Configureer een server met een gebruikertoegewezen beheerde identiteit en cross-tenant CMK voor TDE

van toepassing op:Azure SQL Database-

In deze handleiding doorlopen we de stappen voor het maken van een logische server van Azure SQL met TDE (Transparent Data Encryption) en door de klant beheerde sleutels (CMK), waarbij gebruik wordt gemaakt van een door de gebruiker toegewezen beheerde identiteit voor toegang tot een Azure Key Vault- in een andere Microsoft Entra-tenant dan de tenant van de logische server. Zie door de klant beheerde sleutels voor meerdere tenants met transparante gegevensversleutelingvoor meer informatie.

Notitie

Microsoft Entra ID voorheen Azure Active Directory (Azure AD) werd genoemd.

Voorwaarden

• Deze handleiding veronderstelt dat u twee Microsoft Entra-tenants hebt.
  • De eerste bevat de Azure SQL Database-resource, een multitenant Microsoft Entra-toepassing en een door de gebruiker toegewezen beheerde identiteit.
  • De tweede tenant bevat de Azure Key Vault.
• Raadpleeg een van de volgende handleidingen voor uitgebreide instructies over het instellen van CMK voor meerdere tenants en de RBAC-machtigingen die nodig zijn voor het configureren van Microsoft Entra-toepassingen en Azure Key Vault:
  • Configureren van door klanten beheerde sleutels voor tenant-overstijgend gebruik voor een nieuw opslagaccount
  • Klantbeheer sleutels voor cross-tenant configureren voor een bestaande opslagaccount

Vereiste resources voor de eerste tenant

Voor deze zelfstudie gaan we ervan uit dat de eerste tenant deel uitmaakt van een onafhankelijke softwareleverancier (ISV) en dat de tweede tenant afkomstig is van hun client. Zie door de klant beheerde sleutels voor meerdere tenants met transparante gegevensversleutelingvoor meer informatie over dit scenario.

Voordat we TDE voor Azure SQL Database kunnen configureren met een CMK voor meerdere tenants, moeten we een Multitenant Microsoft Entra-toepassing hebben die is geconfigureerd met een door de gebruiker toegewezen beheerde identiteit die is toegewezen als federatieve identiteitsreferentie voor de toepassing. Volg een van de handleidingen bij de voorwaarden.

1. In de eerste tenant waar u de Azure SQL Database wilt maken, een multitenant Microsoft Entra-toepassing maken en configureren

2. een door de gebruiker toegewezen beheerde identiteit maken

3. Configureer de door de gebruiker toegewezen beheerde identiteit als een federatieve identiteitsreferentie voor de multitenant-toepassing

4. Noteer de naam van de toepassing en de toepassings-id. Dit vindt u in de Azure-portal>Microsoft Entra ID>Enterprise-toepassingen en zoek naar de gemaakte toepassing

Vereiste resources voor de tweede tenant

Notitie

Azure AD- en MSOnline PowerShell-modules zijn vanaf 30 maart 2024 afgeschaft. Lees de afschaffingsupdatevoor meer informatie. Na deze datum is ondersteuning voor deze modules beperkt tot migratieondersteuning voor Microsoft Graph PowerShell SDK en beveiligingsoplossingen. De afgeschafte modules blijven functioneren tot en met 30 maart 2025.

Het is raadzaam om te migreren naar Microsoft Graph PowerShell- om te communiceren met Microsoft Entra ID (voorheen Azure AD). Raadpleeg de veelgestelde vragen over migratievoor algemene migratievragen. Opmerking: versies 1.0.x van MSOnline kunnen na 30 juni 2024 onderbrekingen ondervinden.

1. In de tweede tenant waarin de Azure Key Vault zich bevindt, een service-principal (toepassing) maken met behulp van de toepassings-id van de geregistreerde toepassing van de eerste tenant. Hier volgen enkele voorbeelden van het registreren van de multitenant-toepassing. Vervang <TenantID> en <ApplicationID> door het client-ID tenant-ID van Microsoft Entra ID en het toepassings-ID van de multitenant applicatie.

