $resourceGroupName --server $serverName --name mySampleDatabase --sample-name AdventureWorksLT --edition GeneralPurpose --compute-model Serverless --family Gen5 --capacity 2 --assign-identity --user-assigned-identity-id $identityid --encryption-protector $keyid --federated-client-id $federatedclientid --encryption-protector-auto-rotation True

PowerShell

Maak een database die is geconfigureerd met door de gebruiker toegewezen beheerde identiteit en door de klant beheerde TDE voor meerdere tenants op databaseniveau met behulp van PowerShell.

Zie Azure PowerShell installeren voor instructies voor de installatie van de Az PowerShell-module. Zie AzureRM.Sql voor specifieke cmdlets.

Gebruik de cmdlet New-AzSqlDatabase .

Vervang de volgende waarden in het voorbeeld:

• <ResourceGroupName>: Naam van de resourcegroep voor uw logische Azure SQL-server
• <DatabaseName>: Een unieke Azure SQL-databasenaam gebruiken
• <ServerName>: Een unieke naam voor een logische Azure SQL-server gebruiken
• <UserAssignedIdentityId>: De lijst met door de gebruiker toegewezen beheerde identiteiten die aan de server moeten worden toegewezen (kan een of meerdere zijn)
• <CustomerManagedKeyId>: De sleutel-id uit de tweede tenantsleutelkluis
• <FederatedClientId>: De toepassings-id van de toepassing met meerdere tenants
• -EncryptionProtectorAutoRotation: Kan worden gebruikt om automatische sleutelrotatie op databaseniveau in te schakelen

Als u de resource-id van uw door de gebruiker toegewezen beheerde identiteit wilt ophalen, zoekt u in Azure Portal naar beheerde identiteiten. Zoek uw beheerde identiteit en ga naar Eigenschappen. Een voorbeeld van uw UMI-resource-id ziet er als volgt uit/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>

# create a server with user-assigned managed identity and cross-tenant customer-managed TDE with automatic key rotation enabled
$params = @{
    ResourceGroupName = '<ResourceGroupName>'
    ServerName = '<ServerName>'
    DatabaseName = '<DatabaseName>'
    AssignIdentity = $true
    UserAssignedIdentityId = '<UserAssignedIdentityId>'
    EncryptionProtector = '<CustomerManagedKeyId>'
    FederatedClientId = '<FederatedClientId>'
    EncryptionProtectorAutoRotation = $true
}

New-AzSqlDatabase @params

Azure VPN-gateway

Hier volgt een voorbeeld van een ARM-sjabloon waarmee een Azure SQL Database wordt gemaakt met een door de gebruiker toegewezen beheerde identiteit en door de klant beheerde TDE op databaseniveau. Voor een CMK voor meerdere tenants gebruikt u de sleutel-id uit de tweede tenantsleutelkluis en de toepassings-id van de toepassing met meerdere tenants.

Zie Azure Resource Manager-sjablonen voor Azure SQL Database & SQL Managed Instance voor meer informatie en ARM-sjablonen.

Gebruik een aangepaste implementatie in Azure Portal en bouw uw eigen sjabloon in de editor. Sla vervolgens de configuratie op nadat u in het voorbeeld hebt geplakt.

