Identitets- och nyckelhantering för TDE med kundhanterade nycklar på databasnivå

Gäller för:Azure SQL Database

Kommentar

• TDE CMK på databasnivå är tillgängligt för Azure SQL Database (alla SQL Database-utgåvor). Den är inte tillgänglig för Azure SQL Managed Instance, SQL Server lokalt, virtuella Azure-datorer och Azure Synapse Analytics (dedikerade SQL-pooler (tidigare SQL DW)).
• Samma guide kan användas för att konfigurera kundhanterade nycklar på databasnivå i samma klientorganisation genom att undanta parametern federerat klient-ID. Mer information om kundhanterade nycklar på databasnivå finns i Transparent datakryptering (TDE) med kundhanterade nycklar på databasnivå.

I den här guiden går vi igenom stegen för att skapa, uppdatera och hämta en Azure SQL Database med transparent datakryptering (TDE) och kundhanterade nycklar (CMK) på databasnivå, med hjälp av en användartilldelad hanterad identitet för åtkomst till Azure Key Vault. Azure Key Vault finns i en annan Microsoft Entra-klientorganisation än Azure SQL Database. Mer information finns i Kundhanterade nycklar mellan klientorganisationer med transparent datakryptering.

Kommentar

Microsoft Entra-ID är det nya namnet för Azure Active Directory (Azure AD). Vi uppdaterar dokumentationen just nu.

Förutsättningar

• Den här guiden förutsätter att du har två Microsoft Entra-klienter.
  • Den första består av Azure SQL Database-resursen, ett Microsoft Entra-program med flera klientorganisationer och en användartilldelad hanterad identitet.
  • Den andra klientorganisationen rymmer Azure Key Vault.
• Omfattande anvisningar om hur du konfigurerar CMK för flera klientorganisationer och de RBAC-behörigheter som krävs för att konfigurera Microsoft Entra-program och Azure Key Vault finns i någon av följande guider:
  • Konfigurera kundhanterade nycklar mellan klientorganisationer för ett nytt lagringskonto
  • Konfigurera kundhanterade nycklar mellan klientorganisationer för ett befintligt lagringskonto
• Azure CLI version 2.52.0 eller senare.
• Az PowerShell-modul version 10.3.0 eller senare.
• DE RBAC-behörigheter som krävs för CMK på databasnivå är samma behörigheter som krävs för CMK på servernivå. Mer specifikt gäller samma RBAC-behörigheter som gäller när du använder Azure Key Vault, hanterade identiteter och CMK för flera klientorganisationer för TDE på servernivå på databasnivå. Mer information om nyckelhantering och åtkomstprincip finns i Nyckelhantering.

Nödvändiga resurser för den första klientorganisationen

I den här självstudien förutsätter vi att den första klientorganisationen tillhör en oberoende programvaruleverantör (ISV) och att den andra klientorganisationen kommer från klienten. Mer information om det här scenariot finns i Kundhanterade nycklar mellan klientorganisationer med transparent datakryptering.

Innan vi kan konfigurera TDE för Azure SQL Database med en CMK för flera klientorganisationer måste vi ha ett Microsoft Entra-program med flera klientorganisationer som har konfigurerats med en användartilldelad hanterad identitet tilldelad som en federerad identitetsautentiseringsuppgift för programmet. Följ någon av guiderna i Förutsättningar.

1. I den första klientorganisationen där du vill skapa Azure SQL Database skapar och konfigurerar du ett Microsoft Entra-program med flera klientorganisationer.

2. Skapa en användartilldelad hanterad identitet.

3. Konfigurera den användartilldelade hanterade identiteten som en federerad identitetsautentiseringsuppgift för programmet för flera klientorganisationer.

4. Registrera programnamnet och program-ID:t. Detta finns i Microsoft Entra ID>Enterprise-program i Azure-portalen>och sök efter det skapade programmet.

