使用受控識別稽核

適用於：Azure SQL 資料庫Azure Synapse Analytics

Azure SQL 資料庫的稽核可以設定為使用採兩種驗證方法的儲存體帳戶：

• 受控識別
• 儲存體存取金鑰

受控識別有兩種：系統指派的受控識別 (SMI)；使用者指派的受控識別 (UMI)。

若要設定將稽核記錄寫入儲存體帳戶，請移至 Azure 入口網站，然後選取 Azure SQL 資料庫的邏輯伺服器資源。 在 [稽核] 功能表中選取 [儲存體]。 選取要在將記錄儲存到的 Azure 儲存體帳戶。

根據預設，使用的身分識別是指派給伺服器的主要使用者識別。 如果無使用者識別，伺服器會建立系統指派的受控識別，並將其用於驗證。

開啟 [進階屬性] 以選取保留期間。 然後選取儲存。 早於保留期限的記錄會予以刪除。

注意

若要在 Azure Synapse Analytics 上設定基於受控識別的稽核，請參閱本文稍後的設定系統指派的受控識別以進行 Azure Synapse Analytics 稽核一節。

使用者指派的受控識別

UMI 使得使用者可以彈性地為指定租用戶建立和維護自己的 UMI。 UMI 可用作 Azure SQL 的伺服器身分識別。 UMI 由使用者管理 (相較於系統指派的受控識別，該身分識別是每個伺服器唯一定義的) 並由系統指派。

如需 UMI 的詳細資訊，請參閱 Azure SQL Microsoft Entra 中的受控識別。

設定使用者指派的受控識別以進行 Azure SQL 資料庫稽核

在設定稽核以將記錄傳送至儲存體帳戶之前，指派給伺服器的受控識別必須具有儲存體 Blob 資料參與者角色指派。 若要使用 PowerShell、Azure CLI、REST API 或 ARM 範本設定稽核，則需要此指派。 當您透過 Azure 入口網站設定稽核時，角色指派會自動完成，因此如果您透過 Azure 入口網站設定稽核，則不需要執行下列步驟。

1. 前往 Azure 入口網站。

2. 建立使用者指派的受控識別 (如果您還沒有這樣做的話)。 如需詳細資訊，請參閱建立使用者指派的受控識別。

3. 移至您想要為稽核設定的儲存體帳戶。

4. 選取 [存取控制 (IAM)] 功能表。

5. 選取 [新增>][新增角色指派]。

6. 在 [角色] 索引標籤中，選取 [儲存體 Blob 資料參與者]。 選取 [下一步]。

7. 在 [成員] 索引標籤的 [將存取權指派給] 區段中，選取 [受控識別]，然後選擇 [選取成員]。 您可以選取為您的伺服器建立的受控識別。

8. 選取檢閱+指派。

   

如需詳細資訊，請參閱使用入口網站指派 Azure 角色。

遵循下列步驟可設定使用者指派的受控識別設定稽核。

入口網站

1. 移至伺服器的 [身分識別] 功能表。 在 [使用者指派的受控識別] 區段，[新增] 受控識別。

2. 然後，可以選取新增的受控識別作為伺服器的主要身分識別。

   

3. 移至伺服器的 [稽核] 功能表。 設定伺服器的儲存體時，選取 [受控識別] 作為 [儲存體驗證類型]。

Azure CLI

若要使用受控識別，請將 --storage-key 參數當作空字串傳遞，以在設定稽核時使用指派給伺服器的主要受控識別。 以下是命令範例：

az SQL server audit-policy update -g "sampleresourcegroup" -n "sampleauditingtestserver" --state Enabled --bsts Enabled --storage-endpoint https://<storageaccountname>.blob.core.windows.net --storage-key '""'

如需詳細資訊，請參閱 az sql server audit-policy。

PowerShell

若要使用受控識別，請將 UseIdentity 參數作為 True 傳遞，以使用指派給伺服器的主要受控識別。 以下是命令範例：

Set-AzSqlServerAudit -ResourceGroupName "sampleresourcegroup" -ServerName "sampleauditingtestserver" -BlobStorageTargetState Enabled -StorageAccountResourceId "/subscriptions/<SubscriptionID>/resourcegroups/sampleresourcegroup/providers/Microsoft.Storage/storageAccounts/auditingteststorageacc" -UseIdentity True

如需詳細資訊，請參閱 Set-AzSqlServerAudit。

REST API

若要使用主要受控識別，請略過在要求中傳遞參數 storageAccountAccessKey：

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/auditingSettings/default?api-version=2017-03-01-preview

{
  "properties": {
    "state": "Enabled",
    "storageEndpoint": "https://mystorage.blob.core.windows.net"
  }
}

如需詳細資訊，請參閱伺服器稽核設定 - 建立或更新。

注意

使用受控識別設定稽核時，將資料庫複製到新的伺服器或建立異地複本可能會中斷稽核記錄。 這是因為新伺服器有不同的受控識別，可能無法存取稽核記憶體帳戶。 請確定新伺服器的身分識別已獲授與適當的許可權，以維護稽核持續性。

設定系統指派的受控識別以進行 Azure Synapse Analytics 稽核

不能對儲存體帳戶使用 UMI 型驗證來進行稽核。 只有系統指派的受控識別 (SMI) 可用於 Azure Synapse Analytics。 若要讓 SMI 驗證正常運作，受控識別必須在儲存體帳戶的 [存取控制] 設定中，將 [儲存體 Blob 資料參與者] 角色指派給它。 如果將 Azure 入口網站用於設定稽核，系統會自動新增此角色。

在 Azure Synapse Analytics 的 Azure 入口網站中，沒有明確選擇 SAS 金鑰或 SMI 驗證的選項，與 Azure SQL 資料庫中的情況一樣。

• 如果儲存體帳戶位於 VNet 或防火牆後方，系統會使用 SMI 驗證自動設定稽核。

• 如果儲存體帳戶不在 VNet 或防火牆後方，系統會使用基於 SAS 金鑰的驗證自動設定稽核。 不過，如果儲存體帳戶不在 VNet 或防火牆後方，就無法使用受控識別。

若要強制使用 SMI 驗證，不論儲存體帳戶是否位於 VNet 或防火牆後方，請使用 REST API 或 PowerShell，如下所示：

• 如果使用 REST API，請明確省略要求本文中的 StorageAccountAccessKey 欄位。

  如需詳細資訊，請參閱：

  • 伺服器 Blob 稽核原則 - 建立或更新 - REST API (Azure SQL 資料庫)
  • 資料庫 Blob 稽核原則 - 建立或更新 - REST API (Azure SQL 資料庫)

• 如果使用 PowerShell，請將 UseIdentity 參數作為 true 傳遞。

  如需詳細資訊，請參閱：

  • Set-AzSqlServerAudit （Az.Sql）
  • Set-AzSqlDatabaseAudit （Az.Sql）

相關內容

• 適用於 Azure SQL 資料庫和 Azure Synapse Analytics 的稽核
• Azure SQL 稽核的新功能
• 開始進行 Azure SQL 受控執行個體的審核
• SQL Server 的稽核