Delen via

Ondersteuning voor beheerde identiteit voor uitbreidbaar sleutelbeheer met Azure Key Vault

Van toepassing op: SQL Server 2025 (17.x) Preview

In dit artikel leest u hoe u beheerde identiteiten gebruikt voor Extensible Key Management (EKM) met Azure Key Vault (AKV) op SQL Server waarvoor Azure Arc is ingeschakeld.

Overzicht

Vanaf SQL Server 2025 (17.x) Preview worden beheerde identiteiten ondersteund voor EKM met AKV en Managed Hardware Security Modules (HSM) op SQL Server ingeschakeld door Azure Arc. Beheerde identiteiten zijn de aanbevolen verificatiemethode om verschillende Azure-services toe te staan de SQL Server te verifiëren die is ingeschakeld door Azure Arc-resource zonder wachtwoorden of geheimen te gebruiken. Zie Beheerde identiteitstypen voor meer informatie over beheerde identiteiten.

Vereiste voorwaarden

Stap 1: Registersleutel toevoegen voor de EKM-provider

Voordat u een referentie kunt maken met behulp van een beheerde identiteit, moet u een registersleutel toevoegen zodat de EKM-provider beheerde identiteiten kan gebruiken. Deze stap moet worden uitgevoerd door de computerbeheerder. Zie stap 4 voor gedetailleerde stappen: Registersleutel toevoegen ter ondersteuning van EKM-provider.

Stap 2: De master database configureren

  1. Open SQL Server Management Studio.

  2. Configureer SQL Server voor het gebruik van EKM door het volgende Transact-SQL script uit te voeren:

    -- Enable advanced options.
USE master;
GO

EXECUTE sp_configure 'show advanced options', 1;
GO

RECONFIGURE;
GO

-- Enable EKM provider
EXECUTE sp_configure 'EKM provider enabled', 1;
GO

RECONFIGURE;
GO

  3. Registreer de SQL Server-connector als een EKM-provider bij SQL Server.

    Maak een cryptografische provider met behulp van de SQL Server-connector, een EKM-provider voor De Azure Key Vault. In dit voorbeeld is AzureKeyVault_EKMde naam van de provider.

    CREATE CRYPTOGRAPHIC PROVIDER AzureKeyVault_EKM
FROM FILE = 'C:\Program Files\SQL Server Connector for Microsoft Azure Key Vault\Microsoft.AzureKeyVaultService.EKM.dll';
GO

    Opmerking

    De lengte van het bestandspad mag niet langer zijn dan 256 tekens.

Stap 3: Een serverreferentie maken met behulp van een beheerde identiteit

In het volgende voorbeeld ziet u hoe u een referentie maakt voor een beheerde identiteit die moet worden gebruikt met Azure Key Vault:

CREATE CREDENTIAL [<akv-name>.vault.azure.net]
    WITH IDENTITY = 'Managed Identity'
    FOR CRYPTOGRAPHIC PROVIDER AzureKeyVault_EKM;

U kunt de AKV-naam controleren door een query uit te voeren op sys.credentials:

SELECT name, credential_identity
FROM sys.credentials;

Voor de WITH IDENTITY = 'Managed Identity' component is een primaire beheerde identiteit vereist die is toegewezen aan de SQL Server die is ingeschakeld door Azure Arc.

Zie Sql Server TDE Extensible Key Management instellen met behulp van Azure Key Vault voor meer informatie over het instellen van EKM met AKV.

Een referentiegegeven maken voor gebruik bij Managed Hardware Security Modules (HSM's)

Gebruik de volgende syntaxis om een referentie te maken voor gebruik met Azure Key Vault Managed Hardware Security Modules (HSM's):

CREATE CREDENTIAL [<akv-name>.managedhsm.azure.net]
    WITH IDENTITY = 'Managed Identity'
    FOR CRYPTOGRAPHIC PROVIDER AzureKeyVault_EKM;

Zie Sql Server TDE Extensible Key Management instellen met behulp van Azure Key Vault voor meer informatie over het instellen van EKM met AKV.

T-SQL-opdrachten voor het upgraden van bestaande EKM-configuratie voor het gebruik van beheerde identiteiten

Als uw huidige configuratie gebruikmaakt van EKM met AKV met behulp van een geheim, moet u de bestaande referentie verwijderen en een nieuwe referentie maken met behulp van een beheerde identiteit. De volgende T-SQL-opdrachten laten zien hoe u uw bestaande EKM-configuratie kunt upgraden om beheerde identiteiten te gebruiken:

  1. Creëer de referentie met behulp van een beheerde identiteit:

    CREATE CREDENTIAL [<akv-name>.vault.azure.net]
    WITH IDENTITY = 'Managed Identity'
    FOR CRYPTOGRAPHIC PROVIDER AzureKeyVault_EKM;

  2. Als er een referentie of bewijs is dat gebruikmaakt van een geheime sleutel die is gekoppeld aan de aanmelding van het SQL Server-beheerdomein, verwijdert u de bestaande referentie.

    ALTER LOGIN [<domain>\<login>]
DROP CREDENTIAL [<existing-credential-name>];

  3. Koppel de nieuwe referentie aan de aanmelding van het SQL Server-beheerdomein:

    ALTER LOGIN [<domain>\<login>]
ADD CREDENTIAL [<akv-name>.vault.azure.net];

U kunt de versleutelde databaseweergave controleren om de databaseversleuteling te controleren met behulp van de volgende query:

SELECT *
FROM sys.dm_database_encryption_keys
WHERE database_id = db_id('<your-database-name>');

Zie Sql Server TDE Extensible Key Management instellen met behulp van Azure Key Vault voor meer informatie over het instellen van EKM met AKV.

Foutberichten

Traceringsvlag 4675 kan worden gebruikt om authenticaties te controleren die zijn gemaakt met een beheerde identiteit. Als de CREATE CREDENTIAL-instructie is uitgevoerd zonder traceringsvlag 4675 ingeschakeld, wordt er geen foutbericht weergegeven als de primaire beheerde identiteit niet is ingesteld voor de server. Als u problemen met dit scenario wilt oplossen, moet de referentie worden verwijderd en opnieuw worden gemaakt zodra de traceringsvlag is ingeschakeld.

Beperkingen

  • Beheerde identiteit op serverniveau wordt alleen ondersteund voor SQL Server 2025, ingeschakeld door Azure Arc, en niet voor SQL Server on-premises. Beheerde identiteit op serverniveau wordt niet ondersteund voor Linux.
  • Ondersteuning voor beheerde identiteiten voor EKM met AKV vereist de nieuwste preview-versie van SQL Server Connector.

Verwante inhoud