Bérlők közötti, ügyfél által felügyelt kulcsok transzparens adattitkosítással
A következőkre vonatkozik:
Azure SQL DatabaseAzure Synapse Analytics (csak dedikált SQL-készletek)
Az Azure SQL mostantól támogatja a bérlők közötti, ügyfél által felügyelt kulcsokat (CMK) transzparens adattitkosítással (TDE). A bérlők közötti CMK kibővíti a Saját kulcs használata (BYOK) forgatókönyvet a TDE használatához anélkül, hogy a logikai kiszolgálónak ugyanabban a Microsoft Entra-bérlőben kell lennie az Azure-ban , mint az Azure Key Vault, amely a kiszolgáló védelméhez használt ügyfél által felügyelt kulcsot tárolja.
Az Azure SQL Database-hez készült CMK-val konfigurálhatja a TDE-t a különböző Microsoft Entra-bérlőkben konfigurált kulcstartókban tárolt kulcsokhoz. A Microsoft Entra ID (korábbi nevén Azure Active Directory) a számítási feladatok identitásának összevonása nevű funkciót vezet be, és lehetővé teszi, hogy az egyik Microsoft Entra-bérlő Azure-erőforrásai hozzáférjenek egy másik Microsoft Entra-bérlő erőforrásaihoz.
A Synapse-munkaterületeken belüli dedikált SQL-készletek transzparens adattitkosításának dokumentációját az Azure Synapse Analytics titkosításában találja.
Megjegyzés:
A Microsoft Entra ID az Azure Active Directory (Azure AD) új neve. Jelenleg frissítjük a dokumentációt.
Gyakori használati forgatókönyv
A bérlők közötti CMK-képességek lehetővé teszik, hogy a szolgáltatók vagy független szoftvergyártók (ISV) az Azure SQL-en keresztül építsék ki az Azure SQL TDE-jét CMK-képességekkel a megfelelő ügyfeleikre. Ha engedélyezve van a bérlők közötti CMK-támogatás, az ISV-ügyfelek saját előfizetésükben és Microsoft Entra-bérlőjükben birtokolhatják a kulcstartót és a titkosítási kulcsokat. Az ügyfél teljes hozzáféréssel rendelkezik a kulcskezelési műveletek felett, miközben hozzáfér az Azure SQL-erőforrásokhoz az ISV-bérlőben.
Bérlők közötti interakciók
Az Azure SQL és egy másik Microsoft Entra-bérlő kulcstartója közötti bérlőközi interakció a Microsoft Entra szolgáltatással, a számítási feladatok identitásának összevonásával engedélyezve van.
Az Azure SQL-szolgáltatásokat üzembe helyező ISV-k létrehozhatnak egy több-bérlős alkalmazást a Microsoft Entra ID-ban, majd konfigurálhatnak egy összevont identitás hitelesítő adatokat ehhez az alkalmazáshoz egy felhasználó által hozzárendelt felügyelt identitás használatával. A megfelelő alkalmazásnévvel és alkalmazásazonosítóval az ügyfél vagy az ISV-ügyfél telepítheti az ISV által létrehozott alkalmazást a saját bérlőjében. Az ügyfél ezután megadja az alkalmazásengedélyekhez (az Azure SQL-hez szükséges) szolgáltatásnevet a bérlője kulcstartójához, és megosztja kulcshelyét az ISV-vel. Miután az ISV hozzárendeli a felügyelt identitást és az összevont ügyfélidentitást az Azure SQL-erőforráshoz, az ISV bérlőjében lévő Azure SQL-erőforrás hozzáférhet az ügyfél kulcstartójához.
For more information, see:
- Bérlők közötti ügyfél által felügyelt kulcsok konfigurálása új tárfiókhoz
- Bérlők közötti ügyfél által felügyelt kulcsok konfigurálása meglévő tárfiókhoz
Bérlőközi CMK beállítása
Az alábbi ábra egy olyan forgatókönyv lépéseit mutatja be, amely egy olyan Azure SQL logikai kiszolgálót használ, amely TDE használatával titkosítja a inaktív adatokat egy bérlőközi CMK és egy felhasználó által hozzárendelt felügyelt identitás használatával.
A beállítás áttekintése
Az ISV-bérlőn
Felhasználó által hozzárendelt felügyelt identitás létrehozása
Több-bérlős alkalmazás létrehozása
Az ügyfélbérlén
Meglévő kulcstartó létrehozása vagy használata, valamint kulcsengedélyek megadása a több-bérlős alkalmazás számára
Új vagy meglévő kulcs létrehozása
Kérje le a kulcsot a Key Vaultból, és rögzítse a kulcsazonosítót
Az ISV-bérlőn
A felhasználó által hozzárendelt felügyelt identitás hozzárendelése elsődleges identitásként az Azure SQL-erőforrás-identitás menüben az Azure Portalon
Rendelje hozzá az összevont ügyfélidentitást ugyanabban az Identitás menüben, és használja az alkalmazás nevét
Az Azure SQL-erőforrás Transzparens adattitkosítás menüjében rendeljen hozzá egy kulcsazonosítót az ügyfél bérlőtől beszerzett kulcsazonosítójával.
Remarks
- A TDE szolgáltatással rendelkező bérlők közötti CMK csak a felhasználó által hozzárendelt felügyelt identitásokhoz támogatott. A TDE-vel nem használható rendszer által hozzárendelt felügyelt identitás bérlők közötti CMK-hoz.
- A bérlők közötti CMK TDE-vel való beállítása a kiszolgáló és az Azure SQL Database adatbázisszintjén támogatott. További információ: Transzparens adattitkosítás (TDE) ügyfél által felügyelt kulcsokkal az adatbázis szintjén.
További lépések
Kapcsolódó információk
- Felhasználó által hozzárendelt felügyelt identitással és ügyfél által felügyelt TDE-vel konfigurált Azure SQL-adatbázis létrehozása
- Bérlők közötti ügyfél által felügyelt kulcsok konfigurálása új tárfiókhoz
- Bérlők közötti ügyfél által felügyelt kulcsok konfigurálása meglévő tárfiókhoz
- Transzparens adattitkosítás (TDE) ügyfél által felügyelt kulcsokkal az adatbázis szintjén
- Georeplikációs és biztonsági mentési visszaállítás konfigurálása transzparens adattitkosításhoz adatbázisszintű, ügyfél által felügyelt kulcsokkal
- Identitás- és kulcskezelés a TDE-hez adatbázisszintű, ügyfél által felügyelt kulcsokkal
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: