TDE CMK på databasnivå är tillgängligt för Azure SQL Database (alla SQL Database-utgåvor). Den är inte tillgänglig för Azure SQL Managed Instance, SQL Server lokalt, virtuella Azure-datorer och Azure Synapse Analytics (dedikerade SQL-pooler (tidigare SQL DW)).
Den här guiden förutsätter att du har två Microsoft Entra-klienter.
Den första består av Azure SQL Database-resursen, ett Microsoft Entra-program med flera klientorganisationer och en användartilldelad hanterad identitet.
Den andra klientorganisationen rymmer Azure Key Vault.
Omfattande anvisningar om hur du konfigurerar CMK för flera klientorganisationer och de RBAC-behörigheter som krävs för att konfigurera Microsoft Entra-program och Azure Key Vault finns i någon av följande guider:
DE RBAC-behörigheter som krävs för CMK på databasnivå är samma behörigheter som krävs för CMK på servernivå. Mer specifikt gäller samma RBAC-behörigheter som gäller när du använder Azure Key Vault, hanterade identiteter och CMK för flera klientorganisationer för TDE på servernivå på databasnivå. Mer information om nyckelhantering och åtkomstprincip finns i Nyckelhantering.
Nödvändiga resurser för den första klientorganisationen
Innan vi kan konfigurera TDE för Azure SQL Database med en CMK för flera klientorganisationer måste vi ha ett Microsoft Entra-program med flera klientorganisationer som har konfigurerats med en användartilldelad hanterad identitet tilldelad som en federerad identitetsautentiseringsuppgift för programmet. Följ någon av guiderna i Förutsättningar.
Registrera programnamnet och program-ID:t. Detta finns i Microsoft Entra ID>Enterprise-program i Azure-portalen>och sök efter det skapade programmet.
Nödvändiga resurser i den andra klientorganisationen
På den andra klientorganisationen där Azure Key Vault finns skapar du ett huvudnamn för tjänsten (programmet) med hjälp av program-ID:t från det registrerade programmet från den första klientorganisationen. Här är några exempel på hur du registrerar programmet för flera klientorganisationer. Ersätt <TenantID> och <ApplicationID> med klientorganisations-ID :t från Microsoft Entra-ID och program-ID från programmet för flera klientorganisationer:
Skapa en ny Azure SQL Database med kundhanterade nycklar på databasnivå
Följande är exempel på hur du skapar en databas i Azure SQL Database med en användartilldelad hanterad identitet och hur du anger en kundhanterad nyckel mellan klientorganisationer på databasnivå. Den användartilldelade hanterade identiteten krävs för att konfigurera en kundhanterad nyckel för transparent datakryptering under fasen för att skapa databasen.
Om du inte redan är inloggad på Azure-portalen loggar du in när du uppmanas att göra det.
Under SQL-databaser lämnar du Resurstyp inställd på Enskild databas och väljer Skapa.
På fliken Grundläggande i formuläret Skapa SQL Database går du till Projektinformation och väljer önskad Azure-prenumeration, resursgrupp och server för databasen. Använd sedan ett unikt namn för databasnamnet. Om du inte har skapat en logisk server för Azure SQL Database kan du läsa Skapa server som konfigurerats med TDE med kundhanterad nyckel (CMK) för flera klientorganisationer.
När du kommer till fliken Säkerhet väljer du Konfigurera transparent datakryptering.
På menyn Transparent datakryptering väljer du Kundhanterad nyckel på databasnivå (CMK).
För Användartilldelad hanterad identitet väljer du Konfigurera för att aktivera en databasidentitet och Lägg till en användartilldelad hanterad identitet till resursen om en önskad identitet inte finns med på identitetsmenyn . Välj därefter Tillämpa.
På menyn Transparent datakryptering väljer du Ändra nyckel. Välj önskad prenumeration, nyckelvalv, nyckel och version för den kundhanterade nyckel som ska användas för TDE. Välj knappen Välj. När du har valt en nyckel kan du också lägga till ytterligare databasnycklar efter behov med hjälp av Azure Key Vault URI (objektidentifierare) på menyn Transparent datakryptering .
Automatisk nyckelrotation kan också aktiveras på databasnivå med hjälp av kryssrutan Rotera nyckel automatiskt på menyn Transparent datakryptering .
Välj Använd för att fortsätta skapa databasen.
Välj Granska + skapa längst ned på sidan
På sidan Granska + skapa väljer du Skapa när du har granskat.
