PowerShell ve Azure CLI: Azure Key Vault'tan müşteri tarafından yönetilen anahtarla Saydam Veri Şifrelemesini etkinleştirme

Şunlar için geçerlidir: Azure SQL Veritabanı Azure SQL Yönetilen Örneği Azure Synapse Analytics

Bu makalede, Azure SQL Veritabanı veya Azure Synapse Analytics'te saydam veri şifrelemesi (TDE) için Azure Key Vault'tan bir anahtarın nasıl kullanılacağı açıklanmaktadır. Azure Key Vault tümleştirmesi - Kendi Anahtarını Getir (BYOK) Desteği ile TDE hakkında daha fazla bilgi edinmek için Azure Key Vault'ta müşteri tarafından yönetilen anahtarlarla TDE'yi ziyaret edin. Azure Key Vault'tan müşteri tarafından yönetilen anahtarla TDE'yi etkinleştirme hakkında Azure portalı yönergelerini arıyorsanız bkz . Kullanıcı tarafından atanan yönetilen kimlik ve müşteri tarafından yönetilen TDE ile yapılandırılmış sunucu oluşturma.

Bu makale Azure SQL Veritabanı, Azure SQL Yönetilen Örneği ve Azure Synapse Analytics (ayrılmış SQL havuzları (eski adı SQL DW) için geçerlidir. Synapse çalışma alanlarındaki ayrılmış SQL havuzları için Saydam Veri Şifrelemesi belgeleri için bkz. Azure Synapse Analytics şifrelemesi.

Not

Azure SQL artık Yönetilen HSM'de TDE Koruyucusu olarak depolanan bir RSA anahtarının kullanılmasını destekliyor. Azure Key Vault Yönetilen HSM, FIPS 140-2 Düzey 3 doğrulanmış HSM'leri kullanarak bulut uygulamalarınız için şifreleme anahtarlarını korumanızı sağlayan, tam olarak yönetilen, yüksek oranda kullanılabilir, tek kiracılı, standartlara uyumlu bir bulut hizmetidir. Yönetilen HSM'ler hakkında daha fazla bilgi edinin.

Not

Microsoft Entra Id daha önce Azure Active Directory (Azure AD) olarak biliniyordu.

PowerShell için ön koşullar

• Bir Azure aboneliğinizin olması ve bu abonelikte yönetici olmanız gerekir.
• [Önerilen ama İsteğe Bağlı] TDE Koruyucusu anahtar malzemesinin yerel kopyasını oluşturmak için bir donanım güvenlik modülüne (HSM) veya yerel anahtar deposuna sahip olun.
• Azure PowerShell'in yüklü ve çalışır durumda olması gerekir.
• TDE için kullanılacak bir Azure Key Vault ve Anahtar oluşturun.
  • Donanım güvenlik modülü (HSM) ve Key Vault kullanma yönergeleri
    • Anahtar kasasının TDE için kullanılabilmesi için aşağıdaki özelliğe sahip olması gerekir:
  • geçici silme ve temizleme koruması
• Anahtar, TDE için kullanılacak aşağıdaki özniteliklere sahip olmalıdır:
  • Etkinleştirme tarihi (ayarlandıysa) geçmişteki bir tarih ve saat olmalıdır
  • Son kullanma tarihi (ayarlandıysa) gelecekteki bir tarih ve saat olmalıdır
  • Anahtar Etkin durumda olmalıdır
  • Alma, sarmalama anahtarı, anahtar kaldırma işlemleri gerçekleştirebilir
• Yönetilen HSM anahtarı kullanmak için , Azure CLI kullanarak Yönetilen HSM oluşturma ve etkinleştirme yönergelerini izleyin

PowerShell

Az modülü yükleme yönergeleri için bkz. Azure PowerShell'i yükleme. Belirli cmdlet'ler için bkz . AzureRM.Sql.

Key Vault ile ilgili ayrıntılar için bkz . Key Vault'tan PowerShell yönergeleri ve PowerShell ile Key Vault geçici silmeyi kullanma.

Önemli

PowerShell Azure Resource Manager (RM) modülü hala desteklenmektedir ancak gelecekteki tüm geliştirmeler Az.Sql modülüne yöneliktir. AzureRM modülü en az Aralık 2020'ye kadar hata düzeltmeleri almaya devam edecektir. Az modülündeki ve AzureRm modüllerindeki komutların bağımsız değişkenleri önemli ölçüde aynıdır. Uyumlulukları hakkında daha fazla bilgi için bkz . Yeni Azure PowerShell Az modülüne giriş.

