Saydam veri şifrelemesi ile kiracılar arası müşteri tarafından yönetilen anahtarlar
Şunlar için geçerlidir: Azure Synapse Analytics Azure SQL Veritabanı (yalnızca ayrılmış SQL havuzları)
Azure SQL artık saydam veri şifrelemesi (TDE) ile kiracılar arası müşteri tarafından yönetilen anahtarlar (CMK) için destek sunuyor. Kiracılar arası CMK, Azure'da mantıksal sunucunun sunucuyu korumak için kullanılan müşteri tarafından yönetilen anahtarı depolayan Azure Key Vault ile aynı Microsoft Entra kiracısında olması gerekmeden TDE'yi kullanmak için Kendi Anahtarını Getir (BYOK) senaryosunda genişler.
Farklı Microsoft Entra kiracılarında yapılandırılmış anahtar kasalarında depolanan anahtarlar için Azure SQL Veritabanı için CMK ile TDE'yi yapılandırabilirsiniz. Microsoft Entra Id (eski adıYla Azure Active Directory), iş yükü kimliği federasyonu adlı bir özellik sunar ve bir Microsoft Entra kiracısından Azure kaynaklarına başka bir Microsoft Entra kiracısında kaynaklara erişme olanağı sağlar.
Synapse çalışma alanlarındaki ayrılmış SQL havuzları için saydam veri şifrelemesi belgeleri için bkz . Azure Synapse Analytics şifrelemesi.
Not
Microsoft Entra Id daha önce Azure Active Directory (Azure AD) olarak biliniyordu.
Yaygın kullanım senaryosu
Kiracılar arası CMK özellikleri, hizmet sağlayıcılarının veya bağımsız yazılım satıcılarının (ISV), Azure SQL'in TDE'sini CMK özellikleriyle ilgili müşterilerine genişletmek için Azure SQL üzerinde hizmet oluşturmasına olanak sağlar. Kiracılar arası CMK desteği etkinleştirildiğinde, ISV müşterileri kendi aboneliklerinde ve Microsoft Entra kiracısında anahtar kasasına ve şifreleme anahtarlarına sahip olabilir. Müşteri, ISV kiracısında Azure SQL kaynaklarına erişirken anahtar yönetimi işlemleri üzerinde tam denetime sahiptir.
Kiracılar arası etkileşimler
Azure SQL ile başka bir Microsoft Entra kiracısında yer alan anahtar kasası arasındaki kiracılar arası etkileşim Microsoft Entra özelliği, iş yükü kimlik federasyonu ile etkinleştirilir.
Azure SQL hizmetlerini dağıtan ISV'ler Microsoft Entra Id'de çok kiracılı bir uygulama oluşturabilir ve ardından kullanıcı tarafından atanan yönetilen kimliği kullanarak bu uygulama için bir federasyon kimliği yapılandırabilir. Uygun uygulama adı ve uygulama kimliği ile, bir istemci veya ISV müşterisi ISV tarafından oluşturulan uygulamayı kendi kiracısına yükleyebilir. Müşteri daha sonra uygulama izinleri (Azure SQL için gereklidir) ile ilişkili hizmet sorumlusunu kiracıdaki anahtar kasasına verir ve anahtar konumunu ISV ile paylaşır. ISV yönetilen kimliği ve federasyon istemci kimliğini Azure SQL kaynağına atadıktan sonra, ISV'nin kiracısında bulunan Azure SQL kaynağı müşterinin anahtar kasasına erişebilir.
Daha fazla bilgi için bkz.
- Yeni bir depolama hesabı için kiracılar arası müşteri tarafından yönetilen anahtarları yapılandırma
- Mevcut depolama hesabı için kiracılar arası müşteri tarafından yönetilen anahtarları yapılandırma
Kiracılar arası CMK ayarlama
Aşağıdaki diyagram, kullanıcı tarafından atanan yönetilen kimlikle kiracılar arası CMK kullanarak bekleyen verileri şifrelemek için TDE kullanan bir Azure SQL mantıksal sunucusu kullanan bir senaryonun adımlarını temsil eder.
Kuruluma genel bakış
ISV kiracısı
Çok kiracılı uygulama oluşturma
İstemci kiracıda
Mevcut anahtar kasasını oluşturma veya kullanma ve çok kiracılı uygulamaya anahtar izinleri verme
Yeni anahtar oluşturma veya mevcut anahtarı kullanma
Anahtarı Key Vault'tan alma ve Anahtar Tanımlayıcısı'nı kaydetme
ISV kiracısı
Azure portalındaki Azure SQL kaynak Kimliği menüsünde Birincil kimlik olarak oluşturulan kullanıcı tarafından atanan yönetilen kimliği atayın
Aynı Kimlik menüsünde Federasyon istemci kimliğini atayın ve uygulama adını kullanın
Azure SQL kaynağının Saydam veri şifreleme menüsünde, müşterinin istemci kiracısından alınan Anahtar Tanımlayıcısını kullanarak bir Anahtar tanımlayıcısı atayın.
Açıklamalar
- TDE ile kiracılar arası CMK özelliği yalnızca kullanıcı tarafından atanan yönetilen kimlikler için desteklenir. TDE ile kiracılar arası CMK için sistem tarafından atanan yönetilen kimlik kullanamazsınız.
- TDE ile kiracılar arası CMK'nin ayarlanması, Azure SQL Veritabanı için sunucu düzeyinde ve veritabanı düzeyinde desteklenir. Daha fazla bilgi için bkz . Veritabanı düzeyinde müşteri tarafından yönetilen anahtarlarla saydam veri şifrelemesi (TDE).
Sonraki adımlar
Ayrıca bkz.
- Kullanıcı tarafından atanan yönetilen kimlik ve müşteri tarafından yönetilen TDE ile yapılandırılmış Azure SQL veritabanı oluşturma
- Yeni bir depolama hesabı için kiracılar arası müşteri tarafından yönetilen anahtarları yapılandırma
- Mevcut depolama hesabı için kiracılar arası müşteri tarafından yönetilen anahtarları yapılandırma
- Müşteri tarafından yönetilen anahtarlarla veritabanı düzeyinde saydam veri şifrelemesi (TDE)
- Veritabanı düzeyinde müşteri tarafından yönetilen anahtarlarla saydam veri şifrelemesi için coğrafi çoğaltma ve yedekleme geri yüklemesini yapılandırma
- Veritabanı düzeyinde müşteri tarafından yönetilen anahtarlarla TDE için kimlik ve anahtar yönetimi