Als u de resource-id van uw door de gebruiker toegewezen beheerde identiteit wilt ophalen, zoekt u in Azure Portal naar beheerde identiteiten. Zoek uw beheerde identiteit en ga naar Eigenschappen. Een voorbeeld van uw UMI-resource-id ziet er als volgt uit/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "server_name": {
      "type": "String"
    },
    "database_name": {
      "type": "String"
    },
    "user_assigned_identity": {
      "type": "String"
    },
    "encryption_protector": {
      "type": "String"
    },
    "federated_client_id": {
      "type": "String"
    },
    "location": {
      "type": "String"
    },
    "encryption_protector_auto_rotation": {
      "type": "bool"
    }
  },
  "variables": {},
  "resources": [
    {
      "type": "Microsoft.Sql/servers/databases",
      "apiVersion": "2023-02-01-preview",
      "name": "[concat(parameters('server_name'), concat('/',parameters('database_name')))]",
      "location": "[parameters('location')]",
      "sku": {
        "name": "Basic",
        "tier": "Basic",
        "capacity": 5
      },
      "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
          "[parameters('user_assigned_identity')]": {}
        }
      },
      "properties": {
        "collation": "SQL_Latin1_General_CP1_CI_AS",
        "maxSizeBytes": 104857600,
        "catalogCollation": "SQL_Latin1_General_CP1_CI_AS",
        "zoneRedundant": false,
        "readScale": "Disabled",
        "requestedBackupStorageRedundancy": "Geo",
        "maintenanceConfigurationId": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Maintenance/publicMaintenanceConfigurations/SQL_Default",
        "isLedgerOn": false,
        "encryptionProtector": "[parameters('encryption_protector')]",
        "federatedClientId": "[parameters('federated_client_id')]",
        "encryptionProtectorAutoRotation": "[parameters('encryption_protector_auto_rotation')]"
      }
    }
  ]
}

Een bestaande Azure SQL Database bijwerken met door de klant beheerde sleutels op databaseniveau

Hier volgen voorbeelden van het bijwerken van een bestaande database in Azure SQL Database met een door de gebruiker toegewezen beheerde identiteit en het instellen van een door de gebruiker beheerde sleutel voor meerdere tenants op databaseniveau. De door de gebruiker toegewezen beheerde identiteit is vereist voor het instellen van een door de klant beheerde sleutel voor transparante gegevensversleuteling tijdens de fase voor het maken van de database.

Portal

1. Navigeer in Azure Portal naar de SQL-databaseresource die u wilt bijwerken met een door de klant beheerde sleutel op databaseniveau.

2. Selecteer Identiteit onder Beveiliging. Een door de gebruiker toegewezen beheerde identiteit voor deze database toevoegen en vervolgens Opslaan selecteren

3. Ga nu naar het menu Gegevensversleuteling onder Beveiliging voor uw database. Selecteer Door de klant beheerde sleutel (CMK) op databaseniveau. De database-identiteit voor de database moet al zijn ingeschakeld omdat u de identiteit in de laatste stap hebt geconfigureerd.

4. Selecteer Sleutel wijzigen. Selecteer het gewenste abonnement, de sleutelkluis, de sleutel en de versie voor de door de klant beheerde sleutel die moet worden gebruikt voor TDE. Selecteer de knop Selecteren. Nadat u een sleutel hebt geselecteerd, kunt u indien nodig extra databasesleutels toevoegen met behulp van de Azure Key Vault-URI (object-id) in het menu Gegevensversleuteling .

   Schakel het selectievakje Voor automatisch draaien van sleutels in als u automatische sleutelrotatie op databaseniveau wilt inschakelen.

   

5. Selecteer Opslaan.

Azure-CLI

Zie het artikel Azure CLI installeren voor meer informatie over het installeren van de huidige versie van Azure CLI.

Werk een database bij die is geconfigureerd met door de gebruiker toegewezen beheerde identiteit en door de klant beheerde TDE voor meerdere tenants met behulp van de opdracht az sql db create . De sleutel-id van de tweede tenant kan in het encryption-protector veld worden gebruikt. De toepassings-id van de toepassing met meerdere tenants kan in het federated-client-id veld worden gebruikt.

