你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

创建配置了用户分配的托管标识和客户托管的 TDE 的服务器

项目
01/15/2025

适用于：Azure SQL 数据库

本操作指南概述了在 Azure 中创建逻辑服务器的步骤，该逻辑服务器配置了透明数据加密 (TDE) 和客户管理密钥 (CMK)，使用用户分配的托管标识来访问 Azure Key Vault。

注意

Microsoft Entra ID 以前称为 Azure Active Directory (Azure AD)。

先决条件

本操作指南假定你已创建 Azure Key Vault 并将密钥导入其中以用作 Azure SQL 数据库的 TDE 保护器。有关详细信息，请参阅支持 BYOK 的透明数据加密。
必须在密钥保管库上启用软删除和清除保护
必须已创建用户分配的托管标识并为其提供上述密钥保管库所需的 TDE 权限（Get、Wrap Key、Unwrap Key）。若要创建用户分配的托管标识，请参阅创建用户分配的托管标识。
必须安装并运行 Azure PowerShell。
[推荐但仅为可选] 先在硬件安全模块 (HSM) 或本地密钥存储中创建 TDE 保护器的密钥材料，然后将密钥材料导入到 Azure Key Vault。按硬件安全模块 (HSM) 和 Key Vault 的使用说明操作，以便了解详细信息。

使用客户管理的密钥 (CMK) 创建配置了 TDE 的服务器

以下步骤概述了创建新 Azure SQL 数据库逻辑服务器和新数据库（分配了用户分配的托管标识）的过程。要在创建服务器时为 TDE 配置客户管理的密钥，需要用户分配的托管标识。

浏览到 Azure 门户中的选择 SQL 部署选项页。
如果你尚未登录到 Azure 门户，请按提示登录。
在“SQL 数据库”下将“资源类型”设置保留为“单一数据库”，然后选择“创建” 。
在“创建 SQL 数据库”窗体的“基本信息”选项卡上的“项目详细信息”下，选择所需的 Azure订阅。
对于“资源组”，请选择“新建”，输入资源组的名称，然后选择“确定” 。
对于“数据库名称”，请输入。
对于“服务器”，选择“新建”，并使用以下值填写“新服务器”窗体：
- 服务器名称：输入唯一的服务器名称。对于 Azure 中的所有服务器，服务器名称必须全局唯一，而不只是在订阅中唯一。输入类似 mysqlserver135 的值，Azure 门户将告知你的输入内容是否可用。
- 服务器管理员登录名：输入管理员登录名，例如：。
- 密码：输入符合密码要求的密码，然后在“确认密码”字段中再次输入该密码。
- 位置：从下拉列表中选择一个位置
在完成时选择“下一步:网络”。
在“网络”选项卡上，对于“连接方法”，选择“公共终结点” 。
对于“防火墙规则”，将“添加当前客户端 IP 地址”设置为“是” 。将“允许 Azure 服务和资源访问此服务器”设置保留为“否” 。
在页面底部选择“下一步: 安全”。
在“安全”选项卡的“服务器标识”下，选择“配置标识”。
在“标识”窗格上，为“系统分配的托管标识”选择“关闭”，然后在“用户分配的托管标识”下选择“添加”。选择所需的订阅，然后在“用户分配的托管标识”下，从所选订阅中选择所需的用户分配的托管标识。然后选择“添加”按钮。
在“主标识”下面，选择在上一步中选择的相同用户分配的托管标识。
选择“应用”
在“安全”选项卡上的“透明数据加密密钥管理”下，可以选择为服务器或数据库配置透明数据加密。
- 对于“服务器级密钥”：选择“配置透明数据加密”。选择“客户管理的密钥”，此时会显示“选择密钥”的选项。选择“更改密钥”。为要用于 TDE 的客户管理的密钥选择所需的“订阅”、“密钥保管库”、“密钥”和“版本”。选择“选择”按钮。
- 对于“数据库级密钥”：选择“配置透明数据加密”。选择“数据库级别的客户管理密钥”，此时会显示一个配置“数据库标识”和“客户管理密钥”的选项。选择“配置”，为数据库配置“用户分配的托管标识”，类似于步骤 13。选择“更改密钥”以配置“客户管理的密钥”。为要用于 TDE 的客户管理的密钥选择所需的“订阅”、“密钥保管库”、“密钥”和“版本”。还可以选择在“透明数据加密”菜单中启用“自动轮换密钥”。选择“选择”按钮。
选择“应用”
在页面底部选择“查看 + 创建”
在“查看 + 创建”页上，查看后选择“创建”。

