TDE için kullanıcı tarafından atanan yönetilen kimlik ve kiracılar arası CMK ile yapılandırılmış sunucu oluşturma

Makale
03/23/2024

Şunlar için geçerlidir: Azure SQL Veritabanı

Bu kılavuzda, mantıksal sunucunun kiracısından farklı bir Microsoft Entra kiracısında yer alan Azure Key Vault'a erişmek için kullanıcı tarafından atanan yönetilen kimliği kullanarak saydam veri şifrelemesi (TDE) ve müşteri tarafından yönetilen anahtarlar (CMK) içeren bir Azure SQL mantıksal sunucusu oluşturma adımlarını inceleyeceğiz. Daha fazla bilgi için bkz . Saydam veri şifrelemesi ile kiracılar arası müşteri tarafından yönetilen anahtarlar.

Not

Microsoft Entra Id daha önce Azure Active Directory (Azure AD) olarak biliniyordu.

Önkoşullar

Bu kılavuz, iki Microsoft Entra kiracınıza sahip olduğunuzu önceden belirler.
- birincisi Azure SQL Veritabanı kaynağını, çok kiracılı bir Microsoft Entra uygulamasını ve kullanıcı tarafından atanan yönetilen kimliği içerir.
- İkinci kiracı Azure Key Vault'a evser.
Kiracılar arası CMK'yi ayarlama ve Microsoft Entra uygulamalarını ve Azure Key Vault'u yapılandırmak için gereken RBAC izinlerini ayarlama hakkında kapsamlı yönergeler için aşağıdaki kılavuzlardan birine bakın:
- Yeni bir depolama hesabı için kiracılar arası müşteri tarafından yönetilen anahtarları yapılandırma
- Mevcut depolama hesabı için kiracılar arası müşteri tarafından yönetilen anahtarları yapılandırma

İlk kiracıda gerekli kaynaklar

Bu öğreticinin amacı doğrultusunda, ilk kiracının bağımsız bir yazılım satıcısına (ISV) ait olduğunu ve ikinci kiracının da istemcisinden olduğunu varsayacağız. Bu senaryo hakkında daha fazla bilgi için bkz . Saydam veri şifrelemesi ile kiracılar arası müşteri tarafından yönetilen anahtarlar.

Kiracılar arası CMK ile Azure SQL Veritabanı için TDE'yi yapılandırabilmek için önce, uygulama için federasyon kimliği kimlik bilgisi olarak atanmış kullanıcı tarafından atanan yönetilen kimlikle yapılandırılmış çok kiracılı bir Microsoft Entra uygulamasına sahip olmamız gerekir. Önkoşullar'daki kılavuzlardan birini izleyin.

Azure SQL Veritabanı oluşturmak istediğiniz ilk kiracıda çok kiracılı bir Microsoft Entra uygulaması oluşturun ve yapılandırın
Kullanıcı tarafından atanan yönetilen kimlik oluşturma
Kullanıcı tarafından atanan yönetilen kimliği, çok kiracılı uygulama için federasyon kimliği kimlik bilgisi olarak yapılandırma
Uygulama adını ve uygulama kimliğini kaydedin. Bu, Azure portalında >Microsoft Entra ID>Enterprise uygulamalarında bulunabilir ve oluşturulan uygulamayı arayabilir

İkinci kiracıda gerekli kaynaklar

Not

Azure AD ve MSOnline PowerShell modülleri 30 Mart 2024 itibarıyla kullanım dışı bırakılmıştır. Daha fazla bilgi edinmek için kullanımdan kaldırma güncelleştirmesini okuyun. Bu tarihten sonra bu modüllere yönelik destek, Microsoft Graph PowerShell SDK'sına geçiş yardımı ve güvenlik düzeltmeleriyle sınırlıdır. Kullanım dışı bırakılan modüller Mart 30 2025'e kadar çalışmaya devam edecektir.

Microsoft Entra ID (eski adıyla Azure AD) ile etkileşime geçmek için Microsoft Graph PowerShell'e geçiş yapmanızı öneririz. Sık sorulan geçiş soruları için Bkz. Geçiş hakkında SSS. Not: MSOnline'ın 1.0.x sürümleri 30 Haziran 2024'den sonra kesintiye neden olabilir.

