Identitás- és kulcskezelés a TDE-hez adatbázisszintű, ügyfél által felügyelt kulcsokkal

A következőre vonatkozik: Azure SQL Database

Megjegyzés:

• Az Adatbázisszintű TDE CMK elérhető az Azure SQL Database-hez (minden SQL Database-kiadáshoz). Nem érhető el a felügyelt Azure SQL-példányokhoz, a helyszíni SQL Serverhez, az Azure-beli virtuális gépekhez és az Azure Synapse Analyticshez (dedikált SQL-készletekhez (korábban SQL DW)).
• Ugyanez az útmutató alkalmazható az adatbázisszintű, ügyfél által felügyelt kulcsok konfigurálására ugyanabban a bérlőben az összevont ügyfél-azonosító paraméter kizárásával. Az adatbázisszintű, ügyfél által felügyelt kulcsokról további információt az ügyfél által felügyelt kulcsokkal rendelkező transzparens adattitkosítás (TDE) az adatbázis szintjén című témakörben talál.

Ebben az útmutatóban áttekinthető adattitkosítással (TDE) és ügyfél által felügyelt kulcsokkal (CMK) rendelkező Azure SQL Database létrehozását, frissítését és lekérését követjük végig az adatbázis szintjén, egy felhasználó által hozzárendelt felügyelt identitás használatával az Azure Key Vault eléréséhez. Az Azure Key Vault egy másik Microsoft Entra-bérlőben található, mint az Azure SQL Database. További információ: Bérlők közötti ügyfél által felügyelt kulcsok transzparens adattitkosítással.

Megjegyzés:

A Microsoft Entra ID az Azure Active Directory (Azure AD) új neve. Jelenleg frissítjük a dokumentációt.

Előfeltételek

• Ez az útmutató feltételezi, hogy két Microsoft Entra-bérlője van.
  • Az első az Azure SQL Database-erőforrásból, egy több-bérlős Microsoft Entra-alkalmazásból és egy felhasználó által hozzárendelt felügyelt identitásból áll.
  • A második bérlő az Azure Key Vaultnak ad otthont.
• A bérlők közötti CMK és a Microsoft Entra-alkalmazások és az Azure Key Vault konfigurálásához szükséges RBAC-engedélyek beállításával kapcsolatos átfogó útmutatásért tekintse meg az alábbi útmutatók egyikét:
  • Bérlők közötti ügyfél által felügyelt kulcsok konfigurálása új tárfiókhoz
  • Bérlők közötti ügyfél által felügyelt kulcsok konfigurálása meglévő tárfiókhoz
• Az Azure CLI 2.52.0-s vagy újabb verziója.
• Az Az PowerShell-modul 10.3.0-s vagy újabb verziója.
• Az adatbázisszintű CMK-hoz szükséges RBAC-engedélyek megegyeznek a kiszolgálószintű CMK-hoz szükséges engedélyekkel. Az adatbázis szintjén ugyanazok az RBAC-engedélyek érvényesek, amelyek az Azure Key Vault, a felügyelt identitások és a TDE bérlőközi CMK-ja esetén alkalmazhatók. A kulcskezeléssel és a hozzáférési szabályzattal kapcsolatos további információkért lásd: Kulcskezelés.

Szükséges erőforrások az első bérlőn

Ebben az oktatóanyagban feltételezzük, hogy az első bérlő egy független szoftverszállítóhoz (ISV) tartozik, a második pedig az ügyféltől. Erről a forgatókönyvről további információt a Bérlők közötti, ügyfél által felügyelt kulcsok transzparens adattitkosítással című témakörben talál.

Ahhoz, hogy a TDE-t az Azure SQL Database-hez bérlők közötti CMK-val konfigurálhassuk, egy több-bérlős Microsoft Entra-alkalmazással kell rendelkeznünk, amely egy felhasználó által hozzárendelt felügyelt identitással van hozzárendelve összevont identitás hitelesítő adataiként az alkalmazáshoz. Kövesse az előfeltételek egyik útmutatóját.

1. Azon az első bérlőn, ahol létre szeretné hozni az Azure SQL Database-t, hozzon létre és konfiguráljon egy több-bérlős Microsoft Entra-alkalmazást.

