Поделиться через


Создание сервера, настроенного с помощью управляемого удостоверения, назначаемого пользователем, и межтенантного CMK для TDE

Применимо к: База данных SQL Azure

В этом руководстве мы рассмотрим шаги по созданию логического сервера SQL Azure с прозрачным шифрованием данных (TDE) и ключами, управляемыми клиентом (CMK), с помощью управляемого удостоверения, назначаемого пользователем, для доступа к Azure Key Vault в другом клиенте Microsoft Entra, отличном от клиента логического сервера. Дополнительные сведения см. в разделе "Ключи, управляемые клиентом, с прозрачным шифрованием данных".

Примечание.

Идентификатор Microsoft Entra ранее был известен как Azure Active Directory (Azure AD).

Необходимые компоненты

Необходимые ресурсы в первом клиенте

В этом руководстве предполагается, что первый клиент принадлежит независимому поставщику программного обеспечения (ISV), а второй клиент — от своего клиента. Дополнительные сведения об этом сценарии см. в разделе Межтенантные ключи, управляемые клиентом, с прозрачным шифрованием данных.

Прежде чем настроить TDE для База данных SQL Azure с помощью межтенантной cmK, необходимо иметь мультитенантное приложение Microsoft Entra, которое настроено с управляемым удостоверением, назначенным пользователем, как федеративные учетные данные удостоверения для приложения. Следуйте одному из руководств в предварительных требованиях.

  1. В первом клиенте, где вы хотите создать База данных SQL Azure, создайте и настройте мультитенантное приложение Microsoft Entra

  2. Создание управляемого удостоверения, назначаемого пользователем

  3. Настройка управляемого удостоверения, назначаемого пользователем, в качестве федеративного удостоверения для мультитенантного приложения

  4. Запишите имя приложения и идентификатор приложения. Это можно найти в приложениях портал Azure> Microsoft Entra ID>Enterprise и найти созданное приложение.

Необходимые ресурсы во втором клиенте

Примечание.

Модули Azure AD и MSOnline PowerShell устарели с 30 марта 2024 г. Дополнительные сведения см. в обновлении об отмене. После этой даты поддержка этих модулей ограничена поддержкой миграции в пакет SDK Для Microsoft Graph PowerShell и исправления безопасности. Устаревшие модули будут продолжать функционировать до 30 марта 2025 года.

Рекомендуется перенести в Microsoft Graph PowerShell для взаимодействия с идентификатором Microsoft Entra (ранее — Azure AD). Часто задаваемые вопросы о миграции см. в разделе "Вопросы и ответы о миграции". Примечание. Версии 1.0.x MSOnline могут возникнуть сбоем после 30 июня 2024 г.

  1. Во втором клиенте, где находится Azure Key Vault, создайте субъект-службу (приложение) с помощью идентификатора приложения из зарегистрированного приложения из первого клиента. Ниже приведены некоторые примеры регистрации мультитенантного приложения. <ApplicationID> Замените и на <TenantID> идентификатор клиента из идентификатора Microsoft Entra и идентификатора приложения из мультитенантного приложения соответственно:

    • PowerShell:

      Connect-AzureAD -TenantID <TenantID>
      New-AzADServicePrincipal  -ApplicationId <ApplicationID>
      
    • Azure CLI:

      az login --tenant <TenantID>
      az ad sp create --id <ApplicationID>
      
  2. Перейдите к приложениям портал Azure> Microsoft Entra ID>Enterprise и найдите только что созданное приложение.

  3. Создайте Azure Key Vault, если у вас его нет, и создайте ключ.

  4. Создайте или задайте политику доступа.

    1. Выберите разрешения Get, Wrap Key, Unwrap Key в разделе "Разрешения ключа" при создании политики доступа
    2. Выберите мультитенантное приложение, созданное на первом шаге в параметре "Субъект " при создании политики доступа

    Снимок экрана: меню политики доступа хранилища ключей в портал Azure.

  5. После создания политики доступа и ключа извлеките ключ из Key Vault и запишите идентификатор ключа.

Создание сервера, настроенного с помощью TDE с помощью ключа, управляемого клиентом ( CMK)

В этом руководстве вы узнаете, как создать логический сервер и базу данных в SQL Azure с управляемым удостоверением, назначаемого пользователем, а также как задать управляемый клиентом ключ между клиентами. Управляемое удостоверение, назначаемое пользователем, является обязательным для настройки управляемого клиентом ключа для прозрачного шифрования данных на этапе создания сервера.

