Skapa en server som är konfigurerad med en användartilldelad hanterad identitet och en kundhanterad nyckel (CMK) för flera hyresgäster för TDE

gäller för:Azure SQL Database

I den här guiden går vi igenom stegen för att skapa en Azure SQL logisk server med transparent datakryptering (TDE) och kundhanterade nycklar (CMK), med hjälp av en användartilldelad hanterad identitet för att få åtkomst till en Azure Key Vault- i en annan Microsoft Entra-klientorganisation än den logiska serverns klientorganisation. För mer information, se kundhanterade nycklar som delas mellan klientorganisationer med transparent datakryptering.

Not

Microsoft Entra ID tidigare kallades Azure Active Directory (Azure AD).

Förutsättningar

• Den här guiden förutsätter att du har två Microsoft Entra-klienter.
  • Den första innehåller Azure SQL Database-resursen, ett Microsoft Entra-program med flera klientorganisationer och en användartilldelad hanterad identitet.
  • Den andra hyresgästen rymmer Azure Key Vault.
• Omfattande anvisningar om hur du konfigurerar CMK för flera klientorganisationer och de RBAC-behörigheter som krävs för att konfigurera Microsoft Entra-program och Azure Key Vault finns i någon av följande guider:
  • Konfigurera tvärgående klienthanterade nycklar för ett nytt lagringskonto
  • Konfigurera kundhanterade nycklar mellan klientorganisationer för ett befintligt lagringskonto

Nödvändiga resurser för den första hyresgästen

I denna handledning förutsätter vi att den första hyresgästen tillhör en oberoende programvaruleverantör (ISV) och att den andra hyresgästen är från deras klient. Mer information om det här scenariot finns i kundhanterade nycklar mellan klientorganisationer med transparent datakryptering.

Innan vi kan konfigurera TDE för Azure SQL Database med en CMK för flera klientorganisationer måste vi ha ett Microsoft Entra-program med flera klienter som har konfigurerats med en användartilldelad hanterad identitet tilldelad som en federerad identitetsautentiseringsuppgift för programmet. Följ en av guiderna i avsnittet Förutsättningar.

1. I den första klientorganisationen där du vill skapa Azure SQL Database skapa och konfigurera ett Microsoft Entra-program med flera klienter

2. Skapa en användartilldelad hanterad identitet

3. Konfigurera den användartilldelade hanterade identiteten som en federerad identitetsreferens för flertenantapplikationen

4. Registrera programnamnet och program-ID:t. Detta finns i Azure-portalen>Microsoft Entra ID>Enterprise-appar och sök efter det skapade programmet

Nödvändiga resurser hos den andra klientorganisationen

Not

Azure AD- och MSOnline PowerShell-moduler är inaktuella från och med den 30 mars 2024. Mer information finns i utfasningsuppdatering. Efter det här datumet är stödet för dessa moduler begränsat till migreringshjälp till Microsoft Graph PowerShell SDK och säkerhetskorrigeringar. De inaktuella modulerna fortsätter att fungera till och med mars 30 2025.

Vi rekommenderar att du migrerar till Microsoft Graph PowerShell- för att interagera med Microsoft Entra-ID (tidigare Azure AD). För vanliga migreringsfrågor, se Migrering FAQ. Obs! version 1.0.x av MSOnline kan uppleva störningar efter den 30 juni 2024.

1. På den andra klientorganisationen där Azure Key Vault finns skapa ett tjänsthuvudnamn (program) med hjälp av program-ID:t från det registrerade programmet från den första klientorganisationen. Här är några exempel på hur du registrerar programmet för flera klientorganisationer. Ersätt <TenantID> och <ApplicationID> med klient-ID Tenant ID från Microsoft Entra-ID och med program-ID Application ID från många klienters applikation:

   • PowerShell:

     Connect-AzureAD -TenantID <TenantID>
     New-AzADServicePrincipal  -ApplicationId <ApplicationID>
     

   • Azure CLI-:

     az login --tenant <TenantID>
     az ad sp create --id <ApplicationID>
     

2. Gå till Azure-portalen>Microsoft Entra ID>Enterprise-applikationer och sök efter programmet som just skapades.

3. Skapa en Azure Key Vault- om du inte har en och skapa en nyckel

4. Skapa eller ange åtkomstprincipen.

   1. Välj behörigheterna Get, Wrap Key, Unwrap Key under Key-behörigheter när du skapar åtkomstpolicyn
   2. Välj multitenant-applikationen som skapades i det första steget under Principal vid skapandet av åtkomstprincipen.

