Kullanıcı tarafından atanan yönetilen kimlik ve müşteri tarafından yönetilen TDE ile yapılandırılmış sunucu oluşturma

Şunlar için geçerlidir: Azure SQL Veritabanı

Bu nasıl yapılır kılavuzunda, Azure Key Vault'a erişmek için kullanıcı tarafından atanan yönetilen kimliği kullanarak müşteri tarafından yönetilen anahtarlar (CMK) ile saydam veri şifrelemesi (TDE) ile yapılandırılmış Azure'da mantıksal sunucu oluşturma adımları özetlenmiştir.

Not

Microsoft Entra Id daha önce Azure Active Directory (Azure AD) olarak biliniyordu.

Önkoşullar

• Bu nasıl yapılır kılavuzunda, bir Azure Key Vault oluşturduğunuz ve Azure SQL Veritabanı için TDE koruyucusu olarak kullanmak üzere bir anahtar içeri aktardığınız varsayılır. Daha fazla bilgi için bkz . KAG desteğiyle saydam veri şifrelemesi.
• Anahtar kasasında geçici silme ve Temizleme koruması etkinleştirilmelidir
• Kullanıcı tarafından atanan bir yönetilen kimlik oluşturmuş ve yukarıdaki anahtar kasasında gerekli TDE izinlerini (Alma, Sarmalama Anahtarı, Anahtarı Çöz) sağlamış olmanız gerekir. Kullanıcı tarafından atanan yönetilen kimlik oluşturmak için bkz . Kullanıcı tarafından atanan yönetilen kimlik oluşturma.
• Azure PowerShell'in yüklü ve çalışır durumda olması gerekir.
• [Önerilen ama isteğe bağlı] Önce bir donanım güvenlik modülünde (HSM) veya yerel anahtar deposunda TDE koruyucusunun anahtar malzemesini oluşturun ve anahtar malzemesini Azure Key Vault'a aktarın. Daha fazla bilgi edinmek için donanım güvenlik modülü (HSM) ve Key Vault kullanma yönergelerini izleyin.

Müşteri tarafından yönetilen anahtarla (CMK) TDE ile yapılandırılmış sunucu oluşturma

Aşağıdaki adımlarda, kullanıcı tarafından atanan yönetilen kimlik atanmış yeni bir Azure SQL Veritabanı mantıksal sunucu ve yeni bir veritabanı oluşturma işlemi özetlenmiştir. Kullanıcı tarafından atanan yönetilen kimlik, sunucu oluşturma zamanında TDE için müşteri tarafından yönetilen bir anahtar yapılandırmak için gereklidir.

Portal

1. Azure portalında SQL dağıtımını seç seçeneği sayfasına gidin.

2. Azure portalında henüz oturum açmadıysanız istendiğinde oturum açın.

3. SQL veritabanları'nın altında Kaynak türü'nü Tek veritabanı olarak bırakın ve Oluştur'u seçin.

4. SQL Veritabanı Oluştur formunun Temel Bilgiler sekmesinde, Proje ayrıntıları'nın altında istediğiniz Azure Aboneliği'ni seçin.

5. Kaynak grubu için Yeni oluştur'u seçin, kaynak grubunuz için bir ad girin ve Tamam'ı seçin.

6. Veritabanı adı alanına girinContosoHR.

7. Sunucu için Yeni oluştur'u seçin ve Yeni sunucu formunu aşağıdaki değerlerle doldurun:

   • Sunucu adı: Benzersiz bir sunucu adı girin. Sunucu adları yalnızca abonelik içinde benzersiz değil, Azure'daki tüm sunucular için genel olarak benzersiz olmalıdır. gibi mysqlserver135bir şey girdiğinizde Azure portalı kullanılabilir olup olmadığını size bildirir.
   • Sunucu yöneticisi oturum açma bilgileri: Bir yönetici oturum açma adı girin, örneğin: azureuser.
   • Parola: Parola gereksinimlerini karşılayan bir parola girin ve parolayı onayla alanına yeniden girin.
   • Konum: Açılan listeden bir konum seçin

8. Sayfanın alt kısmındaki İleri: Ağ'ı seçin.

9. Ağ sekmesinde, Bağlantı yöntemi için Genel uç nokta'yı seçin.

10. Güvenlik duvarı kuralları için Geçerli istemci IP adresi ekle'yi Evet olarak ayarlayın. Azure hizmetlerinin ve kaynaklarının bu sunucuya erişmesine izin ver seçeneğini Hayır olarak bırakın.