   • PowerShell:

     Connect-AzureAD -TenantID <TenantID>
     New-AzADServicePrincipal  -ApplicationId <ApplicationID>
     

   • De Azure CLI:

     az login --tenant <TenantID>
     az ad sp create --id <ApplicationID>
     

2. Ga naar de Azure-portal>Microsoft Entra ID>Enterprise-toepassingen en zoek naar de toepassing die zojuist is gemaakt.

3. Maak een Azure Key Vault- als u er nog geen heeft en maak een sleutel

4. het toegangsbeleid maken of instellen.

   1. Selecteer de machtigingen Ophalen, Sleutel verpakken, Sleutel uitpakken onder Sleutelmachtigingen bij het maken van het toegangsbeleid
   2. Selecteer de toepassing voor meerdere tenants die in de eerste stap is gemaakt in de optie Principal bij het maken van het toegangsbeleid

   

5. Zodra het toegangsbeleid en de sleutel zijn gemaakt, de sleutel ophalen uit Key Vault en de -sleutel-id vastleggen

Een server creëren die geconfigureerd is met TDE en een door de klant beheerde sleutel (CMK) voor gebruik bij meerdere tenants.

Deze handleiding begeleidt u bij het maken van een logische server en database in Azure SQL met een door de gebruiker toegewezen beheerde identiteit en het instellen van een door de gebruiker beheerde sleutel voor meerdere tenants. De door de gebruiker toegewezen beheerde identiteit is een must voor het instellen van een door de klant beheerde sleutel voor transparante gegevensversleuteling tijdens de fase van het maken van de server.

Belangrijk

De gebruiker of toepassing die API's gebruikt om logische SQL-servers te maken, heeft de SQL Server-bijdrager en Managed Identity Operator RBAC-rollen of hoger op het abonnementsniveau nodig.

Portal

1. Blader naar de optiepagina Selecteer SQL-implementatie in de Azure-portal.

2. Als u nog niet bent aangemeld bij Azure Portal, meldt u zich aan wanneer u hierom wordt gevraagd.

3. Laat onder SQL-databases de resource-type ingesteld op individuele database, en selecteer Create.

4. Selecteer op het tabblad Basisinformatie van het formulier SQL Database maken, onder Projectdetails, de gewenste Azure Subscription.

5. Voor resourcegroepselecteert u Nieuw maken, voert u een naam in voor de resourcegroep en selecteert u OK.

6. Voer voor databasenaam een databasenaam in. Bijvoorbeeld ContosoHR.

7. Voor Serverselecteert u Nieuwemaken en vult u het formulier Nieuwe server in met de volgende waarden:

   • servernaam: voer een unieke servernaam in. Servernamen moeten globaal uniek zijn voor alle servers in Azure, niet alleen uniek binnen een abonnement. Voer iets in als mysqlserver135en azure Portal laat u weten of deze beschikbaar is of niet.
   • aanmeldgegevens van de serverbeheerder: voer een aanmeldingsnaam voor een beheerder in, bijvoorbeeld: azureuser.
   • wachtwoord: voer een wachtwoord in dat voldoet aan de wachtwoordvereisten en voer het opnieuw in het veld Wachtwoord bevestigen in.
   • Locatie: Selecteer een locatie in de vervolgkeuzelijst

8. Selecteer Volgende: Netwerken onderaan de pagina.

9. Selecteer op het tabblad Netwerken voor connectiviteitsmethodeOpenbaar eindpunt.

10. Voor firewallregelsstelt u Huidige client-IP-adres toevoegen in op Ja. Laat Azure-services en -resources toegang geven tot deze server ingesteld op Geen. De rest van de selecties op deze pagina kan standaard blijven staan.