   

5. När åtkomstprincipen och nyckeln har skapats Hämta nyckeln från Key Vault och registrera nyckelidentifierare

Skapa en server konfigurerad med TDE och en kundhanterad nyckel som fungerar över flera klientorganisationer (CMK)

Den här guiden beskriver hur du skapar en logisk server och databas i Azure SQL med en användartilldelad hanterad identitet samt hur du anger en kundhanterad nyckel för flera klientorganisationer. Den användartilldelade hanterade identiteten är ett måste för att konfigurera en kundhanterad nyckel för transparent datakryptering under fasen för att skapa servern.

Viktig

Användaren eller programmet som använder API:er för att skapa logiska SQL-servrar behöver SQL Server-bidragsgivare och Hanterad Identitetsoperator RBAC-roller eller högre på prenumerationen.

Portal

1. Bläddra till alternativsidan Välj SQL-distribution i Azure-portalen.

2. Om du inte redan är inloggad på Azure-portalen loggar du in när du uppmanas att göra det.

3. Under SQL-databaserlåter du resurstyp vara inställd på Enkel databasoch väljer Skapa.

4. På fliken Grundläggande i formuläret Skapa SQL Database går du till Projektinformationoch väljer önskad Azure -prenumeration.

5. För Resursgruppväljer du Skapa ny, anger ett namn för resursgruppen och väljer OK.

6. För databasnamn anger ett databasnamn. Till exempel ContosoHR.

7. För Serverväljer du Skapa nyoch fyller i formuläret Ny server med följande värden:

   • Servernamn: Ange ett unikt servernamn. Servernamn måste vara globalt unika för alla servrar i Azure, inte bara unika i en prenumeration. Ange något i stil med mysqlserver135, så meddelar Azure-portalen dig om det är tillgängligt eller inte.
   • Inloggning för serveradministratör: Ange ett inloggningsnamn för administratör, till exempel: azureuser.
   • Lösenord: Ange ett lösenord som uppfyller lösenordskraven och ange det igen i fältet Bekräfta lösenord.
   • Plats: Välj en plats i listrutan

8. Välj Nästa: Nätverk längst ned på sidan.

9. På fliken Nätverk väljer du offentlig slutpunktför Anslutningsmetod.

10. För brandväggsregleranger du Lägg till aktuell klient-IP-adress till Ja. Låt Tillåt att Azure-tjänster och resurser får åtkomst till den här servern anges till Nej. Resten av valen på den här sidan kan lämnas som standard.

    

11. Välj Nästa: Säkerhets längst ned på sidan.

12. På fliken Säkerhet går du till Identityoch väljer Konfigurera identiteter.

    

13. På menyn Identity väljer du Av för Systemtilldelad hanterad identitet och väljer sedan Lägg till under Användartilldelad hanterad identitet. Välj önskad Prenumeration och under Användartilldelade hanterade identiteterväljer du önskad användartilldelad hanterad identitet från den valda prenumerationen. Välj sedan knappen Lägg till.

14. Under Primär identitetväljer du samma användartilldelade hanterade identitet som valdes i föregående steg.

    

15. För federerad klientidentitetväljer du alternativet Ändra identitet och söker efter den multitenant applikation du skapade i Förutsättningar.

    

    Not

    Om programmet för flera klienter inte har lagts till i åtkomstprincipen för nyckelvalvet med de nödvändiga behörigheterna (Hämta, Omsluta nyckel, Packa upp nyckel), kommer ett felmeddelande att visas när programmet används för identitetsfederation i Azure-portalen. Kontrollera att behörigheterna är korrekt konfigurerade innan du konfigurerar den federerade klientidentiteten.

16. Välj Tillämpa

17. På fliken Säkerhet under Transparent datakrypteringväljer du Konfigurera transparent datakryptering. Välj kundhanterad nyckeloch ett alternativ för att Ange en nyckelidentifierare visas. Lägg till nyckelidentifierare hämtad från nyckeln i den andra klientorganisationen.

    

18. Välj Tillämpa

19. Välj Granska + skapa längst ned på sidan

20. På sidan Granska + skapa, efter granskning, väljer du Skapa.

Azure CLI-

Information om hur du installerar den aktuella versionen av Azure CLI finns i artikeln Installera Azure CLI.

Skapa en server med hjälp av kommandot az sql server create, konfigurerad med användartilldelad hanterad identitet och kundadministrerad TDE över klientorganisationer. nyckel-ID från den andra klienten kan användas i fältet key-id. Program-ID:t för multitenant-applikationen kan användas i fältet federated-client-id.

az sql server create \
    --name $serverName \
    --resource-group $resourceGroupName \
    --location $location  \
    --admin-user $adminlogin \
    --admin-password $password \
    --assign-identity \
    --identity-type $identitytype \
    --user-assigned-identity-id $identityid \
    --primary-user-assigned-identity-id $primaryidentityid \
    --key-id $keyid \
    --federated-client-id $federatedid
 

Skapa en databas med kommandot az sql db create.

az sql db create \
    --resource-group $resourceGroupName \
    --server $serverName \
    --name mySampleDatabase \
    --sample-name AdventureWorksLT \
    --edition GeneralPurpose \
    --compute-model Serverless \
    --family Gen5 \
    --capacity 2

PowerShell

Skapa en server som konfigurerats med användartilldelad hanterad identitet och kundhanterad TDE mellan klientorganisationer med hjälp av PowerShell.

