Aracılığıyla paylaş

Azure Key Vault ile Genişletilebilir Anahtar Yönetimi için Yönetilen Kimlik desteği

Şunlar için geçerlidir: SQL Server 2025 (17.x)

Bu makalede, Azure Arc tarafından etkinleştirilen SQL Server üzerinde Azure Key Vault (AKV) ile Genişletilebilir Anahtar Yönetimi (EKM) için yönetilen kimliklerin nasıl kullanılacağı gösterilmektedir.

Genel Bakış

SQL Server 2025 (17.x) ile başlayarak, Azure Arc tarafından etkinleştirilen SQL Server'da AKV ve Yönetilen Donanım Güvenlik Modülleri (HSM) ile EKM için yönetilen kimlikler desteklenir. Yönetilen kimlikler, farklı Azure hizmetlerinin parola veya gizli dizi kullanmadan Azure Arc kaynağı tarafından etkinleştirilen SQL Server'da kimlik doğrulamasına izin vermek için önerilen kimlik doğrulama yöntemidir. Yönetilen kimlikler hakkında daha fazla bilgi için bkz. Yönetilen kimlik türleri.

Önkoşullar

1. Adım: EKM sağlayıcısı için kayıt defteri anahtarı ekleme

Yönetilen kimlik kullanarak kimlik bilgisi oluşturabilmeniz için önce EKM sağlayıcısının yönetilen kimlikleri kullanmasını sağlamak için bir kayıt defteri anahtarı eklemeniz gerekir. Bu adımın bilgisayar yöneticisi tarafından gerçekleştirilmesi gerekir. Ayrıntılı adımlar için bkz. 4. Adım: EKM sağlayıcısıdesteklemek için kayıt defteri anahtarı ekleme.

2. Adım: Veritabanını yapılandırma master

  1. SQL Server Management Studio'yu açın.

  2. Aşağıdaki Transact-SQL betiğini çalıştırarak SQL Server'ı EKM kullanacak şekilde yapılandırın:

    -- Enable advanced options.
USE master;
GO

EXECUTE sp_configure 'show advanced options', 1;
GO

RECONFIGURE;
GO

-- Enable EKM provider
EXECUTE sp_configure 'EKM provider enabled', 1;
GO

RECONFIGURE;
GO

  3. SQL Server Bağlayıcısı'nı SQL Server'a EKM sağlayıcısı olarak kaydedin.

    Azure Key Vault için EKM sağlayıcısı olan SQL Server Bağlayıcısı'nı kullanarak bir şifreleme sağlayıcısı oluşturun. Bu örnekte sağlayıcı adı şeklindedir AzureKeyVault_EKM.

    CREATE CRYPTOGRAPHIC PROVIDER AzureKeyVault_EKM
FROM FILE = 'C:\Program Files\SQL Server Connector for Microsoft Azure Key Vault\Microsoft.AzureKeyVaultService.EKM.dll';
GO

    Uyarı

    Dosya yolu uzunluğu 256 karakteri aşamaz.

3. Adım: Yönetilen kimlik kullanarak sunucu kimlik bilgisi oluşturma

Aşağıdaki örnekte, Azure Key Vault ile kullanılacak yönetilen kimlik için kimlik bilgilerinin nasıl oluşturulacağı gösterilmektedir:

CREATE CREDENTIAL [<akv-name>.vault.azure.net]
    WITH IDENTITY = 'Managed Identity'
    FOR CRYPTOGRAPHIC PROVIDER AzureKeyVault_EKM;

sys.credentialssorgulayarak AKV adını kontrol edebilirsiniz.

SELECT name, credential_identity
FROM sys.credentials;

WITH IDENTITY = 'Managed Identity' maddesi, Azure Arc ile etkinleştirilen SQL Server'a atanan birincil yönetilen kimliği gerektirir.