Als u de resource-id van uw door de gebruiker toegewezen beheerde identiteit wilt ophalen, zoekt u in Azure Portal naar beheerde identiteiten. Zoek uw beheerde identiteit en ga naar Eigenschappen. Een voorbeeld van uw UMI-resource-id ziet er als volgt uit/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>. De --encryption-protector-auto-rotation parameter kan worden gebruikt om automatische sleutelrotatie op databaseniveau in te schakelen.

az sql db update --resource-group $resourceGroupName --server $serverName --name mySampleDatabase --sample-name AdventureWorksLT --edition GeneralPurpose --compute-model Serverless --family Gen5 --capacity 2 --assign-identity --user-assigned-identity-id $identityid --encryption-protector $keyid --federated-client-id $federatedclientid --keys $keys --keys-to-remove $keysToRemove --encryption-protector-auto-rotation True

De lijst $keys is een door spaties gescheiden lijst met sleutels die moeten worden toegevoegd aan de database en $keysToRemove is een door spatie gescheiden lijst met sleutels die uit de database moeten worden verwijderd

$keys = '"https://yourvault.vault.azure.net/keys/yourkey1/6638b3667e384aefa31364f94d230000" "https://yourvault.vault.azure.net/keys/yourkey2/ fd021f84a0d94d43b8ef33154bca0000"'

$keysToRemove = '"https://yourvault.vault.azure.net/keys/yourkey3/6638b3667e384aefa31364f94d230000" "https://yourvault.vault.azure.net/keys/yourkey4/fd021f84a0d94d43b8ef33154bca0000"'

PowerShell

Werk een database bij die is geconfigureerd met door de gebruiker toegewezen beheerde identiteit en door de klant beheerde TDE voor meerdere tenants op databaseniveau met behulp van PowerShell.

Zie Azure PowerShell installeren voor instructies voor de installatie van de Az PowerShell-module. Zie AzureRM.Sql voor specifieke cmdlets.

Gebruik de cmdlet Set-AzSqlDatabase .

Vervang de volgende waarden in het voorbeeld:

• <ResourceGroupName>: Naam van de resourcegroep voor uw logische Azure SQL-server
• <DatabaseName>: Een unieke Azure SQL-databasenaam gebruiken
• <ServerName>: Een unieke naam voor een logische Azure SQL-server gebruiken
• <UserAssignedIdentityId>: De lijst met door de gebruiker toegewezen beheerde identiteiten die aan de server moeten worden toegewezen (kan een of meerdere zijn)
• <CustomerManagedKeyId>: De sleutel-id uit de tweede tenantsleutelkluis
• <FederatedClientId>: De toepassings-id van de toepassing met meerdere tenants
• <ListOfKeys>: De door komma's gescheiden lijst met door de klant beheerde sleutels op databaseniveau die moeten worden toegevoegd aan de database
• <ListOfKeysToRemove>: De door komma's gescheiden lijst met door de klant beheerde sleutels op databaseniveau die uit de database moeten worden verwijderd
• -EncryptionProtectorAutoRotation: Kan worden gebruikt om automatische sleutelrotatie op databaseniveau in te schakelen

Als u de resource-id van uw door de gebruiker toegewezen beheerde identiteit wilt ophalen, zoekt u in Azure Portal naar beheerde identiteiten. Zoek uw beheerde identiteit en ga naar Eigenschappen. Een voorbeeld van uw UMI-resource-id ziet er als volgt uit/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>.

$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    ServerName = "<ServerName>"
    DatabaseName = "<DatabaseName>"
    AssignIdentity = $true
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    EncryptionProtector = "<CustomerManagedKeyId>"
    FederatedClientId = "<FederatedClientId>"
    KeyList = "<ListOfKeys>"
    KeysToRemove = "<ListOfKeysToRemove>"
    EncryptionProtectorAutoRotation = $true
}

Set-AzSqlDatabase @params

Een voorbeeld van -KeyList en -KeysToRemove is:

$keysToAdd = "https://yourvault.vault.azure.net/keys/yourkey1/fd021f84a0d94d43b8ef33154bca0000","https://yourvault.vault.azure.net/keys/yourkey2/fd021f84a0d94d43b8ef33154bca0000"

$keysToRemove = "https://yourvault.vault.azure.net/keys/yourkey3/fd021f84a0d94d43b8ef33154bca0000"

Azure VPN-gateway

Hier volgt een voorbeeld van een ARM-sjabloon waarmee een Azure SQL Database wordt bijgewerkt met een door de gebruiker toegewezen beheerde identiteit en door de klant beheerde TDE op databaseniveau. Voor een CMK voor meerdere tenants gebruikt u de sleutel-id uit de tweede tenantsleutelkluis en de toepassings-id van de toepassing met meerdere tenants.