Azure Key Vault'un bulunduğu ikinci kiracıda, ilk kiracıdaki kayıtlı uygulamanın uygulama kimliğini kullanarak bir hizmet sorumlusu (uygulama) oluşturun. Burada, çok kiracılı uygulamayı kaydetmeye ilişkin bazı örnekler verilmiştir. ve <ApplicationID> değerini, sırasıyla çok kiracılı uygulamadaki Microsoft Entra Id ve Application Id istemci Kiracı Kimliği ile değiştirin<TenantID>:
- PowerShell:
```
Connect-AzureAD -TenantID <TenantID>
New-AzADServicePrincipal  -ApplicationId <ApplicationID>
```
- Azure CLI:
```
az login --tenant <TenantID>
az ad sp create --id <ApplicationID>
```
Azure portalı>Microsoft Entra Id>Enterprise uygulamalarına gidin ve yeni oluşturulan uygulamayı arayın.
Azure Key Vault'larınız yoksa oluşturun ve bir anahtar oluşturun
Erişim ilkesini oluşturun veya ayarlayın.
1. Erişim ilkesini oluştururken Anahtar izinleri'nin altındaki Anahtarı Al, Sarmala, Anahtarı Çöz izinlerini seçin
2. Erişim ilkesini oluştururken Sorumlu seçeneğinin ilk adımında oluşturulan çok kiracılı uygulamayı seçin
Erişim ilkesi ve anahtar oluşturulduktan sonra Anahtarı Key Vault'tan alın ve Anahtar Tanımlayıcısı'nı kaydedin

Kiracılar arası müşteri tarafından yönetilen anahtarla (CMK) TDE ile yapılandırılmış sunucu oluşturma

Bu kılavuz, kullanıcı tarafından atanan yönetilen kimlikle Azure SQL'de mantıksal sunucu ve veritabanı oluşturma işleminin yanı sıra kiracılar arası müşteri tarafından yönetilen anahtar ayarlama işleminde size yol gösterir. Kullanıcı tarafından atanan yönetilen kimlik, sunucu oluşturma aşamasında saydam veri şifrelemesi için müşteri tarafından yönetilen anahtar ayarlamak için bir zorunluluktır.

Önemli

SQL mantıksal sunucuları oluşturmak için API'leri kullanan kullanıcı veya uygulama, abonelikte SQL Server Katkıda Bulunanı ve Yönetilen Kimlik Operatörü RBAC rollerine veya daha yüksek bir düzeye ihtiyaç duyar.

Azure portalında SQL dağıtımını seç seçeneği sayfasına gidin.
Azure portalında henüz oturum açmadıysanız istendiğinde oturum açın.
SQL veritabanları'nın altında Kaynak türü'nü Tek veritabanı olarak bırakın ve Oluştur'u seçin.
SQL Veritabanı Oluştur formunun Temel Bilgiler sekmesinde, Proje ayrıntıları'nın altında istediğiniz Azure Aboneliği'ni seçin.
Kaynak grubu için Yeni oluştur'u seçin, kaynak grubunuz için bir ad girin ve Tamam'ı seçin.
Veritabanı adı alanına bir veritabanı adı girin. Örneğin, ContosoHR.
Sunucu için Yeni oluştur'u seçin ve Yeni sunucu formunu aşağıdaki değerlerle doldurun:
- Sunucu adı: Benzersiz bir sunucu adı girin. Sunucu adları yalnızca abonelik içinde benzersiz değil, Azure'daki tüm sunucular için genel olarak benzersiz olmalıdır. gibi mysqlserver135bir şey girdiğinizde Azure portalı kullanılabilir olup olmadığını size bildirir.
- Sunucu yöneticisi oturum açma bilgileri: Bir yönetici oturum açma adı girin, örneğin: azureuser.
- Parola: Parola gereksinimlerini karşılayan bir parola girin ve parolayı onayla alanına yeniden girin.
- Konum: Açılan listeden bir konum seçin
Sayfanın alt kısmındaki İleri: Ağ'ı seçin.
Ağ sekmesinde, Bağlantı yöntemi için Genel uç nokta'yı seçin.
Güvenlik duvarı kuralları için Geçerli istemci IP adresi ekle'yi Evet olarak ayarlayın. Azure hizmetlerinin ve kaynaklarının bu sunucuya erişmesine izin ver seçeneğini Hayır olarak bırakın. Bu sayfadaki seçimlerin geri kalanı varsayılan olarak bırakılabilir.
Sayfanın alt kısmındaki İleri: Güvenlik'i seçin.
Güvenlik sekmesindeki Kimlik'in altında Kimlikleri Yapılandır'ı seçin.
Kimlik menüsünde Sistem tarafından atanan yönetilen kimlik için Kapalı'yı ve ardından Kullanıcı tarafından atanan yönetilen kimlik'in altında Ekle'yi seçin. İstediğiniz Aboneliği seçin ve ardından Kullanıcı tarafından atanan yönetilen kimlikler'in altında seçili abonelikten istenen kullanıcı tarafından atanan yönetilen kimliği seçin. Ardından Ekle düğmesini seçin.
Birincil kimlik'in altında, önceki adımda seçilen kullanıcı tarafından atanan yönetilen kimliğin aynısını seçin.
Federasyon istemci kimliği için Kimliği değiştir seçeneğini belirleyin ve Önkoşullar bölümünde oluşturduğunuz çok kiracılı uygulamayı arayın.

