Een server maken die is geconfigureerd met door de gebruiker toegewezen beheerde identiteit en door de klant beheerde TDE

van toepassing op:Azure SQL Database-

Deze instructiegids bevat een overzicht van de stappen voor het maken van een logische -server in Azure geconfigureerd met TDE (Transparent Data Encryption) met door de klant beheerde sleutels (CMK) met behulp van een door de gebruiker toegewezen beheerde identiteit voor toegang tot Azure Key Vault-.

Notitie

Microsoft Entra ID voorheen Azure Active Directory (Azure AD) werd genoemd.

Voorwaarden

• In deze instructiegids wordt ervan uitgegaan dat u al een Azure Key Vault- hebt gemaakt en er een sleutel in hebt geïmporteerd voor gebruik als TDE-beveiliging voor Azure SQL Database. Voor meer informatie, zie transparante gegevensversleuteling met BYOK-ondersteuning.
• Soft-delete en verwijderbeveiliging moeten zijn ingeschakeld voor de sleutelkluis
• U moet een door de gebruiker toegewezen beheerde identiteit hebben gemaakt en deze de vereiste TDE-machtigingen (Get, Wrap Key, Unwrap Key) hebben opgegeven in de bovenstaande sleutelkluis. Zie voor het maken van een door de gebruiker toegewezen beheerde identiteit.
• U moet Azure PowerShell hebben geïnstalleerd en uitgevoerd.
• [Aanbevolen maar optioneel] Maak eerst het sleutelmateriaal voor de TDE-protector in een HSM (Hardware Security Module) of lokaal sleutelarchief en importeer het sleutelmateriaal in Azure Key Vault. Volg de instructies voor het gebruik van een HSM (Hardware Security Module) en Key Vault voor meer informatie.

Een server maken die is geconfigureerd met TDE met door de klant beheerde sleutel (CMK)

De volgende stappen geven een overzicht van het proces voor het maken van een nieuwe logische Azure SQL Database-server en een nieuwe database waaraan een door de gebruiker toegewezen beheerde identiteit is toegewezen. De door de gebruiker toegewezen beheerde identiteit is vereist om een door de klant beheerde sleutel voor TDE te configureren tijdens het aanmaken van de server.

Portal

1. Blader naar de optiepagina SQL-implementatie selecteren in het Azure Portal.

2. Als u nog niet bent aangemeld bij Azure Portal, meldt u zich aan wanneer u hierom wordt gevraagd.

3. Onder SQL-databases, laat Resourcetype op Individuele databasestaan en selecteer Maken.

4. Selecteer op het tabblad Basisinformatie van het formulier SQL Database maken, onder Projectdetails, de gewenste Azure Subscription.

5. Voor resourcegroep selecteert u Nieuw aanmaken, voert u een naam in voor uw resourcegroep en selecteert u OK.

6. Voer voor databasenaamContosoHRin.

7. Voor Serverselecteert u Nieuwemaken en vult u het formulier Nieuwe server in met de volgende waarden:

   • servernaam: voer een unieke servernaam in. Servernamen moeten globaal uniek zijn voor alle servers in Azure, niet alleen uniek binnen een abonnement. Voer iets in als mysqlserver135en azure Portal laat u weten of deze beschikbaar is of niet.
   • aanmeldgegevens van de serverbeheerder: voer een aanmeldingsnaam voor een beheerder in, bijvoorbeeld: azureuser.
   • wachtwoord: voer een wachtwoord in dat voldoet aan de wachtwoordvereisten en voer het opnieuw in het veld Wachtwoord bevestigen in.
   • Locatie: Selecteer een locatie in de vervolgkeuzelijst

8. Selecteer Volgende: Netwerken onderaan de pagina.

9. Selecteer op het tabblad Netwerken voor connectiviteitsmethodeOpenbaar eindpunt.

10. Voor firewallregelsstelt u Huidige client-IP-adres toevoegen aan Ja-. Laat Azure-services en -resources toegang geven tot deze server ingesteld op Geen.

    

11. Selecteer Volgende: Beveiliging onder aan de pagina.

12. Selecteer op het tabblad Beveiliging, onder serveridentiteit, Identiteiten configureren.

    

13. Selecteer in het deelvenster IdentityOff voor Door het systeem toegewezen beheerde identiteit en selecteer vervolgens Toevoegen onder Door de gebruiker toegewezen beheerde identiteit. Selecteer het gewenste Abonnement en selecteer vervolgens onder Door de gebruiker toegewezen beheerde identiteitende gewenste door de gebruiker toegewezen beheerde identiteit in het geselecteerde abonnement. Selecteer vervolgens de knop Toevoegen.

    

    

14. Selecteer onder primaire identiteitdezelfde door de gebruiker toegewezen beheerde identiteit die in de vorige stap is geselecteerd.

    

15. Selecteer toepassen

16. Op het tabblad Beveiliging, onder Transparent Data Encryption Key Management, kunt u transparante gegevensversleuteling configureren voor de server of database.

    • Voor sleutel op serverniveau: selecteer Transparante gegevensversleuteling configureren. Selecteer Customer-Managed Sleutelen er verschijnt een optie om een sleutel te selecteren. Selecteer Verander sleutel. Selecteer het gewenste Abonnement, Key Vault, Sleutelen versie voor de door de klant beheerde sleutel die moet worden gebruikt voor TDE. Selecteer de knop Select.

