建立伺服器，並設定使用者指派的受控識別和客戶受控的 TDE

適用於：Azure SQL Database

本操作指南概述使用使用者指派的受控識別來存取 Azure 金鑰保存庫，在以透明數據加密 （TDE） 設定的 Azure 中建立邏輯伺服器的步驟。

注意

Microsoft Entra 標識符 先前稱為 Azure Active Directory （Azure AD）。

必要條件

• 本操作指南假設您已經建立 Azure Key Vault，並將金鑰匯入其中，以作為 Azure SQL Database 的 TDE 保護裝置。 若要深入了解，請參閱具有 BYOK 支援的透明資料加密。
• 您必須在金鑰保存庫上啟用虛刪除和清除保護
• 您必須建立使用者指派的受控識別，並為其提供上述金鑰保存庫的必要 TDE 權限 (取得、包裝金鑰、解除包裝金鑰)。 若要建立使用者指派的受控識別，請參閱建立使用者指派的受控識別。
• 您必須安裝並執行 Azure PowerShell。
• [建議執行的選擇性作業] 先在硬體安全性模組 (HSM) 或本機金鑰存放區中建立 TDE 保護裝置的金鑰內容，然後將金鑰內容匯入至 Azure Key Vault。 請依照使用硬體安全性模組 (HSM) 與 Key Vault 的指示操作，以深入了解。

建立伺服器並設定 TDE 和客戶自控金鑰 (CMK)

下列步驟概述建立新 Azure SQL Database 邏輯伺服器和新資料庫的程序，其中包含已指派的使用者指派受控識別。 您必須具備使用者指派的受控識別，才能在建立伺服器期間設定客戶自控金鑰以用於 TDE。

入口網站

1. 瀏覽至 Azure 入口網站中的 [選取 SQL 部署] 選項頁面。

2. 如果您尚未登入 Azure 入口網站，請在出現提示時登入。

3. 在 SQL 資料庫下，將資源類型設定為單一資料庫，然後選取 [建立]。

4. 在建立 SQL 資料庫表單的基本資料索引標籤上，在專案詳細資料下，選取想要的 Azure 訂用帳戶。

5. 針對 [資源群組]，選取 [新建]，輸入您的資源群組名稱，然後選取 [確定]。

6. 針對 [資料庫名稱]，輸入 ContosoHR。

7. 在伺服器中，選取 [建立新的]，並以下列值填寫新伺服器表單：

   • 伺服器名稱：輸入唯一的伺服器名稱。 伺服器名稱對於 Azure 中所有伺服器必須為全域唯一，而不只是在訂閱中是唯一的。 您可以輸入 mysqlserver135 等，Azure 入口網站會讓您知道該名稱是否可用。
   • 伺服器管理員登入：輸入管理員登入名稱，例如 azureuser。
   • 密碼：輸入符合密碼需求的密碼，然後在 [確認密碼] 欄位中再次輸入。
   • 位置：從下拉式清單中選取位置

8. 完成時，選取 [下一步:網路功能]，為於頁面底部。

9. 在網路功能索引標籤的連線方法中，選取 [公用端點]。

10. 針對 [防火牆規則]，將 [新增目前的用戶端 IP 位址] 設定為 [是]。 將 [允許 Azure 服務和資源存取此伺服器] 設定為 [否]。

    

11. 選取頁面底部的 [下一步：安全性]。

12. 在 [安全性] 索引標籤的 [伺服器身分識別] 底下，選取 [設定身分識別]。

    

13. 在 [身分識別] 窗格中，針對 [系統指派的受控識別] 選取 [關閉]，然後選取 [使用者指派的受控識別] 底下的 [新增]。 選取所需的 [訂用帳戶]，然後在 [使用者指派的受控身分識別] 下方，從選取的訂用帳戶中選取所需的使用者指派受控身分識別。 接著，選取 [新增] 按鈕。

    

    

14. 在 [主要身分識別] 下方，選取上一個步驟中選取的相同使用者指派受控識別。

    

15. 選取 [套用]

16. 在 [安全性] 索引標籤的 [透明資料加密 金鑰管理] 底下，您可以選擇為伺服器或資料庫設定透明數據加密。

    • 針對 [伺服器層級金鑰：選取設定 透明數據加密]。 選取 [客戶管理的密鑰]，並選取 [ 選取金鑰 ] 的選項隨即出現。 選取 [變更金鑰]。 針對要用於 TDE 的客戶自控金鑰，選取所需的訂閱、金鑰保存庫、金鑰和版本。 選取 [選取] 按鈕。

    

    

