Azure Arc özellikli SQL Yönetilen Örneği için kimlik ve erişim yönetimi
Bu makalede Azure Arc özellikli SQL Yönetilen Örneği kimlik ve erişim yönetimi (IAM) mimarisi, tasarım konuları ve çeşitli senaryolar için öneriler açıklanmaktadır.
Arc özellikli SQL Yönetilen Örneği, Azure Arc özellikli Kubernetes kümesinde çalışan Azure Arc özellikli veri hizmetleri uzantısını kullanır. Bu kritik tasarım alanının bir parçası olarak kimlik ve erişim yönetimi için önemli olan Azure Arc özellikli veri hizmetlerinin çeşitli bileşenleri aşağıdadır.
- Azure Arc Veri Denetleyicisi
- Azure Arc Active Directory Bağlan or
- Azure Arc özellikli SQL Yönetilen Örneği
Mimari
SQL kimlik doğrulaması
Yerel SQL kimlikleri kullanılarak Arc özellikli SQL Yönetilen Örneği için SQL kimlik doğrulaması desteklenir. SQL kimlik doğrulama yöntemi, yöneticiler için Windows'tan oturum açma kimlik bilgileri oluşturmak ve Active Directory kimlik doğrulamasını kullanarak Arc özellikli SQL Yönetilen Örneği erişmek üzere veritabanına izin vermek için ilk kez oturum açma sırasında kullanılır. Grafana ve Kibana panoları şu anda yalnızca temel kimlik doğrulamayı destekler.
Active Directory kimlik doğrulaması
Birçok kurumsal kuruluşta Active Directory (AD) kimlik doğrulaması, şirket içinde ve bulut ortamlarında çalışan SQL Server'lar ile rol tabanlı erişim denetiminin (RBAC) zorunlu tutma standardıdır. Azure Arc özellikli SQL Yönetilen Örneği, mevcut SQL Server veritabanlarını Arc özellikli SQL Yönetilen Örneği sorunsuz bir şekilde geçirmek ve en son SQL Server sürümü ve güvenlik düzeltme ekleriyle güncel kalmak için AD kimlik doğrulamasını destekler.
Arc özellikli SQL Yönetilen Örneği, Arc özellikli Kubernetes kümelerinde çalışırken AD kimlik doğrulamasını desteklemek için Kerberos anahtar sekmesini kullanır. Active Directory bağlayıcısı , AD kimlik doğrulamasını desteklemek için Arc özellikli veri hizmetlerindeki önemli bir bileşendir.
Aşağıda Kerberos anahtar sekmesini oluşturmanın ve yönetmenin ve Arc özellikli SQL Yönetilen Örneği kullanmanın iki yolu vardır. Aşağıdaki bölümlerde senaryolar ve uygun tuş sekmesi modunun ne zaman kullanılacağı açıklanmaktadır.
Sistem tarafından yönetilen tuş sekmesi
Sistem tarafından yönetilen anahtar sekmesi modunda Active Directory bağlayıcısı, Arc özellikli SQL Yönetilen Örneği için AD hesabı oluşturma ve anahtar sekmesi yönetimini basitleştirir. AD bağlayıcısı, hizmet hesaplarını oluşturmak, hizmet sorumluları atamak ve AD kimlik doğrulamasını desteklemek için anahtar sekmesi oluşturmakla sorumludur. Bu yöntem, AD kimlik doğrulaması için anahtar sekmesini otomatik olarak yönetmek üzere ayrıntılı denetim yerine işlemleri basitleştirmeyi tercih eden müşteriler için önerilir.
Şekil 1: Sistem tarafından yönetilen anahtar sekmesi modunda AD bağlayıcısı için mimari diyagramı.
Müşteri tarafından yönetilen anahtar sekmesi
Müşteri tarafından yönetilen anahtar sekmesi modundaKi Active Directory bağlayıcısı, hizmet hesaplarının, hizmet sorumlularının yönetilmesi ve bilgi teknolojisi altyapı kitaplığı (ITIL) işlemini ve farklı ekiplere temsilci olarak görev ayrımını sıkı bir şekilde izleyen müşterilere anahtar sekmesi oluşturma konusunda tam denetim sağlar.
Şekil 2: Müşteri tarafından yönetilen anahtar sekmesi modunda AD bağlayıcısı için mimari diyagramı.
Azure Arc Veri Denetleyicisi
Arc özellikli veri hizmetleri uzantısı Doğrudan bağlı modda yüklendiğinde, Arc özellikli veri hizmetlerinin Azure Resource Manager (ARM) API'leri denetim düzlemi ve veri düzlemi ile etkileşim kurması için yönetilen kimlik oluşturulur. Azure Arc Veri Denetleyicisi, Arc özellikli SQL Yönetilen Örneği yönetirken bu eylemleri gerçekleştirmek için bu yönetilen kimliği kullanır.