Nödvändiga resurser i den andra klientorganisationen

1. På den andra klientorganisationen där Azure Key Vault finns skapar du ett huvudnamn för tjänsten (programmet) med hjälp av program-ID:t från det registrerade programmet från den första klientorganisationen. Här är några exempel på hur du registrerar programmet för flera klientorganisationer. Ersätt <TenantID> och <ApplicationID> med klientorganisations-ID :t från Microsoft Entra-ID och program-ID från programmet för flera klientorganisationer:

   • PowerShell:

     Connect-AzureAD -TenantID <TenantID>
     New-AzADServicePrincipal  -ApplicationId <ApplicationID>
     

   • Azure CLI:

     az login --tenant <TenantID>
     az ad sp create --id <ApplicationID>
     

2. Gå till Azure-portalen>Microsoft Entra ID>Enterprise-program och sök efter det program som skapades.

3. Skapa ett Azure Key Vault om du inte har ett och skapa en nyckel.

4. Skapa eller ange åtkomstprincipen.

   1. Välj behörigheterna Hämta, Radbryt nyckel, Packa upp nyckel under Nyckelbehörigheter när du skapar åtkomstprincipen.
   2. Välj det program för flera klientorganisationer som skapades i det första steget i alternativet Huvudnamn när du skapar åtkomstprincipen.

   

5. När åtkomstprincipen och nyckeln har skapats hämtar du nyckeln från Key Vault och registrerar nyckelidentifieraren.

Skapa en ny Azure SQL Database med kundhanterade nycklar på databasnivå

Följande är exempel på hur du skapar en databas i Azure SQL Database med en användartilldelad hanterad identitet och hur du anger en kundhanterad nyckel mellan klientorganisationer på databasnivå. Den användartilldelade hanterade identiteten krävs för att konfigurera en kundhanterad nyckel för transparent datakryptering under fasen för att skapa databasen.

Portal

1. Bläddra till sidan Välj SQL-distributionsalternativ i Azure-portalen.

2. Om du inte redan är inloggad på Azure-portalen loggar du in när du uppmanas att göra det.

3. Under SQL-databaser lämnar du Resurstyp inställd på Enskild databas och väljer Skapa.

4. På fliken Grundläggande i formuläret Skapa SQL Database går du till Projektinformation och väljer önskad Azure-prenumeration, resursgrupp och server för databasen. Använd sedan ett unikt namn för databasnamnet. Om du inte har skapat en logisk server för Azure SQL Database kan du läsa Skapa server som konfigurerats med TDE med kundhanterad nyckel (CMK) för flera klientorganisationer.

5. När du kommer till fliken Säkerhet väljer du Konfigurera transparent datakryptering.

   

6. På menyn Transparent datakryptering väljer du Kundhanterad nyckel på databasnivå (CMK).

   

7. För Användartilldelad hanterad identitet väljer du Konfigurera för att aktivera en databasidentitet och Lägg till en användartilldelad hanterad identitet till resursen om en önskad identitet inte finns med på identitetsmenyn . Välj därefter Tillämpa.

   

   Kommentar

   Du kan konfigurera den federerade klientidentiteten här om du konfigurerar CMK för flera klientorganisationer för TDE.

8. På menyn Transparent datakryptering väljer du Ändra nyckel. Välj önskad prenumeration, nyckelvalv, nyckel och version för den kundhanterade nyckel som ska användas för TDE. Välj knappen Välj. När du har valt en nyckel kan du också lägga till ytterligare databasnycklar efter behov med hjälp av Azure Key Vault URI (objektidentifierare) på menyn Transparent datakryptering .

   Automatisk nyckelrotation kan också aktiveras på databasnivå med hjälp av kryssrutan Rotera nyckel automatiskt på menyn Transparent datakryptering .

