Klucze zarządzane przez klienta w środowisku wielodzierżawowym z transparentnym szyfrowaniem danych
Dotyczy:
Azure SQL DatabaseAzure Synapse Analytics (tylko dedykowane pule SQL)
Usługa Azure SQL oferuje teraz obsługę kluczy zarządzanych przez klienta między dzierżawami (CMK) z przezroczystym szyfrowaniem danych (TDE). Klucz CMK między dzierżawami rozszerza scenariusz BYOK (Bring Your Own Key) dla wykorzystania TDE bez potrzeby posiadania serwera logicznego na platformie Azure w tej samej dzierżawie Microsoft Entra co Azure Key Vault, który przechowuje klucz zarządzany przez klienta do ochrony serwera.
Funkcję TDE można skonfigurować przy użyciu CMK (klucz zarządzany przez klienta) dla usługi Azure SQL Database, dla kluczy przechowywanych w magazynach kluczy skonfigurowanych w różnych dzierżawach Microsoft Entra. Microsoft Entra ID (dawniej Azure Active Directory) wprowadza funkcję o nazwie federacji tożsamości dla obciążeń i umożliwia zasobom platformy Azure z jednej dzierżawy Microsoft Entra dostęp do zasobów w innej dzierżawie Microsoft Entra.
Aby uzyskać dokumentację dotyczącą przezroczystego szyfrowania danych dla dedykowanych pul SQL w obszarach roboczych usługi Synapse, zobacz Szyfrowanie usługi Azure Synapse Analytics.
Uwaga
Microsoft Entra ID był wcześniej znany jako Azure Active Directory (Azure AD).
Typowy scenariusz użycia
Funkcje wielodostępnego klucza zarządzanego przez klienta umożliwiają dostawcom usług lub niezależnym dostawcom oprogramowania (ISV) tworzenie usług opartych na usłudze Azure SQL w celu rozszerzenia funkcji TDE usługi Azure SQL z funkcjami CMK dla odpowiednich klientów. Dzięki włączonej obsłudze kluczy zarządzanych przez wielu dzierżawców (CMK) klienci niezależnego dostawcy oprogramowania mogą być właścicielami Key Vault i kluczy szyfrowania w ramach własnej subskrypcji i dzierżawy Microsoft Entra. Podczas uzyskiwania dostępu do zasobów usługi Azure SQL w dzierżawie ISV, klient ma pełną kontrolę nad operacjami zarządzania kluczami.
Interakcje między tenantami
Interakcja między tenantami Azure SQL i magazynem kluczy w innej dzierżawie Microsoft Entra jest włączana dzięki funkcji Microsoft Entra, federacji tożsamości obciążenia.
Dostawcy oprogramowania wdrażający usługi Azure SQL mogą utworzyć aplikację wielodostępną w Microsoft Entra ID, a następnie skonfigurować poświadczenie tożsamości federacyjnej dla tej aplikacji, korzystając z przypisanej przez użytkownika tożsamości zarządzanej. Przy użyciu odpowiedniej nazwy aplikacji i identyfikatora aplikacji, klient lub klient ISV może zainstalować aplikację utworzoną przez niezależnego dostawcę oprogramowania na własnym koncie. Następnie klient udziela jednostce usługi skojarzonej z aplikacją uprawnień (wymaganych dla Azure SQL) do magazynu kluczy w swojej dzierżawie i udostępnia lokalizację klucza niezależnemu dostawcy oprogramowania. Po przypisaniu tożsamości zarządzanej i tożsamości klienta federacyjnego przez niezależnego dostawcę oprogramowania do zasobu usługi Azure SQL zasób usługi Azure SQL w dzierżawie niezależnego dostawcy oprogramowania może uzyskać dostęp do magazynu kluczy klienta.
Aby uzyskać więcej informacji, zobacz:
- Konfigurowanie kluczy zarządzanych przez klienta między dzierżawcami dla nowego konta magazynowego
- Skonfiguruj klucze zarządzane przez klienta w różnych dzierżawach dla istniejącego konta przechowywania
Konfigurowanie klucza zarządzanego przez klienta między dzierżawcami
Poniższy diagram przedstawia kroki scenariusza wykorzystującego serwer logiczny Azure SQL, który używa funkcji TDE do szyfrowania danych w spoczynku za pomocą klucza głównego zarządzanego między dzierżawcami (CMK), z tożsamością zarządzaną przypisaną przez użytkownika.
Omówienie konfiguracji
W dzierżawie niezależnego dostawcy oprogramowania
Utwórz tożsamość zarządzaną przypisaną przez użytkownika
Utwórz aplikację wielodostępną
- Skonfiguruj tożsamość zarządzaną przypisaną przez użytkownika jako federacyjne poświadczenie w aplikacji
Dla klienta
Utwórz lub użyj istniejącego magazynu kluczy i udziel uprawnień do kluczy aplikacji wielodzierżawczej
Tworzenie nowego lub używanie istniejącego klucza
Pobieranie klucza z usługi Key Vault i rejestrowanie identyfikatora klucza
W dzierżawie niezależnego dostawcy oprogramowania
Przypisz tożsamość zarządzaną przypisaną przez użytkownika, utworzoną jako Tożsamość podstawowa, w menu Tożsamość zasobu Azure SQL w Azure Portal
Przypisz tożsamość klienta federacyjnego w tym samym menu Tożsamość i użyj nazwy aplikacji
W menu Transparent Data Encryption zasobu usługi Azure SQL przypisz Identyfikator klucza przy użyciu Identyfikatora klucza uzyskanego z dzierżawy klienta.
Uwagi
- Klucz CMK między dzierżawami z funkcją TDE jest obsługiwany tylko dla zarządzanych tożsamości przypisanych przez użytkownika. Nie można użyć przypisanej przez system tożsamości zarządzanej dla międzydzierżawczego CMK (klucza zarządzanego przez klienta) z funkcją Transparent Data Encryption (TDE).
- Konfigurowanie międzytenantowego klucza zarządzanego przez klienta (CMK) z funkcją TDE jest obsługiwane na poziomie serwera i bazy danych dla Azure SQL Database. Aby uzyskać więcej informacji, zobacz Transparent Data Encryption (TDE) z kluczami zarządzanymi przez klienta na poziomie bazy danych.
Następne kroki
Zobacz też
- Tworzenie bazy danych Azure SQL Database skonfigurowanej przy użyciu tożsamości zarządzanej przypisanej przez użytkownika i funkcji TDE zarządzanej przez klienta
- Konfigurowanie międzytenantowych kluczy zarządzanych przez klienta na nowe konto magazynowe
- Konfigurowanie kluczy zarządzanych przez klienta między dzierżawcami dla istniejącego konta magazynu
- Transparent Data Encryption (TDE) z kluczami zarządzanymi przez klienta na poziomie bazy danych
- Konfigurowanie replikacji geograficznej i przywracania kopii zapasowych na potrzeby przezroczystego szyfrowania danych przy użyciu kluczy zarządzanych przez klienta na poziomie bazy danych
- Zarządzanie tożsamościami i kluczami na potrzeby szyfrowania TDE przy użyciu kluczy zarządzanych przez klienta na poziomie bazy danych