Een server maken die is geconfigureerd met door de gebruiker toegewezen beheerde identiteit en CMK voor meerdere tenants voor TDE

Van toepassing op: Azure SQL Database

In deze handleiding doorlopen we de stappen voor het maken van een logische Azure SQL-server met TDE (Transparent Data Encryption) en door de klant beheerde sleutels (CMK), waarbij een door de gebruiker toegewezen beheerde identiteit wordt gebruikt voor toegang tot een Azure Key Vault in een andere Microsoft Entra-tenant dan de tenant van de logische server. Zie door de klant beheerde sleutels voor meerdere tenants met transparante gegevensversleuteling voor meer informatie.

Notitie

Microsoft Entra-id is de nieuwe naam voor Azure Active Directory (Azure AD). Op dit moment wordt de documentatie bijgewerkt.

Vereisten

• Deze handleiding veronderstelt dat u twee Microsoft Entra-tenants hebt.
  • De eerste bevat de Azure SQL Database-resource, een Microsoft Entra-toepassing met meerdere tenants en een door de gebruiker toegewezen beheerde identiteit.
  • De tweede tenant bevat de Azure Key Vault.
• Raadpleeg een van de volgende handleidingen voor uitgebreide instructies over het instellen van CMK voor meerdere tenants en de RBAC-machtigingen die nodig zijn voor het configureren van Microsoft Entra-toepassingen en Azure Key Vault:
  • Door de klant beheerde sleutels voor meerdere tenants configureren voor een nieuw opslagaccount
  • Door de klant beheerde sleutels voor meerdere tenants configureren voor een bestaand opslagaccount

Vereiste resources voor de eerste tenant

Voor deze zelfstudie gaan we ervan uit dat de eerste tenant deel uitmaakt van een onafhankelijke softwareleverancier (ISV) en dat de tweede tenant afkomstig is van hun client. Zie voor meer informatie over dit scenario door de klant beheerde sleutels voor meerdere tenants met transparante gegevensversleuteling.

Voordat we TDE kunnen configureren voor Azure SQL Database met een CMK voor meerdere tenants, moeten we een Microsoft Entra-toepassing met meerdere tenants hebben die is geconfigureerd met een door de gebruiker toegewezen beheerde identiteit die is toegewezen als federatieve identiteitsreferentie voor de toepassing. Volg een van de handleidingen in de vereisten.

1. In de eerste tenant waar u de Azure SQL Database wilt maken, maakt en configureert u een Microsoft Entra-toepassing met meerdere tenants

2. Een door de gebruiker toegewezen beheerde identiteit maken

3. De door de gebruiker toegewezen beheerde identiteit configureren als een federatieve identiteitsreferentie voor de toepassing met meerdere tenants

4. Noteer de naam van de toepassing en de toepassings-id. Dit is te vinden in Azure Portal>Microsoft Entra ID>Enterprise-toepassingen en zoeken naar de gemaakte toepassing

Vereiste resources voor de tweede tenant

1. Maak in de tweede tenant waarin de Azure Key Vault zich bevindt een service-principal (toepassing) met behulp van de toepassings-id van de geregistreerde toepassing van de eerste tenant. Hier volgen enkele voorbeelden van het registreren van de toepassing voor meerdere tenants. Vervang en vervang <TenantID> de <ApplicationID> clienttenant-id van Microsoft Entra ID en toepassings-id uit respectievelijk de toepassing met meerdere tenants:

   • PowerShell:

     Connect-AzureAD -TenantID <TenantID>
     New-AzADServicePrincipal  -ApplicationId <ApplicationID>
     

   • De Azure CLI:

     az login --tenant <TenantID>
     az ad sp create --id <ApplicationID>
     

2. Ga naar De Microsoft Entra ID>Enterprise-toepassingen van Azure Portal>en zoek naar de toepassing die zojuist is gemaakt.

3. Een Azure Key Vault maken als u er nog geen hebt en een sleutel maken

4. Het toegangsbeleid maken of instellen.

   1. Selecteer de machtigingen Ophalen, Sleutel verpakken, Sleutel uitpakken onder Sleutelmachtigingen bij het maken van het toegangsbeleid
   2. Selecteer de toepassing met meerdere tenants die u in de eerste stap in de optie Principal hebt gemaakt bij het maken van het toegangsbeleid

   

5. Nadat het toegangsbeleid en de sleutel zijn gemaakt, haalt u de sleutel op uit Key Vault en registreert u de sleutel-id

Een server maken die is geconfigureerd met TDE met door de klant beheerde sleutel (CMK) voor meerdere tenants

Deze handleiding begeleidt u bij het maken van een logische server en database in Azure SQL met een door de gebruiker toegewezen beheerde identiteit en het instellen van een door de gebruiker beheerde sleutel voor meerdere tenants. De door de gebruiker toegewezen beheerde identiteit is een must voor het instellen van een door de klant beheerde sleutel voor transparante gegevensversleuteling tijdens de fase van het maken van de server.

Belangrijk

De gebruiker of toepassing die API's gebruikt om logische SQL-servers te maken, heeft de RBAC-rollen van SQL Server-inzender en Managed Identity Operator nodig of hoger in het abonnement.

