Dela via

Konfigurera Azure Key Vault-integrering för SQL Server på virtuella Azure-datorer (Resource Manager)

  • Artikel

gäller för:SQL Server på virtuella Azure-datorer

Det finns flera SQL Server-krypteringsfunktioner, till exempel transparent datakryptering (TDE), kryptering på kolumnnivå (CLE)och kryptering för säkerhetskopiering. Dessa former av kryptering kräver att du hanterar och lagrar de kryptografiska nycklar som du använder för kryptering. Azure Key Vault-tjänsten är utformad för att förbättra säkerheten och hanteringen av dessa nycklar på en säker och högtillgänglig plats. Med SQL Server Connector- kan SQL Server använda dessa nycklar från Azure Key Vault och Azure Key Vault Managed Hardware Security Module (HSM).

Om du kör SQL Server lokalt finns det steg du kan följa för att komma åt Azure Key Vault från din lokala SQL Server-instans. Samma steg gäller för SQL Server på virtuella Azure-datorer, men du kan spara tid med hjälp av funktionen Azure Key Vault-integrering.

Anmärkning

Azure Key Vault-integreringen är endast tillgänglig för enterprise-, utvecklar- och utvärderingsversionerna av SQL Server. Från och med SQL Server 2019 stöds även Standard Edition.

Alla TDE Extensible Key Management (EKM) med Azure Key Vault-konfigurationsåtgärder måste utföras av administratören för SQL Server-datorn och Transact-SQL -kommandon (T-SQL) som utförs av sysadmin. Mer information om hur du konfigurerar TDE EKM med Azure Key Vault finns i Konfigurera SQL Server TDE Extensible Key Management med hjälp av Azure Key Vault.

När den här funktionen är aktiverad installerar den automatiskt SQL Server Connector, konfigurerar EKM-providern för åtkomst till Azure Key Vault och skapar autentiseringsuppgifterna så att du kan komma åt valvet. Om du tittar på stegen i den tidigare nämnda lokala dokumentationen kan du se att den här funktionen automatiserar steg 3, 4 och 5 (upp till 5,4 för att skapa autentiseringsuppgifterna). Kontrollera att tjänstens huvudnamn har skapats (steg 1) och att nyckelvalvet redan har skapats (steg 2) med rätt behörigheter som ges till tjänstens huvudnamn. Se avsnitten om Azure rollbaserad åtkomstkontroll och Vault-åtkomstprincipen för vilka behörigheter som bör användas.

Därifrån automatiseras hela konfigurationen av den virtuella SQL Server-datorn. När den här funktionen har slutfört den här installationen kan du köra Transact-SQL -instruktioner (T-SQL) för att börja kryptera dina databaser eller säkerhetskopior som vanligt.

Anmärkning

Du kan också konfigurera Key Vault-integrering med hjälp av en mall. Mer information finns i Azure-snabbstartsmall för Azure Key Vault-integrering.

SQL Server Connector version 1.0.5.0 installeras på den virtuella SQL Server-datorn via IaaS-tillägget (SQL Infrastructure as a Service). Om du uppgraderar SQL IaaS Agent-tillägget uppdateras inte providerversionen. Överväg att uppgradera SQL Server Connector-versionen manuellt om du har en äldre version installerad (till exempel när du använder en Azure Key Vault Managed HSM, som behöver minst version 15.0.2000.440). Du kan kontrollera SQL Server Connector-versionen med följande T-SQL-fråga:

SELECT name, version from sys.cryptographic_providers

Aktivera och konfigurera Key Vault-integrering

Du kan aktivera Key Vault-integrering under etableringen eller konfigurera den för befintliga virtuella datorer.

Nya virtuella datorer

Om du etablerar en ny virtuell SQL-dator med Resource Manager tillhandahåller Azure-portalen ett sätt att aktivera Azure Key Vault-integrering.

Skärmbild av hur du skapar en SQL Server på en virtuell Azure-dator med Azure Key Vault-integrering i Azure-portalen.

En detaljerad genomgång av etablering finns i Etablera SQL Server på en virtuell Azure-dator (Azure-portalen). Du kan visa parameterlistan och dess beskrivning i Azure Key Vault-integrering.

Befintliga virtuella datorer

För befintliga virtuella SQL-datorer öppnar du resursen för virtuella SQL-datorer, under Securityväljer du Säkerhetskonfiguration. Välj Aktivera för att aktivera Azure Key Vault-integrering.

Följande skärmbild visar hur du aktiverar Azure Key Vault i portalen för en befintlig SQL Server på en virtuell Azure-dator:

Skärmbild av en befintlig SQL Server på Azure VM Key Vault-integreringsinställningar i Azure-portalen.

När du är klar väljer du knappen Använd längst ned på sidan Säkerhet för att spara ändringarna.

Anmärkning

Namnet på autentiseringsuppgifterna som vi skapade här mappas till en SQL-inloggning senare. Detta gör att SQL-inloggningen kan komma åt nyckelvalvet. Det manuella steget för att skapa en autentiseringsuppgift beskrivs i steg 5.4 i Konfigurera SQL Server TDE Extensible Key Management med hjälp av Azure Key Vault, men du måste använda ALTER LOGIN och lägga till autentiseringsuppgifterna i inloggningen som du skapade.

ALTER LOGIN [login_name] ADD CREDENTIAL [credential_name];

Fortsätt med steg 5.5 från Konfigurera SQL Server TDE Extensible Key Management med hjälp av Azure Key Vault för att slutföra EKM-installationen.

Relaterat innehåll