   

9. Välj Använd för att fortsätta skapa databasen.

10. Välj Granska + skapa längst ned på sidan

11. På sidan Granska + skapa väljer du Skapa när du har granskat.

Kommentar

Det går inte att skapa databasen om den användartilldelade hanterade identiteten inte har rätt behörigheter aktiverade i nyckelvalvet. Den användartilldelade hanterade identiteten behöver behörigheterna Hämta, wrapKey och unwrapKey i nyckelvalvet. Mer information finns i Hanterade identiteter för transparent datakryptering med kundhanterad nyckel.

Azure CLI

Information om hur du installerar den aktuella versionen av Azure CLI finns i artikeln Installera Azure CLI .

Skapa en databas som konfigurerats med användartilldelad hanterad identitet och kundhanterad TDE mellan klientorganisationer med hjälp av kommandot az sql db create . Nyckelidentifieraren från den andra klientorganisationen kan användas i fältet encryption-protector . Program-ID för programmet för flera klientorganisationer kan användas i fältet federated-client-id . Parametern --encryption-protector-auto-rotation kan användas för att aktivera automatisk nyckelrotation på databasnivå.

Om du vill hämta ditt användartilldelade resurs-ID för hanterad identitet söker du efter hanterade identiteter i Azure-portalen. Hitta din hanterade identitet och gå till Egenskaper. Ett exempel på ditt UMI-resurs-ID ser ut som/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>

az sql db create --resource-group $resourceGroupName --server $serverName --name mySampleDatabase --sample-name AdventureWorksLT --edition GeneralPurpose --compute-model Serverless --family Gen5 --capacity 2 --assign-identity --user-assigned-identity-id $identityid --encryption-protector $keyid --federated-client-id $federatedclientid --encryption-protector-auto-rotation True

PowerShell

Skapa en databas som konfigurerats med användartilldelad hanterad identitet och kundhanterad TDE för flera klientorganisationer på databasnivå med hjälp av PowerShell.

Installationsinstruktioner för Az PowerShell-moduler finns i Installera Azure PowerShell. Specifika cmdletar finns i AzureRM.Sql.

Använd cmdleten New-AzSqlDatabase .

Ersätt följande värden i exemplet:

• <ResourceGroupName>: Namnet på resursgruppen för din logiska Azure SQL-server
• <DatabaseName>: Använd ett unikt Azure SQL-databasnamn
• <ServerName>: Använd ett unikt namn på den logiska Azure SQL-servern
• <UserAssignedIdentityId>: Listan över användartilldelade hanterade identiteter som ska tilldelas till servern (kan vara en eller flera)
• <CustomerManagedKeyId>: Nyckelidentifieraren från den andra klientorganisationens Key Vault
• <FederatedClientId>: Program-ID för programmet för flera klientorganisationer
• -EncryptionProtectorAutoRotation: Kan användas för att aktivera automatisk nyckelrotation på databasnivå

Om du vill hämta ditt användartilldelade resurs-ID för hanterad identitet söker du efter hanterade identiteter i Azure-portalen. Hitta din hanterade identitet och gå till Egenskaper. Ett exempel på ditt UMI-resurs-ID ser ut som/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>

# create a server with user-assigned managed identity and cross-tenant customer-managed TDE with automatic key rotation enabled
$params = @{
    ResourceGroupName = '<ResourceGroupName>'
    ServerName = '<ServerName>'
    DatabaseName = '<DatabaseName>'
    AssignIdentity = $true
    UserAssignedIdentityId = '<UserAssignedIdentityId>'
    EncryptionProtector = '<CustomerManagedKeyId>'
    FederatedClientId = '<FederatedClientId>'
    EncryptionProtectorAutoRotation = $true
}

New-AzSqlDatabase @params

ARM-mall

Här är ett exempel på en ARM-mall som skapar en Azure SQL Database med en användartilldelad hanterad identitet och kundhanterad TDE på databasnivå. För en CMK för flera klientorganisationer använder du nyckelidentifieraren från det andra nyckelvalvet för klientorganisationen och program-ID:t från programmet för flera klientorganisationer.

