Auditování pomocí spravované identity

Platí pro: Azure SQL Database Azure Synapse Analytics

Auditování služby Azure SQL Database je možné nakonfigurovat tak, aby používalo účet úložiště se dvěma metodami ověřování:

• Spravovaná identita
• Přístupové klíče k úložišti

Spravovaná identita může být spravovaná identita přiřazená systémem (SMI) nebo spravovaná identita přiřazená uživatelem (UMI).

Pokud chcete nakonfigurovat zápis protokolů auditu do účtu úložiště, přejděte na web Azure Portal a vyberte prostředek logického serveru pro Azure SQL Database. V nabídce Auditování vyberte Úložiště. Vyberte účet úložiště Azure, do kterého se budou ukládat protokoly.

Ve výchozím nastavení je použitá identita primárního uživatele přiřazená k serveru. Pokud neexistuje žádná identita uživatele, server vytvoří spravovanou identitu přiřazenou systémem a použije ji k ověřování.

Vyberte dobu uchovávání otevřením rozšířených vlastností. Pak vyberte Uložit. Protokoly starší než doba uchovávání se odstraní.

Poznámka:

Pokud chcete nastavit auditování na základě spravované identity ve službě Azure Synapse Analytics, přečtěte si část Konfigurace spravované identity přiřazené systémem pro auditování Azure Synapse Analytics dále v tomto článku.

Spravovaná identita přiřazená uživatelem

UMI poskytuje uživatelům flexibilitu při vytváření a údržbě vlastních UMI pro daného tenanta. UMI je možné použít jako serverové identity pro Azure SQL. UMI spravuje uživatel ve srovnání se spravovanou identitou přiřazenou systémem, která je jedinečně definovaná na serveru a přiřazená systémem.

Další informace o rozhraní UMI najdete v tématu Spravované identity v Microsoft Entra ID pro Azure SQL.

Konfigurace spravované identity přiřazené uživatelem pro auditování služby Azure SQL Database

Před nastavením auditování tak, aby odesílala protokoly do účtu úložiště, musí mít spravovaná identita přiřazená k serveru přiřazení role Přispěvatel dat objektů blob služby Storage. Toto přiřazení se vyžaduje, pokud konfigurujete auditování pomocí PowerShellu, Azure CLI, rozhraní REST API nebo šablon ARM. Přiřazení role se provádí automaticky při konfiguraci auditování pomocí webu Azure Portal, takže pokud konfigurujete auditování prostřednictvím webu Azure Portal, jsou následující kroky zbytečné.

1. Přejděte na Azure Portal.

2. Pokud jste to ještě neudělali, vytvořte spravovanou identitu přiřazenou uživatelem. Další informace najdete v tématu vytváření spravované identity přiřazené uživatelem.

3. Přejděte ke svému účtu úložiště, který chcete nakonfigurovat pro auditování.

4. Vyberte nabídku Řízení přístupu (IAM).

5. Vyberte Přidat>Přidat přiřazení role.

6. Na kartě Role vyhledejte a vyberte Přispěvatel dat objektů blob úložiště. Vyberte Další.

7. Na kartě Členové vyberte spravovanou identitu v části Přiřadit přístup a pak vyberte členy. Můžete vybrat spravovanou identitu vytvořenou pro váš server.

8. Vyberte Zkontrolovat + přiřadit.

   

Další informace najdete v tématu Přiřazení rolí Azure pomocí portálu.

Pomocí následujícího příkazu nakonfigurujte auditování pomocí spravované identity přiřazené uživatelem:

Azure Portal

1. Přejděte do nabídky Identita pro váš server. V části Spravovaná identita přiřazená uživatelem přidejte spravovanou identitu.

2. Pak můžete vybrat přidanou spravovanou identitu jako primární identitu pro váš server.

   

3. Přejděte do nabídky Auditování pro server. Při konfiguraci úložiště pro váš server vyberte spravovanou identitu jako typ ověřování úložiště.

