Delen via

Azure Key Vault-integratie configureren voor SQL Server op Azure-VM's (Resource Manager)

  • Artikel

Van toepassing op:SQL Server op Azure VM-

Er zijn meerdere SQL Server-versleutelingsfuncties, zoals TDE-(Transparent Data Encryption), versleuteling op kolomniveau (CLE)en back-upversleuteling. Voor deze versleutelingsvormen moet u de cryptografische sleutels beheren en opslaan die u gebruikt voor versleuteling. De Azure Key Vault-service is ontworpen om de beveiliging en het beheer van deze sleutels op een veilige en maximaal beschikbare locatie te verbeteren. Met de SQL Server Connector kan SQL Server deze sleutels gebruiken vanuit Azure Key Vault en azure Key Vault Managed Hardware Security Module (HSM).

Als u SQL Server on-premises uitvoert, zijn er stappen die u kunt volgen om azure Key Vault te openen vanuit uw on-premises SQL Server-exemplaar. Dezelfde stappen zijn van toepassing op SQL Server op azure-VM's, maar u kunt tijd besparen met behulp van de Azure Key Vault-integratiefunctie.

Notitie

De Integratie van Azure Key Vault is alleen beschikbaar voor de Enterprise-, Developer- en Evaluation-edities van SQL Server. Vanaf SQL Server 2019 wordt de Standard-editie ook ondersteund.

Alle TDE Extensible Key Management (EKM) met Azure Key Vault-installatiebewerkingen moeten worden uitgevoerd door de beheerder van de SQL Server-computer en Transact-SQL (T-SQL) opdrachten uitgevoerd door de sysadmin. Zie voor meer informatie over het instellen van TDE EKM met Azure Key Vault SQL Server TDE Extensible Key Management instellen met behulp van Azure Key Vault.

Wanneer deze functie is ingeschakeld, wordt de SQL Server-connector automatisch geïnstalleerd, wordt de EKM-provider geconfigureerd voor toegang tot Azure Key Vault en wordt de referentie gemaakt waarmee u toegang hebt tot uw kluis. Als u de stappen in de eerder genoemde on-premises documentatie hebt bekeken, kunt u zien dat deze functie stap 3, 4 en 5 automatiseert (tot en met 5.4 voor het aanmaken van de authenticatiegegevens). Zorg ervoor dat de service principal is gemaakt (stap 1), en dat de sleutelkluis al is gemaakt (stap 2) met de juiste machtigingen voor de service principal. Raadpleeg de secties Azure op rollen gebaseerde toegangsbeheer en Vault-toegangsbeleidssecties voor informatie over welke machtigingen gebruikt moeten worden.

Van daaruit wordt de volledige installatie van uw SQL Server-VM geautomatiseerd. Zodra deze functie deze installatie heeft voltooid, kunt u Transact-SQL (T-SQL)-instructies uitvoeren om uw databases of back-ups te versleutelen zoals u dat normaal zou doen.

Notitie

U kunt key vault-integratie ook configureren met behulp van een sjabloon. Zie Azure-quickstartsjabloon voor Azure Key Vault-integratievoor meer informatie.

SQL Server Connector versie 1.0.5.0 is geïnstalleerd op de SQL Server-VM via de IaaS-extensie (Infrastructure as a Service). Als u de SQL IaaS Agent-extensie bijwerkt, wordt de providerversie niet bijgewerkt. Overweeg de sql Server-connectorversie handmatig bij te werken als u een oudere versie hebt geïnstalleerd (bijvoorbeeld wanneer u een beheerde HSM van Azure Key Vault gebruikt, die ten minste versie nodig heeft 15.0.2000.440). U kunt de sql Server Connector-versie controleren met de volgende T-SQL-query:

SELECT name, version from sys.cryptographic_providers

Key Vault-integratie inschakelen en configureren

U kunt Key Vault-integratie inschakelen tijdens het inrichten of configureren voor bestaande VM's.

Nieuwe VM's

Als u een nieuwe virtuele SQL-machine inricht met Resource Manager, biedt Azure Portal een manier om Azure Key Vault-integratie in te schakelen.

schermopname van het maken van een SQL Server op Azure VM met Azure Key Vault-integratie in Azure Portal.

Zie SQL Server inrichten op Azure VM (Azure Portal)voor een gedetailleerd overzicht van het inrichten. U kunt de lijst met parameters en de beschrijving ervan bekijken in Azure Key Vault-integratie.

Bestaande Virtuele Machines

Voor bestaande virtuele SQL-machines opent u de resource van uw virtuele SQL-machinesonder Securityen selecteert u Beveiligingsconfiguratie. Selecteer om de integratie van Azure Key Vault in te schakelen.

In de volgende schermopname ziet u hoe u Azure Key Vault inschakelt in de portal voor een bestaande SQL Server op Azure VM:

schermopname van een bestaande SQL Server op Azure VM Key Vault-integratie-instellingen in Azure Portal.

Wanneer u klaar bent, selecteert u de knop toepassen onderaan de pagina Security om uw wijzigingen op te slaan.

Notitie

De referentienaam die we hier hebben gemaakt, wordt later toegewezen aan een SQL-aanmelding. Dit stelt de SQL-aanmelding in staat toegang te verkrijgen tot de sleutelkluis. De handmatige stap voor het maken van een referentie wordt besproken in stap 5.4 van SQL Server TDE Extensible Key Management instellen met behulp van Azure Key Vault, maar u moet ALTER LOGIN gebruiken en de referentie toevoegen aan de aanmelding die u hebt gemaakt.

ALTER LOGIN [login_name] ADD CREDENTIAL [credential_name];

Ga verder met stap 5.5 van SQL Server TDE Extensible Key Management instellen met behulp van Azure Key Vault om de EKM-installatie te voltooien.

Verwante inhoud