Vytvoření serveru s nakonfigurovanou spravovanou identitou přiřazenou uživatelem a transparentním šifrováním dat spravovaným zákazníkem

Platí pro:Azure SQL Database

Tento průvodce postupy popisuje postup vytvoření logického serveru v Azure nakonfigurovaného transparentním šifrováním dat (TDE) s klíči spravovanými zákazníkem (CMK) pomocí spravované identity přiřazené uživatelem pro přístup ke službě Azure Key Vault.

Poznámka:

ID Microsoft Entra se dříve označovalo jako Azure Active Directory (Azure AD).

Požadavky

• Tento průvodce postupy předpokládá, že jste už vytvořili službu Azure Key Vault a naimportovali do ní klíč, který se použije jako ochrana transparentním šifrováním dat pro Azure SQL Database. Další informace najdete v tématu Transparentní šifrování dat s podporou BYOK.
• U trezoru klíčů je nutné povolit obnovitelné odstranění a ochranu před vymazáním.
• Musíte vytvořit spravovanou identitu přiřazenou uživatelem a poskytnout jí požadovaná oprávnění transparentního šifrování dat (Get, Wrap Key, Unwrap Key) ve výše uvedeném trezoru klíčů. Informace o vytvoření spravované identity přiřazené uživatelem najdete v tématu Vytvoření spravované identity přiřazené uživatelem.
• Musíte mít nainstalovaný a spuštěný Azure PowerShell.
• [Doporučeno, ale volitelné] Nejprve vytvořte materiál klíče pro ochranu transparentním šifrováním dat v modulu hardwarového zabezpečení (HSM) nebo místním úložišti klíčů a importujte materiál klíče do služby Azure Key Vault. Další informace najdete v pokynech k použití modulu hardwarového zabezpečení (HSM) a služby Key Vault.

Vytvoření serveru nakonfigurovaného pomocí transparentního šifrování dat pomocí klíče spravovaného zákazníkem (CMK)

Následující kroky popisují proces vytvoření nového logického serveru Azure SQL Database a nové databáze s přiřazenou spravovanou identitou přiřazenou uživatelem. Spravovaná identita přiřazená uživatelem se vyžaduje pro konfiguraci klíče spravovaného zákazníkem pro transparentní šifrování dat při vytváření serveru.

Azure Portal

1. Na webu Azure Portal přejděte na stránku Vybrat nasazení SQL.

2. Pokud ještě nejste přihlášení k webu Azure Portal, přihlaste se po zobrazení výzvy.

3. V části Databáze SQL ponechte typ prostředku nastavený na Jednoúčelová databáze a vyberte Vytvořit.

4. Na kartě Základy ve formuláři Vytvořit databázi SQL v části Podrobnosti projektu vyberte požadované předplatné Azure.

5. V části Skupina prostředků vyberte Vytvořit nový, zadejte název skupiny prostředků a vyberte OK.

6. Do pole Název databáze zadejte ContosoHR.

7. V části Server vyberte Vytvořit nový a vyplňte formulář Nový server následujícími hodnotami:

   • Název serveru: Zadejte jedinečný název serveru. Názvy serverů musí být globálně jedinečné pro všechny servery v Azure, nejen jedinečné v rámci předplatného. Zadejte něco podobného mysqlserver135a azure Portal vám dá vědět, jestli je dostupný, nebo ne.
   • Přihlášení správce serveru: Zadejte přihlašovací jméno správce, například: azureuser.
   • Heslo: Zadejte heslo, které splňuje požadavky na heslo, a zadejte ho znovu do pole Potvrdit heslo .
   • Umístění: Vyberte umístění z rozevíracího seznamu.

8. Vyberte Další: Sítě v dolní části stránky.

9. Na kartě Sítě vyberte pro metodu Připojení ivity veřejný koncový bod.

10. U pravidel brány firewall nastavte možnost Přidat aktuální IP adresu klienta na hodnotu Ano. Ponechte možnost Povolit službám a prostředkům Azure přístup k tomuto serveru na hodnotu Ne.

    

11. Vyberte Další: Zabezpečení v dolní části stránky.

12. Na kartě Zabezpečení v části Identita serveru vyberte Konfigurovat identity.

    

13. V podokně Identita vyberte Možnost Vypnuto pro spravovanou identitu přiřazenou systémem a pak vyberte Přidat v části Spravovaná identita přiřazená uživatelem. Vyberte požadované předplatné a pak v části Spravované identity přiřazené uživatelem vyberte požadovanou spravovanou identitu přiřazenou uživatelem z vybraného předplatného. Pak vyberte tlačítko Přidat .

    

    

14. V části Primární identita vyberte stejnou spravovanou identitu přiřazenou uživatelem vybranou v předchozím kroku.

    

15. Výběr možnosti Použít

16. Na kartě Zabezpečení v části transparentní šifrování dat Správa klíčů máte možnost nakonfigurovat transparentní šifrování dat pro server nebo databázi.

    • Pro klíč na úrovni serveru: Vyberte Konfigurovat transparentní šifrování dat. Vyberte Klíč spravovaný zákazníkem a zobrazí se možnost Vybrat klíč . Vyberte Změnit klíč. Vyberte požadované předplatné, trezor klíčů, klíč a verzi klíče spravovaného zákazníkem, který se má použít pro transparentní šifrování dat. Zvolte tlačítko Vybrat.