Zie Azure Resource Manager-sjablonen voor Azure SQL Database & SQL Managed Instance voor meer informatie en ARM-sjablonen.

Gebruik een aangepaste implementatie in Azure Portal en bouw uw eigen sjabloon in de editor. Sla vervolgens de configuratie op nadat u in het voorbeeld hebt geplakt.

Als u de resource-id van uw door de gebruiker toegewezen beheerde identiteit wilt ophalen, zoekt u in Azure Portal naar beheerde identiteiten. Zoek uw beheerde identiteit en ga naar Eigenschappen. Een voorbeeld van uw UMI-resource-id ziet er als volgt uit/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "server_name": {
      "type": "String"
    },
    "database_name": {
      "type": "String"
    },
    "user_assigned_identity": {
      "type": "String"
    },
    "encryption_protector": {
      "type": "String"
    },
    "location": {
      "type": "String"
    },
    "federated_client_id": {
      "type": "String"
    },
    "keys_to_add": {
      "type": "Object"
    },
    "encryption_protector_auto_rotation": {
      "type": "bool"
    }
  },
  "variables": {},
  "resources": [
    {
      "type": "Microsoft.Sql/servers/databases",
      "apiVersion": "2023-02-01-preview",
      "name": "[concat(parameters('server_name'), concat('/',parameters('database_name')))]",
      "location": "[parameters('location')]",
      "sku": {
        "name": "Basic",
        "tier": "Basic",
        "capacity": 5
      },
      "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
          "[parameters('user_assigned_identity')]": {}
        }
      },
      "properties": {
        "collation": "SQL_Latin1_General_CP1_CI_AS",
        "maxSizeBytes": 104857600,
        "catalogCollation": "SQL_Latin1_General_CP1_CI_AS",
        "zoneRedundant": false,
        "readScale": "Disabled",
        "requestedBackupStorageRedundancy": "Geo",
        "maintenanceConfigurationId": "/subscriptions/e1775f9f-a286-474d-b6f0-29c42ac74554/providers/Microsoft.Maintenance/publicMaintenanceConfigurations/SQL_Default",
        "isLedgerOn": false,
        "encryptionProtector": "[parameters('encryption_protector')]",
        "keys": "[parameters('keys_to_add')]",
        "federatedClientId": "[parameters('federated_client_id')]",
        "encryptionProtectorAutoRotation": "[parameters('encryption_protector_auto_rotation')]"
      }
    }
  ]
}

Een voorbeeld van de encryption_protector en keys_to_add parameter is:

    "keys_to_add": {
      "value": {
        "https://yourvault.vault.azure.net/keys/yourkey1/fd021f84a0d94d43b8ef33154bca0000": {},
        "https://yourvault.vault.azure.net/keys/yourkey2/fd021f84a0d94d43b8ef33154bca0000": {}
      }
    },
    "encryption_protector": {
      "value": "https://yourvault.vault.azure.net/keys/yourkey2/fd021f84a0d94d43b8ef33154bca0000"
    }

Belangrijk

Als u een sleutel uit de database wilt verwijderen, moet de waarde van de sleutelwoordenlijst van een bepaalde sleutel worden doorgegeven als null. Bijvoorbeeld: "https://yourvault.vault.azure.net/keys/yourkey1/fd021f84a0d94d43b8ef33154bca0000": null.

De door de klant beheerde sleutelinstellingen op databaseniveau weergeven in een Azure SQL Database

Hieronder ziet u voorbeelden van het ophalen van door de klant beheerde sleutels op databaseniveau voor een database. De ARM-resource Microsoft.Sql/servers/databases toont standaard alleen de TDE-beveiliging en beheerde identiteit die in de database zijn geconfigureerd. Als u de volledige lijst met sleutels wilt uitbreiden, gebruikt u de parameter. -ExpandKeyList Daarnaast kunnen filters zoals -KeysFilter "current" en een bepaald tijdstip (bijvoorbeeld 2023-01-01) worden gebruikt om de huidige gebruikte sleutels en sleutels op een bepaald tijdstip op te halen. Deze filters worden alleen ondersteund voor afzonderlijke databasequery's en niet voor query's op serverniveau.