2. Felhasználó által hozzárendelt felügyelt identitás létrehozása.

3. Konfigurálja a felhasználó által hozzárendelt felügyelt identitástösszevont identitás hitelesítő adatként a több-bérlős alkalmazáshoz.

4. Rögzítse az alkalmazás nevét és az alkalmazásazonosítót. Ez megtalálható az Azure Portal>Microsoft Entra ID>Enterprise alkalmazásaiban, és megkeresheti a létrehozott alkalmazást.

Szükséges erőforrások a második bérlőn

1. A második bérlőn, ahol az Azure Key Vault található, hozzon létre egy szolgáltatásnevet (alkalmazást) az első bérlő regisztrált alkalmazásának alkalmazásazonosítójával. Íme néhány példa a több-bérlős alkalmazás regisztrálására. Cserélje le és cserélje le <TenantID> a Microsoft Entra-azonosítóból származó ügyfél-bérlőazonosítót, illetve a több-bérlős alkalmazás alkalmazásazonosítóját:<ApplicationID>

   • PowerShell:

     Connect-AzureAD -TenantID <TenantID>
     New-AzADServicePrincipal  -ApplicationId <ApplicationID>
     

   • Az Azure CLI:

     az login --tenant <TenantID>
     az ad sp create --id <ApplicationID>
     

2. Nyissa meg az Azure Portal>Microsoft Entra ID>Enterprise-alkalmazásait , és keresse meg a létrehozott alkalmazást.

3. Hozzon létre egy Azure Key Vaultot , ha nincs ilyenje, és hozzon létre egy kulcsot.

4. Hozza létre vagy állítsa be a hozzáférési szabályzatot.

   1. A hozzáférési szabályzat létrehozásakor válassza a Kulcsengedélyek alatt a Kulcs lekérése, körbefuttatása és a Kulcs feloldása engedélyeket.
   2. Válassza ki a hozzáférési szabályzat létrehozásakor az Egyszerű beállítás első lépésében létrehozott több-bérlős alkalmazást.

   

5. A hozzáférési szabályzat és a kulcs létrehozása után kérje le a kulcsot a Key Vaultból, és rögzítse a kulcsazonosítót.

Új Azure SQL Database létrehozása adatbázisszintű, ügyfél által felügyelt kulcsokkal

Az alábbiakban példákat láthat arra, hogyan hozhat létre adatbázist az Azure SQL Database-ben egy felhasználó által hozzárendelt felügyelt identitással, és hogyan állíthat be bérlők közötti ügyfél által felügyelt kulcsot az adatbázis szintjén. A felhasználó által hozzárendelt felügyelt identitásra van szükség egy ügyfél által felügyelt kulcs beállításához az adatbázis létrehozása során az transzparens adattitkosításhoz.

Portal

1. Keresse meg az SQL-telepítés kiválasztása lehetőséget az Azure Portalon.

2. Ha még nem jelentkezett be az Azure Portalra, jelentkezzen be, amikor a rendszer kéri.

3. Az SQL-adatbázisok alatt hagyja meg az erőforrástípust önálló adatbázisként, és válassza a Létrehozás lehetőséget.

4. Az SQL Database létrehozása űrlap Alapjai lapján, a Project részletei alatt válassza ki az adatbázishoz tartozó kívánt Azure-előfizetést, erőforráscsoportot és kiszolgálót. Ezután használjon egyedi nevet az adatbázis nevének. Ha még nem hozott létre logikai kiszolgálót az Azure SQL Database-hez, tekintse meg a TDE-vel konfigurált kiszolgáló létrehozása bérlők közötti ügyfél által felügyelt kulccsal (CMK) című témakört.

5. A Biztonság lapra érve válassza a Transzparens adattitkosítás konfigurálása lehetőséget.

   

6. A Transzparens adattitkosítás menüben válassza az Adatbázisszintű ügyfél által kezelt kulcs (CMK) lehetőséget.

   

7. Felhasználó által hozzárendelt felügyelt identitás esetén válassza a Konfigurálás lehetőséget az adatbázis-identitás engedélyezéséhez, és adjon hozzá egy felhasználó által hozzárendelt felügyelt identitást az erőforráshoz, ha a kívánt identitás nem szerepel az Identitás menüben. Ezután válassza az Alkalmaz lehetőséget.

