你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

创建配置了用户分配的托管标识和客户托管的 TDE 的服务器

适用于:Azure SQL 数据库

本操作指南概述了在 Azure 中创建逻辑服务器的步骤,该逻辑服务器配置了透明数据加密 (TDE) 和客户管理密钥 (CMK),使用用户分配的托管标识来访问 Azure Key Vault

注意

Microsoft Entra ID 以前称为 Azure Active Directory (Azure AD)。

先决条件

使用客户管理的密钥 (CMK) 创建配置了 TDE 的服务器

以下步骤概述了创建新 Azure SQL 数据库逻辑服务器和新数据库(分配了用户分配的托管标识)的过程。 要在创建服务器时为 TDE 配置客户管理的密钥,需要用户分配的托管标识。

  1. 浏览到 Azure 门户中的选择 SQL 部署选项页。

  2. 如果你尚未登录到 Azure 门户,请按提示登录。

  3. 在“SQL 数据库”下将“资源类型”设置保留为“单一数据库”,然后选择“创建” 。

  4. 在“创建 SQL 数据库”窗体的“基本信息”选项卡上的“项目详细信息”下,选择所需的 Azure订阅 。

  5. 对于“资源组”,请选择“新建”,输入资源组的名称,然后选择“确定” 。

  6. 对于“数据库名称”,请输入 ContosoHR

  7. 对于“服务器”,选择“新建”,并使用以下值填写“新服务器”窗体 :

    • 服务器名称:输入唯一的服务器名称。 对于 Azure 中的所有服务器,服务器名称必须全局唯一,而不只是在订阅中唯一。 输入类似 mysqlserver135 的值,Azure 门户将告知你的输入内容是否可用。
    • 服务器管理员登录名:输入管理员登录名,例如:azureuser
    • 密码:输入符合密码要求的密码,然后在“确认密码”字段中再次输入该密码。
    • 位置:从下拉列表中选择一个位置
  8. 在完成时选择“下一步:网络”。

  9. 在“网络”选项卡上,对于“连接方法”,选择“公共终结点” 。

  10. 对于“防火墙规则”,将“添加当前客户端 IP 地址”设置为“是” 。 将“允许 Azure 服务和资源访问此服务器”设置保留为“否” 。

    在 Azure 门户中创建 SQL Server 时的网络设置屏幕截图

  11. 在页面底部选择“下一步: 安全”。

  12. 在“安全”选项卡的“服务器标识”下,选择“配置标识”

    Azure 门户中安全设置和配置标识的屏幕截图。

  13. “标识”窗格上,为“系统分配的托管标识”选择“关闭”,然后在“用户分配的托管标识”下选择“添加”。 选择所需的订阅,然后在“用户分配的托管标识”下,从所选订阅中选择所需的用户分配的托管标识。 然后选择“添加”按钮。

    屏幕截图为配置服务器标识时添加用户分配的托管标识。

    配置服务器标识时用户分配的托管标识的屏幕截图。

  14. 在“主标识”下面,选择在上一步中选择的相同用户分配的托管标识。

    屏幕截图显示为服务器选择主要标识。

  15. 选择“应用”

  16. 在“安全”选项卡上的“透明数据加密密钥管理”下,可以选择为服务器或数据库配置透明数据加密。

    • 对于“服务器级密钥”:选择“配置透明数据加密”。 选择“客户管理的密钥”,此时会显示“选择密钥”的选项。 选择“更改密钥”。 为要用于 TDE 的客户管理的密钥选择所需的“订阅”、“密钥保管库”、“密钥”和“版本”。 选择“选择”按钮 。

    屏幕截图为在 Azure SQL 中为服务器配置 TDE。

    屏幕截图为选择用于 TDE 的键。

    • 对于“数据库级密钥”:选择“配置透明数据加密”。 选择“数据库级别的客户管理密钥”,此时会显示一个配置“数据库标识”“客户管理密钥”的选项。 选择“配置”,为数据库配置“用户分配的托管标识”,类似于步骤 13。 选择“更改密钥”以配置“客户管理的密钥”。 为要用于 TDE 的客户管理的密钥选择所需的“订阅”、“密钥保管库”、“密钥”和“版本”。 还可以选择在“透明数据加密”菜单中启用“自动轮换密钥”。 选择“选择”按钮 。

    屏幕截图为在 Azure SQL 中为数据库配置 TDE。

  17. 选择“应用”

  18. 在页面底部选择“查看 + 创建”

  19. 在“查看 + 创建”页上,查看后选择“创建”。

后续步骤