Verbetering: Microsoft Entra Managed Identity-ondersteuning voor back-up- en hersteldatabasebewerkingen en voor EKM met AKV in SQL Server op Azure-VM's

• Van toepassing op:

  SQL Server 2022 on Azure VM (Windows only)

Symptomen

Het SQL Server-exemplaar reageert mogelijk niet meer als u een back-up uitvoert of databasebewerking herstelt naar Azure Storage of EKM (Extensible Key Management) gebruikt met Azure Key Vault (AKV) met behulp van referenties op serverniveau met beheerde identiteiten. Hoewel deze bewerking niet wordt ondersteund voor SQL Server 2022, staat de huidige T-SQL-syntaxis dit toe.

Oplossing

Dit probleem is opgelost in de volgende cumulatieve update voor SQL Server op virtuele Azure-machines (VM's):

Cumulatieve update 17 voor SQL Server 2022

In de versies SQL Server 2022 CU17 en hoger ondersteunt de door Microsoft Entra beheerde identiteitsverificatie met SQL Server op Azure Windows alleen vm's op serverniveau voor databaseback-up- en herstelbewerkingen naar Azure Storage en voor EKM met AKV.

Als u de ondersteuning voor beheerde identiteiten wilt inschakelen voor back-up- of hersteldatabasebewerkingen voor SQL Server op Virtuele Azure Windows-machines, zijn de volgende stappen vereist:

1. Wijs de primaire beheerde identiteit toe voor de SQL Server op Azure Windows-VM's.
2. Azure Storage maken of gebruiken met een blobcontainer.
3. Wijs op rollen gebaseerd toegangsbeheer (RBAC) toe voor de primaire beheerde identiteit voor toegang tot Azure Storage.
4. Voer de T-SQL-opdracht CREATE CREDENTIAL uit met de WITH IDENTITY = 'Managed Identity' component met behulp van de Azure Storage-URL als referentienaam.
5. Voer de T-SQL-opdracht BACKUP DATABASE uit of RESTORE DATABASE gebruik de Azure Storage-URL.

-- Create credential with managed identity and credential name set to
-- URL= https://<storageaccountname>.blob.core.windows.net/<container>   
CREATE CREDENTIAL [https://<storageaccountname>.blob.core.windows.net/<container>]  
 WITH IDENTITY = 'Managed Identity'  
-- Backup the database mydb to URL 
BACKUP DATABASE mydb 
 TO URL = 'https://<storageaccount>.blob.core.windows.net/<container>/mydb.bak'  
-- Restore the database mydb1 from URL
RESTORE DATABASE mydb1  
 FROM URL ='https://<storageaccount>.blob.core.windows.net/<container>/mydb.bak'  

Zie Back-up maken en terugzetten naar URL met behulp van beheerde identiteiten voor meer informatie.

De volgende stappen zijn vereist om de ondersteuning voor beheerde identiteiten in te schakelen voor EKM met AKV voor SQL Server op Azure Windows-VM's:

1. Wijs de primaire beheerde identiteit toe voor de SQL Server op Azure Windows-VM's.
2. Een sleutelkluis maken of gebruiken.
3. Wijs rollen op basis van op rollen gebaseerd toegangsbeheer (RBAC) toe voor de primaire beheerde identiteit voor toegang tot de AKV.
4. Download de nieuwste SQL Server-connector voor Microsoft Azure Key Vault (de 1.0.5.0 (november 2024) of nieuwere versies). De nieuwste versie van de SQL Server-connector is vereist om de beheerde identiteit te ondersteunen.
5. Voer de T-SQL-opdracht CREATE CREDENTIAL uit met de WITH IDENTITY = 'Managed Identity' component met behulp van het AKV-pad als referentienaam.

-- Create credential with managed identity and the credential name for the AKV called 'contoso'
-- with the AKV path = 'contoso.vault.azure.net'  
CREATE CREDENTIAL [contoso.vault.azure.net]  
 WITH IDENTITY = 'Managed Identity'  
 FOR CRYPTOGRAPHIC PROVIDER AzureKeyVault_EKM_Prov 

6. Voer de rest van de T-SQL-installatie van EKM uit met AKV.

Zie Ondersteuning voor beheerde identiteiten voor uitbreidbaar sleutelbeheer met Azure Key Vault voor meer informatie.

Notitie

• Traceringsvlag 4675, standaard uitgeschakeld, staat het oplossen van problemen met de referentie op serverniveau toe en kan worden gebruikt om de primaire beheerde identiteit te bevestigen die is toegewezen aan het SQL Server-exemplaar.
• De ondersteuning voor beheerde identiteit introduceert geen wijzigingen in de T-SQL-syntaxis of systeemweergave, omdat deze functionaliteit al bestaat voor Azure SQL Managed Instance.
• Beheerde identiteiten worden niet ondersteund voor de referentie op serverniveau in on-premises SQL Server. Wanneer u per ongeluk een back-up maakt of herstelt naar Azure Storage of de EKM met AKV, ziet u het foutbericht 'De primaire beheerde identiteit is niet ingesteld voor de server...' en worden verwezen naar de openbare documentatie.

Over cumulatieve updates voor SQL Server

Elke nieuwe cumulatieve update voor SQL Server bevat alle hotfixes en beveiligingsoplossingen die zich in de vorige build bevonden. U wordt aangeraden de nieuwste build voor uw versie van SQL Server te installeren:

Meest recente cumulatieve update voor SQL Server 2022

Status

Microsoft heeft bevestigd dat dit probleem zich kan voordoen in de Microsoft-producten die worden vermeld in de sectie Van toepassing op.

Verwijzingen

• Beheerde identiteiten configureren op virtuele Azure-machines (VM's)
• Microsoft Entra-verificatie inschakelen voor SQL Server op Azure-VM's
• CREATE CREDENTIAL (Transact-SQL)
• Back-up maken en terugzetten naar URL met beheerde identiteiten
• Ondersteuning voor beheerde identiteiten voor uitbreidbaar sleutelbeheer met Azure Key Vault
• DBCC TRACEON - Traceringsvlagken (Transact-SQL)