    

11. Sayfanın alt kısmındaki İleri: Güvenlik'i seçin.

12. Güvenlik sekmesinde, Sunucu Kimliği'nin altında Kimlikleri Yapılandır'ı seçin.

    

13. Kimlik bölmesinde Sistem tarafından atanan yönetilen kimlik için Kapalı'yı ve ardından Kullanıcı tarafından atanan yönetilen kimlik'in altında Ekle'yi seçin. İstediğiniz Aboneliği seçin ve ardından Kullanıcı tarafından atanan yönetilen kimlikler'in altında seçili abonelikten istenen kullanıcı tarafından atanan yönetilen kimliği seçin. Ardından Ekle düğmesini seçin.

    

    

14. Birincil kimlik'in altında, önceki adımda seçilen kullanıcı tarafından atanan yönetilen kimliğin aynısını seçin.

    

15. Seçin Uygula

16. Güvenlik sekmesindeki Saydam Veri Şifrelemesi Anahtar Yönetimi'nin altında sunucu veya veritabanı için saydam veri şifrelemesi yapılandırma seçeneğiniz vardır.

    • Sunucu düzeyi anahtarı için: Saydam veri şifrelemesini yapılandır'ı seçin. Müşteri Tarafından Yönetilen Anahtar'ı seçtiğinizde Anahtar seçin seçeneği görüntülenir. Anahtarı değiştir'i seçin. TDE için kullanılacak müşteri tarafından yönetilen anahtar için istenen Abonelik, Anahtar kasası, Anahtar ve Sürüm'e tıklayın. Seçim düğmesini seçin.

    

    

    • Veritabanı düzeyi anahtarı için: Saydam veri şifrelemesini yapılandır'ı seçin. Veritabanı düzeyinde Müşteri Tarafından Yönetilen Anahtar'ı seçtiğinizde Veritabanı Kimliği ve Müşteri Tarafından Yönetilen Anahtar yapılandırma seçeneği görüntülenir. Veritabanı için 13. adıma benzer şekilde Kullanıcı Tarafından Atanan Yönetilen Kimlik yapılandırmak için Yapılandır'ı seçin. Müşteri Tarafından Yönetilen Anahtar yapılandırmak için Anahtarı değiştir'i seçin. TDE için kullanılacak müşteri tarafından yönetilen anahtar için istenen Abonelik, Anahtar kasası, Anahtar ve Sürüm'e tıklayın. Ayrıca Saydam Veri Şifrelemesi menüsünde otomatik döndürme tuşunu etkinleştirme seçeneğiniz de vardır. Seçim düğmesini seçin.

    

17. Seçin Uygula

18. Sayfanın alt kısmındaki Gözden geçir ve oluştur'u seçin

19. Gözden Geçir + oluştur sayfasında, gözden geçirdikten sonra Oluştur'u seçin.

The Azure CLI

Azure CLI'nın geçerli sürümünü yükleme hakkında bilgi için Bkz . Azure CLI'yi yükleme makalesi.

az sql server create komutunu kullanarak kullanıcı tarafından atanan yönetilen kimlik ve müşteri tarafından yönetilen TDE ile yapılandırılmış bir sunucu oluşturun .

az sql server create \
    --name $serverName \
    --resource-group $resourceGroupName \
    --location $location  \
    --admin-user $adminlogin \
    --admin-password $password \
    --assign-identity \
    --identity-type $identitytype \
    --user-assigned-identity-id $identityid \
    --primary-user-assigned-identity-id $primaryidentityid \
    --key-id $keyid
 

az sql db create komutuyla bir veritabanı oluşturun .

az sql db create \
    --resource-group $resourceGroupName \
    --server $serverName \
    --name mySampleDatabase \
    --sample-name AdventureWorksLT \
    --edition GeneralPurpose \
    --compute-model Serverless \
    --family Gen5 \
    --capacity 2

PowerShell

PowerShell kullanarak kullanıcı tarafından atanan yönetilen kimlik ve müşteri tarafından yönetilen TDE ile yapılandırılmış bir sunucu oluşturun.

