Миграция на саммит инноваций:
Узнайте, как миграция и модернизация в Azure может повысить производительность, устойчивость и безопасность вашего бизнеса, что позволяет полностью принять ИИ.Зарегистрироваться
Этот браузер больше не поддерживается.
Выполните обновление до Microsoft Edge, чтобы воспользоваться новейшими функциями, обновлениями для системы безопасности и технической поддержкой.
В этой статье показано, как использовать управляемые идентификации для расширяемого управления ключами (EKM) с Azure Key Vault (AKV) на SQL Server на виртуальных машинах Azure.
Обзор
Начиная с накопительного обновления 17 (CU17) для SQL Server 2022, управляемые удостоверения поддерживаются для EKM с AKV и управляемыми аппаратными модулями безопасности (HSM) на виртуальных машинах Azure. Управляемые удостоверения — это рекомендуемый метод проверки подлинности, позволяющий различным службам Azure выполнять проверку подлинности SQL Server на ресурсе виртуальной машины Azure без использования паролей или секретов. Дополнительные сведения об управляемых удостоверениях см. в Типы управляемых удостоверений.
Примечание
Управляемые удостоверения поддерживаются только для SQL Server на виртуальных машинах Azure и не поддерживаются для SQL Server, развернутого локально.
Чтобы назначить роль Key Vault Crypto Service Encryption User для основного управляемого удостоверения ключевому хранилищу, если вы используете Azure управление доступом на основе ролей , или разрешения Unwrap Key и Wrap Key, если вы используете политику доступа к хранилищу .
Скачайте последнюю версию соединителя SQL Server из центра загрузки Майкрософт .
Добавьте раздел реестра для поставщика EKM
Прежде чем создавать учетные данные с помощью управляемого удостоверения, необходимо добавить раздел реестра, чтобы поставщик EKM мог использовать управляемые удостоверения. Этот шаг должен выполняться администратором компьютера. Подробные инструкции см. в разделе и шаге 4: Добавление раздела реестра для поддержки поставщика EKM.
Создание учетных данных сервера с помощью управляемых удостоверений
В следующем примере показано, как создать учетные данные для управляемого удостоверения, используемого с AKV:
Создание учетных данных для использования с управляемыми аппаратными модулями безопасности (HSM)
Чтобы создать учетные данные для использования с управляемыми аппаратными модулями безопасности Azure Key Vault (HSM), используйте следующий синтаксис:
Команды T-SQL для обновления существующей конфигурации EKM для использования управляемых удостоверений
Если ваша текущая конфигурация использует EKM с AKV с секретом, необходимо удалить существующие учетные данные доступа и создать новые с помощью управляемого удостоверения. В следующих командах T-SQL показано, как обновить существующую конфигурацию EKM для использования управляемых удостоверений:
Создайте учетные данные с помощью управляемого удостоверения:
Флаг трассировки 4675 можно использовать для проверки учетных данных, созданных с управляемым удостоверением. Если инструкция CREATE CREDENTIAL выполнялась без включения флага трассировки 4675, сообщение об ошибке не отображается, если основное управляемое удостоверение не установлено для сервера. Чтобы устранить эту проблему, учетные данные необходимо удалить и создать заново после включения флага трассировки.
Основное управляемое удостоверение не назначено
Если основное управляемое удостоверение не назначено для SQL Server на виртуальной машине Azure, операции резервного копирования и восстановления приведут к ошибке, сообщающей о том, что управляемое удостоверение не выбрано.
SQL
Msg 37563, Level 16, State 2, Line 14
The primary managed identity is not selected for this server. Enable the primary managed identity for Microsoft Entra authentication for this server. For more information see (https://aka.ms/sql-server-managed-identity-doc).`
Версия соединителя SQL Server не поддерживает управляемую идентичность для EKM с Azure Key Vault.
Если используется предыдущая версия соединителя SQL Server, при выполнении инструкции T-SQL CREATE ASYMMETRIC KEY с использованием учетных данных сервера с управляемым удостоверением возникает следующая ошибка:
SQL
Msg 37576, Level 16, State 2, Line 60
The current SQL Server Connector version for Microsoft Azure Key Vault does not support the managed identity (see https://aka.ms/sql-server-managed-identity-doc). Upgrade the SQL Server Connector to its latest version
Ограничения
Управляемое удостоверение на уровне сервера поддерживается только для SQL Server на виртуальной машине Azure, а не в локальной среде SQL Server. Для Linux не поддерживается управляемое удостоверение на уровне сервера.
Для поддержки управляемых удостоверений для EKM с AKV требуется последняя версия соединителя SQL Server. Скачайте и установите последнюю версию из Центра загрузки Майкрософт.
Проверка подлинности Microsoft Entra может быть включена только с одним основным управляемым удостоверением для SQL Server на виртуальной машине Azure. Основное управляемое удостоверение используется для всех экземпляров SQL Server на виртуальной машине.
Продемонстрировать функции идентификатора Microsoft Entra для модернизации решений удостоверений, реализации гибридных решений и реализации управления удостоверениями.