Mer information och ARM-mallar finns i Azure Resource Manager-mallar för Azure SQL Database och SQL Managed Instance.

Använd en anpassad distribution i Azure-portalen och Skapa en egen mall i redigeringsprogrammet. Spara sedan konfigurationen när du klistrade in i exemplet.

Om du vill hämta ditt användartilldelade resurs-ID för hanterad identitet söker du efter hanterade identiteter i Azure-portalen. Hitta din hanterade identitet och gå till Egenskaper. Ett exempel på ditt UMI-resurs-ID ser ut som /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "server_name": {
      "type": "String"
    },
    "database_name": {
      "type": "String"
    },
    "user_assigned_identity": {
      "type": "String"
    },
    "encryption_protector": {
      "type": "String"
    },
    "federated_client_id": {
      "type": "String"
    },
    "location": {
      "type": "String"
    },
    "encryption_protector_auto_rotation": {
      "type": "bool"
    }
  },
  "variables": {},
  "resources": [
    {
      "type": "Microsoft.Sql/servers/databases",
      "apiVersion": "2023-02-01-preview",
      "name": "[concat(parameters('server_name'), concat('/',parameters('database_name')))]",
      "location": "[parameters('location')]",
      "sku": {
        "name": "Basic",
        "tier": "Basic",
        "capacity": 5
      },
      "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
          "[parameters('user_assigned_identity')]": {}
        }
      },
      "properties": {
        "collation": "SQL_Latin1_General_CP1_CI_AS",
        "maxSizeBytes": 104857600,
        "catalogCollation": "SQL_Latin1_General_CP1_CI_AS",
        "zoneRedundant": false,
        "readScale": "Disabled",
        "requestedBackupStorageRedundancy": "Geo",
        "maintenanceConfigurationId": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Maintenance/publicMaintenanceConfigurations/SQL_Default",
        "isLedgerOn": false,
        "encryptionProtector": "[parameters('encryption_protector')]",
        "federatedClientId": "[parameters('federated_client_id')]",
        "encryptionProtectorAutoRotation": "[parameters('encryption_protector_auto_rotation')]"
      }
    }
  ]
}

Uppdatera en befintlig Azure SQL Database med kundhanterade nycklar på databasnivå

Följande är exempel på hur du uppdaterar en befintlig databas i Azure SQL Database med en användartilldelad hanterad identitet och hur du anger en kundhanterad nyckel mellan klientorganisationer på databasnivå. Den användartilldelade hanterade identiteten krävs för att konfigurera en kundhanterad nyckel för transparent datakryptering under fasen för att skapa databasen.

Portal

1. I Azure-portalen går du till den SQL-databasresurs som du vill uppdatera med en kundhanterad nyckel på databasnivå.

2. Under Säkerhet väljer du Identitet. Lägg till en användartilldelad hanterad identitet för den här databasen och välj sedan Spara

3. Gå nu till menyn Datakryptering under Säkerhet för databasen. Välj Kundhanterad nyckel på databasnivå (CMK). Databasidentiteten för databasen bör redan vara Aktiverad eftersom du har konfigurerat identiteten i det senaste steget.

4. Välj Ändra nyckel. Välj önskad prenumeration, nyckelvalv, nyckel och version för den kundhanterade nyckel som ska användas för TDE. Välj knappen Välj. När du har valt en nyckel kan du också lägga till ytterligare databasnycklar efter behov med hjälp av Azure Key Vault URI (objektidentifierare) på menyn Datakryptering .

   Markera kryssrutan Rotera nyckel automatiskt om du vill aktivera automatisk nyckelrotation på databasnivå.

   

5. Välj Spara.

Azure CLI

Information om hur du installerar den aktuella versionen av Azure CLI finns i artikeln Installera Azure CLI .