   

   Megjegyzés:

   Itt konfigurálhatja az összevont ügyfélidentitást , ha bérlők közötti CMK-t konfigurál TDE-hez.

8. A Transzparens adattitkosítás menüben válassza a Kulcs módosítása lehetőséget. Válassza ki a TDE-hez használni kívánt előfizetést, kulcstartót, kulcsot és verziót az ügyfél által felügyelt kulcshoz. Kattintson a Kiválasztás gombra. Miután kiválasztott egy kulcsot, szükség szerint további adatbáziskulcsokat is hozzáadhat az Azure Key Vault URI (objektumazonosító) használatával a Transzparens adattitkosítás menüben.

   Az automatikus kulcsváltás az adatbázis szintjén is engedélyezhető a Transzparens adattitkosítás menü Automatikus elforgatás gomb jelölőnégyzetével.

   

9. Válassza az Alkalmaz lehetőséget az adatbázis létrehozásának folytatásához.

10. Válassza a Véleményezés + létrehozás lehetőséget a lap alján

11. A Véleményezés + létrehozás lapon a felülvizsgálat után válassza a Létrehozás lehetőséget.

Megjegyzés:

Az adatbázis létrehozása sikertelen lesz, ha a felhasználó által hozzárendelt felügyelt identitás nem rendelkezik a megfelelő engedélyekkel a kulcstartón. A felhasználó által hozzárendelt felügyelt identitásnak szüksége lesz a Kulcstartó beolvasási , wrapKey- és unwrapKey-engedélyére . További információ: Felügyelt identitások az ügyfél által felügyelt kulccsal végzett transzparens adattitkosításhoz.

Azure CLI

Az Azure CLI aktuális kiadásának telepítéséről további információt az Azure CLI telepítéséről szóló cikkben talál.

Hozzon létre egy felhasználó által hozzárendelt felügyelt identitással és bérlők közötti, ügyfél által felügyelt TDE-vel konfigurált adatbázist az sql db create paranccsal. A második bérlő kulcsazonosítója használható a encryption-protector mezőben. A több-bérlős alkalmazás alkalmazásazonosítója használható a federated-client-id mezőben. A --encryption-protector-auto-rotation paraméter használható az automatikus kulcsváltás engedélyezéséhez az adatbázis szintjén.

A felhasználó által hozzárendelt felügyelt identitás erőforrás-azonosítójának lekéréséhez keressen felügyelt identitásokat az Azure Portalon. Keresse meg a felügyelt identitást, és lépjen a Tulajdonságok elemre. Egy példa az UMI-erőforrásazonosítóra /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>

az sql db create --resource-group $resourceGroupName --server $serverName --name mySampleDatabase --sample-name AdventureWorksLT --edition GeneralPurpose --compute-model Serverless --family Gen5 --capacity 2 --assign-identity --user-assigned-identity-id $identityid --encryption-protector $keyid --federated-client-id $federatedclientid --encryption-protector-auto-rotation True

PowerShell

Hozzon létre egy felhasználó által hozzárendelt felügyelt identitással és bérlők közötti, ügyfél által felügyelt TDE-vel konfigurált adatbázist az adatbázis szintjén a PowerShell használatával.

Az Az PowerShell-modul telepítési utasításait az Azure PowerShell telepítése című témakörben találja. Adott parancsmagokért lásd: AzureRM.Sql.

Használja a New-AzSqlDatabase parancsmagot.

Cserélje le a példában a következő értékeket:

• <ResourceGroupName>: Az Azure SQL logikai kiszolgáló erőforráscsoportjának neve
• <DatabaseName>: Egyedi Azure SQL-adatbázisnév használata
• <ServerName>: Egyedi Azure SQL logikai kiszolgálónév használata
• <UserAssignedIdentityId>: A kiszolgálóhoz hozzárendelni kívánt felhasználó által hozzárendelt felügyelt identitások listája (lehet egy vagy több)
• <CustomerManagedKeyId>: A második bérlő kulcstartójának kulcsazonosítója
• <FederatedClientId>: A több-bérlős alkalmazás alkalmazásazonosítója
• -EncryptionProtectorAutoRotation: Használható az automatikus kulcsváltás engedélyezéséhez az adatbázis szintjén

A felhasználó által hozzárendelt felügyelt identitás erőforrás-azonosítójának lekéréséhez keressen felügyelt identitásokat az Azure Portalon. Keresse meg a felügyelt identitást, és lépjen a Tulajdonságok elemre. Egy példa az UMI-erőforrásazonosítóra /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>

# create a server with user-assigned managed identity and cross-tenant customer-managed TDE with automatic key rotation enabled
$params = @{
    ResourceGroupName = '<ResourceGroupName>'
    ServerName = '<ServerName>'
    DatabaseName = '<DatabaseName>'
    AssignIdentity = $true
    UserAssignedIdentityId = '<UserAssignedIdentityId>'
    EncryptionProtector = '<CustomerManagedKeyId>'
    FederatedClientId = '<FederatedClientId>'
    EncryptionProtectorAutoRotation = $true
}

New-AzSqlDatabase @params

ARM Template

Íme egy példa egy ARM-sablonra, amely egy felhasználó által hozzárendelt felügyelt identitással és ügyfél által felügyelt TDE-vel rendelkező Azure SQL Database-adatbázist hoz létre az adatbázis szintjén. Bérlőközi CMK esetén használja a második bérlőkulcs-tároló kulcsazonosítóját és a több-bérlős alkalmazás alkalmazásazonosítóját .

További információkért és ARM-sablonokért tekintse meg az Azure SQL Database és a felügyelt SQL-példány Azure Resource Manager-sablonjait.

Egyéni üzembe helyezést használhat az Azure Portalon, és saját sablont készíthet a szerkesztőben. Ezután mentse a konfigurációt, miután beillesztette a példában.

A felhasználó által hozzárendelt felügyelt identitás erőforrás-azonosítójának lekéréséhez keressen felügyelt identitásokat az Azure Portalon. Keresse meg a felügyelt identitást, és lépjen a Tulajdonságok elemre. Az UMI-erőforrás-azonosító egy példája a következőképpen /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>néz ki.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "server_name": {
      "type": "String"
    },
    "database_name": {
      "type": "String"
    },
    "user_assigned_identity": {
      "type": "String"
    },
    "encryption_protector": {
      "type": "String"
    },
    "federated_client_id": {
      "type": "String"
    },
    "location": {
      "type": "String"
    },
    "encryption_protector_auto_rotation": {
      "type": "bool"
    }
  },
  "variables": {},
  "resources": [
    {
      "type": "Microsoft.Sql/servers/databases",
      "apiVersion": "2023-02-01-preview",
      "name": "[concat(parameters('server_name'), concat('/',parameters('database_name')))]",
      "location": "[parameters('location')]",
      "sku": {
        "name": "Basic",
        "tier": "Basic",
        "capacity": 5
      },
      "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
          "[parameters('user_assigned_identity')]": {}
        }
      },
      "properties": {
        "collation": "SQL_Latin1_General_CP1_CI_AS",
        "maxSizeBytes": 104857600,
        "catalogCollation": "SQL_Latin1_General_CP1_CI_AS",
        "zoneRedundant": false,
        "readScale": "Disabled",
        "requestedBackupStorageRedundancy": "Geo",
        "maintenanceConfigurationId": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Maintenance/publicMaintenanceConfigurations/SQL_Default",
        "isLedgerOn": false,
        "encryptionProtector": "[parameters('encryption_protector')]",
        "federatedClientId": "[parameters('federated_client_id')]",
        "encryptionProtectorAutoRotation": "[parameters('encryption_protector_auto_rotation')]"
      }
    }
  ]
}

Meglévő Azure SQL Database frissítése adatbázisszintű, ügyfél által felügyelt kulcsokkal

Az alábbiakban példákat láthat arra, hogyan frissíthet egy meglévő adatbázist az Azure SQL Database-ben egy felhasználó által hozzárendelt felügyelt identitással, és hogyan állíthat be bérlők közötti ügyfél által felügyelt kulcsot az adatbázis szintjén. A felhasználó által hozzárendelt felügyelt identitásra van szükség egy ügyfél által felügyelt kulcs beállításához az adatbázis létrehozása során az transzparens adattitkosításhoz.

