Поделиться через


Создайте сервер, настроенный с помощью управляемого удостоверения, назначаемого пользователем, и TDE, управляемого клиентом.

Применимо к: База данных SQL Azure

В этом руководстве описаны шаги по созданию логического сервера в Azure , настроенного с прозрачным шифрованием данных (TDE) с ключами, управляемыми клиентом (CMK), с помощью управляемого удостоверения , назначаемого пользователем, для доступа к Azure Key Vault.

Примечание.

Идентификатор Microsoft Entra ранее был известен как Azure Active Directory (Azure AD).

Необходимые компоненты

Создание сервера, настроенного с помощью TDE, с использованием ключа, управляемого клиентом (CMK)

Ниже описано, как создать новый логический сервер Базы данных SQL Azure и новой базы данных с управляемым удостоверением, назначаемым пользователем. Управляемое удостоверение, назначаемое пользователю, требуется для настройки ключа, управляемого клиентом, для TDE во время создания сервера.

  1. Перейдите на страницу Выберите вариант развертывания SQL на портале Azure.

  2. Если вы еще не вошли на портал Azure, выполните вход при появлении соответствующего запроса.

  3. В разделе Базы данных SQL оставьте для параметра Тип ресурса значение Отдельная база данных и нажмите кнопку Создать.

  4. На вкладке Основные сведения формы Создание базы данных SQL в разделе Сведения о проекте выберите подходящую подписку Azure.

  5. В разделе Группа ресурсов щелкните Создать новую, введите имя группы ресурсов и нажмите ОК.

  6. В поле Имя базы данных введите ContosoHR.

  7. В группе Сервер выберите Создать и заполните форму Новый сервер следующим образом:

    • В поле Имя сервера введите уникальное имя сервера. Имена серверов должны быть глобально уникальными для всех серверов в Azure, а не только в рамках подписки. Введите, например mysqlserver135, и портал Azure проинформирует о доступности этого имени.
    • Имя для входа администратора сервера. Введите имя для входа администратора, например azureuser.
    • Пароль. Введите пароль, соответствующий требованиям, а затем введите его еще раз в поле Подтверждение пароля.
    • Расположение. Выберите расположение из раскрывающегося списка.
  8. В нижней части страницы нажмите кнопку Далее: сети.

  9. На вкладке Сеть в разделе Метод подключения выберите Общедоступная конечная точка.

  10. В разделе Правила брандмауэра установите переключатель Добавить текущий IP-адрес клиента в положение Да. Оставьте значение Нет для параметра Разрешить доступ к серверу службам и ресурсам Azure.

    Снимок экрана: параметры сети при создании СЕРВЕРА SQL в портал Azure

  11. Выберите Далее: безопасность доступа в нижней части страницы.

  12. На вкладке "Безопасность" в разделе "Удостоверение сервера" выберите "Настройка удостоверений".

    Снимок экрана: параметры безопасности и настройка удостоверений в портал Azure.

  13. На панели удостоверений выберите "Выкл. Для управляемого удостоверения, назначенного системой", а затем выберите "Добавить" в разделе "Назначаемое пользователем управляемое удостоверение". Выберите нужную подписку, а затем в разделе "Назначаемые пользователем управляемые удостоверения" выберите требуемое управляемое удостоверение, назначаемое пользователем, из выбранной подписки. Теперь нажмите кнопку Добавить.

    Снимок экрана: добавление управляемого удостоверения, назначаемого пользователем при настройке удостоверения сервера.

    Снимок экрана: назначаемое пользователем управляемое удостоверение при настройке удостоверения сервера.

  14. В разделе Основное удостоверение выберите то же управляемое удостоверение, назначаемое пользователем, которое было выбрано на предыдущем шаге.

    Снимок экрана: выбор основного удостоверения для сервера.

  15. Нажмите кнопку Применить.

  16. На вкладке "Безопасность" в разделе прозрачное шифрование данных управление ключами можно настроить прозрачное шифрование данных для сервера или базы данных.

    • Для ключа уровня сервера: выберите " Настроить прозрачное шифрование данных". Выберите ключ, управляемый клиентом, и появится параметр выбора ключа . Выберите "Изменить ключ". Выберите нужную подписку, хранилище ключей, ключ и версию для ключа, управляемого клиентом, который будет использоваться для TDE. Выберите кнопку Выбрать.

    Снимок экрана: настройка TDE для сервера в SQL Azure.

    Снимок экрана: выбор ключа для использования с TDE.

    • Для ключа уровня базы данных: выберите " Настроить прозрачное шифрование данных". Выберите ключ уровня базы данных, управляемый клиентом, и появится параметр настройки удостоверения базы данных и ключа, управляемого клиентом. Выберите "Настроить", чтобы настроить управляемое удостоверение , назначаемое пользователем для базы данных, аналогично шагу 13. Выберите "Изменить ключ", чтобы настроить ключ, управляемый клиентом. Выберите нужную подписку, хранилище ключей, ключ и версию для ключа, управляемого клиентом, который будет использоваться для TDE. Вы также можете включить автоматическое поворота клавиши в меню прозрачное шифрование данных. Выберите кнопку Выбрать.

    Снимок экрана: настройка TDE для базы данных в SQL Azure.

  17. Нажмите кнопку Применить.

  18. В нижней части страницы щелкните Просмотреть и создать.

  19. На странице Просмотр и создание после проверки нажмите кнопку Создать.

Следующие шаги