Az PowerShell modülü yükleme yönergeleri için bkz . Azure PowerShell'i yükleme. Belirli cmdlet'ler için bkz . AzureRM.Sql.

New-AzSqlServer cmdlet'ini kullanın.

Örnekteki aşağıdaki değerleri değiştirin:

• <ResourceGroupName>: Azure SQL mantıksal sunucunuz için kaynak grubunun adı
• <Location>: Sunucunun konumu, örneğin West US, veya Central US
• <ServerName>: Benzersiz bir Azure SQL mantıksal sunucu adı kullanın
• <ServerAdminName>: SQL Yöneticisi oturum açma bilgileri
• <ServerAdminPassword>: SQL Yöneticisi parolası
• <IdentityType>: Sunucuya atanacak kimliğin türü. Olası değerler , UserAssignedve SystemAssigned,UserAssigned Hiçbiri'dir SystemAssigned
• <UserAssignedIdentityId>: Sunucuya atanacak kullanıcı tarafından atanan yönetilen kimliklerin listesi (bir veya birden çok olabilir)
• <PrimaryUserAssignedIdentityId>: Bu sunucuda birincil veya varsayılan olarak kullanılması gereken kullanıcı tarafından atanan yönetilen kimlik
• <CustomerManagedKeyId>: Anahtar Tanımlayıcısı ve Key Vault'taki anahtardan alınabilir

Kullanıcı tarafından atanan yönetilen kimliğinizi almak için Azure portalında Yönetilen Kimlikler'i arayın. Yönetilen kimliğinizi bulun ve Özellikler'e gidin. UMI Kaynak Kimliğinizin bir örneği şöyle görünür /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>

# create a server with user-assigned managed identity and customer-managed TDE
$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    SqlAdministratorCredentials = (Get-Credential)
    SqlAdministratorLogin = "<ServerAdminName>"
    SqlAdministratorPassword = "<ServerAdminPassword>"
    AssignIdentity = $true
    IdentityType = "<IdentityType>"
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    PrimaryUserAssignedIdentityId = "<PrimaryUserAssignedIdentityId>"
    KeyId = "<CustomerManagedKeyId>"
}

New-AzSqlServer @params

ARM Şablonu

Aşağıda, Kullanıcı tarafından atanan yönetilen kimliğe ve müşteri tarafından yönetilen TDE'ye sahip Azure'da mantıksal sunucu oluşturan arm şablonu örneği verilmiştır. Şablon ayrıca sunucu için bir Microsoft Entra yönetici kümesi ekler ve Microsoft Entra-only kimlik doğrulamasını etkinleştirir, ancak bu şablon örneğinden kaldırılabilir.

Daha fazla bilgi ve ARM şablonları için bkz. Azure SQL Veritabanı ve SQL Yönetilen Örneği için Azure Resource Manager şablonları.

Azure portalında özel dağıtım kullanın ve düzenleyicide kendi şablonunuzu oluşturun. Ardından, örnekte yapıştırdıktan sonra yapılandırmayı kaydedin .

Kullanıcı tarafından atanan yönetilen kimliğinizi almak için Azure portalında Yönetilen Kimlikler'i arayın. Yönetilen kimliğinizi bulun ve Özellikler'e gidin. UMI Kaynak Kimliğinizin bir örneği gibi /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>görünür.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "String"
        },
        "location": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity."
            }
        },
        "keyvault_url": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The key vault URI."
            }
        },
        "AdminLogin": {
            "minLength": 1,
            "type": "String"
        },
        "AdminLoginPassword": {
            "type": "SecureString"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "administratorLogin": "[parameters('AdminLogin')]",
                "administratorLoginPassword": "[parameters('AdminLoginPassword')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "KeyId": "[parameters('keyvault_url')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Sonraki adımlar

• Azure Key Vault tümleştirmesini kullanmaya başlayın ve TDE için Kendi Anahtarını Getir desteği: Key Vault'tan kendi anahtarınızı kullanarak TDE'yi açın.