The Azure CLI

Pokud chcete použít spravovanou identitu, předejte --storage-key parametr jako prázdný řetězec, aby se při konfiguraci auditování použila primární spravovaná identita přiřazená k serveru. Tady je ukázkový příkaz:

az SQL server audit-policy update -g "sampleresourcegroup" -n "sampleauditingtestserver" --state Enabled --bsts Enabled --storage-endpoint https://<storageaccountname>.blob.core.windows.net --storage-key ""

Další informace najdete v tématu az sql server audit-policy.

PowerShell

Pokud chcete použít spravovanou identitu, předejte parametr UseIdentity tak, aby True používal primární spravovanou identitu přiřazenou k serveru. Tady je ukázkový příkaz:

Set-AzSqlServerAudit -ResourceGroupName "sampleresourcegroup" -ServerName "sampleauditingtestserver" -BlobStorageTargetState Enabled -StorageAccountResourceId "/subscriptions/<SubscriptionID>/resourcegroups/sampleresourcegroup/providers/Microsoft.Storage/storageAccounts/auditingteststorageacc" -UseIdentity True

Další informace najdete v tématu Set-AzSqlServerAudit.

REST API

Pokud chcete použít primární spravovanou identitu, přeskočte předání parametru storageAccountAccessKey v požadavku:

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/auditingSettings/default?api-version=2017-03-01-preview

{
  "properties": {
    "state": "Enabled",
    "storageEndpoint": "https://mystorage.blob.core.windows.net"
  }
}

Další informace naleznete v tématu Nastavení auditování serveru – Vytvoření nebo aktualizace.

Konfigurace spravované identity přiřazené systémem pro auditování Azure Synapse Analytics

Ověřování na základě UMI nemůžete použít k auditování účtu úložiště. Pro Azure Synapse Analytics je možné použít pouze spravovanou identitu přiřazenou systémem (SMI). Aby ověřování SMI fungovalo, musí mít spravovaná identita přiřazenou roli Přispěvatel dat objektů blob služby Storage v nastavení řízení přístupu k účtu úložiště. Tato role se automaticky přidá, pokud se k konfiguraci auditování používá Azure Portal.

Na webu Azure Portal pro Azure Synapse Analytics není možné explicitně zvolit klíč SAS nebo ověřování SMI, jak je tomu u služby Azure SQL Database.

• Pokud se účet úložiště nachází za virtuální sítí nebo bránou firewall, auditování se automaticky nakonfiguruje pomocí ověřování SMI.

• Pokud účet úložiště není za virtuální sítí nebo bránou firewall, auditování se automaticky konfiguruje pomocí ověřování založeného na klíči SAS. Spravovanou identitu ale nejde použít, pokud účet úložiště není za virtuální sítí nebo bránou firewall.

Pokud chcete vynutit použití ověřování SMI bez ohledu na to, jestli je účet úložiště za virtuální sítí nebo bránou firewall, použijte rozhraní REST API nebo PowerShell následujícím způsobem:

• Pokud používáte rozhraní REST API, v textu požadavku pole explicitně vynecháte StorageAccountAccessKey .

  Další informace najdete v tématu:

  • Zásady auditování objektů blob serveru – Vytvoření nebo aktualizace – REST API (Azure SQL Database)
  • Zásady auditování objektů blob databáze – Vytvoření nebo aktualizace – ROZHRANÍ REST API (Azure SQL Database)

• Pokud používáte PowerShell, předejte UseIdentity parametr jako true.

  Další informace najdete v tématu:

  • Set-AzSqlServerAudit (Az.Sql)
  • Set-AzSqlDatabaseAudit (Az.Sql)

Další kroky

• Přehled auditování
• Epizoda Vystavená data: Novinky v auditování Azure SQL
• Auditování pro spravovanou instanci SQL
• Auditování pro SQL Server