Konfiguracja zabezpieczeń podziału scalania

  • Artykuł

Dotyczy:Azure SQL Database

Aby korzystać z usługi Dzielenia/scalania, należy poprawnie skonfigurować zabezpieczenia. Usługa jest częścią funkcji elastycznej skalowania usługi Azure SQL Database. Aby uzyskać więcej informacji, zobacz Elastic Scale Split and Merge Service Tutorial (Samouczek dotyczący dzielenia i scalania w skali elastycznej).

Konfigurowanie certyfikatów

Certyfikaty są konfigurowane na dwa sposoby.

  1. Aby skonfigurować certyfikat TLS/SSL
  2. Aby skonfigurować certyfikaty klienta

Aby uzyskać certyfikaty

Certyfikaty można uzyskać od publicznych urzędów certyfikacji (CA) lub z usługi certyfikatów systemu Windows. Są to preferowane metody uzyskiwania certyfikatów.

Jeśli te opcje nie są dostępne, możesz wygenerować certyfikaty z podpisem własnym.

Narzędzia do generowania certyfikatów

Aby uruchomić narzędzia

Aby skonfigurować certyfikat TLS/SSL

Certyfikat TLS/SSL jest wymagany do szyfrowania komunikacji i uwierzytelniania serwera. Wybierz najbardziej odpowiednie z trzech poniższych scenariuszy i wykonaj wszystkie kroki:

Tworzenie nowego certyfikatu z podpisem własnym

  1. Tworzenie certyfikatu z podpisem własnym
  2. Tworzenie pliku PFX dla certyfikatu TLS/SSL z podpisem własnym
  3. Przekazywanie certyfikatu TLS/SSL do usługi w chmurze
  4. Aktualizowanie certyfikatu TLS/SSL w pliku konfiguracji usługi
  5. Importowanie urzędu certyfikacji TLS/SSL

Aby użyć istniejącego certyfikatu z magazynu certyfikatów

  1. Eksportowanie certyfikatu TLS/SSL z magazynu certyfikatów
  2. Przekazywanie certyfikatu TLS/SSL do usługi w chmurze
  3. Aktualizowanie certyfikatu TLS/SSL w pliku konfiguracji usługi

Aby użyć istniejącego certyfikatu w pliku PFX

  1. Przekazywanie certyfikatu TLS/SSL do usługi w chmurze
  2. Aktualizowanie certyfikatu TLS/SSL w pliku konfiguracji usługi

Aby skonfigurować certyfikaty klienta

Certyfikaty klienta są wymagane do uwierzytelniania żądań w usłudze. Wybierz najbardziej odpowiednie z trzech poniższych scenariuszy i wykonaj wszystkie kroki:

Wyłączanie certyfikatów klienta

  1. Wyłączanie uwierzytelniania opartego na certyfikatach klienta

Wystawianie nowych certyfikatów klienta z podpisem własnym

  1. Tworzenie urzędu certyfikacji z podpisem własnym
  2. Przekazywanie certyfikatu urzędu certyfikacji do usługi w chmurze
  3. Aktualizowanie certyfikatu urzędu certyfikacji w pliku konfiguracji usługi
  4. Wystawianie certyfikatów klienta
  5. Tworzenie plików PFX dla certyfikatów klienta
  6. Importowanie certyfikatu klienta
  7. Kopiowanie odcisków palca certyfikatu klienta
  8. Konfigurowanie dozwolonych klientów w pliku konfiguracji usługi

Używanie istniejących certyfikatów klienta

  1. Znajdowanie klucza publicznego urzędu certyfikacji
  2. Przekazywanie certyfikatu urzędu certyfikacji do usługi w chmurze
  3. Aktualizowanie certyfikatu urzędu certyfikacji w pliku konfiguracji usługi
  4. Kopiowanie odcisków palca certyfikatu klienta
  5. Konfigurowanie dozwolonych klientów w pliku konfiguracji usługi
  6. Konfigurowanie sprawdzania odwołania certyfikatu klienta

Dozwolone adresy IP

Dostęp do punktów końcowych usługi można ograniczyć do określonych zakresów adresów IP.