Not

Çok kiracılı uygulama gerekli izinlerle anahtar kasası erişim ilkesine eklenmemişse (Al, Anahtarı Sarmala, Anahtarı Kaldır), Azure portalında kimlik federasyonu için bu uygulamayı kullanmak bir hata gösterir. Federasyon istemci kimliğini yapılandırmadan önce izinlerin doğru yapılandırıldığından emin olun.
Seçin Uygula
Güvenlik sekmesinde, Saydam veri şifrelemesi'nin altında Saydam veri şifrelemesini yapılandır'ı seçin. Müşteri tarafından yönetilen anahtar'ı seçtiğinizde Anahtar tanımlayıcısı girin seçeneği görüntülenir. İkinci kiracıdaki anahtardan alınan Anahtar Tanımlayıcısını ekleyin.
Seçin Uygula
Sayfanın alt kısmındaki Gözden geçir ve oluştur'u seçin
Gözden Geçir + oluştur sayfasında, gözden geçirdikten sonra Oluştur'u seçin.

Azure CLI'nın geçerli sürümünü yükleme hakkında bilgi için Bkz . Azure CLI'yi yükleme makalesi.

az sql server create komutunu kullanarak kullanıcı tarafından atanan yönetilen kimlik ve kiracılar arası müşteri tarafından yönetilen TDE ile yapılandırılmış bir sunucu oluşturun . İkinci kiracıdaki Anahtar Tanımlayıcısı alanda key-id kullanılabilir. Çok kiracılı uygulamanın Uygulama Kimliği alanında federated-client-id kullanılabilir.

az sql server create \
    --name $serverName \
    --resource-group $resourceGroupName \
    --location $location  \
    --admin-user $adminlogin \
    --admin-password $password \
    --assign-identity \
    --identity-type $identitytype \
    --user-assigned-identity-id $identityid \
    --primary-user-assigned-identity-id $primaryidentityid \
    --key-id $keyid \
    --federated-client-id $federatedid

az sql db create komutuyla bir veritabanı oluşturun .

az sql db create \
    --resource-group $resourceGroupName \
    --server $serverName \
    --name mySampleDatabase \
    --sample-name AdventureWorksLT \
    --edition GeneralPurpose \
    --compute-model Serverless \
    --family Gen5 \
    --capacity 2

PowerShell kullanarak kullanıcı tarafından atanan yönetilen kimlik ve kiracılar arası müşteri tarafından yönetilen TDE ile yapılandırılmış bir sunucu oluşturun.

Az PowerShell modülü yükleme yönergeleri için bkz . Azure PowerShell'i yükleme. Belirli cmdlet'ler için bkz . AzureRM.Sql.

New-AzSqlServer cmdlet'ini kullanın.

