Этот браузер больше не поддерживается.
Выполните обновление до Microsoft Edge, чтобы воспользоваться новейшими функциями, обновлениями для системы безопасности и технической поддержкой.
применимо к:
SQL Server на виртуальной машине Azure (только для Windows)
В этой статье показано, как использовать управляемые идентификации для расширяемого управления ключами (EKM) с Azure Key Vault (AKV) на SQL Server на виртуальных машинах Azure.
Начиная с накопительного обновления 17 (CU17) для SQL Server 2022, управляемые удостоверения поддерживаются для EKM с AKV и управляемыми аппаратными модулями безопасности (HSM) на виртуальных машинах Azure. Управляемые удостоверения — это рекомендуемый метод проверки подлинности, позволяющий различным службам Azure выполнять проверку подлинности SQL Server на ресурсе виртуальной машины Azure без использования паролей или секретов. Дополнительные сведения об управляемых удостоверениях см. в Типы управляемых удостоверений.
Примечание
Управляемые удостоверения поддерживаются только для SQL Server на виртуальных машинах Azure и не поддерживаются для SQL Server, развернутого локально.
Сведения о настройке EKM с помощью AKV для локальной среды SQL Server см. в статье Настройка управления расширяемыми ключами SQL Server TDE с помощью Azure Key Vault.
Key Vault Crypto Service Encryption User для основного управляемого удостоверения ключевому хранилищу, если вы используете Azure управление доступом на основе ролей , или разрешения Unwrap Key и Wrap Key, если вы используете политику доступа к хранилищу .Прежде чем создавать учетные данные с помощью управляемого удостоверения, необходимо добавить раздел реестра, чтобы поставщик EKM мог использовать управляемые удостоверения. Этот шаг должен выполняться администратором компьютера. Подробные инструкции см. в разделе и шаге 4: Добавление раздела реестра для поддержки поставщика EKM.
В следующем примере показано, как создать учетные данные для управляемого удостоверения, используемого с AKV:
CREATE CREDENTIAL [<akv-name>.vault.azure.net]
WITH IDENTITY = 'Managed Identity'
FOR CRYPTOGRAPHIC PROVIDER AzureKeyVault_EKM_Prov
Вы можете проверить имя AKV, сделав запрос sys.credentials.
SELECT name, credential_identity
FROM sys.credentials
Для условия WITH IDENTITY = 'Managed Identity' требуется основное управляемое удостоверение, назначенное SQL Server на Azure VM.
Дополнительные сведения о настройке EKM с помощью AKV см. в статье Настройка расширенного управления ключами SQL Server TDE с помощьюAzure Key Vault.
Чтобы создать учетные данные для использования с управляемыми аппаратными модулями безопасности Azure Key Vault (HSM), используйте следующий синтаксис:
CREATE CREDENTIAL [<akv-name>.managedhsm.azure.net]
WITH IDENTITY = 'Managed Identity'
FOR CRYPTOGRAPHIC PROVIDER AzureKeyVault_EKM_Prov
Дополнительные сведения о настройке EKM с помощью AKV см. в статье Настройка расширенного управления ключами SQL Server TDE с помощьюAzure Key Vault.
Если ваша текущая конфигурация использует EKM с AKV с секретом, необходимо удалить существующие учетные данные доступа и создать новые с помощью управляемого удостоверения. В следующих командах T-SQL показано, как обновить существующую конфигурацию EKM для использования управляемых удостоверений:
Создайте учетные данные с помощью управляемого удостоверения:
CREATE CREDENTIAL [<akv-name>.vault.azure.net]
WITH IDENTITY = 'Managed Identity'
FOR CRYPTOGRAPHIC PROVIDER AzureKeyVault_EKM_Prov
Если есть учетные данные, использующие секрет, связанный с именем входа домена администрирования SQL Server, удалите существующие учетные данные:
ALTER LOGIN [<domain>\<login>]
DROP CREDENTIAL [<existing-credential-name>]
Свяжите новые учетные данные с именем входа домена администрирования SQL Server:
ALTER LOGIN [<domain>\<login>]
ADD CREDENTIAL [<akv-name>.vault.azure.net]
Вы можете проверить зашифрованное представление базы данных, чтобы проверить шифрование базы данных с помощью следующего запроса:
SELECT *
FROM sys.dm_database_encryption_keys
WHERE database_id=db_id('<your-database-name>')
Дополнительные сведения о настройке EKM с помощью AKV см. в статье Настройка расширенного управления ключами SQL Server TDE с помощьюAzure Key Vault.
Флаг трассировки 4675 можно использовать для проверки учетных данных, созданных с управляемым удостоверением. Если инструкция CREATE CREDENTIAL выполнялась без включения флага трассировки 4675, сообщение об ошибке не отображается, если основное управляемое удостоверение не установлено для сервера. Чтобы устранить эту проблему, учетные данные необходимо удалить и создать заново после включения флага трассировки.
Если основное управляемое удостоверение не назначено для SQL Server на виртуальной машине Azure, операции резервного копирования и восстановления приведут к ошибке, сообщающей о том, что управляемое удостоверение не выбрано.
Msg 37563, Level 16, State 2, Line 14
The primary managed identity is not selected for this server. Enable the primary managed identity for Microsoft Entra authentication for this server. For more information see (https://aka.ms/sql-server-managed-identity-doc).`
Если используется предыдущая версия соединителя SQL Server, при выполнении инструкции T-SQL CREATE ASYMMETRIC KEY с использованием учетных данных сервера с управляемым удостоверением возникает следующая ошибка:
Msg 37576, Level 16, State 2, Line 60
The current SQL Server Connector version for Microsoft Azure Key Vault does not support the managed identity (see https://aka.ms/sql-server-managed-identity-doc). Upgrade the SQL Server Connector to its latest version
Обучение
Сертификация
Microsoft Certified: Identity and Access Administrator Associate - Certifications
Продемонстрировать функции идентификатора Microsoft Entra для модернизации решений удостоверений, реализации гибридных решений и реализации управления удостоверениями.