    

    

    • Voor sleutel op databaseniveau: selecteer Transparante gegevensversleuteling configureren. Selecteer databaseniveau Customer-Managed sleutelen een optie voor het configureren van de database-id en Customer-Managed sleutel wordt weergegeven. Selecteer configureren om een User-Assigned Managed Identity- voor de database te configureren, vergelijkbaar met stap 13. Selecteer Wijzig sleutel om een Customer-Managed sleutelte configureren. Selecteer het gewenste Abonnement, Key Vault, Sleutelen versie voor de door de klant beheerde sleutel die moet worden gebruikt voor TDE. U kunt ook de optie Auto draaifunctie inschakelen in het menu Transparante Data Encryptie. Selecteer de knop selecteren.

    

17. Selecteer toepassen

18. Selecteer Beoordelen en onder aan de pagina maken

19. Controleer op de pagina Beoordelen en maken, en selecteer vervolgens Maken.

De Azure CLI

Zie Azure CLI installeren artikel voor meer informatie over het installeren van de huidige versie van Azure CLI.

Maak een server geconfigureerd met een door de gebruiker toegewezen beheerde identiteit en klantgestuurde TDE met behulp van de opdracht az sql server create.

az sql server create \
    --name $serverName \
    --resource-group $resourceGroupName \
    --location $location  \
    --admin-user $adminlogin \
    --admin-password $password \
    --assign-identity \
    --identity-type $identitytype \
    --user-assigned-identity-id $identityid \
    --primary-user-assigned-identity-id $primaryidentityid \
    --key-id $keyid
 

Maak een database met het commando az sql db create.

az sql db create \
    --resource-group $resourceGroupName \
    --server $serverName \
    --name mySampleDatabase \
    --sample-name AdventureWorksLT \
    --edition GeneralPurpose \
    --compute-model Serverless \
    --family Gen5 \
    --capacity 2

PowerShell

Maak een server die is geconfigureerd met door de gebruiker toegewezen beheerde identiteit en door de klant beheerde TDE met behulp van PowerShell.

Zie Azure PowerShell-installeren voor installatie-instructies voor Az PowerShell-module.

Gebruik de cmdlet New-AzSqlServer.

Vervang de volgende waarden in het voorbeeld:

• <ResourceGroupName>: naam van de resourcegroep voor uw logische Azure SQL-server
• <Location>: locatie van de server, zoals West USof Central US
• <ServerName>: een unieke naam van een logische Azure SQL-server gebruiken
• <ServerAdminName>: de sql-beheerderaanmelding
• <ServerAdminPassword>: het wachtwoord van de SQL-beheerder
• <IdentityType>: Het type identiteit dat moet worden toegewezen aan de server. Mogelijke waarden zijn SystemAssigned, UserAssigned, SystemAssigned,UserAssigned en Geen
• <UserAssignedIdentityId>: de lijst met door de gebruiker toegewezen beheerde identiteiten die aan de server moeten worden toegewezen (kan een of meerdere zijn)
• <PrimaryUserAssignedIdentityId>: de door de gebruiker toegewezen beheerde identiteit die moet worden gebruikt als de primaire of standaardinstelling op deze server
• <CustomerManagedKeyId>: sleutelidentificatie en kan worden opgehaald uit de sleutel in Key Vault

Als u uw door de gebruiker toegewezen beheerde identiteit resource-idwilt ophalen, zoekt u naar beheerde identiteiten in de Azure portal. Zoek uw beheerde identiteit en ga naar Eigenschappen. Een voorbeeld van uw UMI Resource-id ziet eruit als /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>

# create a server with user-assigned managed identity and customer-managed TDE
$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    SqlAdministratorCredentials = (Get-Credential)
    SqlAdministratorLogin = "<ServerAdminName>"
    SqlAdministratorPassword = "<ServerAdminPassword>"
    AssignIdentity = $true
    IdentityType = "<IdentityType>"
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    PrimaryUserAssignedIdentityId = "<PrimaryUserAssignedIdentityId>"
    KeyId = "<CustomerManagedKeyId>"
}

New-AzSqlServer @params

Hier volgt een voorbeeld van een ARM-sjabloon waarmee een logische server in Azure wordt gemaakt met een door de gebruiker toegewezen beheerde identiteit en door de klant beheerde TDE. Met de sjabloon wordt ook een Microsoft Entra-beheerdersset toegevoegd voor de server en wordt [] Microsoft Entra-verificatie [] ingeschakeld, maar dit kan uit het voorbeeldsjabloon worden verwijderd.

Zie Azure Resource Manager-sjablonen voor Azure SQL Database & SQL Managed Instancevoor meer informatie en ARM-sjablonen.

Gebruik een aangepaste -implementatie in de Azure-portalen maak uw eigen sjabloon in de editor. Vervolgens de configuratie opslaan nadat u in het voorbeeld hebt geplakt.

Als u uw door de gebruiker toegewezen beheerde identiteit Resource IDwilt ophalen, zoekt u beheerde identiteiten in de Azure portal. Zoek uw beheerde identiteit en ga naar Eigenschappen. Een voorbeeld van uw UMI resource-id ziet eruit als /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "String"
        },
        "location": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity."
            }
        },
        "keyvault_url": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The key vault URI."
            }
        },
        "AdminLogin": {
            "minLength": 1,
            "type": "String"
        },
        "AdminLoginPassword": {
            "type": "SecureString"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "administratorLogin": "[parameters('AdminLogin')]",
                "administratorLoginPassword": "[parameters('AdminLoginPassword')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "KeyId": "[parameters('keyvault_url')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Volgende stappen

• Aan de slag met Azure Key Vault-integratie en Bring Your Own Key-ondersteuning voor TDE: TDE inschakelen met behulp van uw eigen sleutel uit Key Vault.