    

11. Selecteer Volgende: Beveiliging onder aan de pagina.

12. Selecteer op het tabblad Beveiliging, onder Identiteit, de optie Configureren van identiteiten.

    

13. Selecteer in het menu IdentityOff voor Door het systeem toegewezen beheerde identiteit en selecteer vervolgens toevoegen onder door de gebruiker toegewezen beheerde identiteit. Selecteer het gewenste Abonnement en selecteer vervolgens onder Door de gebruiker toegewezen beheerde identiteitende gewenste door de gebruiker toegewezen beheerde identiteit in het geselecteerde abonnement. Selecteer vervolgens de knop Toevoegen.

14. Selecteer onder primaire identiteitdezelfde door de gebruiker toegewezen beheerde identiteit die in de vorige stap is geselecteerd.

    

15. Selecteer voor Federatieve Clientidentiteitde optie Identiteit wijzigen en zoek naar de multitenanttoepassing die u hebt gemaakt in de Vereisten.

    

    Notitie

    Als de multitenant-toepassing niet is toegevoegd aan het toegangsbeleid voor de sleutelkluis met de vereiste machtigingen (Ophalen, Sleutel verpakken, Sleutel uitpakken), wordt er een fout weergegeven met behulp van deze toepassing voor identiteitsfederatie in Azure Portal. Zorg ervoor dat de machtigingen correct zijn geconfigureerd voordat u de federatieve clientidentiteit configureert.

16. Selecteer toepassen

17. Selecteer op het tabblad Beveiliging, onder Transparante gegevensversleuteling, Transparante gegevensversleuteling configureren. Selecteer door de klant beheerde sleutelen er wordt een optie weergegeven om een sleutel-id in te voeren . Voeg de -sleutelidentificatie toe, verkregen uit de sleutel van de tweede tenant.

    

18. Selecteer toepassen

19. Selecteer Beoordelen + maken onder aan de pagina

20. Selecteer Creëerop de pagina Beoordelen en maken.

De Azure CLI

Zie Azure CLI installeren artikel voor meer informatie over het installeren van de huidige versie van Azure CLI.

Maak een server die is geconfigureerd met een door de gebruiker toegewezen beheerde identiteit en een tenantoverschrijdende door de klant beheerde TDE met behulp van de opdracht az sql server create. De sleutel-id van de tweede tenant kan worden gebruikt in het veld key-id. De toepassings-id van de multitenant-toepassing kan worden gebruikt in het veld federated-client-id.

az sql server create \
    --name $serverName \
    --resource-group $resourceGroupName \
    --location $location  \
    --admin-user $adminlogin \
    --admin-password $password \
    --assign-identity \
    --identity-type $identitytype \
    --user-assigned-identity-id $identityid \
    --primary-user-assigned-identity-id $primaryidentityid \
    --key-id $keyid \
    --federated-client-id $federatedid
 

Gebruik de opdrachtregel az sql db create om een database te maken.

az sql db create \
    --resource-group $resourceGroupName \
    --server $serverName \
    --name mySampleDatabase \
    --sample-name AdventureWorksLT \
    --edition GeneralPurpose \
    --compute-model Serverless \
    --family Gen5 \
    --capacity 2

PowerShell

Maak een server die is geconfigureerd met een door de gebruiker toegewezen beheerde identiteit en een cross-tenant door de klant beheerde TDE met behulp van PowerShell.

Zie Azure PowerShell-installeren voor installatie-instructies voor Az PowerShell-module.

Gebruik de cmdlet New-AzSqlServer.