Portal

1. Az Azure Portalon keresse meg azt az SQL-adatbázis-erőforrást, amelyet adatbázisszintű, ügyfél által felügyelt kulccsal szeretne frissíteni.

2. A Biztonság területen válassza az Identitás lehetőséget. Felhasználó által hozzárendelt felügyelt identitás hozzáadása ehhez az adatbázishoz, majd válassza a Mentés lehetőséget

3. Most nyissa meg az adatbázis Biztonság területén található Adattitkosítás menüt. Válassza ki az adatbázisszintű ügyfél által kezelt kulcsot (CMK). Az adatbázis adatbázis-identitásának már engedélyezve kell lennie, mivel az identitást az utolsó lépésben konfigurálta.

4. Válassza a Change key (Kulcs módosítása) lehetőséget. Válassza ki a TDE-hez használni kívánt előfizetést, kulcstartót, kulcsot és verziót az ügyfél által felügyelt kulcshoz. Kattintson a Kiválasztás gombra. A kulcs kiválasztása után szükség szerint további adatbáziskulcsokat is hozzáadhat az Azure Key Vault URI (objektumazonosító) használatával az Adattitkosítás menüben.

   Jelölje be az Automatikus elforgatás gomb jelölőnégyzetet, ha engedélyezni szeretné az automatikus kulcsváltást az adatbázis szintjén.

   

5. Válassza a Mentés parancsot.

Azure CLI

Az Azure CLI aktuális kiadásának telepítéséről további információt az Azure CLI telepítéséről szóló cikkben talál.

A felhasználó által hozzárendelt felügyelt identitással és bérlők közötti ügyfél által felügyelt TDE-vel konfigurált adatbázis frissítése az sql db létrehozási parancsával. A második bérlő kulcsazonosítója használható a encryption-protector mezőben. A több-bérlős alkalmazás alkalmazásazonosítója használható a federated-client-id mezőben.

A felhasználó által hozzárendelt felügyelt identitás erőforrás-azonosítójának lekéréséhez keressen felügyelt identitásokat az Azure Portalon. Keresse meg a felügyelt identitást, és lépjen a Tulajdonságok elemre. Az UMI-erőforrás-azonosító egy példája a következőképpen /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>néz ki. A --encryption-protector-auto-rotation paraméter használható az automatikus kulcsváltás engedélyezéséhez az adatbázis szintjén.

az sql db update --resource-group $resourceGroupName --server $serverName --name mySampleDatabase --sample-name AdventureWorksLT --edition GeneralPurpose --compute-model Serverless --family Gen5 --capacity 2 --assign-identity --user-assigned-identity-id $identityid --encryption-protector $keyid --federated-client-id $federatedclientid --keys $keys --keys-to-remove $keysToRemove --encryption-protector-auto-rotation True

A lista $keys az adatbázishoz hozzáadni kívánt kulcsok szóközzel elválasztott listája, és $keysToRemove az adatbázisból eltávolítandó kulcsok szóközzel elválasztott listája.

$keys = '"https://yourvault.vault.azure.net/keys/yourkey1/6638b3667e384aefa31364f94d230000" "https://yourvault.vault.azure.net/keys/yourkey2/ fd021f84a0d94d43b8ef33154bca0000"'

$keysToRemove = '"https://yourvault.vault.azure.net/keys/yourkey3/6638b3667e384aefa31364f94d230000" "https://yourvault.vault.azure.net/keys/yourkey4/fd021f84a0d94d43b8ef33154bca0000"'

PowerShell

Frissítse a felhasználó által hozzárendelt felügyelt identitással és bérlők közötti, ügyfél által felügyelt TDE-vel konfigurált adatbázist az adatbázis szintjén a PowerShell használatával.

Az Az PowerShell-modul telepítési utasításait az Azure PowerShell telepítése című témakörben találja. Adott parancsmagokért lásd: AzureRM.Sql.

Használja a Set-AzSqlDatabase parancsmagot.