Portal

1. Blader naar de optiepagina sql-implementatie selecteren in Azure Portal.

2. Als u nog niet bent aangemeld bij Azure Portal, meldt u zich aan wanneer u hierom wordt gevraagd.

3. Laat onder SQL-databases de optie Resourcetype ingesteld op Eén database en selecteer Maken.

4. Selecteer op het tabblad Basisinformatie van het formulier SQL-database maken, onder Projectgegevens, het gewenste Azure-abonnement.

5. Selecteer Nieuwe maken voor de resourcegroep, voer een naam in voor uw resourcegroep en selecteer OK.

6. Voer bij Databasenaam een databasenaam in. Bijvoorbeeld: ContosoHR.

7. Selecteer voor Server de optie Nieuwe maken en vul het formulier Nieuwe server in met de volgende waarden:

   • Servernaam: Voer een unieke servernaam in. Servernamen moeten globaal uniek zijn voor alle servers in Azure, niet alleen uniek binnen een abonnement. Voer iets als mysqlserver135in en azure Portal laat u weten of deze beschikbaar is of niet.
   • Aanmelding van de serverbeheerder: voer een aanmeldingsnaam van een beheerder in, bijvoorbeeld: azureuser.
   • Wachtwoord: voer een wachtwoord in dat voldoet aan de wachtwoordvereisten en voer het opnieuw in het veld Wachtwoord bevestigen in.
   • Locatie: Selecteer een locatie in de vervolgkeuzelijst

8. Selecteer Volgende: Netwerken onder aan de pagina.

9. Selecteer op het tabblad Netwerken voor Verbindingsmethode de optie Openbaar eindpunt.

10. Stel voor Firewallregels de optie Huidig IP-adres van client toevoegen in op Ja. Laat de instelling voor Toestaan dat Azure-services en -resources toegang tot deze server krijgen ongewijzigd op Nee. De rest van de selecties op deze pagina kan standaard blijven staan.

    

11. Selecteer Volgende: Beveiliging onderaan de pagina.

12. Selecteer Identiteiten configureren op het tabblad Beveiliging onder Identiteit.

    

13. Selecteer in het menu Identiteit de optie Uit voor door het systeem toegewezen beheerde identiteit en selecteer vervolgens Toevoegen onder Door de gebruiker toegewezen beheerde identiteit. Selecteer het gewenste abonnement en selecteer vervolgens onder Door de gebruiker toegewezen beheerde identiteiten de gewenste door de gebruiker toegewezen beheerde identiteit in het geselecteerde abonnement. Selecteer vervolgens de knop Toevoegen .

14. Selecteer onder Primaire identiteit dezelfde door de gebruiker toegewezen beheerde identiteit die in de vorige stap is geselecteerd.

    

15. Voor federatieve clientidentiteit selecteert u de optie Identiteit wijzigen en zoekt u naar de toepassing met meerdere tenants die u hebt gemaakt in de vereisten.

    

    Notitie

    Als de toepassing met meerdere tenants niet is toegevoegd aan het toegangsbeleid voor de sleutelkluis met de vereiste machtigingen (Ophalen, Sleutel verpakken, Sleutel uitpakken), wordt er een fout weergegeven bij het gebruik van deze toepassing voor identiteitsfederatie in Azure Portal. Zorg ervoor dat de machtigingen correct zijn geconfigureerd voordat u de federatieve clientidentiteit configureert.

16. Selecteer toepassen

17. Selecteer op het tabblad Beveiliging onder Transparante gegevensversleuteling de optie Transparante gegevensversleuteling configureren. Selecteer Door de klant beheerde sleutel en er wordt een optie voor het invoeren van een sleutel-id weergegeven. Voeg de sleutel-id toe die is verkregen uit de sleutel in de tweede tenant.

    

18. Selecteer toepassen

19. Selecteer Beoordelen en maken onder aan de pagina

20. Selecteer op de pagina Controleren en maken na het controleren de optie Maken.

De Azure CLI

Zie het artikel Azure CLI installeren voor meer informatie over het installeren van de huidige versie van Azure CLI.

Maak een server die is geconfigureerd met door de gebruiker toegewezen beheerde identiteit en door de klant beheerde TDE voor meerdere tenants met behulp van de opdracht az sql server create . De sleutel-id van de tweede tenant kan in het key-id veld worden gebruikt. De toepassings-id van de toepassing met meerdere tenants kan in het federated-client-id veld worden gebruikt.

az sql server create \
    --name $serverName \
    --resource-group $resourceGroupName \
    --location $location  \
    --admin-user $adminlogin \
    --admin-password $password \
    --assign-identity \
    --identity-type $identitytype \
    --user-assigned-identity-id $identityid \
    --primary-user-assigned-identity-id $primaryidentityid \
    --key-id $keyid \
    --federated-client-id $federatedid
 

Maak een database met de opdracht az sql db create.

az sql db create \
    --resource-group $resourceGroupName \
    --server $serverName \
    --name mySampleDatabase \
    --sample-name AdventureWorksLT \
    --edition GeneralPurpose \
    --compute-model Serverless \
    --family Gen5 \
    --capacity 2

PowerShell

Maak een server die is geconfigureerd met door de gebruiker toegewezen beheerde identiteit en door de klant beheerde TDE voor meerdere tenants met behulp van PowerShell.