Sunucunuza Microsoft Entra kimliği atama

Mevcut bir sunucunuz varsa, sunucunuza bir Microsoft Entra kimliği eklemek için aşağıdakileri kullanın:

$server = Set-AzSqlServer -ResourceGroupName <SQLDatabaseResourceGroupName> -ServerName <LogicalServerName> -AssignIdentity

Sunucu oluşturuyorsanız, sunucu oluşturma sırasında bir Microsoft Entra kimliği eklemek için -Identity etiketiyle New-AzSqlServer cmdlet'ini kullanın:

$server = New-AzSqlServer -ResourceGroupName <SQLDatabaseResourceGroupName> -Location <RegionName> `
    -ServerName <LogicalServerName> -ServerVersion "12.0" -SqlAdministratorCredentials <PSCredential> -AssignIdentity

Sunucunuza Key Vault izinleri verme

Set-AzKeyVaultAccessPolicy cmdlet'ini kullanarak sunucunuza TDE için anahtar kullanmadan önce anahtar kasasına erişim izni verin.

Set-AzKeyVaultAccessPolicy -VaultName <KeyVaultName> `
    -ObjectId $server.Identity.PrincipalId -PermissionsToKeys get, wrapKey, unwrapKey

Yönetilen HSM'de sunucunuza izin eklemek için sunucuya 'Yönetilen HSM Şifreleme Hizmeti Şifreleme Kullanıcısı' yerel RBAC rolünü ekleyin. Bu, sunucunun Yönetilen HSM'deki anahtarlarda alma, sarmalama, anahtar kaldırma işlemlerini gerçekleştirmesini sağlar. Yönetilen HSM'de sunucu erişimi sağlama yönergeleri

Key Vault anahtarını sunucuya ekleyin ve TDE Koruyucusu'nu ayarlayın

• Anahtar kasasından anahtar kimliğini almak için Get-AzKeyVaultKey cmdlet'ini kullanın
• Anahtarı Key Vault'tan sunucuya eklemek için Add-AzSqlServerKeyVaultKey cmdlet'ini kullanın.
• Anahtarı tüm sunucu kaynakları için TDE koruyucusu olarak ayarlamak için Set-AzSqlServerTransparentDataEncryptionProtector cmdlet'ini kullanın.
• TDE koruyucusunun amaçlandığı gibi yapılandırıldığını onaylamak için Get-AzSqlServerTransparentDataEncryptionProtector cmdlet'ini kullanın.

Not

Yönetilen HSM anahtarları için PowerShell'in Az.Sql 2.11.1 sürümünü kullanın.

Not

Anahtar kasası adı ve anahtar adı için birleşik uzunluk 94 karakteri aşamaz.

İpucu

Key Vault'tan örnek bir KeyId: https://contosokeyvault.vault.azure.net/keys/Key1/1a1a2b2b3c3c4d4d5e5e6f6f7g7g8h8h

Yönetilen HSM'den örnek bir KeyId:
https://contosoMHSM.managedhsm.azure.net/keys/myrsakey

# add the key from Key Vault to the server
Add-AzSqlServerKeyVaultKey -ResourceGroupName <SQLDatabaseResourceGroupName> -ServerName <LogicalServerName> -KeyId <KeyVaultKeyId>

# set the key as the TDE protector for all resources under the server
Set-AzSqlServerTransparentDataEncryptionProtector -ResourceGroupName <SQLDatabaseResourceGroupName> -ServerName <LogicalServerName> `
   -Type AzureKeyVault -KeyId <KeyVaultKeyId>

# confirm the TDE protector was configured as intended
Get-AzSqlServerTransparentDataEncryptionProtector -ResourceGroupName <SQLDatabaseResourceGroupName> -ServerName <LogicalServerName>

TDE'i açma

TDE'yi açmak için Set-AzSqlDatabaseTransparentDataEncryption cmdlet'ini kullanın.

Set-AzSqlDatabaseTransparentDataEncryption -ResourceGroupName <SQLDatabaseResourceGroupName> `
   -ServerName <LogicalServerName> -DatabaseName <DatabaseName> -State "Enabled"

Artık veritabanı veya veri ambarı, Key Vault'ta bir şifreleme anahtarı ile TDE'yi etkinleştirmiştir.

Şifreleme durumunu ve şifreleme etkinliğini denetleme

Veritabanı veya veri ambarı için şifreleme durumunu almak için Get-AzSqlDatabaseTransparentDataEncryption komutunu kullanın.

# get the encryption state of the database
Get-AzSqlDatabaseTransparentDataEncryption -ResourceGroupName <SQLDatabaseResourceGroupName> `
   -ServerName <LogicalServerName> -DatabaseName <DatabaseName> `

The Azure CLI

Azure CLI'nın gerekli sürümünü (sürüm 2.0 veya üzeri) yüklemek ve Azure aboneliğinize bağlanmak için bkz . Azure Platformlar Arası Komut Satırı Arabirimi 2.0'ı Yükleme ve Yapılandırma.

Key Vault ile ilgili ayrıntılar için bkz . Azure CLI 2.0 kullanarak Key Vault'ı yönetme ve CLI ile Key Vault geçici silmeyi kullanma.

