Межтенантные ключи, управляемые клиентом, с прозрачным шифрованием данных

Область применения: База данных SQL AzureAzure Synapse Analytics (только выделенные пулы SQL)

Теперь SQL Azure предлагает поддержку межтенантных ключей, управляемых клиентом (CMK), с прозрачным шифрованием данных (TDE). Межтенантный CMK расширяет использование TDE в рамках сценария "Принести собственный ключ" (BYOK), не требуя, чтобы логический сервер в Azure находился в том же клиенте Microsoft Entra, что и Azure Key Vault, в котором хранится ключ, управляемый клиентом, обеспечивающий защиту сервера.

TDE можно настроить с помощью CMK для База данных SQL Azure для ключей, хранящихся в хранилищах ключей, настроенных в разных клиентах Microsoft Entra. Идентификатор Microsoft Entra (ранее — Azure Active Directory) представляет функцию под названием "федерация удостоверений рабочей нагрузки", которая позволяет ресурсам Azure из одного клиента Microsoft Entra доступ к ресурсам в другом клиенте Microsoft Entra.

Сведения о прозрачном шифровании данных для выделенных пулов SQL в рабочих областях Azure Synapse см. в статье Шифрование в Azure Synapse Analytics.

Примечание.

Microsoft Entra ID ранее был известен как Azure Active Directory (Azure AD).

Распространенный сценарий использования

Меж-клиентские возможности CMK позволяют поставщикам услуг или независимым поставщикам программного обеспечения (ISV), создающим службы на основе Azure SQL, расширять TDE в Azure SQL с помощью возможностей CMK для своих соответствующих клиентов. С поддержкой межтенантной поддержки CMK клиенты ISV могут владеть хранилищем ключей и ключами шифрования в собственной подписке и клиенте Microsoft Entra. Клиент имеет полный контроль над операциями управления ключами при доступе к ресурсам SQL Azure в клиенте ISV.

Взаимодействие между арендаторами

Взаимодействие между клиентами между SQL Azure и хранилищем ключей в другом клиенте Microsoft Entra включается с помощью функции Microsoft Entra, федерации удостоверений рабочей нагрузки.

Поставщики программного обеспечения, развертывающие службы Azure SQL, могут создавать мультитенантное приложение в Microsoft Entra ID, а затем настраивать учетные данные федеративного удостоверения для этого приложения с помощью пользователем назначаемого управляемого удостоверения. С соответствующим именем приложения и идентификатором приложения клиент или заказчик ISV могут установить созданное ISV приложение в собственном арендаторе. Затем клиент предоставляет субъекту-службе, связанной с приложением, разрешения (необходимые для Azure SQL) на доступ к их хранилищу ключей в собственности, и делится местоположением ключа с независимым поставщиком программного обеспечения. После того как ISV назначит управляемое удостоверение и федеративное удостоверение клиента ресурсу SQL Azure, ресурс SQL Azure в экземпляре ISV может получить доступ к хранилищу ключей клиента.

Дополнительные сведения см. в разделе:

• Настройка ключей, управляемых клиентом, для межарендаторского использования в новой учетной записи хранилища
• Настройка кросс-тенантных ключей, управляемых клиентом, для существующей учетной записи хранения

Настройка межтенантного CMK

На следующей схеме приведены шаги для сценария, использующего логический сервер Azure SQL, использующий TDE для шифрования неактивных данных с помощью кросс-тенантной CMK с управляемой удостоверенностью, назначенной пользователем.

Общие сведения о настройке

В клиенте ISV

1. Создайте пользовательское управляемое удостоверение

2. Создание мультитенантного приложения

   1. Настройка управляемого удостоверения, назначаемого пользователем, в качестве федеративных учетных данных в приложении

На клиентском арендаторе

3. Установка мультитенантного приложения

4. Создание или использование существующего хранилища ключей и предоставление разрешений ключа для мультитенантного приложения

   1. Создание нового или использование существующего ключа

   2. Получение ключа из Key Vault и запись идентификатора ключа

В клиенте ISV

5. Назначьте управляемое удостоверение, назначаемое пользователем, в качестве Основного удостоверения в меню Удостоверение ресурса Azure SQL в портале Azure

6. Назначьте федеративное удостоверение клиента в том же меню удостоверений и используйте имя приложения.

7. В меню прозрачного шифрования данных ресурса SQL Azure назначьте идентификатор ключа с помощью идентификатора ключа клиента, полученного от клиента.

Замечания

• Межтенантная cmK с функцией TDE поддерживается только для управляемых удостоверений, назначаемых пользователем. Вы не можете использовать управляемое удостоверение, назначаемое системой, для межарендного CMK с TDE.
• Настройка межтенантной CMK с помощью TDE поддерживается на уровне сервера и на уровне базы данных для Azure SQL Database. Дополнительные сведения см. в разделе Прозрачное шифрование данных (TDE) с ключами, управляемыми клиентом, на уровне базы данных.

Следующие шаги

Создать сервер, сконфигурированный с пользовательским управляемым удостоверением и межтенантным CMK для TDE

См. также

• Создание базы данных SQL Azure, настроенной с идентификацией, управляемой пользователем, и с управляемым клиентом TDE
• Настройка межарендаторских ключей, управляемых пользователем, для новой учетной записи хранилища
• Настройка кросс-тенантных ключей, управляемых клиентом, для существующей учетной записи хранения
• Прозрачное шифрование данных (TDE) с ключами, управляемыми клиентом на уровне базы данных
• Настройка георепликации и восстановления резервных копий для прозрачного шифрования данных с помощью ключей, управляемых клиентом на уровне базы данных
• Управление удостоверениями и ключами для TDE с ключами, управляемыми клиентом на уровне базы данных