    • 針對 [ 資料庫層級金鑰]：選取 [ 設定透明數據加密]。 選取 [資料庫層級客戶自控密鑰]，並會出現 [ 資料庫識別 ] 和 [客戶管理的金鑰 ] 選項。 選取 [設定] 來設定資料庫的使用者指派受控識別，類似於步驟 13。 選取 [變更金鑰 ] 以設定 客戶管理的金鑰。 針對要用於 TDE 的客戶自控金鑰，選取所需的訂閱、金鑰保存庫、金鑰和版本。 您也可以選擇在 [透明資料加密] 選單中啟用自動輪替金鑰。 選取 [選取] 按鈕。

    

17. 選取 [套用]

18. 選取頁面底部的 [檢閱 + 建立]

19. 檢閱 [檢閱 + 建立] 頁面之後，選取 [建立]。

Azure CLI

如需如何安裝目前版本的 Azure CLI，請參閱安裝 Azure CLI 一文。

使用 az sql server create 命令建立伺服器，並設定使用者指派的受控識別和客戶受控的 TDE。

az sql server create \
    --name $serverName \
    --resource-group $resourceGroupName \
    --location $location  \
    --admin-user $adminlogin \
    --admin-password $password \
    --assign-identity \
    --identity-type $identitytype \
    --user-assigned-identity-id $identityid \
    --primary-user-assigned-identity-id $primaryidentityid \
    --key-id $keyid
 

使用 az sql db create 命令建立資料庫。

az sql db create \
    --resource-group $resourceGroupName \
    --server $serverName \
    --name mySampleDatabase \
    --sample-name AdventureWorksLT \
    --edition GeneralPurpose \
    --compute-model Serverless \
    --family Gen5 \
    --capacity 2

PowerShell

使用 PowerShell 建立伺服器，並設定使用者指派的受控識別和客戶受控的 TDE。

如需 Az PowerShell 模組安裝指示，請參閱安裝 Azure PowerShell。 如需特定的 Cmdlet，請參閱 AzureRM.Sql。

使用 New-AzSqlServer Cmdlet。

取代範例中的下列值：

• <ResourceGroupName>：Azure SQL 邏輯伺服器的資源群組名稱
• <Location>：伺服器的位置，例如 West US 或 Central US
• <ServerName>：使用唯一的 Azure SQL 邏輯伺服器名稱
• <ServerAdminName>：SQL 管理員登入
• <ServerAdminPassword>：SQL 管理員密碼
• <IdentityType>：要指派給伺服器的身分識別類型。 可能的值是 SystemAssigned、UserAssigned, SystemAssigned,UserAssigned 和 None
• <UserAssignedIdentityId>：要指派給伺服器的使用者指派受控識別清單 (可以是一或多個)
• <PrimaryUserAssignedIdentityId>：使用者指派的受控識別，應該作為此伺服器的主要或預設值
• <CustomerManagedKeyId>：「金鑰識別碼」，而且可以從金鑰保存庫中的金鑰擷取

若要取得使用者指派的受控識別資源識別碼，請在 Azure 入口網站中搜尋受控識別。 尋找您的受控識別，並移至 [屬性]。 UMI「資源識別碼」的範例看起來像 /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>

# create a server with user-assigned managed identity and customer-managed TDE
$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    SqlAdministratorCredentials = (Get-Credential)
    SqlAdministratorLogin = "<ServerAdminName>"
    SqlAdministratorPassword = "<ServerAdminPassword>"
    AssignIdentity = $true
    IdentityType = "<IdentityType>"
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    PrimaryUserAssignedIdentityId = "<PrimaryUserAssignedIdentityId>"
    KeyId = "<CustomerManagedKeyId>"
}

New-AzSqlServer @params

ARM 範本

以下是使用使用者指派的受控識別和客戶自控 TDE 在 Azure 中建立邏輯伺服器的 ARM 範例。 此範本也會為伺服器新增 Microsoft Entra 管理員集，並啟用 僅限 Microsoft Entra 的驗證，但可以從範本範例中移除。

如需詳細資訊和 ARM 範本，請參閱適用於 Azure SQL 資料庫 和 SQL 受管理執行個體 的 Azure Resource Manager 範本。

使用 Azure 入口網站中的自訂部署，然後在編輯器中建置您自己的範本。 接下來，將設定貼進範例之後，加以儲存。

若要取得使用者指派的受控識別資源識別碼，請在 Azure 入口網站中搜尋受控識別。 尋找您的受控識別，並移至 [屬性]。 UMI「資源識別碼」的範例看起來像 /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>。

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "String"
        },
        "location": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity."
            }
        },
        "keyvault_url": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The key vault URI."
            }
        },
        "AdminLogin": {
            "minLength": 1,
            "type": "String"
        },
        "AdminLoginPassword": {
            "type": "SecureString"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "administratorLogin": "[parameters('AdminLogin')]",
                "administratorLoginPassword": "[parameters('AdminLoginPassword')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "KeyId": "[parameters('keyvault_url')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

後續步驟

• 開始使用 Azure Key Vault 整合和「攜帶您自己的金鑰支援」以進行 TDE：透過 Key Vault 使用您自己的金鑰開啟 TDE。