Installationsinstruktioner för Az PowerShell-moduler finns i Installera Azure PowerShell.

Använd cmdleten New-AzSqlServer.

Ersätt följande värden i exemplet:

• <ResourceGroupName>: Namnet på resursgruppen för din logiska Azure SQL-server
• <Location>: Plats för servern, till exempel West USeller Central US
• <ServerName>: Använd ett unikt namn på den logiska Azure SQL-servern
• <ServerAdminName>: SQL-administratörsinloggningen
• <ServerAdminPassword>: SQL-administratörslösenordet
• <IdentityType>: Typ av identitet som ska tilldelas till servern. Möjliga värden är SystemAssigned, UserAssigned, SystemAssigned,UserAssigned och None
• <UserAssignedIdentityId>: Listan över användartilldelade hanterade identiteter som ska tilldelas till servern (kan vara en eller flera)
• <PrimaryUserAssignedIdentityId>: Den användartilldelade hanterade identiteten som ska användas som primär eller standard på den här servern
• <CustomerManagedKeyId>: -nyckelidentifieraren från den andra klientnyckelvalvet
• <FederatedClientId>: program-ID för programmet för flera klientorganisationer

Om du vill hämta din användartilldelade hanterade identitet resurs-IDsöker du efter Hanterade Identiteter i Azure-Portalen. Hitta din hanterade identitet och gå till Egenskaper. Ett exempel på ditt resurs-ID för UMI ser ut som /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>

# create a server with user-assigned managed identity and cross-tenant customer-managed TDE
$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    SqlAdministratorCredentials = (Get-Credential)
    SqlAdministratorLogin = "<ServerAdminName>"
    SqlAdministratorPassword = "<ServerAdminPassword>"
    AssignIdentity = $true
    IdentityType = "<IdentityType>"
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    PrimaryUserAssignedIdentityId = "<PrimaryUserAssignedIdentityId>"
    KeyId = "<CustomerManagedKeyId>"
    FederatedClientId = "<FederatedClientId>"
}

New-AzSqlServer @params

ARM-mall

Här är ett exempel på en ARM-mall som skapar en logisk Azure SQL-server med en användartilldelad hanterad identitet och kundhanterad TDE. För en CMK för flera klientorganisationer använder du Nyckelidentifierare från den andra klientorganisationens nyckelvalv och applikations-ID från programmet för flera klienter.

Mallen lägger också till en Microsoft Entra-administratörsuppsättning för servern och aktiverar Microsoft Entra-endast autentisering, men detta kan tas bort från mallexemplet.

Mer information och ARM-mallar finns i Azure Resource Manager-mallar för Azure SQL Database & SQL Managed Instance.

Använd en anpassad distribution i Azure-portalenoch Skapa en egen mall i redigeraren. Sedan Spara konfigurationen efter att du har klistrat in den i exemplet.

Om du vill hämta din användartilldelade hanterade identitet resurs-IDsöker du efter Hanterade Identiteter i Azure-Portalen. Hitta din hanterade identitet och gå till Egenskaper. Ett exempel på ditt UMI-resurs-ID ser ut som /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "String"
        },
        "location": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity."
            }
        },
        "federated_clientid": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Application ID of the multi-tenant application."
            }
        },
        "keyvault_url": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The key vault URI."
            }
        },
        "AdminLogin": {
            "minLength": 1,
            "type": "String"
        },
        "AdminLoginPassword": {
            "type": "SecureString"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2022-05-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "administratorLogin": "[parameters('AdminLogin')]",
                "administratorLoginPassword": "[parameters('AdminLoginPassword')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "federatedClientId": "[parameters('federated_clientid')]",
                "KeyId": "[parameters('keyvault_url')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Nästa steg

• Kom igång med Azure Key Vault-integrering och stöd för Bring Your Own Key för TDE: Aktivera TDE med din egen nyckel från Key Vault
• Kundhanterade nycklar mellan hyresgäster med transparent datakryptering

Se även

• Transparent datakryptering (TDE) med kundhanterade nycklar på databasnivå
• Konfigurera geo-replikering och återställning av säkerhetskopior för transparent datakryptering med kundhanterade nycklar på databasnivå
• identitets- och nyckelhantering för TDE med kundhanterade nycklar på databasnivå