Tworzenie serwera skonfigurowanego przy użyciu tożsamości zarządzanej przypisanej przez użytkownika i klucza zarządzanego między dzierżawami dla funkcji TDE

Dotyczy: Azure SQL Database

W tym przewodniku omówimy kroki tworzenia serwera logicznego Usługi Azure SQL z przezroczystym szyfrowaniem danych (TDE) i kluczami zarządzanymi przez klienta (CMK) przy użyciu tożsamości zarządzanej przypisanej przez użytkownika w celu uzyskania dostępu do usługi Azure Key Vault w innej dzierżawie firmy Microsoft niż dzierżawa serwera logicznego. Aby uzyskać więcej informacji, zobacz Cross-tenant-customer-managed keys with transparent data encryption (Klucze zarządzane przez klienta między dzierżawami z przezroczystym szyfrowaniem danych).

Uwaga

Microsoft Entra ID był wcześniej znany jako Azure Active Directory (Azure AD).

Wymagania wstępne

• Ten przewodnik zakłada, że masz dwie dzierżawy firmy Microsoft Entra.
  • Pierwszy zawiera zasób usługi Azure SQL Database, wielodostępną aplikację Firmy Microsoft Entra i tożsamość zarządzaną przypisaną przez użytkownika.
  • Druga dzierżawa zawiera usługę Azure Key Vault.
• Aby uzyskać kompleksowe instrukcje dotyczące konfigurowania klucza zarządzanego przez wielu dzierżawców i uprawnień RBAC niezbędnych do konfigurowania aplikacji firmy Microsoft Entra i usługi Azure Key Vault, zapoznaj się z jednym z następujących przewodników:
  • Konfigurowanie kluczy zarządzanych przez klienta między dzierżawami dla nowego konta magazynu
  • Konfigurowanie kluczy zarządzanych przez klienta między dzierżawami dla istniejącego konta magazynu

Wymagane zasoby w pierwszej dzierżawie

Na potrzeby tego samouczka zakładamy, że pierwsza dzierżawa należy do niezależnego dostawcy oprogramowania (ISV), a druga dzierżawa pochodzi z klienta. Aby uzyskać więcej informacji na temat tego scenariusza, zobacz Cross-tenant-customer-managed keys with transparent data encryption (Klucze zarządzane przez klienta między dzierżawami z przezroczystym szyfrowaniem danych).

Aby można było skonfigurować funkcję TDE dla usługi Azure SQL Database przy użyciu wielodostępnego klucza zarządzanego, musimy mieć wielodostępną aplikację Firmy Microsoft Entra skonfigurowaną z przypisaną przez użytkownika tożsamością zarządzaną przypisaną jako poświadczenie tożsamości federacyjnej dla aplikacji. Postępuj zgodnie z jednym z przewodników w sekcji Wymagania wstępne.

1. W pierwszej dzierżawie, w której chcesz utworzyć usługę Azure SQL Database, utwórz i skonfiguruj wielodostępną aplikację firmy Microsoft Entra

2. Tworzenie tożsamości zarządzanej przypisanej przez użytkownika

3. Konfigurowanie tożsamości zarządzanej przypisanej przez użytkownika jako poświadczenia tożsamości federacyjnej dla aplikacji z wieloma dzierżawami

4. Zarejestruj nazwę aplikacji i identyfikator aplikacji. Można to znaleźć w witrynie Azure Portal>Microsoft Entra ID>Dla przedsiębiorstw aplikacji i wyszukać utworzoną aplikację

Wymagane zasoby w drugiej dzierżawie

Uwaga

Moduły usług Azure AD i MSOnline programu PowerShell są przestarzałe od 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację o wycofaniu. Po tej dacie obsługa tych modułów jest ograniczona do pomocy dotyczącej migracji do zestawu MICROSOFT Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.

Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z identyfikatorem Entra firmy Microsoft (dawniej Azure AD). W przypadku typowych pytań dotyczących migracji zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Uwaga: wersje 1.0.x usługi MSOnline mogą wystąpić zakłócenia po 30 czerwca 2024 r.

