CREATE CREDENTIAL (Transact-SQL)
Область применения: SQL Server Управляемый экземпляр SQL Azure
Создает учетные данные на уровне сервера. Учетные данные являются записью, которая содержит сведения для проверки подлинности, необходимые для подключения к ресурсу извне SQL Server. Большинство учетных данных включают имя пользователя и пароль Windows. Например, при сохранении резервной копии базы данных в определенном расположении серверу SQL Server может потребоваться предоставить специальные учетные данные для доступа к этому расположению. Дополнительные сведения см. в статье Учетные данные (компонент Database Engine).
Примечание.
Чтобы создать учетные данные на уровне базы данных, используйте инструкцию CREATE DATABASE SCOPED CREDENTIAL (Transact-SQL).
Создайте учетные данные на уровне сервера, если CREATE CREDENTIAL
необходимо использовать одни и те же учетные данные для нескольких баз данных на сервере.
- Создайте учетные данные в области базы данных,
CREATE DATABASE SCOPED CREDENTIAL
чтобы сделать базу данных более переносимой. При переносе базы данных на новый сервер учетные данные на уровне базе данных переносятся вместе с ней. - Используйте учетные данные уровня базы данных в базе данных SQL.
- Используйте учетные данные с областью базы данных с помощью PolyBase и Управляемый экземпляр SQL Azure функций виртуализации данных.
Соглашения о синтаксисе Transact-SQL
Синтаксис
CREATE CREDENTIAL credential_name
WITH IDENTITY = 'identity_name'
[ , SECRET = 'secret' ]
[ FOR CRYPTOGRAPHIC PROVIDER cryptographic_provider_name ]
Аргументы
credential_name
Указывает имя создаваемых учетных данных. credential_name не удается начать с знака номера (#). Системные учетные данные начинаются с символов ##.
Внимание
При использовании подписанного URL-адреса (SAS) это имя должно соответствовать пути к контейнеру, начинаться с префикса https и не должно содержать косой черты. См. пример Г.
При использовании для резервного копирования и восстановления с помощью внешних платформ данных, таких как хранилище BLOB-объектов Azure или платформы, совместимые с S3, в следующей таблице приведены общие пути:
Внешний источник данных | Путь к расположению | Пример |
---|---|---|
Хранилище BLOB-объектов Azure (версия 2) | https://<mystorageaccountname>.blob.core.windows.net/<mystorageaccountcontainername> |
пример D |
Azure Key Vault | <keyvaultname>.vault.azure.net |
пример H |
Управляемый аппаратный модуль безопасности Azure Key Vault (HSM) | <akv-name>.managedhsm.azure.net |
пример H |
S3-совместимое хранилище объектов | — хранилище, совместимое с S3: s3://<server_name>:<port>/ — AWS S3: s3://<bucket_name>.S3.<region>.amazonaws.com[:port]/<folder> или s3://s3.<region>.amazonaws.com[:port]/<bucket_name>/<folder> |
Пример F |
IDENTITY ='identity_name'
Указывает имя учетной записи для использования при подключении за пределами сервера. При использовании учетных данных для доступа к хранилищу Azure Key Vault IDENTITY — это имя хранилища ключей. См. пример В далее. Если в учетных данных используется подписанный URL-адрес (SAS), IDENTITY имеет значение SHARED ACCESS SIGNATURE. См. пример Г ниже.
Внимание
База данных SQL Azure поддерживает только удостоверения Azure Key Vault и удостоверения на основе подписанного URL-адреса. Удостоверения пользователей Windows не поддерживаются.
SECRET ='secret'
Указывает секретный код, необходимый для исходящей проверки подлинности.
Когда учетные данные используются для доступа к Azure Key Vault, аргумент SECRET< См. пример В далее. Если в учетных данных используется подписанный URL-адрес, SECRET — это токен подписанного URL-адреса. См. пример Г ниже. Сведения о создании хранимой политики доступа и подписанного URL-адреса в контейнере Azure см. в разделе Занятие 1. Создание хранимой политики доступа и подписанного URL-адреса для контейнера Azure.
FOR CRYPTOGRAPHIC PROVIDER cryptographic_provider_name
Указывает имя, на которое ссылается поставщик расширенного управления ключами (EKM). Дополнительные сведения о службе управления ключами см. в разделе Расширенное управление ключами (EKM).
Замечания
Если IDENTITY является пользователем Windows, секретный код может быть паролем. Секретный код шифруется главным ключом службы. Если главный ключ службы формируется повторно, секретный код повторно шифруется, используя новый главный ключ службы.
