Аудит с помощью управляемого удостоверения

Область применения: База данных SQL AzureAzure Synapse Analytics

Аудит для База данных SQL Azure можно настроить для использования учетной записи хранения с двумя методами проверки подлинности:

• Управляемое удостоверение
• Ключи доступа к хранилищу

Управляемое удостоверение может быть назначаемое системой управляемое удостоверение (SMI) или управляемое удостоверение, назначаемое пользователем (UMI).

Чтобы настроить запись журналов аудита в учетную запись хранения, перейдите в портал Azure и выберите ресурс логического сервера для База данных SQL Azure. Выберите хранилище в меню "Аудит ". Выберите учетную запись хранения Azure, в которой будут сохранены журналы.

По умолчанию используется удостоверение основного пользователя, назначенное серверу. Если удостоверения пользователя отсутствуют, сервер создает управляемое удостоверение, назначаемое системой, и использует его для проверки подлинности.

Выберите период хранения, открыв расширенные свойства. Затем выберите Сохранить. Журналы старше периода хранения удаляются.

Примечание.

Сведения о настройке аудита на основе управляемых удостоверений в Azure Synapse Analytics см . в разделе "Настройка назначаемого системой управляемого удостоверения для аудита Azure Synapse Analytics".

Управляемое удостоверение, назначаемое пользователем

UMI предоставляет пользователям гибкость для создания и поддержания собственного UMI для данного клиента. UMI можно использовать в качестве удостоверений сервера для Azure SQL. UMI управляется пользователем, по сравнению с управляемым удостоверением, назначаемым системой, которое уникально определяется на сервер и назначается системой.

Дополнительные сведения об UMI см. в разделе "Управляемые удостоверения" в идентификаторе Microsoft Entra для SQL Azure.

Настройка управляемого удостоверения, назначаемого пользователем, для аудита База данных SQL Azure

Перед настройкой аудита для отправки журналов в учетную запись хранения управляемое удостоверение, назначенное серверу, должно иметь назначение роли участника данных BLOB-объектов хранилища. Это назначение необходимо, если вы настраиваете аудит с помощью PowerShell, Azure CLI, REST API или шаблонов ARM. Назначение ролей выполняется автоматически при использовании портал Azure для настройки аудита, поэтому при настройке аудита через портал Azure необходимо выполнить следующие действия.

1. Переход на портал Azure.

2. Создайте управляемое удостоверение, назначаемое пользователем, если вы еще этого не сделали. Дополнительные сведения см. в статье о создании управляемого удостоверения, назначаемого пользователем.

3. Перейдите в учетную запись хранения, которую вы хотите настроить для аудита.

4. Выберите меню контроль доступа (IAM).

5. Выберите Добавить>Добавить назначение ролей.

6. На вкладке "Роль" найдите и выберите участника данных BLOB-объектов хранилища. Выберите Далее.

7. На вкладке "Участники" выберите управляемое удостоверение в разделе "Назначение доступа к разделу", а затем выберите участников. Вы можете выбрать управляемое удостоверение, созданное для сервера.

8. Выберите Проверить + назначить.

   

Дополнительные сведения см. в статье "Назначение ролей Azure с помощью портала".

Используйте следующее, чтобы настроить аудит с помощью управляемого удостоверения, назначаемого пользователем:

Портал

1. Перейдите в меню "Удостоверение " для сервера. В разделе "Назначаемое пользователем управляемое удостоверение" добавьте управляемое удостоверение.

2. Затем можно выбрать добавленное управляемое удостоверение в качестве основного удостоверения сервера.

   

3. Перейдите в меню "Аудит " для сервера. Выберите управляемое удостоверение в качестве типа проверки подлинности хранилища при настройке хранилища для сервера.

CLI Azure.

Чтобы использовать управляемое удостоверение, передайте --storage-key параметр в качестве пустой строки, чтобы использовать основное управляемое удостоверение, назначенное серверу при настройке аудита. Ниже приведен пример команды:

az SQL server audit-policy update -g "sampleresourcegroup" -n "sampleauditingtestserver" --state Enabled --bsts Enabled --storage-endpoint https://<storageaccountname>.blob.core.windows.net --storage-key ""

Дополнительные сведения см. в статье az sql server audit-policy.

PowerShell

Чтобы использовать управляемое удостоверение, передайте параметр UseIdentity , чтобы True использовать основное управляемое удостоверение, назначенное серверу. Ниже приведен пример команды:

Set-AzSqlServerAudit -ResourceGroupName "sampleresourcegroup" -ServerName "sampleauditingtestserver" -BlobStorageTargetState Enabled -StorageAccountResourceId "/subscriptions/<SubscriptionID>/resourcegroups/sampleresourcegroup/providers/Microsoft.Storage/storageAccounts/auditingteststorageacc" -UseIdentity True

Дополнительные сведения см. в разделе Set-AzSqlServerAudit.

REST API

Чтобы использовать основное управляемое удостоверение, пропустите передачу параметра storageAccountAccessKey в запросе:

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/auditingSettings/default?api-version=2017-03-01-preview

{
  "properties": {
    "state": "Enabled",
    "storageEndpoint": "https://mystorage.blob.core.windows.net"
  }
}

Дополнительные сведения см. в разделе "Параметры аудита сервера" — создание или обновление.

Настройка управляемого удостоверения, назначаемого системой для аудита Azure Synapse Analytics

Проверку подлинности на основе UMI нельзя использовать для учетной записи хранения для аудита. Для Azure Synapse Analytics можно использовать только назначаемое системой управляемое удостоверение (SMI). Чтобы проверка подлинности SMI работала, управляемое удостоверение должно иметь роль участника данных BLOB-объектов хранилища в контроль доступа учетной записи хранения. Эта роль автоматически добавляется, если портал Azure используется для настройки аудита.

В портал Azure Для Azure Synapse Analytics нет возможности явно выбрать ключ SAS или проверку подлинности SMI, как и для База данных SQL Azure.

• Если учетная запись хранения находится за виртуальной сетью или брандмауэром, аудит автоматически настраивается с помощью проверки подлинности SMI.

• Если учетная запись хранения не находится за виртуальной сетью или брандмауэром, аудит автоматически настраивается с помощью проверки подлинности на основе ключа SAS. Однако управляемое удостоверение нельзя использовать, если учетная запись хранения не стоит за виртуальной сетью или брандмауэром.

Чтобы принудительно использовать проверку подлинности SMI независимо от того, находится ли учетная запись хранения в виртуальной сети или брандмауэре, используйте REST API или PowerShell, как показано ниже.

• Если используется REST API, опустите StorageAccountAccessKey поле явным образом в тексте запроса.

  Дополнительные сведения см. в следующем:

  • Политики аудита BLOB-объектов сервера — создание или обновление — REST API (База данных SQL Azure)
  • Политики аудита BLOB-объектов базы данных — создание или обновление — REST API (База данных SQL Azure

• При использовании PowerShell передайте UseIdentity параметр как true.

  Дополнительные сведения см. в следующем:

  • Set-AzSqlServerAudit (Az.Sql)
  • Set-AzSqlDatabaseAudit (Az.Sql)

Следующие шаги

• Обзор аудита
• Эпизод предоставления данных: новые возможности аудита SQL Azure
• Аудит для Управляемого экземпляра SQL
• Аудит для SQL Server