Tworzenie serwera skonfigurowanego przy użyciu tożsamości zarządzanej przypisanej przez użytkownika i funkcji TDE zarządzanej przez klienta

Dotyczy: Azure SQL Database

W tym przewodniku z instrukcjami opisano kroki tworzenia serwera logicznego na platformie Azure skonfigurowanego za pomocą funkcji Transparent Data Encryption (TDE) z kluczami zarządzanymi przez klienta (CMK) przy użyciu tożsamości zarządzanej przypisanej przez użytkownika w celu uzyskania dostępu do usługi Azure Key Vault.

Uwaga

Microsoft Entra ID był wcześniej znany jako Azure Active Directory (Azure AD).

Wymagania wstępne

• W tym przewodniku z instrukcjami założono, że utworzono już usługę Azure Key Vault i zaimportowaliśmy do niego klucz do użycia jako funkcja ochrony TDE dla usługi Azure SQL Database. Aby uzyskać więcej informacji, zobacz Transparent Data Encryption with BYOK support (Przezroczyste szyfrowanie danych z obsługą funkcji BYOK).
• Ochrona przed usuwaniem nietrwałym i przeczyszczaniem musi być włączona w magazynie kluczy
• Musisz utworzyć tożsamość zarządzaną przypisaną przez użytkownika i zapewnić jej wymagane uprawnienia TDE (Get, Wrap Key, Unwrap Key) w powyższym magazynie kluczy. Aby utworzyć tożsamość zarządzaną przypisaną przez użytkownika, zobacz Tworzenie tożsamości zarządzanej przypisanej przez użytkownika.
• Musisz mieć zainstalowany i uruchomiony program Azure PowerShell.
• [Zalecane, ale opcjonalne] Utwórz materiał klucza dla funkcji ochrony TDE w sprzętowym module zabezpieczeń (HSM) lub lokalnym magazynie kluczy, a następnie zaimportuj materiał klucza do usługi Azure Key Vault. Postępuj zgodnie z instrukcjami dotyczącymi korzystania ze sprzętowego modułu zabezpieczeń (HSM) i usługi Key Vault , aby dowiedzieć się więcej.

Tworzenie serwera skonfigurowanego przy użyciu funkcji TDE przy użyciu klucza zarządzanego przez klienta (CMK)

W poniższych krokach opisano proces tworzenia nowego serwera logicznego usługi Azure SQL Database i nowej bazy danych z przypisaną przez użytkownika tożsamością zarządzaną. Tożsamość zarządzana przypisana przez użytkownika jest wymagana do konfigurowania klucza zarządzanego przez klienta dla funkcji TDE w czasie tworzenia serwera.

Portal

1. Przejdź do strony Wybierz wdrożenie SQL w witrynie Azure Portal.

2. Jeśli jeszcze nie zalogowano się do witryny Azure Portal, zaloguj się po wyświetleniu monitu.

3. W obszarze Bazy danych SQL pozostaw wartość Typ zasobu ustawioną na Pojedyncza baza danych, a następnie wybierz pozycję Utwórz.

4. Na karcie Podstawy formularza Tworzenie bazy danych SQL Database w obszarze Szczegóły projektu wybierz odpowiednią subskrypcję platformy Azure.

5. W obszarze Grupa zasobów wybierz pozycję Utwórz nową, wprowadź nazwę grupy zasobów i wybierz przycisk OK.

6. W polu Nazwa bazy danych wprowadź wartość ContosoHR.

7. W polu Serwer wybierz pozycję Utwórz nowy i wypełnij formularz Nowy serwer następującymi wartościami:

   • Nazwa serwera: wprowadź unikatową nazwę serwera. Nazwy serwerów muszą być globalnie unikatowe dla wszystkich serwerów na platformie Azure, a nie tylko unikatowych w ramach subskrypcji. Wprowadź ciąg podobny do mysqlserver135, a witryna Azure Portal poinformuje Cię, czy jest dostępna, czy nie.
   • Identyfikator logowania administratora serwera: wprowadź nazwę logowania administratora, na przykład: azureuser.
   • Hasło: wprowadź hasło spełniające wymagania dotyczące hasła i wprowadź je ponownie w polu Potwierdź hasło .
   • Lokalizacja: wybierz lokalizację z listy rozwijanej

8. Wybierz pozycję Dalej: Sieć w dolnej części strony.

9. Na karcie Sieć w polu Metoda łączności wybierz pozycję Publiczny punkt końcowy.

10. W obszarze Reguły zapory ustaw wartość Dodaj bieżący adres IP klienta na Wartość Tak. Pozostaw opcję Zezwalaj usługom i zasobom platformy Azure na dostęp do tego serwera ustawionego na nie.