1. W drugiej dzierżawie, w której znajduje się usługa Azure Key Vault, utwórz jednostkę usługi (aplikację) przy użyciu identyfikatora aplikacji z zarejestrowanej aplikacji z pierwszej dzierżawy. Oto kilka przykładów rejestrowania aplikacji wielodostępnej. Zastąp <TenantID> wartości i <ApplicationID> identyfikatorem dzierżawy klienta z identyfikatora entra firmy Microsoft i identyfikatorem aplikacji z aplikacji wielodostępnej, odpowiednio:

   • PowerShell:

     Connect-AzureAD -TenantID <TenantID>
     New-AzADServicePrincipal  -ApplicationId <ApplicationID>
     

   • Interfejs wiersza polecenia platformy Azure:

     az login --tenant <TenantID>
     az ad sp create --id <ApplicationID>
     

2. Przejdź do witryny Azure Portal>w witrynie Microsoft Entra ID>Dla przedsiębiorstw aplikacji i wyszukaj właśnie utworzoną aplikację.

3. Utwórz usługę Azure Key Vault , jeśli jej nie masz, i utwórz klucz

4. Utwórz lub ustaw zasady dostępu.

   1. Wybierz uprawnienia Pobierz, Zawijaj klucz, Odpakuj klucz w obszarze Uprawnienia klucza podczas tworzenia zasad dostępu
   2. Wybierz aplikację wielodostępną utworzoną w pierwszym kroku w opcji Podmiot zabezpieczeń podczas tworzenia zasad dostępu

   

5. Po utworzeniu zasad dostępu i klucza pobierz klucz z usługi Key Vault i zarejestruj identyfikator klucza

Tworzenie serwera skonfigurowanego za pomocą funkcji TDE z kluczem zarządzanym przez klienta między dzierżawami (CMK)

Ten przewodnik przeprowadzi Cię przez proces tworzenia serwera logicznego i bazy danych w usłudze Azure SQL przy użyciu tożsamości zarządzanej przypisanej przez użytkownika, a także sposobu ustawiania klucza zarządzanego przez klienta między dzierżawami. Tożsamość zarządzana przypisana przez użytkownika jest wymagana do skonfigurowania klucza zarządzanego przez klienta na potrzeby przezroczystego szyfrowania danych w fazie tworzenia serwera.

Ważne

Użytkownik lub aplikacja korzystająca z interfejsów API do tworzenia serwerów logicznych SQL musi mieć role RBAC współautora programu SQL Server i operatora tożsamości zarządzanej lub nowszej w ramach subskrypcji.

Portal

1. Przejdź do strony Wybierz wdrożenie SQL w witrynie Azure Portal.

2. Jeśli jeszcze nie zalogowano się do witryny Azure Portal, zaloguj się po wyświetleniu monitu.

3. W obszarze Bazy danych SQL pozostaw wartość Typ zasobu ustawioną na Pojedyncza baza danych, a następnie wybierz pozycję Utwórz.

4. Na karcie Podstawy formularza Tworzenie bazy danych SQL Database w obszarze Szczegóły projektu wybierz odpowiednią subskrypcję platformy Azure.

5. W obszarze Grupa zasobów wybierz pozycję Utwórz nową, wprowadź nazwę grupy zasobów i wybierz przycisk OK.

6. W polu Nazwa bazy danych wprowadź nazwę bazy danych. Na przykład ContosoHR.

7. W polu Serwer wybierz pozycję Utwórz nowy i wypełnij formularz Nowy serwer następującymi wartościami:

   • Nazwa serwera: wprowadź unikatową nazwę serwera. Nazwy serwerów muszą być globalnie unikatowe dla wszystkich serwerów na platformie Azure, a nie tylko unikatowych w ramach subskrypcji. Wprowadź ciąg podobny do mysqlserver135, a witryna Azure Portal poinformuje Cię, czy jest dostępna, czy nie.
   • Identyfikator logowania administratora serwera: wprowadź nazwę logowania administratora, na przykład: azureuser.
   • Hasło: wprowadź hasło spełniające wymagania dotyczące hasła i wprowadź je ponownie w polu Potwierdź hasło .
   • Lokalizacja: wybierz lokalizację z listy rozwijanej

8. Wybierz pozycję Dalej: Sieć w dolnej części strony.

9. Na karcie Sieć w polu Metoda łączności wybierz pozycję Publiczny punkt końcowy.

10. W obszarze Reguły zapory ustaw wartość Dodaj bieżący adres IP klienta na Wartość Tak. Pozostaw opcję Zezwalaj usługom i zasobom platformy Azure na dostęp do tego serwera ustawionego na nie. Pozostałe opcje na tej stronie można pozostawić jako domyślne.

