Delen via

Azure CLI-script om transparante gegevensversleuteling in te schakelen met uw eigen sleutel

  • Artikel

Van toepassing op: Azure SQL Managed Instance

In dit Voorbeeld van een Azure CLI-script configureert u TDE (Transparent Data Encryption) in Azure SQL Managed Instance met behulp van een door de klant beheerde sleutel uit Azure Key Vault. Dit wordt vaak een BYOK-scenario (Bring Your Own Key) genoemd voor TDE. Zie TDE Bring Your Own Key naar Azure SQL voor meer informatie over TDE met door de klant beheerde sleutel.

Voor dit voorbeeld is een bestaand beheerd exemplaar vereist. Zie Azure CLI gebruiken om een azure SQL Managed Instance te maken.

Als u geen Azure-abonnement hebt, kunt u een gratis Azure-account maken voordat u begint.

Vereisten

Voorbeeldscript

Voor dit script gebruikt u Azure CLI lokaal omdat het te lang duurt om uit te voeren in Cloud Shell.

Aanmelden bij Azure

Gebruik het volgende script om u aan te melden met een specifiek abonnement.

subscription="<subscriptionId>" # add subscription here

az account set -s $subscription # ...or use 'az login'

Zie Voor meer informatie het instellen van een actief abonnement of het interactief aanmelden

Het script uitvoeren

# Manage Transparent Data Encryption in a Managed Instance using your own key from Azure Key Vault

# Run this script after the script in https://docs.microsoft.com/azure/azure-sql/managed-instance/scripts/create-configure-managed-instance-cli creates a managed instance.
# You can use the same variables in both scripts/
# If running this script against a different existing instance, uncomment and add appropriate values to next 3 lines of code
# let "randomIdentifier=$RANDOM*$RANDOM"
# instance="<msdocs-azuresql-instance>" # add instance here
# resourceGroup="<msdocs-azuresql-rg>" # add resource here

# Variable block
location="East US"
vault="msdocssqlvault$randomIdentifier"
key="msdocs-azuresql-key-$randomIdentifier"

# echo assigning identity to service principal in the instance
az sql mi update --name $instance --resource-group $resourceGroup --assign-identity

echo "Creating $vault..."
az keyvault create --name $vault --resource-group $resourceGroup --location "$location"

echo "Getting service principal id and setting policy on $vault..."
instanceId=$(az sql mi show --name $instance --resource-group $resourceGroup --query identity.principalId --output tsv)

echo $instanceId
az keyvault set-policy --name $vault --object-id $instanceId --key-permissions get unwrapKey wrapKey

echo "Creating $key..."
az keyvault key create --name $key --vault-name $vault --size 2048 

# keyPath="C:\yourFolder\yourCert.pfx"
# keyPassword="yourPassword" 
# az keyvault certificate import --file $keyPath --name $key --vault-name $vault --password $keyPassword

echo "Setting security on $instance with $key..."
keyId=$(az keyvault key show --name $key --vault-name $vault -o json --query key.kid | tr -d '"')

az sql mi key create --kid $keyId --managed-instance $instance --resource-group $resourceGroup
az sql mi tde-key set --server-key-type AzureKeyVault --kid $keyId --managed-instance $instance --resource-group $resourceGroup

Resources opschonen

Gebruik de volgende opdracht om de resourcegroep en alle bijbehorende resources te verwijderen met behulp van de opdracht az group delete - tenzij u deze resources voortdurend nodig hebt. Het kan even duren voordat sommige van deze resources zijn gemaakt en dat deze kunnen worden verwijderd.

az group delete --name $resourceGroup

Voorbeeldverwijzing

In dit script worden de volgende opdrachten gebruikt. Elke opdracht in de tabel is een koppeling naar specifieke documentatie over de opdracht.

Command Omschrijving
az sql db Databaseopdrachten.
az sql failovergroep Opdrachten voor failover-groep.

Volgende stappen

Zie de Documentatie van Azure CLI voor meer informatie over Azure CLI.

Aanvullende voorbeelden van SQL Database CLI-scripts vindt u in de documentatie van Azure SQL Database.