Kommentar
Det går inte att skapa databasen om den användartilldelade hanterade identiteten inte har rätt behörigheter aktiverade i nyckelvalvet. Den användartilldelade hanterade identiteten behöver behörigheterna Hämta, wrapKey och unwrapKey i nyckelvalvet. Mer information finns i Hanterade identiteter för transparent datakryptering med kundhanterad nyckel.
Skapa en databas som konfigurerats med användartilldelad hanterad identitet och kundhanterad TDE mellan klientorganisationer med hjälp av kommandot az sql db create . Nyckelidentifieraren från den andra klientorganisationen kan användas i fältet encryption-protector . Program-ID för programmet för flera klientorganisationer kan användas i fältet federated-client-id . Parametern --encryption-protector-auto-rotation kan användas för att aktivera automatisk nyckelrotation på databasnivå.
Om du vill hämta ditt användartilldelade resurs-ID för hanterad identitet söker du efter hanterade identiteter i Azure-portalen. Hitta din hanterade identitet och gå till Egenskaper. Ett exempel på ditt UMI-resurs-ID ser ut som/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>
Skapa en databas som konfigurerats med användartilldelad hanterad identitet och kundhanterad TDE för flera klientorganisationer på databasnivå med hjälp av PowerShell.
<ResourceGroupName>: Namnet på resursgruppen för din logiska Azure SQL-server
<DatabaseName>: Använd ett unikt Azure SQL-databasnamn
<ServerName>: Använd ett unikt namn på den logiska Azure SQL-servern
<UserAssignedIdentityId>: Listan över användartilldelade hanterade identiteter som ska tilldelas till servern (kan vara en eller flera)
<CustomerManagedKeyId>: Nyckelidentifieraren från den andra klientorganisationens Key Vault
<FederatedClientId>: Program-ID för programmet för flera klientorganisationer
-EncryptionProtectorAutoRotation: Kan användas för att aktivera automatisk nyckelrotation på databasnivå
Om du vill hämta ditt användartilldelade resurs-ID för hanterad identitet söker du efter hanterade identiteter i Azure-portalen. Hitta din hanterade identitet och gå till Egenskaper. Ett exempel på ditt UMI-resurs-ID ser ut som/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>
# create a server with user-assigned managed identity and cross-tenant customer-managed TDE with automatic key rotation enabled
$params = @{
ResourceGroupName = '<ResourceGroupName>'
ServerName = '<ServerName>'
DatabaseName = '<DatabaseName>'
AssignIdentity = $true
UserAssignedIdentityId = '<UserAssignedIdentityId>'
EncryptionProtector = '<CustomerManagedKeyId>'
FederatedClientId = '<FederatedClientId>'
EncryptionProtectorAutoRotation = $true
}
New-AzSqlDatabase @params
Här är ett exempel på en ARM-mall som skapar en Azure SQL Database med en användartilldelad hanterad identitet och kundhanterad TDE på databasnivå. För en CMK för flera klientorganisationer använder du nyckelidentifieraren från det andra nyckelvalvet för klientorganisationen och program-ID:t från programmet för flera klientorganisationer.
Använd en anpassad distribution i Azure-portalen och Skapa en egen mall i redigeringsprogrammet. Spara sedan konfigurationen när du klistrade in i exemplet.
Om du vill hämta ditt användartilldelade resurs-ID för hanterad identitet söker du efter hanterade identiteter i Azure-portalen. Hitta din hanterade identitet och gå till Egenskaper. Ett exempel på ditt UMI-resurs-ID ser ut som /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>.
Uppdatera en befintlig Azure SQL Database med kundhanterade nycklar på databasnivå
Följande är exempel på hur du uppdaterar en befintlig databas i Azure SQL Database med en användartilldelad hanterad identitet och hur du anger en kundhanterad nyckel mellan klientorganisationer på databasnivå. Den användartilldelade hanterade identiteten krävs för att konfigurera en kundhanterad nyckel för transparent datakryptering under fasen för att skapa databasen.
I Azure-portalen går du till den SQL-databasresurs som du vill uppdatera med en kundhanterad nyckel på databasnivå.
Under Säkerhet väljer du Identitet. Lägg till en användartilldelad hanterad identitet för den här databasen och välj sedan Spara
Gå nu till menyn Datakryptering under Säkerhet för databasen. Välj Kundhanterad nyckel på databasnivå (CMK). Databasidentiteten för databasen bör redan vara Aktiverad eftersom du har konfigurerat identiteten i det senaste steget.
