Skapa server som konfigurerats med användartilldelad hanterad identitet och kundhanterad TDE

gäller för:Azure SQL Database

Den här guiden beskriver stegen för att skapa en logisk -server i Azure konfigurerad med transparent datakryptering (TDE) med kundhanterade nycklar (CMK) med hjälp av en användartilldelad hanterad identitet för åtkomst Azure Key Vault-.

Not

Microsoft Entra ID tidigare kallades Azure Active Directory (Azure AD).

Förutsättningar

• Den här instruktionsguiden förutsätter att du redan har skapat en Azure Key Vault- och importerat en nyckel till den som ska användas som TDE-skydd för Azure SQL Database. För mer information, se transparent datakryptering med BYOK-stöd.
• Skydd mot mjuk borttagning och rensning måste vara aktiverat på nyckelvalvet
• Du måste ha skapat en användartilldelad hanterad identitet och gett den nödvändiga TDE-behörigheter (Hämta, Omsluta nyckel, Packa upp nyckel) i nyckelvalvet ovan. Information om hur du skapar en användartilldelad hanterad identitet finns i Skapa en användartilldelad hanterad identitet.
• Du måste ha Azure PowerShell installerat och igång.
• [Rekommenderat men valfritt] Skapa nyckelmaterialet för TDE-skyddet i en maskinvarusäkerhetsmodul (HSM) eller lokalt nyckelarkiv först och importera nyckelmaterialet till Azure Key Vault. Följ instruktioner för hur du använder en maskinvarusäkerhetsmodul (HSM) och Key Vault- för att lära dig mer.

Skapa en server som konfigurerats med TDE med kundhanterad nyckel (CMK)

Följande steg beskriver processen med att skapa en ny logisk Azure SQL Database-server och en ny databas med en användartilldelad hanterad identitet tilldelad. För att konfigurera en kundhanterad nyckel för TDE vid tiden för serverns skapande krävs den användartilldelade hanterade identiteten.

Portal

1. Bläddra till alternativsidan Välj SQL-distribution i Azure-portalen.

2. Om du inte redan är inloggad på Azure-portalen loggar du in när du uppmanas att göra det.

3. Under SQL-databaserlåter du resurstyp vara inställd på Enkel databasoch väljer Skapa.

4. På fliken Grundläggande i formuläret Skapa SQL Database går du till Projektinformationoch väljer önskad Azure -prenumeration.

5. För Resursgruppväljer du Skapa ny, anger ett namn för resursgruppen och väljer OK.

6. Ange ContosoHRför databasnamn .

7. För Serverväljer du Skapa nyoch fyller i formuläret Ny server med följande värden:

   • Servernamn: Ange ett unikt servernamn. Servernamn måste vara globalt unika för alla servrar i Azure, inte bara unika i en prenumeration. Ange något i stil med mysqlserver135, så meddelar Azure-portalen dig om det är tillgängligt eller inte.
   • Inloggning för serveradministratör: Ange ett inloggningsnamn för administratör, till exempel: azureuser.
   • Lösenord: Ange ett lösenord som uppfyller lösenordskraven och ange det igen i fältet Bekräfta lösenord.
   • Plats: Välj en plats i listrutan

8. Välj Nästa: Nätverk längst ned på sidan.

9. På fliken Nätverk väljer du offentlig slutpunktför Anslutningsmetod.

10. För brandväggsregleranger du Lägg till aktuell klient-IP-adress till Ja. Låt Tillåt att Azure-tjänster och resurser får åtkomst till den här servern anges till Nej.

    

11. Välj Nästa: Säkerhet längst ned på sidan.

12. På fliken Säkerhet under Serveridentitetväljer du Konfigurera identiteter.

    

13. I fönstret Identity väljer du Stäng av för Systemtilldelad hanterad identitet och väljer sedan Lägg till under Användartilldelad hanterad identitet. Välj önskad Prenumeration och under Användartilldelade hanterade identiteterväljer du önskad användartilldelad hanterad identitet från den valda prenumerationen. Välj sedan knappen Lägg till.

    

    

14. Under Primär identitetväljer du samma användartilldelade hanterade identitet som valdes i föregående steg.

    

15. Välj Tillämpa

16. På fliken Säkerhet, under Hantering av transparent datakrypteringsnyckel, har du möjlighet att konfigurera transparent datakryptering för servern eller databasen.

    • För nyckel på servernivå: Välj Konfigurera transparent datakryptering. Välj Customer-Managed Nyckeloch ett alternativ för att välja Välj en nyckel visas. Välj Ändra nyckel. Välj önskad Prenumeration, Key Vault, Keyoch Version för den kundhanterade nyckel som ska användas för TDE. Välj knappen Välj.