После создания учетных данных можно сопоставить их с учетными данными для входа в SQL Server, используя параметр CREATE LOGIN или ALTER LOGIN. Учетные данные для входа в SQL Server можно сопоставить только с одними учетными данными, но одни учетные данные можно сопоставить с несколькими учетными данными для входа в SQL Server. Дополнительные сведения см. в статье Учетные данные (компонент Database Engine). Учетные данные уровня сервера можно сопоставить только с именем для входа, но не с пользователем базы данных.
Сведения об учетных данных отображаются в представлении каталога sys.credentials.
Если для поставщика учетные данные не сопоставлены с учетными данными для входа, используются учетные данные, сопоставленные с учетными данными для входа в службу SQL Server.
Имени входа может быть сопоставлено несколько учетных данных, если они используются для отдельных поставщиков. У каждого поставщика должен быть только один набор учетных данных, сопоставленных одному имени входа. Одни и те же учетные данные могут быть сопоставлены нескольким именам входа.
Разрешения
Требуется разрешение ALTER ANY CREDENTIAL.
Примеры
А. Создание учетных данных для удостоверения Windows
Следующий пример создает учетные данные с именем AlterEgo
. В эти учетные данные входят имя пользователя Windows Mary5
и пароль.
CREATE CREDENTIAL AlterEgo WITH IDENTITY = 'Mary5',
SECRET = '<EnterStrongPasswordHere>';
GO
B. Создание учетных данных для расширенного управления ключами
В следующем примере используется учетная запись с именем User1OnEKM
, ранее созданная в модуле поставщика расширенного управления ключами с помощью средств управления поставщика, с основным типом учетной записи и паролем. В учетной записи системного администратора на сервере создаются учетные данные, используемые для подключения к учетной записи EKM, и назначаются для User1
учетных данных SQL Server:
CREATE CREDENTIAL CredentialForEKM
WITH IDENTITY='User1OnEKM', SECRET='<EnterStrongPasswordHere>'
FOR CRYPTOGRAPHIC PROVIDER MyEKMProvider;
GO
/* Modify the login to assign the cryptographic provider credential */
ALTER LOGIN User1
ADD CREDENTIAL CredentialForEKM;
В. Создание учетных данных для расширенного управления ключами с помощью хранилища ключей Azure
В приведенном ниже примере создаются учетные данные SQL Server, которые используются ядром СУБД для доступа к хранилищу Azure Key Vault с помощью Соединителя SQL Server для Microsoft Azure Key Vault. Целиком пример использования Соединителя SQL Server см. в разделе Расширенное управление ключами с помощью Azure Key Vault (SQL Server).
Внимание
В аргументе IDENTITYCREATE CREDENTIAL необходимо указать имя хранилища ключей. Аргумент SECRET параметра CREATE CREDENTIAL необходимо одновременно передать <Идентификатор клиента> (без дефисов) и <Секрет>, не разделенные пробелом. Управляемые удостоверения поддерживаются с помощью EKM, а учетные данные можно использовать с управляемыми удостоверениями. Пример см. в разделе Пример H.
В следующем примере .
USE master;
CREATE CREDENTIAL Azure_EKM_TDE_cred
WITH IDENTITY = 'ContosoKeyVault',
SECRET = '11111111222233334444555555555555SECRET_DBEngine'
FOR CRYPTOGRAPHIC PROVIDER AzureKeyVault_EKM_Prov ;
В приведенном ниже примере создаются те же учетные данные с использованием переменных для строк Идентификатор клиента и Секрет, которые затем сцепляются для получения аргумента SECRET. Функция REPLACE используется для удаления дефисов из идентификатора клиента.
DECLARE @AuthClientId uniqueidentifier = '11111111-AAAA-BBBB-2222-CCCCCCCCCCCC';
DECLARE @AuthClientSecret varchar(200) = 'SECRET_DBEngine';
DECLARE @pwd varchar(max) = REPLACE(CONVERT(varchar(36), @AuthClientId) , '-', '') + @AuthClientSecret;
EXEC ('CREATE CREDENTIAL Azure_EKM_TDE_cred
WITH IDENTITY = ''ContosoKeyVault'', SECRET = ''' + @PWD + '''
FOR CRYPTOGRAPHIC PROVIDER AzureKeyVault_EKM_Prov ;');
D. Создание учетных данных с помощью маркера SAS
Применятся к: SQL Server 2014 (12.x) до текущей версии и управляемый экземпляр SQL Azure.
В приведенном ниже примере создаются учетные данные с подписанным URL-адресом с использованием токена SAS. Руководство по созданию хранимой политики доступа и подписанного URL-адреса в контейнере Azure, а затем созданию учетных данных с помощью подписанного URL-адреса см. в руководстве по использованию Microsoft Хранилище BLOB-объектов Azure с базами данных SQL Server.
Внимание
Аргумент CREDENTIAL NAME требует, чтобы имя соответствовало пути к контейнеру, начиналось с префикса https и не содержало завершающей косой черты. Для аргумента IDENTITY требуется имя SHARED ACCESS SIGNATURE. Для аргумента SECRET требуется токен подписанного URL-адреса.
В начале секрета SHARED ACCESS SIGNATURE не должно быть символа ?.
USE master
CREATE CREDENTIAL [https://<mystorageaccountname>.blob.core.windows.net/<mystorageaccountcontainername>] -- this name must match the container path, start with https and must not contain a trailing forward slash.
WITH IDENTITY='SHARED ACCESS SIGNATURE' -- this is a mandatory string and do not change it.
, SECRET = 'sharedaccesssignature' -- this is the shared access signature token
GO
Е. Создание учетных данных для управляемого удостоверения
В следующем примере создаются учетные данные, представляющие управляемое удостоверение службы SQL Azure или Azure Synapse. Пароль и секрет не применимы в этом случае.
CREATE CREDENTIAL ServiceIdentity WITH IDENTITY = 'Managed Identity';
GO
Пример создания учетных данных с управляемым удостоверением для SQL Server на виртуальной машине Azure см. в статье Example G и Example H. Управляемое удостоверение на уровне сервера не поддерживается для Linux.
F. Создание учетных данных для резервного копирования и восстановления в хранилище, совместимое с S3
Область применения: SQL Server 2022 (16.x) и более поздних версий
Открытый стандарт, совместимый с S3, предоставляет пути к хранилищу и сведения, которые могут отличаться на основе платформы хранения. Дополнительные сведения см. в разделе Резервное копирование SQL Server на URL-адрес совместимого с S3 хранилища объектов.
В большинстве хранилищ, совместимых с S3, в этом примере создается учетные данные уровня сервера и выполняется.BACKUP TO URL
USE [master];
CREATE CREDENTIAL [s3://<endpoint>:<port>/<bucket>]
WITH
IDENTITY = 'S3 Access Key',
SECRET = '<AccessKeyID>:<SecretKeyID>';
GO
BACKUP DATABASE [SQLTestDB]
TO URL = 's3://<endpoint>:<port>/<bucket>/SQLTestDB.bak'
WITH FORMAT /* overwrite any existing backup sets */
, STATS = 10
, COMPRESSION;
Однако AWS S3 поддерживает два разных стандарта URL-адреса.
-
S3://<BUCKET_NAME>.S3.<REGION>.AMAZONAWS.COM/<FOLDER>
(по умолчанию) S3://S3.<REGION>.AMAZONAWS.COM/<BUCKET_NAME>/<FOLDER>
Существует несколько подходов к успешному созданию учетных данных для AWS S3:
Укажите имя и путь к контейнеру и регион в имени учетных данных.
-- S3 bucket name: datavirtualizationsample -- S3 bucket region: us-west-2 -- S3 bucket folder: backup CREATE CREDENTIAL [s3://datavirtualizationsample.s3.us-west-2.amazonaws.com/backup] WITH IDENTITY = 'S3 Access Key' , SECRET = 'accesskey:secretkey'; GO BACKUP DATABASE [AdventureWorks2022] TO URL = 's3://datavirtualizationsample.s3.us-west-2.amazonaws.com/backup/AdventureWorks2022.bak' WITH COMPRESSION, FORMAT, MAXTRANSFERSIZE = 20971520; GO
или
CREATE CREDENTIAL [s3://s3.us-west-2.amazonaws.com/datavirtualizationsample/backup] WITH IDENTITY = 'S3 Access Key' , SECRET = 'accesskey:secretkey'; GO BACKUP DATABASE [AdventureWorks2022] TO URL = 's3://s3.us-west-2.amazonaws.com/datavirtualizationsample/backup/AdventureWorks2022.bak' WITH COMPRESSION, FORMAT, MAXTRANSFERSIZE = 20971520; GO
Или укажите имя и путь к контейнеру в имени учетных данных, но параметризуйте регион в каждой
BACKUP
/RESTORE
команде. Используйте строку региона S3 в строкеBACKUP_OPTIONS
иRESTORE_OPTIONS
, например,'{"s3": {"region":"us-west-2"}}'
.-- S3 bucket name: datavirtualizationsample -- S3 bucket region: us-west-2 -- S3 bucket folder: backup CREATE CREDENTIAL [s3://datavirtualizationsample.s3.amazonaws.com/backup] WITH IDENTITY = 'S3 Access Key' , SECRET = 'accesskey:secretkey'; GO BACKUP DATABASE [AdventureWorks2022] TO URL = 's3://datavirtualizationsample.s3.amazonaws.com/backup/AdventureWorks2022.bak' WITH BACKUP_OPTIONS = '{"s3": {"region":"us-west-2"}}' -- REGION AS PARAMETER) , COMPRESSION, FORMAT, MAXTRANSFERSIZE = 20971520; GO RESTORE DATABASE AdventureWorks2022_1 FROM URL = 's3://datavirtualizationsample.s3.amazonaws.com/backup/AdventureWorks2022.bak' WITH MOVE 'AdventureWorks2022' TO 'C:\Program Files\Microsoft SQL Server\MSSQL16.MSSQLSERVER\MSSQL\DATA\AdventureWorks2022_1.mdf' , MOVE 'AdventureWorks2022_log' TO 'C:\Program Files\Microsoft SQL Server\MSSQL16.MSSQLSERVER\MSSQL\DATA\AdventureWorks2022_1.ldf' , STATS = 10, RECOVERY , REPLACE, RESTORE_OPTIONS = '{"s3": {"region":"us-west-2"}}'; -- REGION AS PARAMETER) GO
G. Создание учетных данных для доступа к хранилищу BLOB-объектов Azure с помощью управляемого удостоверения
Начиная с SQL Server 2022 CU17, можно использовать управляемые удостоверения с учетными данными SQL Server для резервного копирования и восстановления SQL Server в базах данных виртуальных машин Azure из хранилища BLOB-объектов Azure. Дополнительные сведения см. в статье Резервное копирование и восстановление в URL-адрес с помощью управляемых удостоверений.
Чтобы создать учетные данные с управляемым удостоверением для использования с операциями BACKUP
и RESTORE
, используйте следующий пример:
CREATE CREDENTIAL [https://<mystorageaccountname>.blob.core.windows.net/<container-name>]
WITH IDENTITY = 'Managed Identity';
флаг трассировки 4675 можно использовать для проверки учетных данных, созданных с помощью управляемого удостоверения. Если инструкция CREATE CREDENTIAL
была выполнена без флага трассировки 4675 включено, сообщение об ошибке не выводится, если основное управляемое удостоверение не задано для сервера. Чтобы устранить эту проблему, учетные данные необходимо удалить и повторно создать повторно после включения флага трассировки.
H. Создание учетных данных управляемого удостоверения для расширенного управления ключами с помощью Azure Key Vault
Начиная с SQL Server 2022 CU17, вы также можете использовать управляемые удостоверения на SQL Server на виртуальных машинах Azure для расширяемого управления ключами (EKM) с Azure Key Vault (AKV). Дополнительные сведения см. в поддержке управляемого удостоверения для расширяемого управления ключами с помощью Azure Key Vault.
Чтобы создать учетные данные управляемого удостоверения для использования с EKM с AKV, используйте следующий пример:
CREATE CREDENTIAL [<akv-name>.vault.azure.net]
WITH IDENTITY = 'Managed Identity'
FOR CRYPTOGRAPHIC PROVIDER AzureKeyVault_EKM_Prov
Например:
CREATE CREDENTIAL [contoso.vault.azure.net] -- for Azure Key Vault
WITH IDENTITY = 'Managed Identity'
FOR CRYPTOGRAPHIC PROVIDER AzureKeyVault_EKM_Prov
CREATE CREDENTIAL [contoso.managedhsm.azure.net] -- for Azure Key Vault Managed HSM
WITH IDENTITY = 'Managed Identity'
FOR CRYPTOGRAPHIC PROVIDER AzureKeyVault_EKM_Prov
флаг трассировки 4675 можно использовать для проверки учетных данных, созданных с помощью управляемого удостоверения. Если инструкция CREATE CREDENTIAL
была выполнена без флага трассировки 4675 включено, сообщение об ошибке не выводится, если основное управляемое удостоверение не задано для сервера. Чтобы устранить эту проблему, учетные данные необходимо удалить и повторно создать повторно после включения флага трассировки.
Связанный контент
- Учетные данные (ядро СУБД)
- ALTER CREDENTIAL (Transact-SQL)
- DROP CREDENTIAL (Transact-SQL)
- CREATE DATABASE SCOPED CREDENTIAL (Transact-SQL)
- CREATE LOGIN (Transact-SQL)
- ALTER LOGIN (Transact-SQL)
- sys.credentials (Transact-SQL)
- Занятие 2. Создание учетных данных SQL Server с помощью подписанного URL-адреса
- Подписанные URL-адреса