Förbättring: Stöd för Microsoft Entra-hanterad identitet för säkerhetskopiering och återställning av databasåtgärder och för EKM med AKV i SQL Server på virtuella Azure-datorer

• Gäller för:

  SQL Server 2022 on Azure VM (Windows only)

Symptom

SQL Server-instansen kan sluta svara om du kör en säkerhetskopierings- eller återställningsåtgärd till Azure Storage eller använder Extensible Key Management (EKM) med Azure Key Vault (AKV) med autentiseringsuppgifter på servernivå med hanterade identiteter. Även om den här åtgärden inte stöds för SQL Server 2022 tillåter den aktuella T-SQL-syntaxen det.

Åtgärd

Det här problemet åtgärdas i följande kumulativa uppdatering för SQL Server på virtuella Azure-datorer (VM):

Kumulativ uppdatering 17 för SQL Server 2022

I SQL Server 2022 CU17 och senare versioner har Microsoft Entra hanterad identitetsautentisering med SQL Server på Azure Windows endast virtuella datorer stöd för autentiseringsuppgifter på servernivå för säkerhetskopiering och återställning av databaser till Azure Storage och för EKM med AKV.

För att aktivera stöd för hanterad identitet för säkerhetskopiering eller återställning av databasåtgärder för SQL Server på virtuella Azure Windows-datorer krävs följande steg:

1. Tilldela den primära hanterade identiteten för SQL Server på virtuella Azure Windows-datorer.
2. Skapa eller använda Azure Storage med en blobcontainer.
3. Tilldela rollbaserade åtkomstkontrollroller (RBAC) för den primära hanterade identiteten för åtkomst till Azure Storage.
4. Kör T-SQL-kommandot CREATE CREDENTIAL med -satsen med WITH IDENTITY = 'Managed Identity' hjälp av Azure Storage-URL:en som ett autentiseringsnamn.
5. Kör T-SQL-kommandot BACKUP DATABASE eller RESTORE DATABASE med hjälp av Azure Storage-URL:en.

-- Create credential with managed identity and credential name set to
-- URL= https://<storageaccountname>.blob.core.windows.net/<container>   
CREATE CREDENTIAL [https://<storageaccountname>.blob.core.windows.net/<container>]  
 WITH IDENTITY = 'Managed Identity'  
-- Backup the database mydb to URL 
BACKUP DATABASE mydb 
 TO URL = 'https://<storageaccount>.blob.core.windows.net/<container>/mydb.bak'  
-- Restore the database mydb1 from URL
RESTORE DATABASE mydb1  
 FROM URL ='https://<storageaccount>.blob.core.windows.net/<container>/mydb.bak'  

Mer information finns i Säkerhetskopiera och återställa till URL med hanterade identiteter.

För att aktivera stöd för hanterad identitet för EKM med AKV för SQL Server på virtuella Azure Windows-datorer krävs följande steg:

1. Tilldela den primära hanterade identiteten för SQL Server på virtuella Azure Windows-datorer.
2. Skapa eller använd ett nyckelvalv.
3. Tilldela rollbaserade åtkomstkontrollroller (RBAC) för den primära hanterade identiteten för åtkomst till AKV.
4. Ladda ned den senaste SQL Server-anslutning för Microsoft Azure Key Vault (version 1.0.5.0 (november 2024) eller senare versioner). Den senaste versionen av SQL Server Connector krävs för att stödja den hanterade identiteten.
5. Kör T-SQL-kommandot CREATE CREDENTIAL med -satsen med WITH IDENTITY = 'Managed Identity' hjälp av AKV-sökvägen som ett autentiseringsnamn.

-- Create credential with managed identity and the credential name for the AKV called 'contoso'
-- with the AKV path = 'contoso.vault.azure.net'  
CREATE CREDENTIAL [contoso.vault.azure.net]  
 WITH IDENTITY = 'Managed Identity'  
 FOR CRYPTOGRAPHIC PROVIDER AzureKeyVault_EKM_Prov 

6. Kör resten av T-SQL-installationen av EKM med AKV.

Mer information finns i Stöd för hanterad identitet för utökningsbar nyckelhantering med Azure Key Vault.

Kommentar

• Spårningsflagga 4675, inaktiverad som standard, tillåter felsökning av autentiseringsuppgifter på servernivå och kan användas för att bekräfta den primära hanterade identiteten som har tilldelats TILL SQL Server-instansen.
• Stöd för hanterad identitet introducerar inte någon T-SQL-syntax eller ändringar i systemvyn, eftersom den här funktionen redan finns för Azure SQL Managed Instance.
• Hanterade identiteter stöds inte för autentiseringsuppgifter på servernivå lokalt på SQL Server. När du oavsiktligt används med säkerhetskopiering eller återställning till Azure Storage eller EKM med AKV visas felmeddelandet "Den primära hanterade identiteten har inte angetts för servern..." och hänvisas till den offentliga dokumentationen.

Om kumulativa uppdateringar för SQL Server

Varje ny kumulativ uppdatering för SQL Server innehåller alla snabbkorrigeringar och säkerhetskorrigeringar som fanns i föregående version. Vi rekommenderar att du installerar den senaste versionen för din version av SQL Server:

Senaste kumulativa uppdateringen för SQL Server 2022

Status

Microsoft har bekräftat att det är ett problem i de Microsoft-produkter som listas i avsnittet "Gäller för".

Referenser

• Konfigurera hanterade identiteter på virtuella Azure-datorer (VM)
• Aktivera Microsoft Entra-autentisering för SQL Server på virtuella Azure-datorer
• Skapa autentiseringsuppgift (Transact-SQL)
• Säkerhetskopiera och återställa till URL med hanterade identiteter
• Stöd för hanterad identitet för utökningsbar nyckelhantering med Azure Key Vault
• DBCC TRACEON – Spårningsflaggor (Transact-SQL)