Aby skonfigurować szyfrowanie dla magazynu

Certyfikat jest wymagany do szyfrowania poświadczeń przechowywanych w magazynie metadanych. Wybierz najbardziej odpowiednie z trzech poniższych scenariuszy i wykonaj wszystkie kroki:

Korzystanie z nowego certyfikatu z podpisem własnym

  1. Tworzenie certyfikatu z podpisem własnym
  2. Tworzenie pliku PFX dla certyfikatu szyfrowania z podpisem własnym
  3. Przekazywanie certyfikatu szyfrowania do usługi w chmurze
  4. Aktualizowanie certyfikatu szyfrowania w pliku konfiguracji usługi

Używanie istniejącego certyfikatu z magazynu certyfikatów

  1. Eksportowanie certyfikatu szyfrowania z magazynu certyfikatów
  2. Przekazywanie certyfikatu szyfrowania do usługi w chmurze
  3. Aktualizowanie certyfikatu szyfrowania w pliku konfiguracji usługi

Używanie istniejącego certyfikatu w pliku PFX

  1. Przekazywanie certyfikatu szyfrowania do usługi w chmurze
  2. Aktualizowanie certyfikatu szyfrowania w pliku konfiguracji usługi

Domyślna konfiguracja

Domyślna konfiguracja odmawia dostępu do punktu końcowego HTTP. Jest to zalecane ustawienie, ponieważ żądania do tych punktów końcowych mogą przenosić poufne informacje, takie jak poświadczenia bazy danych. Domyślna konfiguracja zezwala na dostęp do punktu końcowego HTTPS. To ustawienie może być dodatkowo ograniczone.

Zmienianie konfiguracji

Grupa reguł kontroli dostępu, które mają zastosowanie do punktu końcowego i są konfigurowane w <sekcji EndpointAcls> w pliku konfiguracji usługi.

<EndpointAcls>
    <EndpointAcl role="SplitMergeWeb" endPoint="HttpIn" accessControl="DenyAll" />
    <EndpointAcl role="SplitMergeWeb" endPoint="HttpsIn" accessControl="AllowAll" />
</EndpointAcls>

Reguły w grupie kontroli dostępu są konfigurowane w <sekcji AccessControl name=""> pliku konfiguracji usługi.

Format został wyjaśniony w dokumentacji list kontroli dostępu do sieci. Aby na przykład zezwolić tylko na adresy IP z zakresu 100.100.0.0 do 100.100.255.255 w celu uzyskania dostępu do punktu końcowego HTTPS, reguły będą wyglądać następująco:

<AccessControl name="Retricted">
    <Rule action="permit" description="Some" order="1" remoteSubnet="100.100.0.0/16"/>
    <Rule action="deny" description="None" order="2" remoteSubnet="0.0.0.0/0" />
</AccessControl>
<EndpointAcls>
    <EndpointAcl role="SplitMergeWeb" endPoint="HttpsIn" accessControl="Restricted" />
</EndpointAcls>

Zapobieganie atakom typu "odmowa usługi"

Istnieją dwa różne mechanizmy obsługiwane do wykrywania i zapobiegania atakom typu "odmowa usługi":

  • Ogranicz liczbę współbieżnych żądań na hosta zdalnego (domyślnie wyłączone)
  • Ogranicz szybkość dostępu na hosta zdalnego (domyślnie)

Są one oparte na funkcjach opisanych w artykule Dynamic IP Security in IIS (Zabezpieczenia dynamiczne adresów IP w usługach IIS). Podczas zmiany tej konfiguracji należy pamiętać o następujących czynnikach:

  • Zachowanie serwerów proxy i urządzeń translacji adresów sieciowych za pośrednictwem informacji o hoście zdalnym
  • Każde żądanie do dowolnego zasobu w roli internetowej jest brane pod uwagę (na przykład ładowanie skryptów, obrazów itp.)

Ograniczanie liczby współbieżnych dostępu

Ustawienia, które konfigurują to zachowanie, to:

<Setting name="DynamicIpRestrictionDenyByConcurrentRequests" value="false" />
<Setting name="DynamicIpRestrictionMaxConcurrentRequests" value="20" />

Zmień wartość DynamicIpRestrictionDenyByConcurrentRequests na true, aby włączyć tę ochronę.

Ograniczanie szybkości dostępu

Ustawienia, które konfigurują to zachowanie, to:

<Setting name="DynamicIpRestrictionDenyByRequestRate" value="true" />
<Setting name="DynamicIpRestrictionMaxRequests" value="100" />
<Setting name="DynamicIpRestrictionRequestIntervalInMilliseconds" value="2000" />

Konfigurowanie odpowiedzi na odrzucone żądanie

Następujące ustawienie konfiguruje odpowiedź na odrzucone żądanie:

<Setting name="DynamicIpRestrictionDenyAction" value="AbortRequest" />

Zapoznaj się z dokumentacją dotyczącą zabezpieczeń dynamicznych adresów IP w usługach IIS, aby uzyskać informacje o innych obsługiwanych wartościach.

