Dela via


Granskning med hanterad identitet

Gäller för:Azure SQL DatabaseAzure Synapse Analytics

Granskning för Azure SQL Database kan konfigureras för att använda ett lagringskonto med två autentiseringsmetoder:

  • Hanterad identitet
  • Åtkomstnycklar för lagring

Hanterad identitet kan vara en systemtilldelad hanterad identitet (SMI) eller användartilldelad hanterad identitet (UMI).

Om du vill konfigurera att skriva granskningsloggar till ett lagringskonto går du till Azure-portalen och väljer din logiska serverresurs för Azure SQL Database. Välj Lagring på granskningsmenyn. Välj det Azure Storage-konto där loggar ska sparas.

Som standard är den identitet som används den primära användaridentitet som tilldelats servern. Om det inte finns någon användaridentitet skapar servern en systemtilldelad hanterad identitet och använder den för autentisering.

Screenshot of the Auditing menu in the Azure portal and selecting Managed Identity as the Storage Authentication Type.

Välj kvarhållningsperioden genom att öppna avancerade egenskaper. Välj sedan Spara. Loggar som är äldre än kvarhållningsperioden tas bort.

Kommentar

Information om hur du konfigurerar hanterad identitetsbaserad granskning av Azure Synapse Analytics finns i avsnittet Konfigurera systemtilldelad hanterad identitet för Azure Synapse Analytics-granskning senare i den här artikeln.

Användartilldelad hanterad identitet

UMI ger användarna flexibilitet att skapa och underhålla sin egen UMI för en viss klientorganisation. UMI kan användas som serveridentiteter för Azure SQL. UMI hanteras av användaren, jämfört med en systemtilldelad hanterad identitet, som identiteten definieras unikt per server och tilldelas av systemet.

Mer information om UMI finns i Hanterade identiteter i Microsoft Entra ID för Azure SQL.

Konfigurera användartilldelad hanterad identitet för Azure SQL Database-granskning

Innan granskning kan konfigureras för att skicka loggar till ditt lagringskonto måste den hanterade identitet som tilldelats servern ha rolltilldelningen Storage Blob Data Contributor . Den här tilldelningen krävs om du konfigurerar granskning med hjälp av PowerShell, Azure CLI, REST API eller ARM-mallar. Rolltilldelning görs automatiskt när du använder Azure-portalen för att konfigurera granskning, så stegen nedan är onödiga om du konfigurerar granskning via Azure-portalen.

  1. Gå till Azure-portalen.

  2. Skapa en användartilldelad hanterad identitet om du inte redan har gjort det. Mer information finns i Skapa användartilldelad hanterad identitet.

  3. Gå till ditt lagringskonto som du vill konfigurera för granskning.

  4. Välj menyn Åtkomstkontroll (IAM).

  5. Välj Lägg till>Lägg till rolltilldelning.

  6. På fliken Roll söker du efter och väljer Lagringsblobdatadeltagare. Välj Nästa.

  7. På fliken Medlemmar väljer du Hanterad identitet i avsnittet Tilldela åtkomst till och sedan Välj medlemmar. Du kan välja den hanterade identitet som skapades för servern.

  8. Välj Granska + tilldela.

    Screenshot of assigning the Storage Blob Data Contributor to the Managed Identity in the Azure portal.

Mer information finns i Tilldela Azure-roller med hjälp av portalen.

Använd följande för att konfigurera granskning med hjälp av användartilldelad hanterad identitet:

  1. Gå till identitetsmenyn för servern. Under avsnittet Användartilldelad hanterad identitet lägger du till den hanterade identiteten.

  2. Du kan sedan välja den tillagda hanterade identiteten som primär identitet för servern.

    Screenshot of the Identity menu in the Azure portal and selecting the primary identity.

  3. Gå till menyn Granskning för servern. Välj Hanterad identitet som typ av lagringsautentisering när du konfigurerar lagringen för servern.

Konfigurera systemtilldelad hanterad identitet för Azure Synapse Analytics-granskning

Du kan inte använda UMI-baserad autentisering till ett lagringskonto för granskning. Endast systemtilldelad hanterad identitet (SMI) kan användas för Azure Synapse Analytics. För att SMI-autentisering ska fungera måste den hanterade identiteten ha rollen Storage Blob Data Contributor tilldelad i lagringskontots åtkomstkontrollinställningar . Den här rollen läggs automatiskt till om Azure-portalen används för att konfigurera granskning.

I Azure-portalen för Azure Synapse Analytics finns det inget alternativ för att uttryckligen välja SAS-nyckel eller SMI-autentisering, vilket är fallet för Azure SQL Database.

  • Om lagringskontot finns bakom ett virtuellt nätverk eller en brandvägg konfigureras granskning automatiskt med SMI-autentisering.

  • Om lagringskontot inte finns bakom ett virtuellt nätverk eller en brandvägg konfigureras granskning automatiskt med hjälp av SAS-nyckelbaserad autentisering.

Om du vill framtvinga användning av SMI-autentisering, oavsett om lagringskontot finns bakom ett virtuellt nätverk eller en brandvägg, använder du REST API eller PowerShell på följande sätt:

Nästa steg