Sunucunuza Microsoft Entra kimliği atama

# create server (with identity) and database
az sql server create --name <servername> --resource-group <rgname>  --location <location> --admin-user <user> --admin-password <password> --assign-identity
az sql db create --name <dbname> --server <servername> --resource-group <rgname>

İpucu

"principalID" öğesinin sunucuyu oluşturmasını engelleyin; bu, bir sonraki adımda anahtar kasası izinlerini atamak için kullanılan nesne kimliğidir

Sunucunuza Key Vault izinleri verme

# create key vault, key and grant permission
az keyvault create --name <kvname> --resource-group <rgname> --location <location> --enable-soft-delete true
az keyvault key create --name <keyname> --vault-name <kvname> --protection software
az keyvault set-policy --name <kvname>  --object-id <objectid> --resource-group <rgname> --key-permissions wrapKey unwrapKey get

İpucu

Yeni anahtarın anahtar URI'sini veya keyID değerini sonraki adım için saklayın, örneğin: https://contosokeyvault.vault.azure.net/keys/Key1/1a1a2b2b3c3c4d4d5e5e6f6f7g7g8h8h

Key Vault anahtarını sunucuya ekleyin ve TDE Koruyucusu'nu ayarlayın

# add server key and update encryption protector
az sql server key create --server <servername> --resource-group <rgname> --kid <keyID>
az sql server tde-key set --server <servername> --server-key-type AzureKeyVault  --resource-group <rgname> --kid <keyID>

Not

Anahtar kasası adı ve anahtar adı için birleşik uzunluk 94 karakteri aşamaz.

TDE'i açma

# enable encryption
az sql db tde set --database <dbname> --server <servername> --resource-group <rgname> --status Enabled

Artık veritabanı veya veri ambarı, Azure Key Vault'ta müşteri tarafından yönetilen bir şifreleme anahtarıyla TDE'yi etkinleştirmiştir.

Şifreleme durumunu ve şifreleme etkinliğini denetleme

# get encryption scan progress
az sql db tde list-activity --database <dbname> --server <servername> --resource-group <rgname>  

# get whether encryption is on or off
az sql db tde show --database <dbname> --server <servername> --resource-group <rgname>

Yararlı PowerShell cmdlet'leri

PowerShell

• TDE'yi kapatmak için Set-AzSqlDatabaseTransparentDataEncryption cmdlet'ini kullanın.

  Set-AzSqlDatabaseTransparentDataEncryption -ServerName <LogicalServerName> -ResourceGroupName <SQLDatabaseResourceGroupName> `
      -DatabaseName <DatabaseName> -State "Disabled"
  

• Sunucuya eklenen Key Vault anahtarlarının listesini döndürmek için Get-AzSqlServerKeyVaultKey cmdlet'ini kullanın.

  # KeyId is an optional parameter, to return a specific key version
  Get-AzSqlServerKeyVaultKey -ServerName <LogicalServerName> -ResourceGroupName <SQLDatabaseResourceGroupName>
  

• Sunucudan bir Key Vault anahtarı kaldırmak için Remove-AzSqlServerKeyVaultKey komutunu kullanın.

  # the key set as the TDE Protector cannot be removed
  Remove-AzSqlServerKeyVaultKey -KeyId <KeyVaultKeyId> -ServerName <LogicalServerName> -ResourceGroupName <SQLDatabaseResourceGroupName>
  

Azure CLI

• Genel veritabanı ayarları için bkz . az sql.

• Kasa anahtarı ayarları için bkz . az sql server key.

• TDE ayarları için bkz . az sql server tde-key ve az sql db tde.

Sorun giderme

Bir sorun oluştuğunda aşağıdakileri denetleyin:

• Anahtar kasası bulunamazsa doğru abonelikte olduğunuzdan emin olun.

  PowerShell

  Get-AzSubscription -SubscriptionId <SubscriptionId>
  

  Azure CLI

  az account show - s <SubscriptionId>
  

---

• Yeni anahtar sunucuya eklenemiyorsa veya yeni anahtar TDE Koruyucusu olarak güncelleştirilemiyorsa aşağıdakileri denetleyin:
  • Anahtarın son kullanma tarihi olmamalıdır
  • Anahtarın alma, sarmalama anahtarı ve anahtar açma işlemlerinin etkinleştirilmesi gerekir.

Sonraki adımlar

• Güvenlik gereksinimlerine uymak için sunucunun TDE Koruyucusu'nu döndürmeyi öğrenin: PowerShell kullanarak Saydam Veri Şifrelemesi koruyucuyu döndürme.
• Güvenlik riski söz konusu olduğunda, güvenliği aşılmış olabilecek bir TDE Koruyucusu'nun nasıl kaldırılacağını öğrenin: Güvenliği aşılmış olabilecek bir anahtarı kaldırma.