Dolaylı bağlantı modunda, envanter ve kaynak kullanımı gibi kullanım bilgilerini düzenli aralıklarla Azure'a aktarmak için Azure Arc Veri Denetleyicisi tarafından gerekli izinlere sahip bir hizmet sorumlusu gerekir.
Azure Arc özellikli veri hizmetlerinde Azure RBAC
İzleme ölçümlerini Azure İzleyici'de yayımlamak için gerekli RBAC izinleri aşağıdadır.
| Rol | Tanım |
|---|---|
| Ölçüm Yayımcısını İzleme | Ölçümlerin Azure kaynaklarına göre yayımlanmasını sağlar. |
Azure Arc özellikli SQL Yönetilen Örneği güvenli erişim
Aşağıdaki mimari diyagramında AD kimlik doğrulaması kullanılarak güvenli erişim gösterilmektedir.
Aşağıdaki mimari diyagramında SQL kimlik doğrulaması kullanılarak güvenli erişim gösterilmektedir.
Tasarımla ilgili dikkat edilecek noktalar
Azure Arc özellikli veri hizmetlerinin genel kimlik ve erişim modeliniz üzerindeki etkisini değerlendirmek için Azure giriş bölgelerinin kimlik ve erişim yönetimi kritik tasarım alanını gözden geçirin.
Arc özellikli veri hizmetleri dağıtımı
Arc özellikli veri hizmetleri dağıtımı için el ile veya otomatik gibi dağıtım türüne bağlı olarak Azure Arc özellikli veri hizmetlerini dağıtmak için kullanılan kimliği göz önünde bulundurun. Bu kimlik, temel alınan Azure Arc özellikli Kubernetes erişim denetimlerinin şirket içinde veya diğer bulut ortamlarında nasıl yönetildiğine bağlı olarak Active Directory Etki Alanı Hizmetleri'nden (AD DS) bir Microsoft Entra hesabı veya Basit Dizin Erişim Protokolü (LDAP) hesabı veya üçüncü taraf BIR LDAP sağlayıcısı olabilir.
Grup tabanlı erişim denetiminin veya bireysel kimlik tabanlı erişim denetimlerinin, Bilgi Teknolojisi (BT) kuruluşunuzun Arc özellikli veri hizmetlerini her iki seçenek tarafından oluşturulan işlem ek yüküne göre yönetmesi için daha uygun olup olmadığını göz önünde bulundurun.
Kuruluşunuzun güvenlik idaresi ve görev ayrımı gereksinimlerine bağlı olarak Azure Arc özellikli veri hizmetlerini dağıtmak ve yönetmek için Azure Arc özellikli Kubernetes yöneticileri ile veritabanı yönetim grubu (DMG) ve uygulama yönetim grubu karşılaştırması arasında bir düşünün.
Arc özellikli SQL Yönetilen Örneği AD kimlik doğrulamasını desteklemek üzere Azure Arc AD Bağlan or dağıtmak için sistem tarafından yönetilen anahtar sekmesi ile müşteri tarafından yönetilen anahtar sekmesi arasındaki kullanım desenini göz önünde bulundurun. Her iki yöntem de, hizmet hesaplarını yönetme konusunda tam müşteri denetimine ve AD kimlik doğrulaması desteği için anahtar sekmesine kıyasla basitleştirilmiş işlemlerin avantajlarına sahiptir.
Arc özellikli veri hizmetleri erişimi
Arc özellikli SQL Yönetilen Örneği erişim denetimleri, temel alınan Azure Arc özellikli Kubernetes erişim denetimlerinden tamamen bağımsızdır. Arc özellikli SQL Yönetilen Örneği yönetmek ve tüketici uygulamalarına ve son kullanıcılara erişim sağlamak için birkaç tasarım kararı vermeniz önemlidir.
Kuruluşunuzun uygulamalarına veya hizmet özelliklerine bağlı olarak AD ve SQL kimlik doğrulaması arasında seçim yapın. Tüm uygulamalar AD kimlik doğrulamasını desteklemediğinden, izin verilen kimlik doğrulama türleri için kuruluşunuzun güvenlik ilkelerini gözden geçirin ve SQL kimlik doğrulaması kullanırken ek güvenlik denetimleri zorunlu kılın.
Bulutta yerel hizmetlerin veri ayıklamak ve veri analizi hizmetlerine veri almak için Arc özellikli SQL Yönetilen Örneği veritabanlarına kimlik doğrulaması ve bağlanması gerektiğinde, Arc özellikli SQL Yönetilen Örneği kimlik doğrulaması yapmak ve bağlanmak için şirket içinde AD'ye katılmış şirket içinde barındırılan çalışma zamanı sanal veya fiziksel makineleri kullanmayı göz önünde bulundurun.