    

    

    • Klíč na úrovni databáze: Vyberte Konfigurovat transparentní šifrování dat. Vyberte Klíč spravovaný zákazníkem na úrovni databáze a zobrazí se možnost konfigurace identity databáze a klíče spravovaného zákazníkem. Vyberte Konfigurovat a nakonfigurujte spravovanou identitu přiřazenou uživatelem pro databázi, podobně jako krok 13. Výběrem možnosti Změnit klíč nakonfigurujte klíč spravovaný zákazníkem. Vyberte požadované předplatné, trezor klíčů, klíč a verzi klíče spravovaného zákazníkem, který se má použít pro transparentní šifrování dat. V nabídce transparentní šifrování dat máte také možnost povolit automatické otočení klíče. Zvolte tlačítko Vybrat.

    

17. Výběr možnosti Použít

18. V dolní části stránky vyberte Zkontrolovat a vytvořit .

19. Na stránce Zkontrolovat a vytvořit vyberte po kontrole možnost Vytvořit.

The Azure CLI

Informace o instalaci aktuální verze Azure CLI najdete v článku Instalace Azure CLI .

Pomocí příkazu az sql server create vytvořte server s uživatelsky přiřazenou spravovanou identitou a transparentním šifrováním dat spravovaným zákazníkem.

az sql server create \
    --name $serverName \
    --resource-group $resourceGroupName \
    --location $location  \
    --admin-user $adminlogin \
    --admin-password $password \
    --assign-identity \
    --identity-type $identitytype \
    --user-assigned-identity-id $identityid \
    --primary-user-assigned-identity-id $primaryidentityid \
    --key-id $keyid
 

Vytvořte databázi pomocí příkazu az sql db create .

az sql db create \
    --resource-group $resourceGroupName \
    --server $serverName \
    --name mySampleDatabase \
    --sample-name AdventureWorksLT \
    --edition GeneralPurpose \
    --compute-model Serverless \
    --family Gen5 \
    --capacity 2

PowerShell

Vytvořte server nakonfigurovaný se spravovanou identitou přiřazenou uživatelem a transparentním šifrováním dat spravovaným zákazníkem pomocí PowerShellu.

Pokyny k instalaci modulu Az PowerShell najdete v tématu Instalace Azure PowerShellu. Konkrétní rutiny najdete v tématu AzureRM.Sql.

Použijte rutinu New-AzSqlServer .

V příkladu nahraďte následující hodnoty:

• <ResourceGroupName>: Název skupiny prostředků pro logický server Azure SQL
• <Location>: Umístění serveru, například West US, nebo Central US
• <ServerName>: Použití jedinečného názvu logického serveru Azure SQL
• <ServerAdminName>: Přihlášení sql Správa istratoru
• <ServerAdminPassword>: Heslo sql Správa istratoru
• <IdentityType>: Typ identity, která se má přiřadit k serveru. Možné hodnoty jsou SystemAssigned, UserAssignedSystemAssigned,UserAssigned a None
• <UserAssignedIdentityId>: Seznam spravovaných identit přiřazených uživatelem, které se mají přiřadit k serveru (může to být jedna nebo více)
• <PrimaryUserAssignedIdentityId>: Spravovaná identita přiřazená uživatelem, která by měla být použita jako primární nebo výchozí na tomto serveru.
• <CustomerManagedKeyId>: Identifikátor klíče a lze ho načíst z klíče ve službě Key Vault.

Pokud chcete získat ID prostředku spravované identity přiřazené uživatelem, na webu Azure Portal vyhledejte spravované identity. Vyhledejte spravovanou identitu a přejděte na Vlastnosti. Příklad ID prostředku UMI vypadá takto:/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>

# create a server with user-assigned managed identity and customer-managed TDE
$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    SqlAdministratorCredentials = (Get-Credential)
    SqlAdministratorLogin = "<ServerAdminName>"
    SqlAdministratorPassword = "<ServerAdminPassword>"
    AssignIdentity = $true
    IdentityType = "<IdentityType>"
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    PrimaryUserAssignedIdentityId = "<PrimaryUserAssignedIdentityId>"
    KeyId = "<CustomerManagedKeyId>"
}

New-AzSqlServer @params

Šablona ARM

Tady je příklad šablony ARM, která vytvoří logický server v Azure se spravovanou identitou přiřazenou uživatelem a transparentním šifrováním dat spravovaným zákazníkem. Šablona také přidá sadu správce Microsoft Entra pro server a povolí ověřování pouze Microsoft Entra, ale můžete ho odebrat z příkladu šablony.

Další informace a šablony ARM najdete v tématu Šablony Azure Resource Manageru pro Azure SQL Database a SQL Managed Instance.

Použití vlastního nasazení na webu Azure Portal a vytvoření vlastní šablony v editoru V dalším kroku uložte konfiguraci po vložení v příkladu.

Pokud chcete získat ID prostředku spravované identity přiřazené uživatelem, na webu Azure Portal vyhledejte spravované identity. Vyhledejte spravovanou identitu a přejděte na Vlastnosti. Příklad ID prostředku UMI vypadá takto/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "String"
        },
        "location": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity."
            }
        },
        "keyvault_url": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The key vault URI."
            }
        },
        "AdminLogin": {
            "minLength": 1,
            "type": "String"
        },
        "AdminLoginPassword": {
            "type": "SecureString"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "administratorLogin": "[parameters('AdminLogin')]",
                "administratorLoginPassword": "[parameters('AdminLoginPassword')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "KeyId": "[parameters('keyvault_url')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Další kroky

• Začínáme s integrací služby Azure Key Vault a podporou funkce Přineste si vlastní klíč pro transparentní šifrování dat: Zapněte transparentní šifrování dat pomocí vlastního klíče ze služby Key Vault.