Cserélje le a példában a következő értékeket:

• <ResourceGroupName>: Az Azure SQL logikai kiszolgáló erőforráscsoportjának neve
• <DatabaseName>: Egyedi Azure SQL-adatbázisnév használata
• <ServerName>: Egyedi Azure SQL logikai kiszolgálónév használata
• <UserAssignedIdentityId>: A kiszolgálóhoz hozzárendelni kívánt felhasználó által hozzárendelt felügyelt identitások listája (lehet egy vagy több)
• <CustomerManagedKeyId>: A második bérlő kulcstartójának kulcsazonosítója
• <FederatedClientId>: A több-bérlős alkalmazás alkalmazásazonosítója
• <ListOfKeys>: Az adatbázishoz hozzáadandó, ügyfél által kezelt adatbázisszintű kulcsok vesszővel tagolt listája
• <ListOfKeysToRemove>: Az adatbázisszintű, ügyfél által kezelt kulcsok vesszővel tagolt listája, amely eltávolítandó az adatbázisból
• -EncryptionProtectorAutoRotation: Használható az automatikus kulcsváltás engedélyezéséhez az adatbázis szintjén

A felhasználó által hozzárendelt felügyelt identitás erőforrás-azonosítójának lekéréséhez keressen felügyelt identitásokat az Azure Portalon. Keresse meg a felügyelt identitást, és lépjen a Tulajdonságok elemre. Az UMI-erőforrás-azonosító egy példája a következőképpen /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>néz ki.

$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    ServerName = "<ServerName>"
    DatabaseName = "<DatabaseName>"
    AssignIdentity = $true
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    EncryptionProtector = "<CustomerManagedKeyId>"
    FederatedClientId = "<FederatedClientId>"
    KeyList = "<ListOfKeys>"
    KeysToRemove = "<ListOfKeysToRemove>"
    EncryptionProtectorAutoRotation = $true
}

Set-AzSqlDatabase @params

A -KeyList és a -KeysToRemove például a következő:

$keysToAdd = "https://yourvault.vault.azure.net/keys/yourkey1/fd021f84a0d94d43b8ef33154bca0000","https://yourvault.vault.azure.net/keys/yourkey2/fd021f84a0d94d43b8ef33154bca0000"

$keysToRemove = "https://yourvault.vault.azure.net/keys/yourkey3/fd021f84a0d94d43b8ef33154bca0000"

ARM Template

Íme egy példa egy ARM-sablonra, amely felhasználó által hozzárendelt felügyelt identitással és ügyfél által felügyelt TDE-vel frissíti az Azure SQL Database-t az adatbázis szintjén. Bérlők közötti CMK esetén használja a második bérlő kulcstartójának kulcsazonosítóját és a több-bérlős alkalmazás alkalmazásazonosítóját .

További információkért és ARM-sablonokért tekintse meg az Azure SQL Database és a felügyelt SQL-példány Azure Resource Manager-sablonjait.

Egyéni üzembe helyezést használhat az Azure Portalon, és saját sablont készíthet a szerkesztőben. Ezután mentse a konfigurációt, miután beillesztette a példában.

A felhasználó által hozzárendelt felügyelt identitás erőforrás-azonosítójának lekéréséhez keressen felügyelt identitásokat az Azure Portalon. Keresse meg a felügyelt identitást, és lépjen a Tulajdonságok elemre. Az UMI-erőforrás-azonosító egy példája a következőképpen /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>néz ki.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "server_name": {
      "type": "String"
    },
    "database_name": {
      "type": "String"
    },
    "user_assigned_identity": {
      "type": "String"
    },
    "encryption_protector": {
      "type": "String"
    },
    "location": {
      "type": "String"
    },
    "federated_client_id": {
      "type": "String"
    },
    "keys_to_add": {
      "type": "Object"
    },
    "encryption_protector_auto_rotation": {
      "type": "bool"
    }
  },
  "variables": {},
  "resources": [
    {
      "type": "Microsoft.Sql/servers/databases",
      "apiVersion": "2023-02-01-preview",
      "name": "[concat(parameters('server_name'), concat('/',parameters('database_name')))]",
      "location": "[parameters('location')]",
      "sku": {
        "name": "Basic",
        "tier": "Basic",
        "capacity": 5
      },
      "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
          "[parameters('user_assigned_identity')]": {}
        }
      },
      "properties": {
        "collation": "SQL_Latin1_General_CP1_CI_AS",
        "maxSizeBytes": 104857600,
        "catalogCollation": "SQL_Latin1_General_CP1_CI_AS",
        "zoneRedundant": false,
        "readScale": "Disabled",
        "requestedBackupStorageRedundancy": "Geo",
        "maintenanceConfigurationId": "/subscriptions/e1775f9f-a286-474d-b6f0-29c42ac74554/providers/Microsoft.Maintenance/publicMaintenanceConfigurations/SQL_Default",
        "isLedgerOn": false,
        "encryptionProtector": "[parameters('encryption_protector')]",
        "keys": "[parameters('keys_to_add')]",
        "federatedClientId": "[parameters('federated_client_id')]",
        "encryptionProtectorAutoRotation": "[parameters('encryption_protector_auto_rotation')]"
      }
    }
  ]
}

Példa a paraméterre és keys_to_add a encryption_protector következőre:

    "keys_to_add": {
      "value": {
        "https://yourvault.vault.azure.net/keys/yourkey1/fd021f84a0d94d43b8ef33154bca0000": {},
        "https://yourvault.vault.azure.net/keys/yourkey2/fd021f84a0d94d43b8ef33154bca0000": {}
      }
    },
    "encryption_protector": {
      "value": "https://yourvault.vault.azure.net/keys/yourkey2/fd021f84a0d94d43b8ef33154bca0000"
    }

Fontos

Ha el szeretne távolítani egy kulcsot az adatbázisból, egy adott kulcs kulcsszótár-értékét null értékként kell átadni. For example, "https://yourvault.vault.azure.net/keys/yourkey1/fd021f84a0d94d43b8ef33154bca0000": null.

Az adatbázisszintű, ügyfél által felügyelt kulcsbeállítások megtekintése egy Azure SQL Database-ben

Az alábbiakban példákat láthat az adatbázis adatbázisszintű, ügyfél által felügyelt kulcsainak lekérésére. Az ARM-erőforrás Microsoft.Sql/servers/databases alapértelmezés szerint csak az adatbázisban konfigurált TDE-védőt és felügyelt identitást jeleníti meg. A kulcsok teljes listájának kibontásához használja a paramétert. -ExpandKeyList Emellett az olyan szűrők, mint például -KeysFilter "current" az időértékek (például 2023-01-01) segítségével lekérhetők a használt aktuális kulcsok és a múltban használt kulcsok egy adott időpontban. Ezek a szűrők csak az egyes adatbázis-lekérdezésekhez támogatottak, kiszolgálószintű lekérdezésekhez nem.

Portal

Az adatbázisszintű, ügyfél által felügyelt kulcsok az Azure Portalon való megtekintéséhez nyissa meg az SQL-adatbázis-erőforrás Adattitkosítás menüjét.

Azure CLI

Az Azure CLI aktuális kiadásának telepítéséről további információt az Azure CLI telepítéséről szóló cikkben talál.

# Retrieve the basic database level customer-managed key settings from a database
az sql db show --resource-group $resourceGroupName --server $serverName --name mySampleDatabase

# Retrieve the basic database level customer-managed key settings from a database and all the keys ever added
az sql db show --resource-group $resourceGroupName --server $serverName --name mySampleDatabase --expand-keys

# Retrieve the basic database level customer-managed key settings from a database and the current keys in use
az sql db show --resource-group $resourceGroupName --server $serverName --name mySampleDatabase --expand-keys --keys-filter current

# Retrieve the basic database level customer-managed key settings from a database and the keys in use at a particular point in time
az sql db show --resource-group $resourceGroupName --server $serverName --name mySampleDatabase --expand-keys --keys-filter 01-01-2015

# Retrieve all the databases in a server to check which ones are configured with database level customer-managed keys
az sql db list --resource-group $resourceGroupName --server $serverName

PowerShell

Az Az PowerShell-modul telepítési utasításait az Azure PowerShell telepítése című témakörben találja. Adott parancsmagokért lásd: AzureRM.Sql.

Használja a Get-AzSqlDatabase parancsmagot.

# Retrieve the basic database level customer-managed key settings from a database
Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName>

# Retrieve the basic database level customer-managed key settings from a database and all the keys ever added
Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList

# Retrieve the basic database level customer-managed key settings from a database and the current keys in use
Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter "current"

# Retrieve the basic database level customer-managed key settings from a database and the keys in use at a particular point in time
Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter '2023-02-03 00:00:00'

# Retrieve all the databases in a server to check which ones are configured with database level customer-managed keys
Get-AzSqlDatabase -resourceGroupName <ResourceGroupName> -ServerName <ServerName> | Select DatabaseName, EncryptionProtector

REST API

Használja a 2022-08-01-preview REST API-t az Azure SQL Database-hez.

