Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dotyczy:
Azure SQL DatabaseAzure SQL Managed Instance
Microsoft Entra ID, dawniej Azure Active Directory, udostępnia automatycznie zarządzaną tożsamość do uwierzytelniania w dowolnej usłudze platformy Azure, która obsługuje uwierzytelnianie firmy Microsoft Entra, takie jak Azure Key Vault, bez ujawniania poświadczeń w kodzie. Aby uzyskać więcej informacji, zobacz Typy tożsamości zarządzanych na platformie Azure.
Tożsamości zarządzane mogą mieć dwa typy:
- Przypisana przez system
- Przypisana przez użytkownika
Aby uzyskać więcej informacji, zobacz Tożsamości zarządzane w usłudze Microsoft Entra ID dla usługi Azure SQL.
W przypadku funkcji TDE z kluczem zarządzanym przez klienta (CMK) w usłudze Azure SQL tożsamość zarządzana na serwerze jest używana do zapewniania praw dostępu do serwera w magazynie kluczy lub zarządzanym module HSM. Na przykład tożsamość zarządzana przypisana przez system serwera powinna być zaopatrzona w uprawnienia usługi Azure Key Vault przed włączeniem funkcji TDE z kluczem CMK na serwerze.
Oprócz przypisanej przez system tożsamości zarządzanej, która jest już obsługiwana w przypadku TDE z kluczem klienckim (CMK), przypisana przez użytkownika tożsamość zarządzana (UMI) przypisana do serwera może służyć do umożliwienia serwerowi dostępu do magazynu kluczy lub zarządzanego modułu HSM. Warunkiem wstępnym włączenia dostępu do magazynu kluczy lub zarządzanego modułu HSM jest upewnienie się, że tożsamość zarządzana przypisana przez użytkownika ma nadane uprawnienia Get, wrapKey i unwrapKey w magazynie kluczy lub zarządzanym module HSM. Ponieważ tożsamość zarządzana przypisana przez użytkownika jest zasobem autonomicznym, który można utworzyć i udzielić dostępu do magazynu kluczy lub zarządzanego modułu HSM, funkcja TDE z kluczem zarządzanym przez klienta może być teraz włączona podczas tworzenia serwera lub bazy danych.
Uwaga
Aby przypisać tożsamość zarządzaną przypisaną przez użytkownika do serwera logicznego lub wystąpienia zarządzanego, użytkownik musi mieć rolę Współautor programu SQL Server lub Współautor RBAC wystąpienia zarządzanego SQL wraz z inną rolą RBAC platformy Azure zawierającą rolę Microsoft.ManagedIdentity/userAssignedIdentities/*/assign/action.
Korzyści wynikające z używania usługi UMI na potrzeby funkcji TDE zarządzanej przez klienta
Umożliwia przeautoryzowanie dostępu do magazynu kluczy lub zarządzanego modułu HSM dla logicznych serwerów Azure SQL lub zarządzanych instancji Azure SQL poprzez utworzenie tożsamości zarządzanej przypisanej przez użytkownika i przyznanie jej dostępu do magazynu kluczy lub zarządzanego modułu HSM, nawet przed utworzeniem serwera lub bazy danych.
Umożliwia utworzenie serwera logicznego Usługi Azure SQL z włączonym szyfrowaniem TDE i kluczem CMK.
Umożliwia przypisanie tej samej tożsamości zarządzanej przypisanej przez użytkownika do wielu serwerów, eliminując konieczność indywidualnego włączania systemowo przypisanej tożsamości zarządzanej dla każdego serwera logicznego Azure SQL lub Azure SQL Managed Instance, zapewniając dostęp do Azure Key Vault lub zarządzanego HSM.
Zapewnia możliwość wymuszania klucza zarządzanego przez klienta (CMK) w czasie tworzenia serwera za pomocą dostępnej wbudowanej polityki platformy Azure.
Zagadnienia dotyczące korzystania z interfejsu użytkownika dla funkcji TDE zarządzanej przez klienta
- Domyślnie funkcja TDE w usłudze Azure SQL używa podstawowej tożsamości zarządzanej przypisanej przez użytkownika na serwerze na potrzeby dostępu do magazynu kluczy lub zarządzanego modułu HSM. Jeśli do serwera nie przypisano tożsamości przypisanych przez użytkownika, tożsamość zarządzana przypisana przez system serwera jest używana na potrzeby magazynu kluczy lub zarządzanego dostępu do modułu HSM.
- W przypadku korzystania z tożsamości zarządzanej przypisanej przez użytkownika dla funkcji TDE z kluczem CMK, przypisz tę tożsamość do serwera i ustaw ją jako tożsamość podstawową dla serwera.