EKM'yi AKV ile ayarlama hakkında daha fazla bilgi için bkz. Azure Key Vaultkullanarak SQL Server TDE Genişletilebilir Anahtar Yönetimini ayarlama.

Yönetilen Donanım Güvenlik Modülleri (HSM) ile kullanılacak bir kimlik bilgisi oluşturma

Azure Key Vault Yönetilen Donanım Güvenlik Modülleri (HSM) ile kullanılacak bir kimlik bilgisi oluşturmak için aşağıdaki söz dizimini kullanın:

CREATE CREDENTIAL [<akv-name>.managedhsm.azure.net]
    WITH IDENTITY = 'Managed Identity'
    FOR CRYPTOGRAPHIC PROVIDER AzureKeyVault_EKM;

EKM'yi AKV ile ayarlama hakkında daha fazla bilgi için bkz. Azure Key Vaultkullanarak SQL Server TDE Genişletilebilir Anahtar Yönetimini ayarlama.

Mevcut EKM yapılandırmasını yönetilen kimlikleri kullanacak şekilde yükseltmek için T-SQL komutları

Geçerli yapılandırmanız gizli dizi kullanarak AKV ile EKM kullanıyorsa, mevcut kimlik bilgilerini bırakmanız ve yönetilen kimlik kullanarak yeni bir kimlik bilgisi oluşturmanız gerekir. Aşağıdaki T-SQL komutları, yönetilen kimlikleri kullanmak için mevcut EKM yapılandırmanızı yükseltmeyi gösterir:

  1. Yönetilen kimlik kullanarak kimlik bilgilerini oluşturun:

    CREATE CREDENTIAL [<akv-name>.vault.azure.net]
    WITH IDENTITY = 'Managed Identity'
    FOR CRYPTOGRAPHIC PROVIDER AzureKeyVault_EKM;

  2. SQL Server yönetim etki alanı oturum açma bilgileriyle ilişkilendirilmiş bir gizli anahtarı kullanan bir kimlik bilgisi varsa, varsa mevcut kimlik bilgilerini kaldırın.

    ALTER LOGIN [<domain>\<login>]
DROP CREDENTIAL [<existing-credential-name>];

  3. Yeni kimlik bilgilerini SQL Server yönetim etki alanı oturum açma bilgileriyle ilişkilendirin:

    ALTER LOGIN [<domain>\<login>]
ADD CREDENTIAL [<akv-name>.vault.azure.net];

Aşağıdaki sorguyu kullanarak veritabanı şifrelemesini doğrulamak için şifrelenmiş veritabanı görünümünü de kontrol edebilirsiniz:

SELECT *
FROM sys.dm_database_encryption_keys
WHERE database_id = db_id('<your-database-name>');

EKM'yi AKV ile ayarlama hakkında daha fazla bilgi için bkz. Azure Key Vaultkullanarak SQL Server TDE Genişletilebilir Anahtar Yönetimini ayarlama.

Hata iletileri

İzleme bayrağı 4675 yönetilen kimlikle oluşturulan kimlik bilgilerini denetlemek için kullanılabilir. CREATE CREDENTIAL deyimi izleme bayrağı 4675 etkinleştirilmeden yürütüldüyse, sunucu için birincil yönetilen kimlik ayarlanmadıysa hata iletisi gönderilmez. Bu senaryoyla ilgili sorunları gidermek için, izleme bayrağı etkinleştirildikten sonra kimlik bilgilerinin silinmesi ve yeniden oluşturulması gerekir.

Sınırlamalar

  • Sunucu düzeyinde yönetilen kimlik yalnızca Azure Arc tarafından etkinleştirilen SQL Server 2025 için desteklenir, şirket içi SQL Server'da desteklenmez. Sunucu düzeyinde yönetilen kimlik Linux için desteklenmez.
  • AKV ile EKM için yönetilen kimlik desteği için en son SQL Server Bağlayıcısı önizleme sürümü gerekir.

İlgili içerik

  • Last updated on