Operacje konfigurowania certyfikatów usługi

Ten temat dotyczy tylko informacji referencyjnych. Wykonaj kroki konfiguracji opisane w temacie:

  • Konfigurowanie certyfikatu TLS/SSL
  • Konfigurowanie certyfikatów klienta

Tworzenie certyfikatu z podpisem własnym

Wykonaj polecenie:

makecert ^
  -n "CN=myservice.cloudapp.net" ^
  -e MM/DD/YYYY ^
  -r -cy end -sky exchange -eku "1.3.6.1.5.5.7.3.1" ^
  -a sha256 -len 2048 ^
  -sv MySSL.pvk MySSL.cer

Aby dostosować:

  • -n z adresem URL usługi. Obsługiwane są symbole wieloznaczne ("CN=*.cloudapp.net") i alternatywne nazwy ("CN=myservice1.cloudapp.net, CN=myservice2.cloudapp.net").
  • -e z datą wygaśnięcia certyfikatu Utwórz silne hasło i określ je po wyświetleniu monitu.

Tworzenie pliku PFX dla certyfikatu TLS/SSL z podpisem własnym

Wykonaj polecenie:

pvk2pfx -pvk MySSL.pvk -spc MySSL.cer

Wprowadź hasło, a następnie wyeksportuj certyfikat z następującymi opcjami:

  • Tak, wyeksportuj klucz prywatny
  • Eksportuj wszystkie właściwości rozszerzone

Eksportowanie certyfikatu TLS/SSL z magazynu certyfikatów

  • Znajdowanie certyfikatu
  • Kliknij pozycję Akcje —> wszystkie zadania —> Eksportuj...
  • Wyeksportuj certyfikat do elementu . Plik PFX z następującymi opcjami:
    • Tak, wyeksportuj klucz prywatny
    • Uwzględnij wszystkie certyfikaty w ścieżce certyfikacji, jeśli to możliwe *Eksportuj wszystkie właściwości rozszerzone

Przekazywanie certyfikatu TLS/SSL do usługi w chmurze

Przekaż certyfikat przy użyciu istniejącego lub wygenerowanego elementu . Plik PFX z parą kluczy TLS:

  • Wprowadź hasło chroniące informacje o kluczu prywatnym

Aktualizowanie certyfikatu TLS/SSL w pliku konfiguracji usługi

Zaktualizuj wartość odcisku palca następującego ustawienia w pliku konfiguracji usługi odciskiem palca certyfikatu przekazanego do usługi w chmurze:

<Certificate name="SSL" thumbprint="" thumbprintAlgorithm="sha1" />

Importowanie urzędu certyfikacji TLS/SSL

Wykonaj następujące kroki we wszystkich kontach/maszynach, które będą komunikować się z usługą:

  • Kliknij dwukrotnie plik . Plik CER w Eksploratorze Windows
  • W oknie dialogowym Certyfikat kliknij pozycję Zainstaluj certyfikat...
  • Importowanie certyfikatu do magazynu zaufanych głównych urzędów certyfikacji

Wyłączanie uwierzytelniania opartego na certyfikatach klienta

Obsługiwane jest tylko uwierzytelnianie oparte na certyfikatach klienta i wyłączenie go umożliwi publiczny dostęp do punktów końcowych usługi, chyba że istnieją inne mechanizmy (na przykład Microsoft Azure Virtual Network).

Zmień te ustawienia na false w pliku konfiguracji usługi, aby wyłączyć funkcję:

<Setting name="SetupWebAppForClientCertificates" value="false" />
<Setting name="SetupWebserverForClientCertificates" value="false" />

Następnie skopiuj ten sam odcisk palca co certyfikat TLS/SSL w ustawieniu certyfikatu urzędu certyfikacji:

<Certificate name="CA" thumbprint="" thumbprintAlgorithm="sha1" />

Tworzenie urzędu certyfikacji z podpisem własnym

Wykonaj następujące kroki, aby utworzyć certyfikat z podpisem własnym, który będzie działał jako urząd certyfikacji:

makecert ^
-n "CN=MyCA" ^
-e MM/DD/YYYY ^
 -r -cy authority -h 1 ^
 -a sha256 -len 2048 ^
  -sr localmachine -ss my ^
  MyCA.cer

Aby dostosować go

  • -e z datą wygaśnięcia certyfikacji

Znajdowanie klucza publicznego urzędu certyfikacji

Wszystkie certyfikaty klienta muszą zostać wystawione przez urząd certyfikacji zaufany przez usługę. Znajdź klucz publiczny do urzędu certyfikacji, który wystawił certyfikaty klienta, które będą używane do uwierzytelniania w celu przekazania go do usługi w chmurze.