Välj Ändra nyckel. Välj önskad prenumeration, nyckelvalv, nyckel och version för den kundhanterade nyckel som ska användas för TDE. Välj knappen Välj. När du har valt en nyckel kan du också lägga till ytterligare databasnycklar efter behov med hjälp av Azure Key Vault URI (objektidentifierare) på menyn Datakryptering .
Markera kryssrutan Rotera nyckel automatiskt om du vill aktivera automatisk nyckelrotation på databasnivå.
Uppdatera en databas som konfigurerats med användartilldelad hanterad identitet och kundhanterad TDE mellan klientorganisationer med hjälp av kommandot az sql db create . Nyckelidentifieraren från den andra klientorganisationen kan användas i fältet encryption-protector . Program-ID för programmet för flera klientorganisationer kan användas i fältet federated-client-id .
Om du vill hämta ditt användartilldelade resurs-ID för hanterad identitet söker du efter hanterade identiteter i Azure-portalen. Hitta din hanterade identitet och gå till Egenskaper. Ett exempel på ditt UMI-resurs-ID ser ut som /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>. Parametern --encryption-protector-auto-rotation kan användas för att aktivera automatisk nyckelrotation på databasnivå.
Listan $keys är en blankstegsavgränsad lista över nycklar som ska läggas till i databasen och $keysToRemove är en blankstegsavgränsad lista över nycklar som måste tas bort från databasen
Uppdatera en databas som konfigurerats med användartilldelad hanterad identitet och kundhanterad TDE för flera klientorganisationer på databasnivå med hjälp av PowerShell.
<ResourceGroupName>: Namnet på resursgruppen för din logiska Azure SQL-server
<DatabaseName>: Använd ett unikt Azure SQL-databasnamn
<ServerName>: Använd ett unikt namn på den logiska Azure SQL-servern
<UserAssignedIdentityId>: Listan över användartilldelade hanterade identiteter som ska tilldelas till servern (kan vara en eller flera)
<CustomerManagedKeyId>: Nyckelidentifieraren från den andra klientorganisationens Key Vault
<FederatedClientId>: Program-ID för programmet för flera klientorganisationer
<ListOfKeys>: Kommaavgränsad lista över kundhanterade nycklar på databasnivå som ska läggas till i databasen
<ListOfKeysToRemove>: Kommaavgränsad lista över kundhanterade nycklar på databasnivå som ska tas bort från databasen
-EncryptionProtectorAutoRotation: Kan användas för att aktivera automatisk nyckelrotation på databasnivå
Om du vill hämta ditt användartilldelade resurs-ID för hanterad identitet söker du efter hanterade identiteter i Azure-portalen. Hitta din hanterade identitet och gå till Egenskaper. Ett exempel på ditt UMI-resurs-ID ser ut som /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>.
Här är ett exempel på en ARM-mall som uppdaterar en Azure SQL Database med en användartilldelad hanterad identitet och kundhanterad TDE på databasnivå. För en CMK för flera klientorganisationer använder du nyckelidentifieraren från den andra klientnyckelvalvet och program-ID:t från programmet för flera klientorganisationer.
Använd en anpassad distribution i Azure-portalen och Skapa en egen mall i redigeringsprogrammet. Spara sedan konfigurationen när du klistrade in i exemplet.
Om du vill hämta ditt användartilldelade resurs-ID för hanterad identitet söker du efter hanterade identiteter i Azure-portalen. Hitta din hanterade identitet och gå till Egenskaper. Ett exempel på ditt UMI-resurs-ID ser ut som /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>.
Om du vill ta bort en nyckel från databasen måste nyckelns ordlistevärde för en viss nyckel skickas som null. Exempel: "https://yourvault.vault.azure.net/keys/yourkey1/fd021f84a0d94d43b8ef33154bca0000": null
Visa kundhanterade nyckelinställningar på databasnivå i en Azure SQL Database
Följande är exempel på hur du hämtar kundhanterade nycklar på databasnivå för en databas. ARM-resursen Microsoft.Sql/servers/databases visar som standard endast TDE-skyddet och den hanterade identiteten som konfigurerats i databasen. Om du vill expandera den fullständiga listan med nycklar använder du parametern . -ExpandKeyList Dessutom kan filter som och ett tidsvärde (till exempel 2023-01-01) användas för att hämta de aktuella nycklar som -KeysFilter "current" används och nycklar som använts tidigare vid en viss tidpunkt. Dessa filter stöds endast för enskilda databasfrågor och inte för frågor på servernivå.