Portal

Als u de door de klant beheerde sleutels op databaseniveau in Azure Portal wilt weergeven, gaat u naar het menu Gegevensversleuteling van de SQL-databaseresource.

Azure-CLI

Zie het artikel Azure CLI installeren voor meer informatie over het installeren van de huidige versie van Azure CLI.

# Retrieve the basic database level customer-managed key settings from a database
az sql db show --resource-group $resourceGroupName --server $serverName --name mySampleDatabase

# Retrieve the basic database level customer-managed key settings from a database and all the keys ever added
az sql db show --resource-group $resourceGroupName --server $serverName --name mySampleDatabase --expand-keys

# Retrieve the basic database level customer-managed key settings from a database and the current keys in use
az sql db show --resource-group $resourceGroupName --server $serverName --name mySampleDatabase --expand-keys --keys-filter current

# Retrieve the basic database level customer-managed key settings from a database and the keys in use at a particular point in time
az sql db show --resource-group $resourceGroupName --server $serverName --name mySampleDatabase --expand-keys --keys-filter 01-01-2015

# Retrieve all the databases in a server to check which ones are configured with database level customer-managed keys
az sql db list --resource-group $resourceGroupName --server $serverName

PowerShell

Zie Azure PowerShell installeren voor instructies voor de installatie van de Az PowerShell-module. Zie AzureRM.Sql voor specifieke cmdlets.

Gebruik de cmdlet Get-AzSqlDatabase .

# Retrieve the basic database level customer-managed key settings from a database
Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName>

# Retrieve the basic database level customer-managed key settings from a database and all the keys ever added
Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList

# Retrieve the basic database level customer-managed key settings from a database and the current keys in use
Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter "current"

# Retrieve the basic database level customer-managed key settings from a database and the keys in use at a particular point in time
Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter '2023-02-03 00:00:00'

# Retrieve all the databases in a server to check which ones are configured with database level customer-managed keys
Get-AzSqlDatabase -resourceGroupName <ResourceGroupName> -ServerName <ServerName> | Select DatabaseName, EncryptionProtector

REST API

Gebruik de REST API 2022-08-01-preview voor Azure SQL Database.

Haal de basisinstellingen voor door de klant beheerde sleutel op databaseniveau op uit een database.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}?api-version=2022-08-01-preview

De door de klant beheerde sleutelinstellingen op databaseniveau ophalen uit een database en alle sleutels die ooit zijn toegevoegd

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}?api-version=2022-08-01-preview&$expand=keys

De door de klant beheerde sleutelinstellingen op databaseniveau ophalen uit een database en de huidige sleutels die worden gebruikt

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}?api-version=2022-08-01-preview&$expand=keys($filter=pointInTime('current'))

De door de klant beheerde sleutelinstellingen op databaseniveau ophalen uit een database en de sleutels die op een bepaald tijdstip worden gebruikt

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}?api-version=2022-08-01-preview&$expand=keys($filter=pointInTime('2023-02-04T01:57:42.49Z'))

Alle sleutels op een logische server weergeven

Als u de lijst met alle sleutels (en niet alleen de primaire beveiliging) wilt ophalen die door elke database onder de server worden gebruikt, moet er afzonderlijk een query worden uitgevoerd met de sleutelfilters. Hier volgt een voorbeeld van een PowerShell-query om elke sleutel onder de logische server weer te geven.

Gebruik de cmdlet Get-AzSqlDatabase .