Jeśli plik z kluczem publicznym jest niedostępny, wyeksportuj go z magazynu certyfikatów:

  • Znajdowanie certyfikatu
    • Wyszukaj certyfikat klienta wystawiony przez ten sam urząd certyfikacji
  • Kliknij dwukrotnie certyfikat.
  • Wybierz kartę Ścieżka certyfikacji w oknie dialogowym Certyfikat.
  • Kliknij dwukrotnie wpis urzędu certyfikacji w ścieżce.
  • Zanotuj właściwości certyfikatu.
  • Zamknij okno dialogowe Certyfikat.
  • Znajdowanie certyfikatu
    • Wyszukaj zanotowany powyżej urząd certyfikacji.
  • Kliknij pozycję Akcje —> wszystkie zadania —> Eksportuj...
  • Wyeksportuj certyfikat do elementu . Cer z następującymi opcjami:
    • Nie, nie eksportuj klucza prywatnego
    • Uwzględnij wszystkie certyfikaty w ścieżce certyfikacji, jeśli to możliwe.
    • Eksportuj wszystkie właściwości rozszerzone.

Przekazywanie certyfikatu urzędu certyfikacji do usługi w chmurze

Przekaż certyfikat przy użyciu istniejącego lub wygenerowanego elementu . Plik CER z kluczem publicznym urzędu certyfikacji.

Aktualizowanie certyfikatu urzędu certyfikacji w pliku konfiguracji usługi

Zaktualizuj wartość odcisku palca następującego ustawienia w pliku konfiguracji usługi odciskiem palca certyfikatu przekazanego do usługi w chmurze:

<Certificate name="CA" thumbprint="" thumbprintAlgorithm="sha1" />

Zaktualizuj wartość następującego ustawienia przy użyciu tego samego odcisku palca:

<Setting name="AdditionalTrustedRootCertificationAuthorities" value="" />

Wystawianie certyfikatów klienta

Każda osoba upoważniona do uzyskiwania dostępu do usługi powinna mieć certyfikat klienta wystawiony do wyłącznego użytku i powinien wybrać własne silne hasło, aby chronić swój klucz prywatny.

Następujące kroki należy wykonać na tej samej maszynie, na której został wygenerowany i przechowywany certyfikat urzędu certyfikacji z podpisem własnym:

makecert ^
  -n "CN=My ID" ^
  -e MM/DD/YYYY ^
  -cy end -sky exchange -eku "1.3.6.1.5.5.7.3.2" ^
  -a sha256 -len 2048 ^
  -in "MyCA" -ir localmachine -is my ^
  -sv MyID.pvk MyID.cer

Dostosowywanie:

  • -n z identyfikatorem klienta, który zostanie uwierzytelniony przy użyciu tego certyfikatu
  • -e z datą wygaśnięcia certyfikatu
  • MyID.pvk i MyID.cer z unikatowymi nazwami plików dla tego certyfikatu klienta

To polecenie wyświetli monit o utworzenie hasła, a następnie użyte raz. Użyj silnego hasła.

Tworzenie plików PFX dla certyfikatów klienta

Dla każdego wygenerowanego certyfikatu klienta wykonaj następujące czynności:

pvk2pfx -pvk MyID.pvk -spc MyID.cer

Dostosowywanie:

MyID.pvk and MyID.cer with the filename for the client certificate

Wprowadź hasło, a następnie wyeksportuj certyfikat z następującymi opcjami:

  • Tak, wyeksportuj klucz prywatny
  • Eksportuj wszystkie właściwości rozszerzone
  • Osoba, dla której wystawiany jest ten certyfikat, powinna wybrać hasło eksportu

Importowanie certyfikatu klienta

Każda osoba, dla której wystawiono certyfikat klienta, powinna zaimportować parę kluczy na maszynach, których będą używać do komunikowania się z usługą:

  • Kliknij dwukrotnie plik . Plik PFX w Eksploratorze Windows
  • Zaimportuj certyfikat do magazynu osobistego z co najmniej tą opcją:
    • Uwzględnij wszystkie zaznaczone właściwości rozszerzone

Kopiowanie odcisków palca certyfikatu klienta

Każda osoba, dla której wystawiono certyfikat klienta, musi wykonać następujące kroki, aby uzyskać odcisk palca certyfikatu, który zostanie dodany do pliku konfiguracji usługi:

  • Uruchom plik certmgr.exe
  • Wybieranie karty Osobiste
  • Kliknij dwukrotnie certyfikat klienta, który ma być używany do uwierzytelniania
  • W wyświetlonym oknie dialogowym Certyfikat wybierz kartę Szczegóły
  • Upewnij się, że opcja Pokaż wyświetla wszystkie
  • Wybierz pole o nazwie Odcisk palca na liście
  • Kopiowanie wartości odcisku palca
    • Usuń niewidoczne znaki Unicode przed pierwszą cyfrą
    • Usuń wszystkie spacje

Konfigurowanie dozwolonych klientów w pliku konfiguracji usługi

Zaktualizuj wartość następującego ustawienia w pliku konfiguracji usługi za pomocą rozdzielanej przecinkami listy odcisków palca certyfikatów klienta, które zezwoliły na dostęp do usługi:

<Setting name="AllowedClientCertificateThumbprints" value="" />

Konfigurowanie sprawdzania odwołania certyfikatów klienta

Ustawienie domyślne nie jest sprawdzane przez urząd certyfikacji pod kątem stanu odwołania certyfikatów klienta. Aby włączyć kontrole, jeśli urząd certyfikacji, który wystawił certyfikaty klienta obsługuje takie kontrole, zmień następujące ustawienie na jedną z wartości zdefiniowanych w wyliczenie X509RevocationMode:

<Setting name="ClientCertificateRevocationCheck" value="NoCheck" />

Tworzenie pliku PFX dla certyfikatów szyfrowania z podpisem własnym

W przypadku certyfikatu szyfrowania wykonaj następujące czynności:

pvk2pfx -pvk MyID.pvk -spc MyID.cer

Dostosowywanie:

MyID.pvk and MyID.cer with the filename for the encryption certificate

Wprowadź hasło, a następnie wyeksportuj certyfikat z następującymi opcjami:

  • Tak, wyeksportuj klucz prywatny
  • Eksportuj wszystkie właściwości rozszerzone
  • Hasło będzie potrzebne podczas przekazywania certyfikatu do usługi w chmurze.

Eksportowanie certyfikatu szyfrowania z magazynu certyfikatów

  • Znajdowanie certyfikatu
  • Kliknij pozycję Akcje —> wszystkie zadania —> Eksportuj...
  • Wyeksportuj certyfikat do elementu . Plik PFX z następującymi opcjami:
    • Tak, wyeksportuj klucz prywatny
    • Jeśli to możliwe, dołącz wszystkie certyfikaty do ścieżki certyfikacji
  • Eksportuj wszystkie właściwości rozszerzone

Przekazywanie certyfikatu szyfrowania do usługi w chmurze

Przekaż certyfikat przy użyciu istniejącego lub wygenerowanego elementu . Plik PFX z parą kluczy szyfrowania:

  • Wprowadź hasło chroniące informacje o kluczu prywatnym

Aktualizowanie certyfikatu szyfrowania w pliku konfiguracji usługi

Zaktualizuj wartość odcisku palca następujących ustawień w pliku konfiguracji usługi odciskiem palca certyfikatu przekazanego do usługi w chmurze:

<Certificate name="DataEncryptionPrimary" thumbprint="" thumbprintAlgorithm="sha1" />

Typowe operacje na certyfikatach

  • Konfigurowanie certyfikatu TLS/SSL
  • Konfigurowanie certyfikatów klienta

Znajdowanie certyfikatu

Wykonaj te kroki:

  1. Uruchom plik mmc.exe.
  2. Plik —> dodaj/usuń przystawkę...
  3. Wybierz Certyfikaty.
  4. Kliknij przycisk Dodaj.
  5. Wybierz lokalizację magazynu certyfikatów.
  6. Kliknij przycisk Zakończ.
  7. Kliknij przycisk OK.
  8. Rozwiń węzeł Certyfikaty.
  9. Rozwiń węzeł magazynu certyfikatów.
  10. Rozwiń węzeł podrzędny Certyfikat.
  11. Wybierz certyfikat z listy.