Uppdatera en databas som konfigurerats med användartilldelad hanterad identitet och kundhanterad TDE mellan klientorganisationer med hjälp av kommandot az sql db create . Nyckelidentifieraren från den andra klientorganisationen kan användas i fältet encryption-protector . Program-ID för programmet för flera klientorganisationer kan användas i fältet federated-client-id .

Om du vill hämta ditt användartilldelade resurs-ID för hanterad identitet söker du efter hanterade identiteter i Azure-portalen. Hitta din hanterade identitet och gå till Egenskaper. Ett exempel på ditt UMI-resurs-ID ser ut som /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>. Parametern --encryption-protector-auto-rotation kan användas för att aktivera automatisk nyckelrotation på databasnivå.

az sql db update --resource-group $resourceGroupName --server $serverName --name mySampleDatabase --sample-name AdventureWorksLT --edition GeneralPurpose --compute-model Serverless --family Gen5 --capacity 2 --assign-identity --user-assigned-identity-id $identityid --encryption-protector $keyid --federated-client-id $federatedclientid --keys $keys --keys-to-remove $keysToRemove --encryption-protector-auto-rotation True

Listan $keys är en blankstegsavgränsad lista över nycklar som ska läggas till i databasen och $keysToRemove är en blankstegsavgränsad lista över nycklar som måste tas bort från databasen

$keys = '"https://yourvault.vault.azure.net/keys/yourkey1/6638b3667e384aefa31364f94d230000" "https://yourvault.vault.azure.net/keys/yourkey2/ fd021f84a0d94d43b8ef33154bca0000"'

$keysToRemove = '"https://yourvault.vault.azure.net/keys/yourkey3/6638b3667e384aefa31364f94d230000" "https://yourvault.vault.azure.net/keys/yourkey4/fd021f84a0d94d43b8ef33154bca0000"'

PowerShell

Uppdatera en databas som konfigurerats med användartilldelad hanterad identitet och kundhanterad TDE för flera klientorganisationer på databasnivå med hjälp av PowerShell.

Installationsinstruktioner för Az PowerShell-moduler finns i Installera Azure PowerShell. Specifika cmdletar finns i AzureRM.Sql.

Använd cmdleten Set-AzSqlDatabase .

Ersätt följande värden i exemplet:

• <ResourceGroupName>: Namnet på resursgruppen för din logiska Azure SQL-server
• <DatabaseName>: Använd ett unikt Azure SQL-databasnamn
• <ServerName>: Använd ett unikt namn på den logiska Azure SQL-servern
• <UserAssignedIdentityId>: Listan över användartilldelade hanterade identiteter som ska tilldelas till servern (kan vara en eller flera)
• <CustomerManagedKeyId>: Nyckelidentifieraren från den andra klientorganisationens Key Vault
• <FederatedClientId>: Program-ID för programmet för flera klientorganisationer
• <ListOfKeys>: Kommaavgränsad lista över kundhanterade nycklar på databasnivå som ska läggas till i databasen
• <ListOfKeysToRemove>: Kommaavgränsad lista över kundhanterade nycklar på databasnivå som ska tas bort från databasen
• -EncryptionProtectorAutoRotation: Kan användas för att aktivera automatisk nyckelrotation på databasnivå

Om du vill hämta ditt användartilldelade resurs-ID för hanterad identitet söker du efter hanterade identiteter i Azure-portalen. Hitta din hanterade identitet och gå till Egenskaper. Ett exempel på ditt UMI-resurs-ID ser ut som /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>.

