Udostępnij za pośrednictwem

Klucze zarządzane przez klienta między dzierżawami z przezroczystym szyfrowaniem danych

  • Artykuł

Dotyczy: Azure SQL Database Azure Synapse Analytics (tylko dedykowane pule SQL)

Usługa Azure SQL oferuje teraz obsługę kluczy zarządzanych przez klienta między dzierżawami (CMK) z przezroczystym szyfrowaniem danych (TDE). Klucz cmK między dzierżawami rozszerza się w scenariuszu ByOK (Bring Your Own Key) na potrzeby korzystania z funkcji TDE bez konieczności posiadania serwera logicznego na platformie Azure w tej samej dzierżawie usługi Microsoft Entra co usługa Azure Key Vault, która przechowuje klucz zarządzany przez klienta używany do ochrony serwera.

Funkcję TDE można skonfigurować za pomocą klucza zarządzanego przez klienta dla usługi Azure SQL Database dla kluczy przechowywanych w magazynach kluczy skonfigurowanych w różnych dzierżawach firmy Microsoft Entra. Microsoft Entra ID (dawniej Azure Active Directory) wprowadza funkcję o nazwie federacji tożsamości obciążenia i umożliwia zasobom platformy Azure z jednej dzierżawy firmy Microsoft Entra dostęp do zasobów w innej dzierżawie firmy Microsoft Entra.

Aby uzyskać dokumentację dotyczącą przezroczystego szyfrowania danych dla dedykowanych pul SQL w obszarach roboczych usługi Synapse, zobacz Szyfrowanie usługi Azure Synapse Analytics.

Uwaga

Microsoft Entra ID był wcześniej znany jako Azure Active Directory (Azure AD).

Typowy scenariusz użycia

Funkcje wielodostępnego klucza zarządzanego przez klienta umożliwiają dostawcom usług lub niezależnym dostawcom oprogramowania (ISV) tworzenie usług opartych na usłudze Azure SQL w celu rozszerzenia funkcji TDE usługi Azure SQL z funkcjami CMK dla odpowiednich klientów. Dzięki włączonej obsłudze klucza zarządzanego przez wielu dzierżawców klienci niezależnego dostawcy oprogramowania mogą być właścicielami magazynu kluczy i kluczy szyfrowania we własnej subskrypcji i dzierżawie firmy Microsoft Entra. Klient ma pełną kontrolę nad operacjami zarządzania kluczami podczas uzyskiwania dostępu do zasobów usługi Azure SQL w dzierżawie niezależnego dostawcy oprogramowania.

Interakcje między dzierżawami

Interakcja między dzierżawami między usługą Azure SQL i magazynem kluczy w innej dzierżawie usługi Microsoft Entra jest włączona z funkcją Microsoft Entra, federacją tożsamości obciążenia.

Dostawcy oprogramowania wdrażający usługi Azure SQL mogą utworzyć aplikację z wieloma dzierżawami w usłudze Microsoft Entra ID, a następnie skonfigurować poświadczenia tożsamości federacyjnej dla tej aplikacji przy użyciu tożsamości zarządzanej przypisanej przez użytkownika. Przy użyciu odpowiedniej nazwy aplikacji i identyfikatora aplikacji klient lub klient niezależnego dostawcy oprogramowania może zainstalować aplikację utworzoną przez niezależnego dostawcę oprogramowania we własnej dzierżawie. Następnie klient udziela jednostce usługi skojarzonej z uprawnieniami aplikacji (wymaganymi dla usługi Azure SQL) do magazynu kluczy w dzierżawie i udostępnia lokalizację klucza niezależnemu dostawcy oprogramowania. Po przypisaniu tożsamości zarządzanej i tożsamości klienta federacyjnego przez niezależnego dostawcę oprogramowania do zasobu usługi Azure SQL zasób usługi Azure SQL w dzierżawie niezależnego dostawcy oprogramowania może uzyskać dostęp do magazynu kluczy klienta.

Aby uzyskać więcej informacji, zobacz:

Konfigurowanie wielodostępnej klucza zarządzanego przez klienta

Poniższy diagram przedstawia kroki scenariusza korzystającego z serwera logicznego Azure SQL, który używa funkcji TDE do szyfrowania danych magazynowanych przy użyciu klucza zarządzanego między dzierżawami przy użyciu tożsamości zarządzanej przypisanej przez użytkownika.

Diagram konfigurowania przezroczystego szyfrowania danych między dzierżawami przy użyciu kluczy zarządzanych przez klienta.

Omówienie konfiguracji

W dzierżawie niezależnego dostawcy oprogramowania

  1. Tworzenie tożsamości zarządzanej przypisanej przez użytkownika

  2. Tworzenie aplikacji z wieloma dzierżawami

    1. Konfigurowanie tożsamości zarządzanej przypisanej przez użytkownika jako poświadczenia federacyjnego w aplikacji

W dzierżawie klienta

  1. Instalowanie aplikacji z wieloma dzierżawami

  2. Tworzenie lub używanie istniejącego magazynu kluczy i udzielanie uprawnień klucza aplikacji wielodostępnej

    1. Tworzenie nowego lub używanie istniejącego klucza

    2. Pobieranie klucza z usługi Key Vault i rejestrowanie identyfikatora klucza

W dzierżawie niezależnego dostawcy oprogramowania

  1. Przypisz tożsamość zarządzaną przypisaną przez użytkownika utworzoną jako tożsamość podstawową w menu Tożsamość zasobu usługi Azure SQL w witrynie Azure Portal

  2. Przypisz tożsamość klienta federacyjnego w tym samym menu Tożsamość i użyj nazwy aplikacji

  3. W menu Transparent Data Encryption zasobu usługi Azure SQL przypisz identyfikator klucza przy użyciu identyfikatora klucza klienta uzyskanego z dzierżawy klienta.

Uwagi

  • Klucz cmK między dzierżawami z funkcją TDE jest obsługiwany tylko w przypadku tożsamości zarządzanych przypisanych przez użytkownika. Nie można użyć przypisanej przez system tożsamości zarządzanej dla wielodostępnego klucza zarządzanego z funkcją TDE.
  • Konfigurowanie wielodostępnej klucza zarządzanego przez klienta za pomocą funkcji TDE jest obsługiwane na poziomie serwera i na poziomie bazy danych dla usługi Azure SQL Database. Aby uzyskać więcej informacji, zobacz Transparent Data Encryption (TDE) z kluczami zarządzanymi przez klienta na poziomie bazy danych.

Następne kroki

Tworzenie serwera skonfigurowanego przy użyciu tożsamości zarządzanej przypisanej przez użytkownika i klucza zarządzanego między dzierżawami dla funkcji TDE

Zobacz też