Eksportowanie certyfikatu

W Kreatorze eksportu certyfikatów:

  1. Kliknij przycisk Dalej.
  2. Wybierz pozycję Tak, a następnie pozycję Eksportuj klucz prywatny.
  3. Kliknij przycisk Dalej.
  4. Wybierz żądany format pliku wyjściowego.
  5. Sprawdź żądane opcje.
  6. Sprawdź hasło.
  7. Wprowadź silne hasło i potwierdź je.
  8. Kliknij przycisk Dalej.
  9. Wpisz lub przeglądaj nazwę pliku, w którym ma być przechowywany certyfikat (użyj . Rozszerzenie PFX).
  10. Kliknij przycisk Dalej.
  11. Kliknij przycisk Finish (Zakończ).
  12. Kliknij przycisk OK.

Importowanie certyfikatu

W Kreatorze importowania certyfikatów:

  1. Wybierz lokalizację sklepu.

    • Wybierz pozycję Bieżący użytkownik , jeśli tylko procesy uruchomione w ramach bieżącego użytkownika będą uzyskiwać dostęp do usługi
    • Wybierz pozycję Komputer lokalny, jeśli inne procesy na tym komputerze będą uzyskiwać dostęp do usługi

  2. Kliknij przycisk Dalej.

  3. W przypadku importowania z pliku potwierdź ścieżkę pliku.

  4. W przypadku importowania pliku . Plik PFX:

    1. Wprowadź hasło chroniące klucz prywatny
    2. Wybieranie opcji importu

  5. Wybierz pozycję "Umieść" certyfikaty w następującym magazynie

  6. Kliknij pozycję Browse (Przeglądaj).

  7. Wybierz żądany sklep.

  8. Kliknij przycisk Zakończ.

    • Jeśli wybrano magazyn zaufanego głównego urzędu certyfikacji, kliknij przycisk Tak.

  9. Kliknij przycisk OK we wszystkich oknach dialogowych.

Przekazywanie certyfikatu

W witrynie Azure Portal

  1. Wybierz pozycję Usługi w chmurze.
  2. Wybierz usługę w chmurze.
  3. W górnym menu kliknij pozycję Certyfikaty.
  4. Na dolnym pasku kliknij pozycję Przekaż.
  5. Wybierz plik certyfikatu.
  6. Jeśli jest to . Plik PFX wprowadź hasło klucza prywatnego.
  7. Po zakończeniu skopiuj odcisk palca certyfikatu z nowego wpisu na liście.

Inne zagadnienia dotyczące zabezpieczeń

Ustawienia protokołu TLS opisane w tym dokumencie szyfrują komunikację między usługą a klientami, gdy jest używany punkt końcowy HTTPS. Jest to ważne, ponieważ poświadczenia dostępu do bazy danych i potencjalnie inne poufne informacje są zawarte w komunikacji. Należy jednak pamiętać, że usługa utrzymuje stan wewnętrzny, w tym poświadczenia, w tabelach wewnętrznych w bazie danych w usłudze Azure SQL Database, które zostały podane do przechowywania metadanych w ramach subskrypcji platformy Microsoft Azure. Ta baza danych została zdefiniowana jako część następującego ustawienia w pliku konfiguracji usługi (. Plik CSCFG):

<Setting name="ElasticScaleMetadata" value="Server=…" />

Poświadczenia przechowywane w tej bazie danych są szyfrowane. Najlepszym rozwiązaniem jest jednak zapewnienie aktualności i bezpieczeństwa ról internetowych i procesów roboczych wdrożeń usługi, ponieważ mają one zarówno dostęp do bazy danych metadanych, jak i certyfikat używany do szyfrowania i odszyfrowywania przechowywanych poświadczeń.

Dodatkowe zasoby

Jeszcze nie korzystasz z narzędzi elastycznych baz danych? Zapoznaj się z naszym przewodnikiem Wprowadzenie. W przypadku pytań skontaktuj się z nami na stronie pytań i odpowiedzi dotyczących usługi SQL Database oraz w przypadku żądań funkcji, dodaj nowe pomysły lub zagłosuj na istniejące pomysły na forum opinii usługi SQL Database.