共用方式為

建立伺服器,並設定使用者指派的受控識別和客戶受控的 TDE

  • 發行項

適用於: Azure SQL 資料庫

本操作指南概述建立 Azure 邏輯伺服器並設定透明資料加密 (TDE) 與客戶自控金鑰 (CMK) 的步驟,以運用使用者指派的受控識別來存取 Azure Key Vault

注意

Microsoft Entra ID 先前稱為 Azure Active Directory (Azure AD)。

必要條件

建立伺服器並設定 TDE 和客戶自控金鑰 (CMK)

下列步驟概述建立新 Azure SQL Database 邏輯伺服器和新資料庫的程序,其中包含已指派的使用者指派受控識別。 您必須具備使用者指派的受控識別,才能在建立伺服器期間設定客戶自控金鑰以用於 TDE。

  1. 瀏覽至 Azure 入口網站中的 [選取 SQL 部署] 選項頁面。

  2. 如果您尚未登入 Azure 入口網站,請在出現提示時登入。

  3. SQL Database下,將 [資源類型] 設定為 [單一資料庫],然後選取 [建立]。

  4. [建立 SQL Database] 表單 [基本資料] 索引標籤的 [專案詳細資料] 下,選取想要的 Azure 訂用帳戶

  5. 針對 [資源群組],選取 [新建],輸入您的資源群組名稱,然後選取 [確定]。

  6. 針對 [資料庫名稱],輸入 ContosoHR

  7. 伺服器中,選取 [建立新的],並以下列值填寫新伺服器表單:

    • 伺服器名稱:輸入唯一的伺服器名稱。 伺服器名稱對於 Azure 中所有伺服器必須為全域唯一,而不只是在訂閱中是唯一的。 您可以輸入 mysqlserver135 等,Azure 入口網站會讓您知道該名稱是否可用。
    • 伺服器管理員登入:輸入管理員登入名稱,例如 azureuser
    • 密碼:輸入符合密碼需求的密碼,然後在 [確認密碼] 欄位中再次輸入。
    • 位置:從下拉式清單中選取位置

  8. 完成時,選取 [下一步:網路功能],為於頁面底部。

  9. 網路功能索引標籤的連線方法中,選取 [公用端點]。

  10. 針對 [防火牆規則],將 [新增目前的用戶端 IP 位址] 設定為 [是]。 將 [允許 Azure 服務和資源存取此伺服器] 設定為 [否]。

    螢幕擷取畫面:在 Azure 入口網站中建立 SQL Server 時的網路設定

  11. 選取頁面底部的 [下一步:安全性]。

  12. 在 [安全性] 索引標籤的 [伺服器身分識別]下方,選取 [設定身分識別]

    Azure 入口網站中安全性設定及設定身分識別的螢幕擷取畫面。

  13. 在 [身分識別] 窗格上,針對 [系統指派的受控身分識別] 選取 [關閉],然後選取 [使用者指派的受控身分識別] 下的 [新增]。 選取所需的 [訂用帳戶],然後在 [使用者指派的受控身分識別] 下方,從選取的訂用帳戶中選取所需的使用者指派受控身分識別。 接著,選取 [新增] 按鈕。

    螢幕擷取畫面:設定伺服器身分識別時,新增使用者指派的受控身分識別

    設定伺服器身分識別時使用者指派的受控身分識別螢幕擷取畫面。

  14. 在 [主要身分識別] 下方,選取上一個步驟中選取的相同使用者指派受控識別。

    螢幕擷取畫面:選取伺服器的主要身分識別

  15. 選取 [套用]

  16. 在 [安全性] 索引標籤的 [透明資料加密金鑰管理] 下,您可以選擇為伺服器或資料庫設定透明資料加密。

    • 針對 [伺服器層級金鑰]:選取 [設定透明資料加密]。 選取 [客戶自控金鑰],然後可選取 [選取金鑰] 的選項隨即出現。 選取 [變更金鑰]。 針對要用於 TDE 的客戶自控金鑰,選取所需的訂閱金鑰保存庫金鑰版本。 選取 [選取] 按鈕。

    在 Azure SQL 中設定伺服器 TDE 的螢幕擷取畫面。

    螢幕擷取畫面:選取要與 TDE 搭配使用的金鑰。

    • 針對 [資料庫層級金鑰]:選取 [設定透明資料加密]。 選取 [資料庫層級客戶自控金鑰],然後可設定 [資料庫身分識別] 和 [客戶自控金鑰] 的選項隨即顯示。 選取 [設定] 來設定資料庫的 [使用者指派的受控識別],類似於步驟 13。 選取 [變更金鑰] 以設定 [客戶自控金鑰]。 針對要用於 TDE 的客戶自控金鑰,選取所需的訂閱金鑰保存庫金鑰版本。 您也可以選擇在 [透明資料加密] 功能表中啟用 [自動輪替金鑰]。 選取 [選取] 按鈕。

    在 Azure SQL 中設定資料庫 TDE 的螢幕擷取畫面。

  17. 選取 [套用]

  18. 選取頁面底部的 [檢閱 + 建立]

  19. 檢閱 [檢閱 + 建立] 頁面之後,選取 [建立]。

後續步驟