$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    ServerName = "<ServerName>"
    DatabaseName = "<DatabaseName>"
    AssignIdentity = $true
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    EncryptionProtector = "<CustomerManagedKeyId>"
    FederatedClientId = "<FederatedClientId>"
    KeyList = "<ListOfKeys>"
    KeysToRemove = "<ListOfKeysToRemove>"
    EncryptionProtectorAutoRotation = $true
}

Set-AzSqlDatabase @params

Ett exempel på -KeyList och -KeysToRemove är:

$keysToAdd = "https://yourvault.vault.azure.net/keys/yourkey1/fd021f84a0d94d43b8ef33154bca0000","https://yourvault.vault.azure.net/keys/yourkey2/fd021f84a0d94d43b8ef33154bca0000"

$keysToRemove = "https://yourvault.vault.azure.net/keys/yourkey3/fd021f84a0d94d43b8ef33154bca0000"

ARM-mall

Här är ett exempel på en ARM-mall som uppdaterar en Azure SQL Database med en användartilldelad hanterad identitet och kundhanterad TDE på databasnivå. För en CMK för flera klientorganisationer använder du nyckelidentifieraren från den andra klientnyckelvalvet och program-ID:t från programmet för flera klientorganisationer.

Mer information och ARM-mallar finns i Azure Resource Manager-mallar för Azure SQL Database och SQL Managed Instance.

Använd en anpassad distribution i Azure-portalen och Skapa en egen mall i redigeringsprogrammet. Spara sedan konfigurationen när du klistrade in i exemplet.

Om du vill hämta ditt användartilldelade resurs-ID för hanterad identitet söker du efter hanterade identiteter i Azure-portalen. Hitta din hanterade identitet och gå till Egenskaper. Ett exempel på ditt UMI-resurs-ID ser ut som /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "server_name": {
      "type": "String"
    },
    "database_name": {
      "type": "String"
    },
    "user_assigned_identity": {
      "type": "String"
    },
    "encryption_protector": {
      "type": "String"
    },
    "location": {
      "type": "String"
    },
    "federated_client_id": {
      "type": "String"
    },
    "keys_to_add": {
      "type": "Object"
    },
    "encryption_protector_auto_rotation": {
      "type": "bool"
    }
  },
  "variables": {},
  "resources": [
    {
      "type": "Microsoft.Sql/servers/databases",
      "apiVersion": "2023-02-01-preview",
      "name": "[concat(parameters('server_name'), concat('/',parameters('database_name')))]",
      "location": "[parameters('location')]",
      "sku": {
        "name": "Basic",
        "tier": "Basic",
        "capacity": 5
      },
      "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
          "[parameters('user_assigned_identity')]": {}
        }
      },
      "properties": {
        "collation": "SQL_Latin1_General_CP1_CI_AS",
        "maxSizeBytes": 104857600,
        "catalogCollation": "SQL_Latin1_General_CP1_CI_AS",
        "zoneRedundant": false,
        "readScale": "Disabled",
        "requestedBackupStorageRedundancy": "Geo",
        "maintenanceConfigurationId": "/subscriptions/e1775f9f-a286-474d-b6f0-29c42ac74554/providers/Microsoft.Maintenance/publicMaintenanceConfigurations/SQL_Default",
        "isLedgerOn": false,
        "encryptionProtector": "[parameters('encryption_protector')]",
        "keys": "[parameters('keys_to_add')]",
        "federatedClientId": "[parameters('federated_client_id')]",
        "encryptionProtectorAutoRotation": "[parameters('encryption_protector_auto_rotation')]"
      }
    }
  ]
}

Ett exempel på parametern encryption_protector och keys_to_add är:

    "keys_to_add": {
      "value": {
        "https://yourvault.vault.azure.net/keys/yourkey1/fd021f84a0d94d43b8ef33154bca0000": {},
        "https://yourvault.vault.azure.net/keys/yourkey2/fd021f84a0d94d43b8ef33154bca0000": {}
      }
    },
    "encryption_protector": {
      "value": "https://yourvault.vault.azure.net/keys/yourkey2/fd021f84a0d94d43b8ef33154bca0000"
    }

Viktigt!