    

11. Wybierz pozycję Dalej: Zabezpieczenia w dolnej części strony.

12. Na karcie Zabezpieczenia w obszarze Tożsamość serwera wybierz pozycję Konfiguruj tożsamości.

    

13. W okienku Tożsamość wybierz pozycję Wył. dla pozycji Tożsamość zarządzana przypisana przez system, a następnie wybierz pozycję Dodaj w obszarze Tożsamość zarządzana przypisana przez użytkownika. Wybierz żądaną subskrypcję , a następnie w obszarze Tożsamości zarządzane przypisane przez użytkownika wybierz odpowiednią tożsamość zarządzaną przypisaną przez użytkownika z wybranej subskrypcji. Następnie wybierz przycisk Dodaj .

    

    

14. W obszarze Tożsamość podstawowa wybierz tę samą tożsamość zarządzaną przypisaną przez użytkownika wybraną w poprzednim kroku.

    

15. Wybierz Zastosuj

16. Na karcie Zabezpieczenia w obszarze Zarządzanie kluczami transparent Data Encryption można skonfigurować przezroczyste szyfrowanie danych dla serwera lub bazy danych.

    • W polu Klucz na poziomie serwera: wybierz pozycję Konfiguruj przezroczyste szyfrowanie danych. Wybierz pozycję Klucz zarządzany przez klienta, a zostanie wyświetlona opcja Wybierz klucz . Wybierz pozycję Zmień klucz. Wybierz odpowiednią subskrypcję, magazyn kluczy, klucz i wersję klucza zarządzanego przez klienta, która ma być używana na potrzeby funkcji TDE. Wybierz przycisk Wybierz.

    

    

    • W polu Klucz na poziomie bazy danych: wybierz pozycję Konfiguruj przezroczyste szyfrowanie danych. Wybierz pozycję Klucz zarządzany przez klienta na poziomie bazy danych, a zostanie wyświetlona opcja skonfigurowania tożsamości bazy danych i klucza zarządzanego przez klienta. Wybierz pozycję Konfiguruj, aby skonfigurować tożsamość zarządzaną przypisaną przez użytkownika dla bazy danych, podobnie jak w kroku 13. Wybierz pozycję Zmień klucz, aby skonfigurować klucz zarządzany przez klienta. Wybierz odpowiednią subskrypcję, magazyn kluczy, klucz i wersję klucza zarządzanego przez klienta, która ma być używana na potrzeby funkcji TDE. Istnieje również możliwość włączenia automatycznego obracania klucza w menu Transparent Data Encryption. Wybierz przycisk Wybierz.

    

17. Wybierz Zastosuj

18. Wybierz pozycję Przejrzyj i utwórz w dolnej części strony

19. Na stronie Przeglądanie i tworzenie po przejrzeniu wybierz pozycję Utwórz.

Interfejs wiersza polecenia platformy Azure

Aby uzyskać informacje na temat instalowania bieżącej wersji interfejsu wiersza polecenia platformy Azure, zobacz Artykuł Instalowanie interfejsu wiersza polecenia platformy Azure.

Utwórz serwer skonfigurowany przy użyciu tożsamości zarządzanej przypisanej przez użytkownika i funkcji TDE zarządzanej przez klienta przy użyciu polecenia az sql server create .

az sql server create \
    --name $serverName \
    --resource-group $resourceGroupName \
    --location $location  \
    --admin-user $adminlogin \
    --admin-password $password \
    --assign-identity \
    --identity-type $identitytype \
    --user-assigned-identity-id $identityid \
    --primary-user-assigned-identity-id $primaryidentityid \
    --key-id $keyid
 

Utwórz bazę danych za pomocą polecenia az sql db create .

az sql db create \
    --resource-group $resourceGroupName \
    --server $serverName \
    --name mySampleDatabase \
    --sample-name AdventureWorksLT \
    --edition GeneralPurpose \
    --compute-model Serverless \
    --family Gen5 \
    --capacity 2

Program PowerShell

Utwórz serwer skonfigurowany przy użyciu tożsamości zarządzanej przypisanej przez użytkownika i funkcji TDE zarządzanej przez klienta przy użyciu programu PowerShell.