$dbs = Get-AzSqlDatabase -resourceGroupName <ResourceGroupName> -ServerName <ServerName>
foreach ($db in $dbs)
{
Get-AzSqlDatabase -DatabaseName $db.DatabaseName -ServerName $db.ServerName -ResourceGroupName $db.ResourceGroupName -ExpandKeyList
}

De door de klant beheerde sleutel op databaseniveau opnieuwvalideren in een Azure SQL Database

In het geval van een niet-toegankelijke TDE-beveiliging zoals beschreven in Transparent Data Encryption (TDE) met CMK, kan een hervalidatiesleutelbewerking worden gebruikt om de database toegankelijk te maken. Zie de volgende instructies of opdrachten voor voorbeelden.

Portal

Zoek uw SQL-databaseresource met behulp van Azure Portal. Nadat u uw SQL Database-resource hebt geselecteerd, gaat u naar het tabblad Transparent Data Encryption van het menu Gegevensversleuteling onder de beveiligingsinstellingen . Als de database geen toegang meer heeft tot De Azure Key Vault, wordt er een knop Opnieuwvalidate-sleutel weergegeven en kunt u de bestaande sleutel opnieuwvalideren door bestaande sleutel opnieuw proberen of een andere sleutel te selecteren door back-upsleutel selecteren te selecteren.

Azure-CLI

Zie het artikel Azure CLI installeren voor meer informatie over het installeren van de huidige versie van Azure CLI.

az sql db tde key revalidate --resource-group $resourceGroupName --server $serverName --database mySampleDatabase

PowerShell

Zie Azure PowerShell installeren voor instructies voor de installatie van de Az PowerShell-module. Zie AzureRM.Sql voor specifieke cmdlets.

Invoke-AzSqlDatabaseTransparentDataEncryptionProtectorRevalidation kan worden gebruikt om de database toegankelijk te maken.

Invoke-AzSqlDatabaseTransparentDataEncryptionProtectorRevalidation -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName>

REST API

Gebruik de REST API 2022-08-01-preview voor Azure SQL Database.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/encryptionProtector/current/revalidate?api-version=2022-08-01-preview

De door de klant beheerde sleutel op databaseniveau herstellen in een Azure SQL Database

Een database die is geconfigureerd met CMK op databaseniveau, kan worden teruggezet naar versleuteling op serverniveau als de server is geconfigureerd met een door de service beheerde sleutel met behulp van de volgende opdrachten.

Portal

Als u de door de klant beheerde sleutelinstelling op databaseniveau wilt terugzetten op versleutelingssleutel op serverniveau in Azure Portal, gaat u naar het tabblad Transparent Data Encryption van het menu Gegevensversleuteling van de SQL-databaseresource. Selecteer de versleutelingssleutel op serverniveau en selecteer Opslaan om de instellingen op te slaan.

Notitie

Als u de instelling voor versleutelingssleutel op serverniveau voor afzonderlijke databases wilt gebruiken, moet de logische server voor de Azure SQL Database worden geconfigureerd voor het gebruik van door de service beheerde sleutel voor TDE.

Azure-CLI

Zie het artikel Azure CLI installeren voor meer informatie over het installeren van de huidige versie van Azure CLI.

az sql db tde key revert --resource-group $resourceGroupName --server $serverName --name mySampleDatabase

PowerShell

Zie Azure PowerShell installeren voor instructies voor de installatie van de Az PowerShell-module. Zie AzureRM.Sql voor specifieke cmdlets.

Invoke-AzSqlDatabaseTransparentDataEncryptionProtectorRevert kan worden gebruikt om deze bewerking uit te voeren.

Invoke-AzSqlDatabaseTransparentDataEncryptionProtectorRevert -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName>

REST API

Gebruik de REST API 2022-08-01-preview voor Azure SQL Database.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/encryptionProtector/current/revert?api-version=2022-08-01-preview

Volgende stappen

Raadpleeg de volgende documentatie over verschillende CMK-bewerkingen op databaseniveau:

• Transparent Data Encryption (TDE) met door de klant beheerde sleutels op databaseniveau

• Geo-replicatie en back-upherstel configureren voor transparante gegevensversleuteling met door de klant beheerde sleutels op databaseniveau