    

11. Wybierz pozycję Dalej: Zabezpieczenia w dolnej części strony.

12. Na karcie Zabezpieczenia w obszarze Tożsamość wybierz pozycję Konfiguruj tożsamości.

    

13. W menu Tożsamość wybierz pozycję Wył. w polu Tożsamość zarządzana przypisana przez system, a następnie wybierz pozycję Dodaj w obszarze Tożsamość zarządzana przypisana przez użytkownika. Wybierz żądaną subskrypcję , a następnie w obszarze Tożsamości zarządzane przypisane przez użytkownika wybierz odpowiednią tożsamość zarządzaną przypisaną przez użytkownika z wybranej subskrypcji. Następnie wybierz przycisk Dodaj .

14. W obszarze Tożsamość podstawowa wybierz tę samą tożsamość zarządzaną przypisaną przez użytkownika wybraną w poprzednim kroku.

    

15. W polu Tożsamość klienta federacyjnego wybierz opcję Zmień tożsamość i wyszukaj aplikację z wieloma dzierżawami utworzoną w sekcji Wymagania wstępne.

    

    Uwaga

    Jeśli aplikacja z wieloma dzierżawami nie została dodana do zasad dostępu magazynu kluczy z wymaganymi uprawnieniami (Get, Wrap Key, Unwrap Key), użycie tej aplikacji do federacji tożsamości w witrynie Azure Portal spowoduje wyświetlenie błędu. Przed skonfigurowaniem tożsamości klienta federacyjnego upewnij się, że uprawnienia są poprawnie skonfigurowane.

16. Wybierz Zastosuj

17. Na karcie Zabezpieczenia w obszarze Transparent Data Encryption wybierz pozycję Konfiguruj przezroczyste szyfrowanie danych. Wybierz pozycję Klucz zarządzany przez klienta, a zostanie wyświetlona opcja Wprowadź identyfikator klucza. Dodaj identyfikator klucza uzyskany z klucza w drugiej dzierżawie.

    

18. Wybierz Zastosuj

19. Wybierz pozycję Przejrzyj i utwórz w dolnej części strony

20. Na stronie Przeglądanie i tworzenie po przejrzeniu wybierz pozycję Utwórz.

Interfejs wiersza polecenia platformy Azure

Aby uzyskać informacje na temat instalowania bieżącej wersji interfejsu wiersza polecenia platformy Azure, zobacz Artykuł Instalowanie interfejsu wiersza polecenia platformy Azure.

Utwórz serwer skonfigurowany przy użyciu tożsamości zarządzanej przypisanej przez użytkownika i funkcji TDE zarządzanej przez klienta między dzierżawami przy użyciu polecenia az sql server create . Identyfikator klucza z drugiej dzierżawy może być używany w key-id polu . W polu można użyć federated-client-id identyfikatora aplikacji z wieloma dzierżawami.

az sql server create \
    --name $serverName \
    --resource-group $resourceGroupName \
    --location $location  \
    --admin-user $adminlogin \
    --admin-password $password \
    --assign-identity \
    --identity-type $identitytype \
    --user-assigned-identity-id $identityid \
    --primary-user-assigned-identity-id $primaryidentityid \
    --key-id $keyid \
    --federated-client-id $federatedid
 

Utwórz bazę danych za pomocą polecenia az sql db create .

az sql db create \
    --resource-group $resourceGroupName \
    --server $serverName \
    --name mySampleDatabase \
    --sample-name AdventureWorksLT \
    --edition GeneralPurpose \
    --compute-model Serverless \
    --family Gen5 \
    --capacity 2

Program PowerShell

Utwórz serwer skonfigurowany z tożsamością zarządzaną przypisaną przez użytkownika i funkcją TDE zarządzaną przez klienta między dzierżawami przy użyciu programu PowerShell.

Aby uzyskać instrukcje instalacji modułu Az programu PowerShell, zobacz Instalowanie programu Azure PowerShell. Aby uzyskać informacje o określonych poleceniach cmdlet, zobacz AzureRM.Sql.

Użyj polecenia cmdlet New-AzSqlServer.

