Chiavi gestite dal cliente tra tenant con crittografia dei dati trasparente

Si applica a:database SQL di AzureAzure Synapse Analytics (solo pool SQL dedicati)

Azure SQL offre ora il supporto per chiavi gestite dal cliente multi-tenant con Transparent Data Encryption (TDE). CMK tra tenant espande lo scenario BYOK (Bring Your Own Key) per l'utilizzo di TDE senza la necessità che il server logico in Azure si trovi nello stesso tenant di Microsoft Entra in cui si trova l'Azure Key Vault con la chiave gestita dal cliente utilizzata per proteggere il server.

È possibile configurare TDE con CMK per il database SQL di Azure per le chiavi archiviate in key vaults configurati in tenant Microsoft Entra diversi. Microsoft Entra ID (in precedenza Azure Active Directory) introduce una funzionalità denominata federazione delle identità del carico di lavoro e consente alle risorse di Azure da un tenant di Microsoft Entra di accedere alle risorse in un altro tenant di Microsoft Entra.

Per la documentazione su Transparent Data Encryption per i pool SQL dedicati all'interno dei workspace Synapse, vedere Crittografia di Azure Synapse Analytics.

Nota

Microsoft Entra ID era precedentemente conosciuto come Azure Active Directory (Azure AD).

Scenario di utilizzo comune

Le funzionalità CMK tra tenant consentono ai provider di servizi o ai fornitori di software indipendenti (ISV) di creare servizi su Azure SQL per estendere le capacità di TDE di Azure SQL ai rispettivi clienti. Con il supporto abilitato per le chiavi gestite dai clienti in ambienti multi-tenant, i clienti ISV possono possedere il key vault e le chiavi di crittografia nella propria sottoscrizione e nel proprio tenant Microsoft Entra. Il cliente ha il controllo completo sulle operazioni di gestione delle chiavi, durante l'accesso alle risorse SQL di Azure nel tenant ISV.

Interazioni tra utenti

L'interazione cross-tenant tra Azure SQL e un Key Vault in un altro tenant di Microsoft Entra è resa possibile dalla funzionalità Microsoft Entra, federazione dell'identità del carico di lavoro.

Gli ISV che distribuiscono i servizi di Azure SQL possono creare un'applicazione multi-tenant in Microsoft Entra ID e quindi configurare una credenziale di identità federata per questa applicazione usando un'identità gestita assegnata dall'utente. Con il nome dell'applicazione e l'ID applicazione appropriati, un cliente client o ISV può installare l'applicazione creata dall'ISV nel proprio tenant. Il cliente concede quindi all'entità servizio associata all'applicazione le autorizzazioni necessarie per Azure SQL al proprio key vault nel loro tenant e condivide la posizione della loro chiave con l'ISV. Dopo che l'ISV assegna l'identità gestita e l'identità client federata alla risorsa di Azure SQL, la risorsa di Azure SQL nel tenant dell'ISV può accedere all'insieme di credenziali delle chiavi del cliente.

Per altre informazioni, vedi:

• Configurare chiavi gestite dal cliente per tenant diversi per un nuovo account di archiviazione dati
• Configurare chiavi gestite dal cliente tra tenant per un account di archiviazione esistente

Configurazione della chiave gestita dal cliente tra tenant (CMK)

Il diagramma seguente rappresenta i passaggi per uno scenario con server logico di Azure SQL che utilizza TDE per crittografare i dati inattivi usando una chiave gestita tra tenant con un'identità gestita assegnata dall'utente.

Panoramica della configurazione

Nel tenant dell'ISV

1. Creare un'identità gestita assegnata dall'utente

2. Creare un’applicazione multi-tenant

   1. Configurare l'identità gestita assegnata dall'utente come credenziale federata nell'applicazione

Nell'istanza del cliente

3. Installare l'applicazione multi-tenant

4. Crea o usa un vault di chiavi esistente e concedi le autorizzazioni delle chiavi all'applicazione multi-tenant

   1. Creare una nuova chiave o usarne una esistente

   2. Recuperare la chiave da Key Vault e registrare l'Identificatore della chiave

Nel tenant ISV

5. Assegnare l'identità gestita assegnata all'utente creata come Identità primaria nel menu Identità della risorsa Azure SQL nel portale di Azure

6. Assegnare l'identità client federata nello stesso menu Identità e usare il nome dell'applicazione

7. Nel menu Transparent Data Encryption della risorsa di Azure SQL assegnare un identificatore chiave usando l'identificatore chiave del cliente ottenuto dal tenant client.

Osservazioni:

• La chiave gestita tra tenant con la funzionalità TDE è supportata solo per le identità gestite assegnate dall'utente. Non è possibile usare un'identità gestita assegnata dal sistema per la chiave gestita tra tenant con TDE.
• La configurazione della Chiave Gestita dal Cliente tra tenant con TDE è supportata sia a livello di server che a livello di database per Azure SQL Database. Per altre informazioni, vedere Transparent Data Encryption (TDE) con chiavi gestite dal cliente a livello di database.

Passaggi successivi

Creare un server configurato con identità gestita assegnata dall'utente e chiave gestita dal cliente tra tenant per TDE

Vedi anche

• Creare un database SQL di Azure configurato con identità gestita assegnata dall'utente e TDE gestito dal cliente
• Configurare chiavi gestite dal cliente tra tenant per un nuovo account di archiviazione
• Configurare chiavi gestite dal cliente tra entità per un account di archiviazione esistente
• Transparent Data Encryption con chiave gestita dal cliente a livello di database
• Configurare la replica geografica e il ripristino del backup per Transparent Data Encryption con chiavi gestite dal cliente a livello di database
• Gestione delle identità e delle chiavi per TDE con chiavi gestite dal cliente a livello di database