    

    

    • För nyckel på databasnivå: Välj Konfigurera transparent datakryptering. Välj databasnivå Customer-Managed Keyoch ett alternativ för att konfigurera Database Identity och Customer-Managed Key visas. Välj Konfigurera för att konfigurera en User-Assigned hanterad identitet för databasen, ungefär som i steg 13. Välj Ändra nyckel för att konfigurera en Customer-Managed nyckel. Välj önskad Prenumeration, Key Vault, Keyoch Version för den kundhanterade nyckel som ska användas för TDE. Du kan också aktivera Auto-rotate-nyckel i menyn Transparent datakryptering. Välj knappen Välj.

    

17. Välj Tillämpa

18. Välj Granska + skapa längst ned på sidan

19. På sidan Granska + skapa, efter att du har granskat, välj Skapa.

Azure CLI-

Information om hur du installerar den aktuella versionen av Azure CLI finns i artikeln Installera Azure CLI.

Skapa en server som är konfigurerad med användartilldelad hanterad identitet och kundhanterad TDE genom att använda kommandot az sql server create.

az sql server create \
    --name $serverName \
    --resource-group $resourceGroupName \
    --location $location  \
    --admin-user $adminlogin \
    --admin-password $password \
    --assign-identity \
    --identity-type $identitytype \
    --user-assigned-identity-id $identityid \
    --primary-user-assigned-identity-id $primaryidentityid \
    --key-id $keyid
 

Skapa en databas med kommandot az sql db create.

az sql db create \
    --resource-group $resourceGroupName \
    --server $serverName \
    --name mySampleDatabase \
    --sample-name AdventureWorksLT \
    --edition GeneralPurpose \
    --compute-model Serverless \
    --family Gen5 \
    --capacity 2

PowerShell

Skapa en server som konfigurerats med användartilldelad hanterad identitet och kundhanterad TDE med hjälp av PowerShell.

Installationsinstruktioner för Az PowerShell-moduler finns i Installera Azure PowerShell.

Använd cmdleten New-AzSqlServer.

Ersätt följande värden i exemplet:

• <ResourceGroupName>: Namnet på resursgruppen för din logiska Azure SQL-server
• <Location>: Plats för servern, till exempel West USeller Central US
• <ServerName>: Använd ett unikt namn på den logiska Azure SQL-servern
• <ServerAdminName>: SQL-administratörsinloggningen
• <ServerAdminPassword>: SQL-administratörslösenordet
• <IdentityType>: Typ av identitet som ska tilldelas till servern. Möjliga värden är SystemAssigned, UserAssigned, SystemAssigned,UserAssigned och None
• <UserAssignedIdentityId>: Listan över användartilldelade hanterade identiteter som ska tilldelas till servern (kan vara en eller flera)
• <PrimaryUserAssignedIdentityId>: Den användartilldelade hanterade identiteten som ska användas som primär eller standard på den här servern
• <CustomerManagedKeyId>: nyckelidentifierare och kan hämtas från nyckeln i Key Vault

Om du vill hämta din användartilldelade hanterade identitet resurs-IDsöker du efter hanterade identiteter i Azure-portalen. Hitta din hanterade identitet och gå till Egenskaper. Ett exempel på ditt resurs-ID för UMI ser ut som /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>

# create a server with user-assigned managed identity and customer-managed TDE
$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    SqlAdministratorCredentials = (Get-Credential)
    SqlAdministratorLogin = "<ServerAdminName>"
    SqlAdministratorPassword = "<ServerAdminPassword>"
    AssignIdentity = $true
    IdentityType = "<IdentityType>"
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    PrimaryUserAssignedIdentityId = "<PrimaryUserAssignedIdentityId>"
    KeyId = "<CustomerManagedKeyId>"
}

New-AzSqlServer @params

ARM Template

Här är ett exempel på en ARM-mall som skapar en logisk server i Azure med en användartilldelad hanterad identitet och kundhanterad TDE. Mallen lägger också till en Microsoft Entra-administratörsuppsättning för servern och aktiverar Microsoft Entra-endast autentisering, men detta kan tas bort från mallexemplet.

Mer information och ARM-mallar finns i Azure Resource Manager-mallar för Azure SQL Database & SQL Managed Instance.

Använd en anpassad distribution i Azure-portalenoch Skapa en egen mall i redigeraren. Nästa, Spara konfigurationen efter att du klistrar in i exemplet.

För att hämta ditt användartilldelade hanterade identitet resurs-ID, söker du efter Hanterade Identiteter i Azure-portalen. Hitta din hanterade identitet och gå till Egenskaper. Ett exempel på ditt UMI-resurs-ID ser ut som /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "String"
        },
        "location": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity."
            }
        },
        "keyvault_url": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The key vault URI."
            }
        },
        "AdminLogin": {
            "minLength": 1,
            "type": "String"
        },
        "AdminLoginPassword": {
            "type": "SecureString"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "administratorLogin": "[parameters('AdminLogin')]",
                "administratorLoginPassword": "[parameters('AdminLoginPassword')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "KeyId": "[parameters('keyvault_url')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Nästa steg

• Kom igång med Azure Key Vault-integrering och stöd för Bring Your Own Key för TDE: Aktivera TDE med din egen nyckel från Key Vault.