Skapa server som konfigurerats med användartilldelad hanterad identitet och kundhanterad TDE

Gäller för:Azure SQL Database

Den här guiden beskriver stegen för att skapa en logisk server i Azure som konfigurerats med transparent datakryptering (TDE) med kundhanterade nycklar (CMK) med hjälp av en användartilldelad hanterad identitet för åtkomst till Azure Key Vault.

Kommentar

Microsoft Entra-ID är det nya namnet för Azure Active Directory (Azure AD). Vi uppdaterar dokumentationen just nu.

Förutsättningar

• Den här instruktionsguiden förutsätter att du redan har skapat ett Azure Key Vault och importerat en nyckel till det som ska användas som TDE-skydd för Azure SQL Database. Mer information finns i transparent datakryptering med BYOK-stöd.
• Skydd mot mjuk borttagning och rensning måste vara aktiverat i nyckelvalvet
• Du måste ha skapat en användartilldelad hanterad identitet och gett den nödvändiga TDE-behörigheter (Get, Wrap Key, Unwrap Key) i nyckelvalvet ovan. Information om hur du skapar en användartilldelad hanterad identitet finns i Skapa en användartilldelad hanterad identitet.
• Du måste ha Azure PowerShell installerat och igång.
• [Rekommenderat men valfritt] Skapa nyckelmaterialet för TDE-skyddet i en maskinvarusäkerhetsmodul (HSM) eller lokalt nyckelarkiv först och importera nyckelmaterialet till Azure Key Vault. Följ anvisningarna för att använda en maskinvarusäkerhetsmodul (HSM) och Key Vault för att lära dig mer.

Skapa en server som konfigurerats med TDE med kundhanterad nyckel (CMK)

Följande steg beskriver processen med att skapa en ny logisk Azure SQL Database-server och en ny databas med en användartilldelad hanterad identitet tilldelad. Den användartilldelade hanterade identiteten krävs för att konfigurera en kundhanterad nyckel för TDE när servern skapas.

Portal

1. Bläddra till sidan Välj SQL-distributionsalternativ i Azure-portalen.

2. Om du inte redan är inloggad på Azure-portalen loggar du in när du uppmanas att göra det.

3. Under SQL-databaser lämnar du Resurstyp inställd på Enskild databas och väljer Skapa.

4. På fliken Grundläggande i formuläret Skapa SQL Database går du till Projektinformation och väljer önskad Azure-prenumeration.

5. För Resursgrupp väljer du Skapa ny, anger ett namn för resursgruppen och väljer OK.

6. För Databasnamn anger du ContosoHR.

7. För Server väljer du Skapa ny och fyller i formuläret Ny server med följande värden:

   • Servernamn: Ange ett unikt servernamn. Servernamn måste vara globalt unika för alla servrar i Azure, inte bara unika i en prenumeration. Ange något i stil med mysqlserver135, så meddelar Azure-portalen dig om det är tillgängligt eller inte.
   • Inloggning för serveradministratör: Ange ett inloggningsnamn för administratör, till exempel: azureuser.
   • Lösenord: Ange ett lösenord som uppfyller lösenordskraven och ange det igen i fältet Bekräfta lösenord .
   • Plats: Välj en plats i listrutan

8. Välj Nästa: Nätverk längst ned på sidan.

9. På fliken Nätverk för Anslut ivity-metoden väljer du Offentlig slutpunkt.

10. För Brandväggsregler anger du Lägg till aktuell klient-IP-adress till Ja. Låt Tillåt Att Azure-tjänster och resurser får åtkomst till den här servern inställt på Nej.

    

11. Välj Nästa: Säkerhet längst ned på sidan.

12. På fliken Säkerhet går du till Serveridentitet och väljer Konfigurera identiteter.

    

13. På bladet Identitet väljer du Av för Systemtilldelad hanterad identitet och väljer sedan Lägg till under Användartilldelad hanterad identitet. Välj önskad prenumeration och välj sedan önskad användartilldelad hanterad identitet från den valda prenumerationen under Användartilldelade hanterade identiteter. Välj sedan knappen Lägg till .

    

    

14. Under Primär identitet väljer du samma användartilldelade hanterade identitet som valdes i föregående steg.

    

15. Välj Använd

16. På fliken Säkerhet, under transparent datakryptering Nyckelhantering, har du möjlighet att konfigurera transparent datakryptering för servern eller databasen.

    • För Servernivånyckel: Välj Konfigurera transparent datakryptering. Välj Kundhanterad nyckel och ett alternativ för att välja Välj en nyckel visas. Välj Ändra nyckel. Välj önskad prenumeration, nyckelvalv, nyckel och version för den kundhanterade nyckel som ska användas för TDE. Välj knappen Välj.

