Granskning med hanterad identitet

Gäller för:Azure SQL DatabaseAzure Synapse Analytics

Granskning för Azure SQL Database kan konfigureras för att använda ett lagringskonto med två autentiseringsmetoder:

• Hanterad identitet
• Åtkomstnycklar för lagring

Hanterad identitet kan vara en systemtilldelad hanterad identitet (SMI) eller användartilldelad hanterad identitet (UMI).

Om du vill konfigurera att skriva granskningsloggar till ett lagringskonto går du till Azure-portalen och väljer din logiska serverresurs för Azure SQL Database. Välj Lagring på granskningsmenyn. Välj det Azure Storage-konto där loggar ska sparas.

Som standard är den identitet som används den primära användaridentitet som tilldelats servern. Om det inte finns någon användaridentitet skapar servern en systemtilldelad hanterad identitet och använder den för autentisering.

Välj kvarhållningsperioden genom att öppna avancerade egenskaper. Välj sedan Spara. Loggar som är äldre än kvarhållningsperioden tas bort.

Kommentar

Information om hur du konfigurerar hanterad identitetsbaserad granskning av Azure Synapse Analytics finns i avsnittet Konfigurera systemtilldelad hanterad identitet för Azure Synapse Analytics-granskning senare i den här artikeln.

Användartilldelad hanterad identitet

UMI ger användarna flexibilitet att skapa och underhålla sin egen UMI för en viss klientorganisation. UMI kan användas som serveridentiteter för Azure SQL. UMI hanteras av användaren, jämfört med en systemtilldelad hanterad identitet, som identiteten definieras unikt per server och tilldelas av systemet.

Mer information om UMI finns i Hanterade identiteter i Microsoft Entra ID för Azure SQL.

Konfigurera användartilldelad hanterad identitet för Azure SQL Database-granskning

Innan granskning kan konfigureras för att skicka loggar till ditt lagringskonto måste den hanterade identitet som tilldelats servern ha rolltilldelningen Storage Blob Data Contributor . Den här tilldelningen krävs om du konfigurerar granskning med hjälp av PowerShell, Azure CLI, REST API eller ARM-mallar. Rolltilldelning görs automatiskt när du använder Azure-portalen för att konfigurera granskning, så stegen nedan är onödiga om du konfigurerar granskning via Azure-portalen.

1. Gå till Azure-portalen.

2. Skapa en användartilldelad hanterad identitet om du inte redan har gjort det. Mer information finns i Skapa användartilldelad hanterad identitet.

3. Gå till ditt lagringskonto som du vill konfigurera för granskning.

4. Välj menyn Åtkomstkontroll (IAM).

5. Välj Lägg till>Lägg till rolltilldelning.

6. På fliken Roll söker du efter och väljer Lagringsblobdatadeltagare. Välj Nästa.

7. På fliken Medlemmar väljer du Hanterad identitet i avsnittet Tilldela åtkomst till och sedan Välj medlemmar. Du kan välja den hanterade identitet som skapades för servern.

8. Välj Granska + tilldela.

   

Mer information finns i Tilldela Azure-roller med hjälp av portalen.

Använd följande för att konfigurera granskning med hjälp av användartilldelad hanterad identitet:

Portal

1. Gå till identitetsmenyn för servern. Under avsnittet Användartilldelad hanterad identitet lägger du till den hanterade identiteten.

2. Du kan sedan välja den tillagda hanterade identiteten som primär identitet för servern.

   

3. Gå till menyn Granskning för servern. Välj Hanterad identitet som typ av lagringsautentisering när du konfigurerar lagringen för servern.

The Azure CLI

Om du vill använda en hanterad identitet skickar du parametern --storage-key som en tom sträng för att använda den primära hanterade identiteten som tilldelats servern när du konfigurerar granskning. Här är ett exempelkommando:

az SQL server audit-policy update -g "sampleresourcegroup" -n "sampleauditingtestserver" --state Enabled --bsts Enabled --storage-endpoint https://<storageaccountname>.blob.core.windows.net --storage-key ""

Mer information finns i az sql server audit-policy.

PowerShell

För att kunna använda en hanterad identitet skickar du parametern UseIdentity för att använda den primära hanterade identiteten som True tilldelats servern. Här är ett exempelkommando:

Set-AzSqlServerAudit -ResourceGroupName "sampleresourcegroup" -ServerName "sampleauditingtestserver" -BlobStorageTargetState Enabled -StorageAccountResourceId "/subscriptions/<SubscriptionID>/resourcegroups/sampleresourcegroup/providers/Microsoft.Storage/storageAccounts/auditingteststorageacc" -UseIdentity True

Mer information finns i Set-AzSqlServerAudit.

REST-API

Om du vill använda den primära hanterade identiteten hoppar du över att skicka parametern storageAccountAccessKey i begäran:

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/auditingSettings/default?api-version=2017-03-01-preview

{
  "properties": {
    "state": "Enabled",
    "storageEndpoint": "https://mystorage.blob.core.windows.net"
  }
}

Mer information finns i Servergranskning Inställningar – Skapa eller uppdatera.

Konfigurera systemtilldelad hanterad identitet för Azure Synapse Analytics-granskning

Du kan inte använda UMI-baserad autentisering till ett lagringskonto för granskning. Endast systemtilldelad hanterad identitet (SMI) kan användas för Azure Synapse Analytics. För att SMI-autentisering ska fungera måste den hanterade identiteten ha rollen Storage Blob Data Contributor tilldelad i lagringskontots åtkomstkontrollinställningar . Den här rollen läggs automatiskt till om Azure-portalen används för att konfigurera granskning.

I Azure-portalen för Azure Synapse Analytics finns det inget alternativ för att uttryckligen välja SAS-nyckel eller SMI-autentisering, vilket är fallet för Azure SQL Database.

• Om lagringskontot finns bakom ett virtuellt nätverk eller en brandvägg konfigureras granskning automatiskt med SMI-autentisering.

• Om lagringskontot inte finns bakom ett virtuellt nätverk eller en brandvägg konfigureras granskning automatiskt med hjälp av SAS-nyckelbaserad autentisering.

Om du vill framtvinga användning av SMI-autentisering, oavsett om lagringskontot finns bakom ett virtuellt nätverk eller en brandvägg, använder du REST API eller PowerShell på följande sätt:

• Om du använder REST-API:et utelämnar du fältet StorageAccountAccessKey explicit i begärandetexten.

  Mer information finns i:

  • Granskningsprinciper för serverblob – Skapa eller uppdatera – REST API (Azure SQL Database)
  • Granskningsprinciper för databasblob – Skapa eller uppdatera – REST API (Azure SQL Database

• Om du använder PowerShell skickar du parametern UseIdentity som true.

  Mer information finns i:

  • Set-AzSqlServerAudit (Az.Sql)
  • Set-AzSqlDatabaseAudit (Az.Sql)

Nästa steg

• Granskningsöversikt
• Avsnittet Exponerade data: Nyheter i Azure SQL-granskning
• Granskning för SQL Managed Instance
• Granskning för SQL Server