- pl-PL: Podstawowa tożsamość zarządzana przypisana przez użytkownika wymaga stałego dostępu do magazynu kluczy lub zarządzanego modułu HSM (uprawnienia get, wrapKey, unwrapKey). Jeśli dostęp tożsamości do magazynu kluczy lub zarządzanego modułu HSM zostanie odwołany lub nie podano wystarczających uprawnień, baza danych zostanie przeniesiona do stanu Niedostępny .
- Jeśli podstawowa tożsamość zarządzana przypisana przez użytkownika jest zmieniana na inną tożsamość zarządzaną przypisaną przez użytkownika, nowa tożsamość musi otrzymać wymagane uprawnienia do magazynu kluczy lub zarządzanego modułu HSM przed aktualizacją podstawowej tożsamości.
- Aby przełączyć serwer z przypisanej przez użytkownika do przypisanej przez system tożsamości zarządzanej dla magazynu kluczy lub zarządzanego dostępu do modułu HSM, podaj tożsamość zarządzaną przypisaną przez system z wymaganym magazynem kluczy lub zarządzanymi uprawnieniami modułu HSM, a następnie usuń wszystkie tożsamości zarządzane przypisane przez użytkownika z serwera.
Ważne
Podstawowa tożsamość zarządzana przypisana przez użytkownika używana do TDE z kluczem CMK nie powinna być usuwana z Azure. Usunięcie tej tożsamości doprowadzi do utraty dostępu do magazynu kluczy lub zarządzanego modułu HSM. W wyniku tego bazy danych staną się niedostępne.
Ograniczenia i znane problemy
- Jeśli magazyn kluczy lub zarządzany moduł HSM znajduje się za siecią wirtualną korzystającą z zapory, opcja Zezwalaj zaufanym usługom firmy Microsoft na obejście tej zapory musi być włączona w menu sieci zarządzanego lub zarządzanego modułu HSM, jeśli chcesz użyć tożsamości zarządzanej przypisanej przez użytkownika lub tożsamości zarządzanej przypisanej przez system. Po włączeniu tej opcji dostępne klucze nie mogą być wyświetlane w menu TDE programu SQL Server w witrynie Azure Portal. Aby ustawić pojedynczy klucz zarządzania kluczami, należy użyć identyfikatora klucza. Jeśli opcja Zezwalaj zaufanym usługom firmy Microsoft na obejście tej zapory nie jest włączona, zwracany jest następujący błąd:
Failed to save Transparent Data Encryption settings for SQL resource: <ServerName>. Error message: The managed identity with ID '/subscriptions/subscriptionID/resourcegroups/resource_name/providers/Microsoft.ManagedIdentity/userAssignedIdentities/umi_name' requires the following Azure Key Vault permissions: 'Get, WrapKey, UnwrapKey' to the key 'https://keyvault_name/keys/key_name'. Please grant the missing permissions to the identity. Additionally ensure the key is not expired and is not disabled. For expired key, please extend the key expiry time so that SQL can use it to perform wrap and unwrap operations. If your key vault is behind a virtual network or firewall, ensure you select the 'Allow trusted Microsoft services to bypass this firewall' option. (https://aka.ms/sqltdebyokcreateserver).- Jeśli wystąpi powyższy błąd, sprawdź, czy magazyn kluczy lub zarządzany moduł HSM znajduje się za siecią wirtualną lub zaporą, i upewnij się, że opcja Zezwalaj zaufanym usługom firmy Microsoft na obejście tej zapory jest włączona.
- Jeśli wiele tożsamości zarządzanych przypisanych przez użytkownika jest przypisanych do serwera lub wystąpienia zarządzanego, jeśli pojedyncza tożsamość zostanie usunięta z serwera przy użyciu okienka Tożsamość w witrynie Azure Portal, operacja zakończy się pomyślnie, ale tożsamość nie zostanie usunięta z serwera. Usunięcie wszystkich tożsamości zarządzanych przypisanych przez użytkownika ze sobą z witryny Azure Portal działa pomyślnie.
- Po skonfigurowaniu serwera lub wystąpienia zarządzanego za pomocą funkcji TDE zarządzanej przez klienta, a tożsamości zarządzane przypisane przez system i przypisane przez użytkownika są włączone na serwerze, usunięcie tożsamości zarządzanych przypisanych przez użytkownika z serwera bez uprzedniego udzielenia przypisanej przez system tożsamości zarządzanej dostępu do magazynu kluczy lub zarządzanego modułu HSM powoduje nieoczekiwany komunikat o błędzie . Upewnij się, że tożsamość zarządzana przypisana przez system została udostępniona w magazynie kluczy lub zarządzanym module HSM przed usunięciem podstawowej tożsamości zarządzanej przypisanej przez użytkownika (i wszystkich innych tożsamości zarządzanych przypisanych przez użytkownika) z serwera.