Om du vill ta bort en nyckel från databasen måste nyckelns ordlistevärde för en viss nyckel skickas som null. Exempel: "https://yourvault.vault.azure.net/keys/yourkey1/fd021f84a0d94d43b8ef33154bca0000": null

Visa kundhanterade nyckelinställningar på databasnivå i en Azure SQL Database

Följande är exempel på hur du hämtar kundhanterade nycklar på databasnivå för en databas. ARM-resursen Microsoft.Sql/servers/databases visar som standard endast TDE-skyddet och den hanterade identiteten som konfigurerats i databasen. Om du vill expandera den fullständiga listan med nycklar använder du parametern . -ExpandKeyList Dessutom kan filter som och ett tidsvärde (till exempel 2023-01-01) användas för att hämta de aktuella nycklar som -KeysFilter "current" används och nycklar som använts tidigare vid en viss tidpunkt. Dessa filter stöds endast för enskilda databasfrågor och inte för frågor på servernivå.

Portal

Om du vill visa kundhanterade nycklar på databasnivå i Azure-portalen går du till menyn Datakryptering i SQL-databasresursen.

Azure CLI

Information om hur du installerar den aktuella versionen av Azure CLI finns i artikeln Installera Azure CLI .

# Retrieve the basic database level customer-managed key settings from a database
az sql db show --resource-group $resourceGroupName --server $serverName --name mySampleDatabase

# Retrieve the basic database level customer-managed key settings from a database and all the keys ever added
az sql db show --resource-group $resourceGroupName --server $serverName --name mySampleDatabase --expand-keys

# Retrieve the basic database level customer-managed key settings from a database and the current keys in use
az sql db show --resource-group $resourceGroupName --server $serverName --name mySampleDatabase --expand-keys --keys-filter current

# Retrieve the basic database level customer-managed key settings from a database and the keys in use at a particular point in time
az sql db show --resource-group $resourceGroupName --server $serverName --name mySampleDatabase --expand-keys --keys-filter 01-01-2015

# Retrieve all the databases in a server to check which ones are configured with database level customer-managed keys
az sql db list --resource-group $resourceGroupName --server $serverName

PowerShell

Installationsinstruktioner för Az PowerShell-moduler finns i Installera Azure PowerShell. Specifika cmdletar finns i AzureRM.Sql.

Använd cmdleten Get-AzSqlDatabase .

# Retrieve the basic database level customer-managed key settings from a database
Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName>

# Retrieve the basic database level customer-managed key settings from a database and all the keys ever added
Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList

# Retrieve the basic database level customer-managed key settings from a database and the current keys in use
Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter "current"

# Retrieve the basic database level customer-managed key settings from a database and the keys in use at a particular point in time
Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter '2023-02-03 00:00:00'

# Retrieve all the databases in a server to check which ones are configured with database level customer-managed keys
Get-AzSqlDatabase -resourceGroupName <ResourceGroupName> -ServerName <ServerName> | Select DatabaseName, EncryptionProtector

REST-API

Använd REST API för förhandsversionen av 2022-08-01 för Azure SQL Database.

Hämta de grundläggande inställningarna för kundhanterad nyckel på databasnivå från en databas.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}?api-version=2022-08-01-preview

Hämta de grundläggande inställningarna för kundhanterad nyckel på databasnivå från en databas och alla nycklar som någonsin lagts till

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}?api-version=2022-08-01-preview&$expand=keys

Hämta kundhanterade nyckelinställningar på grundläggande databasnivå från en databas och de aktuella nycklar som används

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}?api-version=2022-08-01-preview&$expand=keys($filter=pointInTime('current'))

Hämta de grundläggande inställningarna för kundhanterad nyckel på databasnivå från en databas och de nycklar som används vid en viss tidpunkt

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}?api-version=2022-08-01-preview&$expand=keys($filter=pointInTime('2023-02-04T01:57:42.49Z'))

Visa en lista över alla nycklar på en logisk server

Om du vill hämta listan över alla nycklar (och inte bara det primära skyddet) som används av varje databas under servern, måste den frågas individuellt med nyckelfiltren. Följande är ett exempel på en PowerShell-fråga för att lista varje nyckel under den logiska servern.

Använd cmdleten Get-AzSqlDatabase .