    

    

    • För Nyckel på databasnivå: Välj Konfigurera transparent datakryptering. Välj Kundhanterad nyckel på databasnivå och ett alternativ för att konfigurera databasidentiteten och den kundhanterade nyckeln visas. Välj Konfigurera för att konfigurera en användartilldelad hanterad identitet för databasen, ungefär som i steg 13. Välj Ändra nyckel för att konfigurera en kundhanterad nyckel. Välj önskad prenumeration, nyckelvalv, nyckel och version för den kundhanterade nyckel som ska användas för TDE. Du har också möjlighet att aktivera automatisk rotationsnyckel i transparent datakryptering-menyn. Välj knappen Välj.

    

17. Välj Använd

18. Välj Granska + skapa längst ned på sidan

19. På sidan Granska + skapa väljer du Skapa när du har granskat.

The Azure CLI

Information om hur du installerar den aktuella versionen av Azure CLI finns i artikeln Installera Azure CLI .

Skapa en server som konfigurerats med användartilldelad hanterad identitet och kundhanterad TDE med kommandot az sql server create .

az sql server create \
    --name $serverName \
    --resource-group $resourceGroupName \
    --location $location  \
    --admin-user $adminlogin \
    --admin-password $password \
    --assign-identity \
    --identity-type $identitytype \
    --user-assigned-identity-id $identityid \
    --primary-user-assigned-identity-id $primaryidentityid \
    --key-id $keyid
 

Skapa en databas med kommandot az sql db create .

az sql db create \
    --resource-group $resourceGroupName \
    --server $serverName \
    --name mySampleDatabase \
    --sample-name AdventureWorksLT \
    --edition GeneralPurpose \
    --compute-model Serverless \
    --family Gen5 \
    --capacity 2

PowerShell

Skapa en server som konfigurerats med användartilldelad hanterad identitet och kundhanterad TDE med hjälp av PowerShell.

Installationsinstruktioner för Az PowerShell-moduler finns i Installera Azure PowerShell. Specifika cmdletar finns i AzureRM.Sql.

Använd cmdleten New-AzSqlServer .

Ersätt följande värden i exemplet:

• <ResourceGroupName>: Namnet på resursgruppen för din logiska Azure SQL-server
• <Location>: Plats för servern, till exempel West US, eller Central US
• <ServerName>: Använd ett unikt namn på den logiska Azure SQL-servern
• <ServerAdminName>: SQL-administratörsinloggningen
• <ServerAdminPassword>: SQL-administratörslösenordet
• <IdentityType>: Typ av identitet som ska tilldelas till servern. Möjliga värden är SystemAssigned, UserAssignedoch SystemAssigned,UserAssigned Ingen
• <UserAssignedIdentityId>: Listan över användartilldelade hanterade identiteter som ska tilldelas till servern (kan vara en eller flera)
• <PrimaryUserAssignedIdentityId>: Den användartilldelade hanterade identiteten som ska användas som primär eller standard på den här servern
• <CustomerManagedKeyId>: Nyckelidentifierare och kan hämtas från nyckeln i Key Vault

Om du vill hämta ditt användartilldelade resurs-ID för hanterad identitet söker du efter hanterade identiteter i Azure-portalen. Hitta din hanterade identitet och gå till Egenskaper. Ett exempel på ditt UMI-resurs-ID ser ut som/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>

# create a server with user-assigned managed identity and customer-managed TDE
$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    SqlAdministratorCredentials = (Get-Credential)
    SqlAdministratorLogin = "<ServerAdminName>"
    SqlAdministratorPassword = "<ServerAdminPassword>"
    AssignIdentity = $true
    IdentityType = "<IdentityType>"
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    PrimaryUserAssignedIdentityId = "<PrimaryUserAssignedIdentityId>"
    KeyId = "<CustomerManagedKeyId>"
}

New-AzSqlServer @params

ARM-mall

Här är ett exempel på en ARM-mall som skapar en logisk server i Azure med en användartilldelad hanterad identitet och kundhanterad TDE. Mallen lägger också till en Microsoft Entra-administratörsuppsättning för servern och aktiverar endast Microsoft Entra-autentisering, men detta kan tas bort från mallexemplet.

Mer information och ARM-mallar finns i Azure Resource Manager-mallar för Azure SQL Database och SQL Managed Instance.

Använd en anpassad distribution i Azure-portalen och Skapa en egen mall i redigeringsprogrammet. Spara sedan konfigurationen när du klistrade in i exemplet.

Om du vill hämta ditt användartilldelade resurs-ID för hanterad identitet söker du efter hanterade identiteter i Azure-portalen. Hitta din hanterade identitet och gå till Egenskaper. Ett exempel på ditt UMI-resurs-ID ser ut som /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "String"
        },
        "location": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity."
            }
        },
        "keyvault_url": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The key vault URI."
            }
        },
        "AdminLogin": {
            "minLength": 1,
            "type": "String"
        },
        "AdminLoginPassword": {
            "type": "SecureString"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "administratorLogin": "[parameters('AdminLogin')]",
                "administratorLoginPassword": "[parameters('AdminLoginPassword')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "KeyId": "[parameters('keyvault_url')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Nästa steg

• Kom igång med Azure Key Vault-integrering och Stöd för Bring Your Own Key för TDE: Aktivera TDE med din egen nyckel från Key Vault.