Zastąp następujące wartości w przykładzie:

• <ResourceGroupName>: nazwa grupy zasobów dla serwera logicznego usługi Azure SQL
• <Location>: Lokalizacja serwera, na przykład West US, lub Central US
• <ServerName>: Użyj unikatowej nazwy serwera logicznego usługi Azure SQL
• <ServerAdminName>: Identyfikator logowania administratora SQL
• <ServerAdminPassword>: hasło administratora SQL
• <IdentityType>: typ tożsamości, który ma zostać przypisany do serwera. Możliwe wartości to SystemAssigned, UserAssignedSystemAssigned,UserAssigned i None
• <UserAssignedIdentityId>: lista tożsamości zarządzanych przypisanych przez użytkownika do przypisania do serwera (może to być jedna lub wiele)
• <PrimaryUserAssignedIdentityId>: tożsamość zarządzana przypisana przez użytkownika, która powinna być używana jako podstawowa lub domyślna na tym serwerze
• <CustomerManagedKeyId>: Identyfikator klucza z drugiego magazynu kluczy dzierżawy
• <FederatedClientId>: identyfikator aplikacji dla aplikacji wielodostępnej

Aby uzyskać identyfikator zasobu tożsamości zarządzanej przypisanej przez użytkownika, wyszukaj pozycję Tożsamości zarządzane w witrynie Azure Portal. Znajdź tożsamość zarządzaną i przejdź do pozycji Właściwości. Przykład identyfikatora zasobu UMI wygląda następująco:/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>

# create a server with user-assigned managed identity and cross-tenant customer-managed TDE
$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    SqlAdministratorCredentials = (Get-Credential)
    SqlAdministratorLogin = "<ServerAdminName>"
    SqlAdministratorPassword = "<ServerAdminPassword>"
    AssignIdentity = $true
    IdentityType = "<IdentityType>"
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    PrimaryUserAssignedIdentityId = "<PrimaryUserAssignedIdentityId>"
    KeyId = "<CustomerManagedKeyId>"
    FederatedClientId = "<FederatedClientId>"
}

New-AzSqlServer @params

Szablon ARM

Oto przykład szablonu usługi ARM, który tworzy serwer logiczny Usługi Azure SQL z tożsamością zarządzaną przypisaną przez użytkownika i funkcją TDE zarządzaną przez klienta. W przypadku klucza zarządzanego między dzierżawami użyj identyfikatora klucza z drugiego magazynu kluczy dzierżawy i identyfikatora aplikacji z aplikacji wielodostępnej.

Szablon dodaje również zestaw administratorów firmy Microsoft Entra dla serwera i włącza uwierzytelnianie tylko firmy Microsoft, ale można to usunąć z przykładu szablonu.

Aby uzyskać więcej informacji i szablonów usługi ARM, zobacz Szablony usługi Azure Resource Manager dla usługi Azure SQL Database i sql Managed Instance.

Użyj wdrożenia niestandardowego w witrynie Azure Portal i utwórz własny szablon w edytorze. Następnie zapisz konfigurację po wklejeniu w przykładzie.

Aby uzyskać identyfikator zasobu tożsamości zarządzanej przypisanej przez użytkownika, wyszukaj pozycję Tożsamości zarządzane w witrynie Azure Portal. Znajdź tożsamość zarządzaną i przejdź do pozycji Właściwości. Przykład identyfikatora zasobu interfejsu użytkownika wygląda następująco: /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "String"
        },
        "location": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity."
            }
        },
        "federated_clientid": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Application ID of the multi-tenant application."
            }
        },
        "keyvault_url": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The key vault URI."
            }
        },
        "AdminLogin": {
            "minLength": 1,
            "type": "String"
        },
        "AdminLoginPassword": {
            "type": "SecureString"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2022-05-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "administratorLogin": "[parameters('AdminLogin')]",
                "administratorLoginPassword": "[parameters('AdminLoginPassword')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "federatedClientId": "[parameters('federated_clientid')]",
                "KeyId": "[parameters('keyvault_url')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Następne kroki

• Rozpoczynanie pracy z integracją usługi Azure Key Vault i obsługą funkcji Bring Your Own Key dla funkcji TDE: włączanie funkcji TDE przy użyciu własnego klucza z usługi Key Vault
• Klucze zarządzane przez klienta między dzierżawami z przezroczystym szyfrowaniem danych

Zobacz też

• Transparent Data Encryption (TDE) z kluczami zarządzanymi przez klienta na poziomie bazy danych
• Konfigurowanie replikacji geograficznej i przywracania kopii zapasowych na potrzeby przezroczystego szyfrowania danych przy użyciu kluczy zarządzanych przez klienta na poziomie bazy danych
• Zarządzanie tożsamościami i kluczami na potrzeby szyfrowania TDE przy użyciu kluczy zarządzanych przez klienta na poziomie bazy danych