Внимание

Пользователю или приложению, использующим API-интерфейсы для создания логических серверов SQL, требуются роли участника SQL Server и оператора управляемого удостоверения RBAC или более поздней версии в подписке.

  1. Перейдите на страницу Выберите вариант развертывания SQL на портале Azure.

  2. Если вы еще не вошли на портал Azure, выполните вход при появлении соответствующего запроса.

  3. В разделе Базы данных SQL оставьте для параметра Тип ресурса значение Отдельная база данных и нажмите кнопку Создать.

  4. На вкладке Основные сведения формы Создание базы данных SQL в разделе Сведения о проекте выберите подходящую подписку Azure.

  5. В разделе Группа ресурсов щелкните Создать новую, введите имя группы ресурсов и нажмите ОК.

  6. Для имени базы данных введите имя базы данных. Например, ContosoHR.

  7. В группе Сервер выберите Создать и заполните форму Новый сервер следующим образом:

    • В поле Имя сервера введите уникальное имя сервера. Имена серверов должны быть глобально уникальными для всех серверов в Azure, а не только в рамках подписки. Введите, например mysqlserver135, и портал Azure проинформирует о доступности этого имени.
    • Имя для входа администратора сервера. Введите имя для входа администратора, например azureuser.
    • Пароль. Введите пароль, соответствующий требованиям, а затем введите его еще раз в поле Подтверждение пароля.
    • Расположение. Выберите расположение из раскрывающегося списка.
  8. В нижней части страницы нажмите кнопку Далее: сети.

  9. На вкладке Сеть в разделе Метод подключения выберите Общедоступная конечная точка.

  10. В разделе Правила брандмауэра установите переключатель Добавить текущий IP-адрес клиента в положение Да. Оставьте значение Нет для параметра Разрешить доступ к серверу службам и ресурсам Azure. Остальные выбранные элементы на этой странице можно оставить как по умолчанию.

    Снимок экрана: параметры сети при создании СЕРВЕРА SQL в портал Azure.

  11. Выберите Далее: безопасность доступа в нижней части страницы.

  12. На вкладке "Безопасность" в разделе "Удостоверение" выберите "Настройка удостоверений".

    Снимок экрана: параметры безопасности и настройка удостоверений в портал Azure.

  13. В меню "Удостоверение" выберите "Выкл. Для назначенного системой управляемого удостоверения" выберите "Добавить" в разделе "Назначаемое пользователем управляемое удостоверение". Выберите нужную подписку, а затем в разделе "Назначаемые пользователем управляемые удостоверения" выберите требуемое управляемое удостоверение, назначаемое пользователем, из выбранной подписки. Теперь нажмите кнопку Добавить.

  14. В разделе Основное удостоверение выберите то же управляемое удостоверение, назначаемое пользователем, которое было выбрано на предыдущем шаге.

    Снимок экрана: выбор основного удостоверения и федеративного удостоверения клиента для сервера.

  15. Для федеративного удостоверения клиента выберите параметр "Изменить удостоверение" и найдите многотенантное приложение, созданное в предварительных требованиях.

    Снимок экрана: назначаемое пользователем управляемое удостоверение при настройке удостоверения сервера.

    Примечание.

    Если мультитенантное приложение не было добавлено в политику доступа к хранилищу ключей с необходимыми разрешениями (Get, Wrap Key, Unwrap Key), используя это приложение для федерации удостоверений в портал Azure отобразит ошибку. Убедитесь, что разрешения настроены правильно перед настройкой федеративного удостоверения клиента.

  16. Нажмите кнопку Применить.

  17. На вкладке "Безопасность" в разделе "Прозрачное шифрование данных" выберите "Настроить прозрачное шифрование данных". Выберите ключ, управляемый клиентом, и появится параметр ввести идентификатор ключа. Добавьте идентификатор ключа, полученный из ключа во втором клиенте.

    Снимок экрана: настройка TDE с помощью идентификатора ключа.

  18. Нажмите кнопку Применить.

  19. В нижней части страницы щелкните Просмотреть и создать.

  20. На странице Просмотр и создание после проверки нажмите кнопку Создать.

Следующие шаги

См. также