Tasarım önerileri
Arc özellikli SQL Yönetilen Örneği Arc özellikli Kubernetes kümesine dağıtıldığından, aşağıdaki tasarım önerilerine ek olarak Azure Arc özellikli Kubernetes için kimlik ve erişim yönetimi tasarım önerilerini gözden geçirin.
Arc özellikli veri hizmetleri dağıtımı
Katı ITIL süreçlerini izleyen kurumsal kuruluşlar için farklı güvenlik grupları oluşturarak Arc özellikli Kubernetes'ten Arc özellikli veri hizmetlerini yönetmekten sorumlu ekipleri yalıtıp Arc özellikli veri hizmetlerini yönetmek için izinler atayın.
İşlemleri basitleştirmek amacıyla etki alanı hesabını ve anahtar sekmesi yönetim yükünü boşaltmak için AD kimlik doğrulaması desteği için sistem tarafından yönetilen anahtar sekmesi modunu kullanın.
Hizmet hesabı oluşturma ve anahtar sekmesi oluşturma konusunda tam denetime sahip olmak için AD kimlik doğrulaması için müşteri tarafından yönetilen anahtar sekmesi modunu kullanın.
Erişim denetimi temsilcisi seçmek ve arc özellikli tüm SQL Yönetilen Örneği hesapları için işlemleri basitleştirmek için ayrılmış bir AD Kuruluş Birimi (OU) oluşturun.
Kerberos anahtar sekmesi dosyaları için AES256 şifrelemesini kullanın ve RC4 şifrelerinin kullanılmasını önle.
Arc özellikli veri hizmetleri erişimi
Uygunsa, kullanıcı yaşam döngüsü yönetimini dizin hizmetlerine boşaltmak için SQL Yönetilen Örneği ile AD kimlik doğrulamasını kullanın ve kullanıcı izinlerini yönetmek için AD'deki güvenlik gruplarını kullanın.
En az tercih edilen kimlik doğrulama türü olarak ve AD kimlik doğrulamasının kullanılması mümkün olmadığında Arc özellikli SQL Yönetilen Örneği ile SQL kimlik doğrulamasını kullanın.
Kurumsal gereksinimleriniz için AD kimlik doğrulaması mümkün hale getirildikten sonra, günlük işlemler için SQL kimlik doğrulamasını kullanmaktan kaçının. SQL kimlik doğrulamasını yalnızca veritabanı yönetimi için veritabanı sunucusuna acil durum erişimi için kullanın.
AD kimlik doğrulamayı desteklemeyen dağıtım senaryolarında Arc özellikli SQL Yönetilen Örneği desteklenen SQL kimlik doğrulamayı kullanın. Güçlü parola ilkeleri kullandığınızdan ve SQL kullanıcı kimliklerini ve veritabanı sunucularına ve veritabanlarına erişmek için verilen izinleri izlemek için denetimi etkinleştirdiğinizden emin olun.
Rol tabanlı erişim denetimleri (RBAC)
Sistem tarafından yönetilen anahtar sekmesi modunda, Arc özellikli SQL Yönetilen Örneği için Active Directory OU düzeyinde Etki Alanı Hizmet Hesabı (DSA) için açık izinler gerekir.
Gerekli RBAC izinleri aşağıdadır. Müşteri tarafından yönetilen anahtar sekmesi modu için Active Directory OU düzeyinde etki alanı hizmet hesabı için açık izin gerekmez.
Azure Arc AD Bağlan veya izinleri
| İzin | Tanım |
|---|---|
| Tüm özellikleri okuma | Dizin nesnesinin tüm özelliklerini okumaya izin ver. |
| Tüm özellikleri yazma | Dizin nesnesinin tüm özelliklerinde güncelleştirmelere izin verin. |
| Kullanıcı nesneleri oluşturma | OU'da dizin nesnelerinin oluşturulmasına izin verin. |
| Kullanıcı nesnelerini silme | OU'daki dizin nesnelerinin silinmesine izin verin. |
| Parola sıfırlama | OU'daki kullanıcı nesnelerinin parola sıfırlamasına izin verin. |
SQL Server rolleri
Sonraki adımlar
Azure Arc özellikli SQL Yönetilen Örneği kimlik ve erişim yönetimi hakkında daha fazla bilgi için aşağıdaki makalelere bakın:
- Active Directory kimlik doğrulaması ile Azure Arc özellikli SQL Yönetilen Örneği
- Active Directory kimlik doğrulaması önkoşullarında Azure Arc özellikli SQL Yönetilen Örneği
- Öğretici: Azure CLI kullanarak Active Directory bağlayıcısı dağıtma
- Active Directory tümleşik Azure Arc özellikli SQL Yönetilen Örneği dağıtma
- Azure Arc Jumpstart ile Azure Arc özellikli SQL Yönetilen Örneği otomatik senaryoları deneyimleyin.
- Azure Arc hakkında daha fazla bilgi edinmek için Microsoft Learn'de Azure Arc öğrenme yolunu gözden geçirin.