Zie Azure PowerShell installeren voor instructies voor de installatie van de Az PowerShell-module. Zie AzureRM.Sql voor specifieke cmdlets.

Gebruik de cmdlet New-AzSqlServer .

Vervang de volgende waarden in het voorbeeld:

• <ResourceGroupName>: Naam van de resourcegroep voor uw logische Azure SQL-server
• <Location>: locatie van de server, zoals West US, of Central US
• <ServerName>: Een unieke naam voor een logische Azure SQL-server gebruiken
• <ServerAdminName>: De sql Beheer istratoraanmelding
• <ServerAdminPassword>: het wachtwoord van de SQL-Beheer istrator
• <IdentityType>: Het type identiteit dat moet worden toegewezen aan de server. Mogelijke waarden zijnSystemAssigned, UserAssignedSystemAssigned,UserAssigned en Geen
• <UserAssignedIdentityId>: De lijst met door de gebruiker toegewezen beheerde identiteiten die aan de server moeten worden toegewezen (kan een of meerdere zijn)
• <PrimaryUserAssignedIdentityId>: De door de gebruiker toegewezen beheerde identiteit die moet worden gebruikt als de primaire of standaardinstelling op deze server
• <CustomerManagedKeyId>: De sleutel-id uit de tweede tenantsleutelkluis
• <FederatedClientId>: De toepassings-id van de toepassing met meerdere tenants

Als u de resource-id van uw door de gebruiker toegewezen beheerde identiteit wilt ophalen, zoekt u in Azure Portal naar beheerde identiteiten. Zoek uw beheerde identiteit en ga naar Eigenschappen. Een voorbeeld van uw UMI-resource-id ziet er als volgt uit/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>

# create a server with user-assigned managed identity and cross-tenant customer-managed TDE
$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    SqlAdministratorCredentials = (Get-Credential)
    SqlAdministratorLogin = "<ServerAdminName>"
    SqlAdministratorPassword = "<ServerAdminPassword>"
    AssignIdentity = $true
    IdentityType = "<IdentityType>"
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    PrimaryUserAssignedIdentityId = "<PrimaryUserAssignedIdentityId>"
    KeyId = "<CustomerManagedKeyId>"
    FederatedClientId = "<FederatedClientId>"
}

New-AzSqlServer @params

Azure VPN-gateway

Hier volgt een voorbeeld van een ARM-sjabloon waarmee een logische Azure SQL-server wordt gemaakt met een door de gebruiker toegewezen beheerde identiteit en door de klant beheerde TDE. Voor een CMK voor meerdere tenants gebruikt u de sleutel-id uit de tweede tenantsleutelkluis en de toepassings-id van de toepassing met meerdere tenants.

De sjabloon voegt ook een Microsoft Entra-beheerdersset toe voor de server en schakelt Microsoft Entra-verificatie in, maar dit kan worden verwijderd uit het sjabloonvoorbeeld.

Zie Azure Resource Manager-sjablonen voor Azure SQL Database & SQL Managed Instance voor meer informatie en ARM-sjablonen.

Gebruik een aangepaste implementatie in Azure Portal en bouw uw eigen sjabloon in de editor. Sla vervolgens de configuratie op nadat u in het voorbeeld hebt geplakt.

Als u de resource-id van uw door de gebruiker toegewezen beheerde identiteit wilt ophalen, zoekt u in Azure Portal naar beheerde identiteiten. Zoek uw beheerde identiteit en ga naar Eigenschappen. Een voorbeeld van uw UMI-resource-id ziet er als volgt uit/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "String"
        },
        "location": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity."
            }
        },
        "federated_clientid": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Application ID of the multi-tenant application."
            }
        },
        "keyvault_url": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The key vault URI."
            }
        },
        "AdminLogin": {
            "minLength": 1,
            "type": "String"
        },
        "AdminLoginPassword": {
            "type": "SecureString"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2022-05-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "administratorLogin": "[parameters('AdminLogin')]",
                "administratorLoginPassword": "[parameters('AdminLoginPassword')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "federatedClientId": "[parameters('federated_clientid')]",
                "KeyId": "[parameters('keyvault_url')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Volgende stappen

• Aan de slag met Azure Key Vault-integratie en Bring Your Own Key-ondersteuning voor TDE: TDE inschakelen met uw eigen sleutel vanuit Key Vault
• Door de klant beheerde sleutels voor meerdere tenants met transparante gegevensversleuteling

Zie ook

• Transparent Data Encryption (TDE) met door de klant beheerde sleutels op databaseniveau
• Geo-replicatie en back-upherstel configureren voor transparante gegevensversleuteling met door de klant beheerde sleutels op databaseniveau
• Identiteits- en sleutelbeheer voor TDE met door de klant beheerde sleutels op databaseniveau