Aby uzyskać instrukcje instalacji modułu Az programu PowerShell, zobacz Instalowanie programu Azure PowerShell. Aby uzyskać informacje o określonych poleceniach cmdlet, zobacz AzureRM.Sql.

Użyj polecenia cmdlet New-AzSqlServer.

Zastąp następujące wartości w przykładzie:

• <ResourceGroupName>: nazwa grupy zasobów dla serwera logicznego usługi Azure SQL
• <Location>: Lokalizacja serwera, na przykład West US, lub Central US
• <ServerName>: Użyj unikatowej nazwy serwera logicznego usługi Azure SQL
• <ServerAdminName>: Identyfikator logowania administratora SQL
• <ServerAdminPassword>: hasło administratora SQL
• <IdentityType>: typ tożsamości, który ma zostać przypisany do serwera. Możliwe wartości to SystemAssigned, UserAssignedSystemAssigned,UserAssigned i None
• <UserAssignedIdentityId>: lista tożsamości zarządzanych przypisanych przez użytkownika do przypisania do serwera (może to być jedna lub wiele)
• <PrimaryUserAssignedIdentityId>: tożsamość zarządzana przypisana przez użytkownika, która powinna być używana jako podstawowa lub domyślna na tym serwerze
• <CustomerManagedKeyId>: Identyfikator klucza i można go pobrać z klucza w usłudze Key Vault

Aby uzyskać identyfikator zasobu tożsamości zarządzanej przypisanej przez użytkownika, wyszukaj pozycję Tożsamości zarządzane w witrynie Azure Portal. Znajdź tożsamość zarządzaną i przejdź do pozycji Właściwości. Przykład identyfikatora zasobu UMI wygląda następująco:/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>

# create a server with user-assigned managed identity and customer-managed TDE
$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    SqlAdministratorCredentials = (Get-Credential)
    SqlAdministratorLogin = "<ServerAdminName>"
    SqlAdministratorPassword = "<ServerAdminPassword>"
    AssignIdentity = $true
    IdentityType = "<IdentityType>"
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    PrimaryUserAssignedIdentityId = "<PrimaryUserAssignedIdentityId>"
    KeyId = "<CustomerManagedKeyId>"
}

New-AzSqlServer @params

Szablon ARM

Oto przykład szablonu usługi ARM, który tworzy serwer logiczny na platformie Azure z tożsamością zarządzaną przypisaną przez użytkownika i funkcją TDE zarządzaną przez klienta. Szablon dodaje również zestaw administratorów firmy Microsoft Entra dla serwera i włącza uwierzytelnianie tylko firmy Microsoft, ale można to usunąć z przykładu szablonu.

Aby uzyskać więcej informacji i szablonów usługi ARM, zobacz Szablony usługi Azure Resource Manager dla usługi Azure SQL Database i sql Managed Instance.

Użyj wdrożenia niestandardowego w witrynie Azure Portal i utwórz własny szablon w edytorze. Następnie zapisz konfigurację po wklejeniu w przykładzie.

Aby uzyskać identyfikator zasobu tożsamości zarządzanej przypisanej przez użytkownika, wyszukaj pozycję Tożsamości zarządzane w witrynie Azure Portal. Znajdź tożsamość zarządzaną i przejdź do pozycji Właściwości. Przykład identyfikatora zasobu interfejsu użytkownika wygląda następująco: /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "String"
        },
        "location": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity."
            }
        },
        "keyvault_url": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The key vault URI."
            }
        },
        "AdminLogin": {
            "minLength": 1,
            "type": "String"
        },
        "AdminLoginPassword": {
            "type": "SecureString"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "administratorLogin": "[parameters('AdminLogin')]",
                "administratorLoginPassword": "[parameters('AdminLoginPassword')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "KeyId": "[parameters('keyvault_url')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Następne kroki

• Rozpocznij pracę z integracją usługi Azure Key Vault i obsługą funkcji Bring Your Own Key dla funkcji TDE: włączanie funkcji TDE przy użyciu własnego klucza z usługi Key Vault.