Vervang de volgende waarden in het voorbeeld:

• <ResourceGroupName>: naam van de resourcegroep voor uw logische Azure SQL-server
• <Location>: locatie van de server, zoals West USof Central US
• <ServerName>: een unieke naam van een logische Azure SQL-server gebruiken
• <ServerAdminName>: de sql-beheerderaanmelding
• <ServerAdminPassword>: het wachtwoord van de SQL-beheerder
• <IdentityType>: Het type identiteit dat moet worden toegewezen aan de server. Mogelijke waarden zijn SystemAssigned, UserAssigned, SystemAssigned,UserAssigned en Geen
• <UserAssignedIdentityId>: de lijst met door de gebruiker toegewezen beheerde identiteiten die aan de server moeten worden toegewezen (kan een of meerdere zijn)
• <PrimaryUserAssignedIdentityId>: de door de gebruiker toegewezen beheerde identiteit die moet worden gebruikt als de primaire of standaardinstelling op deze server
• <CustomerManagedKeyId>: de Sleutel-ID uit de tweede tenant-sleutelkluis
• <FederatedClientId>: de toepassings-id van de multi-tenant toepassing

Om uw door de gebruiker toegewezen beheerde identiteit Resource IDte krijgen, zoekt u naar beheerde identiteiten in de Azure portal. Zoek uw beheerde identiteit en ga naar Eigenschappen. Een voorbeeld van uw UMI Resource-id ziet eruit als /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>

# create a server with user-assigned managed identity and cross-tenant customer-managed TDE
$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    SqlAdministratorCredentials = (Get-Credential)
    SqlAdministratorLogin = "<ServerAdminName>"
    SqlAdministratorPassword = "<ServerAdminPassword>"
    AssignIdentity = $true
    IdentityType = "<IdentityType>"
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    PrimaryUserAssignedIdentityId = "<PrimaryUserAssignedIdentityId>"
    KeyId = "<CustomerManagedKeyId>"
    FederatedClientId = "<FederatedClientId>"
}

New-AzSqlServer @params

Hier volgt een voorbeeld van een ARM-sjabloon waarmee een logische Azure SQL-server wordt gemaakt met een door de gebruiker toegewezen beheerde identiteit en door de klant beheerde TDE. Voor een CMK voor meerdere tenants gebruikt u de -sleutel-id uit de tweede tenantsleutelkluis en de toepassings-id uit de multitenant-toepassing.

Met de sjabloon wordt ook een Microsoft Entra-beheerdersset toegevoegd voor de server en wordt Microsoft Entra-verificatieingeschakeld, maar dit kan worden verwijderd uit het sjabloonvoorbeeld.

Zie Azure Resource Manager-sjablonen voor Azure SQL Database & SQL Managed Instancevoor meer informatie en ARM-sjablonen.

Gebruik een aangepaste -implementatie in de Azure-portalen bouw uw eigen sjabloon in de editor. Vervolgens de configuratie opslaan nadat u het voorbeeld hebt geplakt.

Om uw door de gebruiker toegewezen beheerde identiteit Resource IDte krijgen, zoekt u naar beheerde identiteiten in de Azure portal. Zoek uw beheerde identiteit en ga naar Eigenschappen. Een voorbeeld van uw UMI resource-id ziet eruit als /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "String"
        },
        "location": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity."
            }
        },
        "federated_clientid": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Application ID of the multi-tenant application."
            }
        },
        "keyvault_url": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The key vault URI."
            }
        },
        "AdminLogin": {
            "minLength": 1,
            "type": "String"
        },
        "AdminLoginPassword": {
            "type": "SecureString"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2022-05-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "administratorLogin": "[parameters('AdminLogin')]",
                "administratorLoginPassword": "[parameters('AdminLoginPassword')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "federatedClientId": "[parameters('federated_clientid')]",
                "KeyId": "[parameters('keyvault_url')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Volgende stappen

• Aan de slag met Azure Key Vault-integratie en Bring Your Own Key-ondersteuning voor TDE: TDE inschakelen met behulp van uw eigen sleutel uit Key Vault
• door de klant beheerde sleutels voor meerdere tenants met transparante gegevensversleuteling

Zie ook

• Transparent Data Encryption (TDE) met door de klant beheerde sleutels op databaseniveau
• Configureer geo-replicatie en back-upherstel voor transparante data-encryptie met klantbeheerde sleutels op databaseniveau
• Identiteits- en sleutelbeheer voor TDE met door de klant beheerde sleutels op databaseniveau