$dbs = Get-AzSqlDatabase -resourceGroupName <ResourceGroupName> -ServerName <ServerName>
foreach ($db in $dbs)
{
Get-AzSqlDatabase -DatabaseName $db.DatabaseName -ServerName $db.ServerName -ResourceGroupName $db.ResourceGroupName -ExpandKeyList
}

Återskapa kundhanterad nyckel på databasnivå i en Azure SQL Database

Om det finns ett Otillgängligt TDE-skydd enligt beskrivningen i transparent datakryptering (TDE) med CMK kan en omvaliderad nyckelåtgärd användas för att göra databasen tillgänglig när nyckelåtkomsten har korrigerats. Se följande instruktioner eller kommandon för exempel.

Portal

Använd Azure-portalen och leta reda på din SQL-databasresurs. När du har valt sql-databasresursen går du till fliken transparent datakryptering på menyn Datakryptering under Säkerhetsinställningar. Om databasen har förlorat åtkomsten till Azure Key Vault visas knappen Omvalidera nyckel och du kan välja att återanvända den befintliga nyckeln genom att välja Försök igen befintlig nyckel eller en annan nyckel genom att välja Välj säkerhetskopia.

Azure CLI

Information om hur du installerar den aktuella versionen av Azure CLI finns i artikeln Installera Azure CLI .

az sql db tde key revalidate --resource-group $resourceGroupName --server $serverName --database mySampleDatabase

PowerShell

Installationsinstruktioner för Az PowerShell-moduler finns i Installera Azure PowerShell. Specifika cmdletar finns i AzureRM.Sql.

Invoke-AzSqlDatabaseTransparentDataEncryptionProtectorRevalidation kan användas för att göra databasen tillgänglig.

Invoke-AzSqlDatabaseTransparentDataEncryptionProtectorRevalidation -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName>

REST-API

Använd REST API för förhandsversionen av 2022-08-01 för Azure SQL Database.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/encryptionProtector/current/revalidate?api-version=2022-08-01-preview

Återställ kundhanterad nyckel på databasnivå i en Azure SQL Database

En databas som konfigurerats med cmk på databasnivå kan återställas till kryptering på servernivå om servern har konfigurerats med en tjänsthanterad nyckel med hjälp av följande kommandon.

Portal

Om du vill återställa inställningen kundhanterad nyckel på databasnivå till krypteringsnyckeln på servernivå i Azure-portalen går du till fliken transparent datakryptering i menyn Datakryptering i SQL-databasresursen. Välj Krypteringsnyckel på servernivå och välj Spara för att spara inställningarna.

Kommentar

För att kunna använda krypteringsnyckelinställningen på servernivå för enskilda databaser måste den logiska servern för Azure SQL Database konfigureras för att använda tjänsthanterad nyckel för TDE.

Azure CLI

Information om hur du installerar den aktuella versionen av Azure CLI finns i artikeln Installera Azure CLI .

az sql db tde key revert --resource-group $resourceGroupName --server $serverName --name mySampleDatabase

PowerShell

Installationsinstruktioner för Az PowerShell-moduler finns i Installera Azure PowerShell. Specifika cmdletar finns i AzureRM.Sql.

Invoke-AzSqlDatabaseTransparentDataEncryptionProtectorRevert kan användas för att utföra den här åtgärden.

Invoke-AzSqlDatabaseTransparentDataEncryptionProtectorRevert -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName>

REST-API

Använd REST API för förhandsversionen av 2022-08-01 för Azure SQL Database.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/encryptionProtector/current/revert?api-version=2022-08-01-preview

Nästa steg

Kontrollera följande dokumentation om olika CMK-åtgärder på databasnivå:

• Transparent datakryptering (TDE) med kundhanterade nycklar på databasnivå

• Konfigurera geo-replikering och återställning av säkerhetskopior för transparent datakryptering med kundhanterade nycklar på databasnivå