Örnekteki aşağıdaki değerleri değiştirin:

<ResourceGroupName>: Azure SQL mantıksal sunucunuz için kaynak grubunun adı
<Location>: Sunucunun konumu, örneğin West US, veya Central US
<ServerName>: Benzersiz bir Azure SQL mantıksal sunucu adı kullanın
<ServerAdminName>: SQL Yöneticisi oturum açma bilgileri
<ServerAdminPassword>: SQL Yöneticisi parolası
<IdentityType>: Sunucuya atanacak kimliğin türü. Olası değerler , UserAssignedve SystemAssigned,UserAssigned Hiçbiri'dir SystemAssigned
<UserAssignedIdentityId>: Sunucuya atanacak kullanıcı tarafından atanan yönetilen kimliklerin listesi (bir veya birden çok olabilir)
<PrimaryUserAssignedIdentityId>: Bu sunucuda birincil veya varsayılan olarak kullanılması gereken kullanıcı tarafından atanan yönetilen kimlik
<CustomerManagedKeyId>: İkinci kiracı Key Vault'tan Anahtar Tanımlayıcısı
<FederatedClientId>: Çok kiracılı uygulamanın Uygulama Kimliği

Kullanıcı tarafından atanan yönetilen kimliğinizi almak için Azure portalında Yönetilen Kimlikler'i arayın. Yönetilen kimliğinizi bulun ve Özellikler'e gidin. UMI Kaynak Kimliğinizin bir örneği şöyle görünür /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>

# create a server with user-assigned managed identity and cross-tenant customer-managed TDE
$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    SqlAdministratorCredentials = (Get-Credential)
    SqlAdministratorLogin = "<ServerAdminName>"
    SqlAdministratorPassword = "<ServerAdminPassword>"
    AssignIdentity = $true
    IdentityType = "<IdentityType>"
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    PrimaryUserAssignedIdentityId = "<PrimaryUserAssignedIdentityId>"
    KeyId = "<CustomerManagedKeyId>"
    FederatedClientId = "<FederatedClientId>"
}

New-AzSqlServer @params

Aşağıda kullanıcı tarafından atanan yönetilen kimliğe ve müşteri tarafından yönetilen TDE'ye sahip bir Azure SQL mantıksal sunucusu oluşturan ARM şablonu örneği verilmiştır. Kiracılar arası CMK için, ikinci kiracı Anahtar Kasası'ndan Anahtar Tanımlayıcısı'nı ve çok kiracılı uygulamadan Uygulama Kimliği'ni kullanın.

Şablon ayrıca sunucu için bir Microsoft Entra yönetici kümesi ekler ve Microsoft Entra-only kimlik doğrulamasını etkinleştirir, ancak bu şablon örneğinden kaldırılabilir.

Daha fazla bilgi ve ARM şablonları için bkz. Azure SQL Veritabanı ve SQL Yönetilen Örneği için Azure Resource Manager şablonları.

Azure portalında özel dağıtım kullanın ve düzenleyicide kendi şablonunuzu oluşturun. Ardından, örnekte yapıştırdıktan sonra yapılandırmayı kaydedin .

Kullanıcı tarafından atanan yönetilen kimliğinizi almak için Azure portalında Yönetilen Kimlikler'i arayın. Yönetilen kimliğinizi bulun ve Özellikler'e gidin. UMI Kaynak Kimliğinizin bir örneği gibi /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>görünür.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "String"
        },
        "location": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity."
            }
        },
        "federated_clientid": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Application ID of the multi-tenant application."
            }
        },
        "keyvault_url": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The key vault URI."
            }
        },
        "AdminLogin": {
            "minLength": 1,
            "type": "String"
        },
        "AdminLoginPassword": {
            "type": "SecureString"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2022-05-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "administratorLogin": "[parameters('AdminLogin')]",
                "administratorLoginPassword": "[parameters('AdminLoginPassword')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "federatedClientId": "[parameters('federated_clientid')]",
                "KeyId": "[parameters('keyvault_url')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Sonraki adımlar

Azure Key Vault tümleştirmesini kullanmaya başlama ve TDE için Kendi Anahtarını Getir desteği: Key Vault'tan kendi anahtarınızı kullanarak TDE'yi açma
Saydam veri şifrelemesi ile kiracılar arası müşteri tarafından yönetilen anahtarlar

Aracılığıyla paylaş