有关安装当前版本的 Azure CLI 的信息，请参阅安装 Azure CLI 一文。

使用 az sql server create 命令创建配置有用户分配的托管标识和客户托管的 TDE 的服务器。

az sql server create \
    --name $serverName \
    --resource-group $resourceGroupName \
    --location $location  \
    --admin-user $adminlogin \
    --admin-password $password \
    --assign-identity \
    --identity-type $identitytype \
    --user-assigned-identity-id $identityid \
    --primary-user-assigned-identity-id $primaryidentityid \
    --key-id $keyid

使用 az sql db create 命令创建数据库。

az sql db create \
    --resource-group $resourceGroupName \
    --server $serverName \
    --name mySampleDatabase \
    --sample-name AdventureWorksLT \
    --edition GeneralPurpose \
    --compute-model Serverless \
    --family Gen5 \
    --capacity 2

使用 PowerShell 创建配置了用户分配的托管标识和客户托管的 TDE 的服务器。

有关 Az PowerShell 模块安装说明，请参阅安装 Azure PowerShell。

使用 New-AzSqlServer cmdlet。

替换示例中的以下值：

<ResourceGroupName>：Azure SQL 逻辑服务器的资源组名称
<Location>：服务器的位置，例如 West US 或 Central US
<ServerName>：使用唯一的 Azure SQL 逻辑服务器名称
<ServerAdminName>：SQL 管理员登录名
<ServerAdminPassword>：SQL 管理员密码
<IdentityType>：要分配给服务器的身份类型。可能的值为 SystemAssigned、UserAssigned、SystemAssigned,UserAssigned 和 None
<UserAssignedIdentityId>：要分配给服务器的用户分配的托管标识列表（可以是一个或多个）
<PrimaryUserAssignedIdentityId>：用户分配的托管标识，应用作此服务器上的主要标识或默认标识
<CustomerManagedKeyId>：密钥标识符，可以从密钥保管库中的密钥中检索

若要获取用户分配的托管标识资源 ID，请在 Azure 门户中搜索托管标识。找到你的托管标识，然后转到“属性”。你的 UMI 资源 ID 示例如所示

# create a server with user-assigned managed identity and customer-managed TDE
$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    SqlAdministratorCredentials = (Get-Credential)
    SqlAdministratorLogin = "<ServerAdminName>"
    SqlAdministratorPassword = "<ServerAdminPassword>"
    AssignIdentity = $true
    IdentityType = "<IdentityType>"
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    PrimaryUserAssignedIdentityId = "<PrimaryUserAssignedIdentityId>"
    KeyId = "<CustomerManagedKeyId>"
}

New-AzSqlServer @params

下面是一个 ARM 模板示例，该模板使用用户分配的托管标识和客户管理的 TDE 在 Azure 中创建一个逻辑服务器。该模板还为服务器添加了 Microsoft Entra 管理员集，并启用了仅限 Microsoft Entra 身份验证，但这可以从模板示例中删除。

有关 ARM 模板的详细信息，请参阅 Azure SQL 数据库和 SQL 托管实例的 Azure 资源管理器模板。

使用 Azure 门户中的自定义部署，在编辑器中生成自己的模板。接下来，粘贴到示例中后保存配置。

若要获取用户分配的托管标识资源 ID，请在 Azure 门户中搜索托管标识。找到你的托管标识，然后转到“属性”。你的 UMI 资源 ID 示例如所示。

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "String"
        },
        "location": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity."
            }
        },
        "keyvault_url": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The key vault URI."
            }
        },
        "AdminLogin": {
            "minLength": 1,
            "type": "String"
        },
        "AdminLoginPassword": {
            "type": "SecureString"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "administratorLogin": "[parameters('AdminLogin')]",
                "administratorLoginPassword": "[parameters('AdminLoginPassword')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "KeyId": "[parameters('keyvault_url')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

后续步骤

TDE 的 Azure Key Vault 集成和“创建自己的密钥”支持入门：使用 Key Vault 中的自有密钥启用 TDE。

通过

创建配置了用户分配的托管标识和客户托管的 TDE 的服务器

先决条件

使用客户管理的密钥 (CMK) 创建配置了 TDE 的服务器

后续步骤

反馈

其他资源