# Retrieve the basic database level customer-managed key settings from a database
az sql db show --resource-group $resourceGroupName --server $serverName --name mySampleDatabase
# Retrieve the basic database level customer-managed key settings from a database and all the keys ever added
az sql db show --resource-group $resourceGroupName --server $serverName --name mySampleDatabase --expand-keys
# Retrieve the basic database level customer-managed key settings from a database and the current keys in use
az sql db show --resource-group $resourceGroupName --server $serverName --name mySampleDatabase --expand-keys --keys-filter current
# Retrieve the basic database level customer-managed key settings from a database and the keys in use at a particular point in time
az sql db show --resource-group $resourceGroupName --server $serverName --name mySampleDatabase --expand-keys --keys-filter 01-01-2015
# Retrieve all the databases in a server to check which ones are configured with database level customer-managed keys
az sql db list --resource-group $resourceGroupName --server $serverName
# Retrieve the basic database level customer-managed key settings from a database
Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName>
# Retrieve the basic database level customer-managed key settings from a database and all the keys ever added
Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList
# Retrieve the basic database level customer-managed key settings from a database and the current keys in use
Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter "current"
# Retrieve the basic database level customer-managed key settings from a database and the keys in use at a particular point in time
Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter '2023-02-03 00:00:00'
# Retrieve all the databases in a server to check which ones are configured with database level customer-managed keys
Get-AzSqlDatabase -resourceGroupName <ResourceGroupName> -ServerName <ServerName> | Select DatabaseName, EncryptionProtector
Använd REST API för förhandsversionen av 2022-08-01 för Azure SQL Database.
Hämta de grundläggande inställningarna för kundhanterad nyckel på databasnivå från en databas.
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}?api-version=2022-08-01-preview
Hämta de grundläggande inställningarna för kundhanterad nyckel på databasnivå från en databas och alla nycklar som någonsin lagts till
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}?api-version=2022-08-01-preview&$expand=keys
Hämta kundhanterade nyckelinställningar på grundläggande databasnivå från en databas och de aktuella nycklar som används
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}?api-version=2022-08-01-preview&$expand=keys($filter=pointInTime('current'))
Hämta de grundläggande inställningarna för kundhanterad nyckel på databasnivå från en databas och de nycklar som används vid en viss tidpunkt
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}?api-version=2022-08-01-preview&$expand=keys($filter=pointInTime('2023-02-04T01:57:42.49Z'))
Visa en lista över alla nycklar på en logisk server
Om du vill hämta listan över alla nycklar (och inte bara det primära skyddet) som används av varje databas under servern, måste den frågas individuellt med nyckelfiltren. Följande är ett exempel på en PowerShell-fråga för att lista varje nyckel under den logiska servern.
Återskapa kundhanterad nyckel på databasnivå i en Azure SQL Database
Om det finns ett Otillgängligt TDE-skydd enligt beskrivningen i transparent datakryptering (TDE) med CMK kan en omvaliderad nyckelåtgärd användas för att göra databasen tillgänglig när nyckelåtkomsten har korrigerats. Se följande instruktioner eller kommandon för exempel.
Använd Azure-portalen och leta reda på din SQL-databasresurs. När du har valt sql-databasresursen går du till fliken transparent datakryptering på menyn Datakryptering under Säkerhetsinställningar. Om databasen har förlorat åtkomsten till Azure Key Vault visas knappen Omvalidera nyckel och du kan välja att återanvända den befintliga nyckeln genom att välja Försök igen befintlig nyckel eller en annan nyckel genom att välja Välj säkerhetskopia.
Använd REST API för förhandsversionen av 2022-08-01 för Azure SQL Database.
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/encryptionProtector/current/revalidate?api-version=2022-08-01-preview
Återställ kundhanterad nyckel på databasnivå i en Azure SQL Database
En databas som konfigurerats med cmk på databasnivå kan återställas till kryptering på servernivå om servern har konfigurerats med en tjänsthanterad nyckel med hjälp av följande kommandon.
Om du vill återställa inställningen kundhanterad nyckel på databasnivå till krypteringsnyckeln på servernivå i Azure-portalen går du till fliken transparent datakryptering i menyn Datakryptering i SQL-databasresursen. Välj Krypteringsnyckel på servernivå och välj Spara för att spara inställningarna.
Kommentar
För att kunna använda krypteringsnyckelinställningen på servernivå för enskilda databaser måste den logiska servern för Azure SQL Database konfigureras för att använda tjänsthanterad nyckel för TDE.
Använd REST API för förhandsversionen av 2022-08-01 för Azure SQL Database.
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/encryptionProtector/current/revert?api-version=2022-08-01-preview
Nästa steg
Kontrollera följande dokumentation om olika CMK-åtgärder på databasnivå: