Granskning med hanterad identitet

gäller för:Azure SQL DatabaseAzure Synapse Analytics

Granskning för Azure SQL Database kan konfigureras för att använda ett Storage-konto med två autentiseringsmetoder:

• Hanterad identitet
• Åtkomstnycklar för lagring

Hanterad identitet kan vara en systemtilldelad hanterad identitet (SMI) eller användartilldelad hanterad identitet (UMI).

Om du vill konfigurera att skriva granskningsloggar till ett lagringskonto går du till Azure-portalenoch väljer din logiska serverresurs för Azure SQL Database. Välj Lagring på menyn Granskning. Välj det Azure Storage-konto där loggar ska sparas.

Som standard är den identitet som används den primära användaridentitet som tilldelats servern. Om det inte finns någon användaridentitet skapar servern en systemtilldelad hanterad identitet och använder den för autentisering.

Välj kvarhållningsperioden genom att öppna Avancerade egenskaper. Välj sedan Spara. Loggar som är äldre än kvarhållningsperioden tas bort.

Not

Information om hur du konfigurerar hanterad identitetsbaserad granskning av Azure Synapse Analytics finns i avsnittet Konfigurera systemtilldelad hanterad identitet för Azure Synapse Analytics-granskning senare i den här artikeln.

Användartilldelad hanterad identitet

UMI ger användarna flexibilitet att skapa och underhålla sin egen UMI för en viss klientorganisation. UMI kan användas som serveridentiteter för Azure SQL. UMI hanteras av användaren, till skillnad från en systemtilldelad hanterad identitet, vars identitet definieras unikt per server och tilldelas av systemet.

Mer information om UMI finns i Hanterade identiteter i Microsoft Entra ID för Azure SQL.

Konfigurera användartilldelad hanterad identitet för Azure SQL Database-granskning

Innan granskning kan konfigureras för att skicka loggar till ditt lagringskonto måste den hanterade identitet som tilldelats servern ha Storage Blob Data Contributor rolltilldelning. Den här tilldelningen krävs om du konfigurerar granskning med hjälp av PowerShell, Azure CLI, REST API eller ARM-mallar. Rolltilldelning görs automatiskt när du använder Azure-portalen för att konfigurera granskning, så stegen nedan är onödiga om du konfigurerar granskning via Azure-portalen.

1. Gå till Azure-portalen.

2. Skapa en användartilldelad hanterad identitet om du inte redan har gjort det. Mer information finns i skapa användartilldelad hanterad identitet.

3. Gå till ditt lagringskonto som du vill konfigurera för granskning.

4. Välj åtkomstkontrollmenyn (IAM).

5. Välj Lägg till>Lägg till rolltilldelning.

6. På fliken Roll söker du efter och väljer Storage Blob Data Contributor. Välj Nästa.

7. På fliken Medlemmar väljer du Hanterad identitet i avsnittet Tilldela åtkomst till och Välj sedan medlemmar. Du kan välja den hanterade identiteten som skapades för din server.

8. Välj Granska + tilldela.

   

Mer information finns i Tilldela Azure-roller med hjälp av portalen.

Använd följande för att konfigurera granskning med hjälp av användartilldelad hanterad identitet:

Portal

1. Gå till menyn Identity för din server. Under avsnittet Användartilldelad hanterad identitet, lägg till den hanterade identiteten.

2. Du kan sedan välja den tillagda hanterade identiteten som den primära identiteten för servern.

   

3. Gå till menyn Granskning för servern. Välj hanterad identitet som autentiseringstyp för lagring när du konfigurerar lagring för din server.

Azure CLI-

För att kunna använda en hanterad identitet skickar du parametern --storage-key som en tom sträng för att använda den primära hanterade identiteten som tilldelats servern när du konfigurerar granskning. Här är ett exempelkommando:

az SQL server audit-policy update -g "sampleresourcegroup" -n "sampleauditingtestserver" --state Enabled --bsts Enabled --storage-endpoint https://<storageaccountname>.blob.core.windows.net --storage-key ""

Mer information finns i az sql server audit-policy.

PowerShell

För att kunna använda en hanterad identitet skickar du parametern UseIdentity som True för att använda den primära hanterade identiteten som tilldelats servern. Här är ett exempelkommando:

Set-AzSqlServerAudit -ResourceGroupName "sampleresourcegroup" -ServerName "sampleauditingtestserver" -BlobStorageTargetState Enabled -StorageAccountResourceId "/subscriptions/<SubscriptionID>/resourcegroups/sampleresourcegroup/providers/Microsoft.Storage/storageAccounts/auditingteststorageacc" -UseIdentity True

Mer information finns i Set-AzSqlServerAudit.

REST API

Om du vill använda den primära hanterade identiteten hoppar du över att skicka parametern storageAccountAccessKey i begäran:

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/auditingSettings/default?api-version=2017-03-01-preview

{
  "properties": {
    "state": "Enabled",
    "storageEndpoint": "https://mystorage.blob.core.windows.net"
  }
}

Mer information finns i Inställningar för servergranskning – Skapa eller uppdatera.

Konfigurera systemtilldelad hanterad identitet för Azure Synapse Analytics-granskning

Du kan inte använda UMI-baserad autentisering till ett lagringskonto för granskning. Endast systemtilldelad hanterad identitet (SMI) kan användas för Azure Synapse Analytics. För att SMI-autentisering ska fungera måste den hanterade identiteten ha Storage Blob Data Contributor roll tilldelad till den, i lagringskontots åtkomstkontroll inställningar. Den här rollen läggs automatiskt till om Azure-portalen används för att konfigurera granskning.

I Azure-portalen för Azure Synapse Analytics finns det inget alternativ för att uttryckligen välja SAS-nyckel eller SMI-autentisering, vilket är fallet för Azure SQL Database.

• Om lagringskontot finns bakom ett virtuellt nätverk eller en brandvägg konfigureras granskning automatiskt med SMI-autentisering.

• Om lagringskontot inte finns bakom ett virtuellt nätverk eller en brandvägg konfigureras granskning automatiskt med hjälp av SAS-nyckelbaserad autentisering. Hanterad identitet kan dock inte användas om lagringskontot inte finns bakom ett virtuellt nätverk eller en brandvägg.

Om du vill framtvinga användning av SMI-autentisering, oavsett om lagringskontot finns bakom ett virtuellt nätverk eller en brandvägg, använder du REST API eller PowerShell på följande sätt:

• Om du använder REST-API:et utelämnar du fältet StorageAccountAccessKey explicit i begärandetexten.

  Mer information finns i:

  • Granskningsprinciper för serverblob – Skapa eller uppdatera – REST API (Azure SQL Database)
  • Granskningsprinciper för databasblob – Skapa eller uppdatera – REST API (Azure SQL Database

• Om du använder PowerShell skickar du parametern UseIdentity som true.

  Mer information finns i:

  • Set-AzSqlServerAudit (Az.Sql)
  • Set-AzSqlDatabaseAudit (Az.Sql)

Nästa steg

• Granskningsöversikt
• Data Exposed-avsnitt: Nyheter i Azure SQL Auditing
• granskning av SQL Managed Instance
• Revision för SQL Server