Kérje le az alapvető adatbázisszintű, ügyfél által felügyelt kulcsbeállításokat egy adatbázisból.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}?api-version=2022-08-01-preview

Kérje le az alapvető adatbázisszintű, ügyfél által felügyelt kulcsbeállításokat egy adatbázisból, és az összes eddig hozzáadott kulcsot

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}?api-version=2022-08-01-preview&$expand=keys

Az alapvető adatbázisszintű, ügyfél által felügyelt kulcsbeállítások lekérése egy adatbázisból és az aktuális használatban lévő kulcsokból

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}?api-version=2022-08-01-preview&$expand=keys($filter=pointInTime('current'))

Az alapvető adatbázisszintű, ügyfél által felügyelt kulcsbeállítások lekérése egy adatbázisból és az adott időpontban használt kulcsokból

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}?api-version=2022-08-01-preview&$expand=keys($filter=pointInTime('2023-02-04T01:57:42.49Z'))

Logikai kiszolgáló összes kulcsának listázása

Az egyes adatbázisok által a kiszolgáló alatt használt összes kulcs (és nem csak az elsődleges védő) listájának lekéréséhez külön le kell kérni a kulcsszűrőkkel. Az alábbi példa egy PowerShell-lekérdezésre, amely felsorolja az egyes kulcsokat a logikai kiszolgáló alatt.

Használja a Get-AzSqlDatabase parancsmagot.

$dbs = Get-AzSqlDatabase -resourceGroupName <ResourceGroupName> -ServerName <ServerName>
foreach ($db in $dbs)
{
Get-AzSqlDatabase -DatabaseName $db.DatabaseName -ServerName $db.ServerName -ResourceGroupName $db.ResourceGroupName -ExpandKeyList
}

Az adatbázisszintű ügyfél által felügyelt kulcs újraértékelése egy Azure SQL Database-ben

Ha a CMK-val transzparens adattitkosítás (TDE) nem érhető el TDE-védő, a kulcshozzáférés kijavítása után egy újraértékelési kulcsművelettel elérhetővé teheti az adatbázist. Példákért tekintse meg az alábbi utasításokat vagy parancsokat.

Portal

Az Azure Portal használatával keresse meg az SQL Database-erőforrást. Miután kiválasztotta az SQL-adatbázis-erőforrást, lépjen az Adattitkosítás menü transzparens adattitkosítás lapjára a Biztonsági beállítások alatt. Ha az adatbázis nem fér hozzá az Azure Key Vaulthoz, megjelenik a Revalidate billentyű gomb, és a meglévő kulcs újraértékelésére a Meglévő kulcs újrapróbálkozása vagy egy másik kulcs kiválasztásával van lehetősége a biztonsági mentési kulcs kiválasztásával.

Azure CLI

Az Azure CLI aktuális kiadásának telepítéséről további információt az Azure CLI telepítéséről szóló cikkben talál.

az sql db tde key revalidate --resource-group $resourceGroupName --server $serverName --database mySampleDatabase

PowerShell

Az Az PowerShell-modul telepítési utasításait az Azure PowerShell telepítése című témakörben találja. Adott parancsmagokért lásd: AzureRM.Sql.

Az Invoke-AzSqlDatabaseTransparentDataEncryptionProtectorRevalidation használatával akadálymentessé teheti az adatbázist.

Invoke-AzSqlDatabaseTransparentDataEncryptionProtectorRevalidation -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName>

REST API

Használja a 2022-08-01-preview REST API-t az Azure SQL Database-hez.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/encryptionProtector/current/revalidate?api-version=2022-08-01-preview

Az adatbázisszintű ügyfél által felügyelt kulcs visszaállítása egy Azure SQL Database-ben

Az adatbázisszintű CMK-val konfigurált adatbázisok visszaállíthatók kiszolgálószintű titkosításra, ha a kiszolgáló szolgáltatás által felügyelt kulccsal van konfigurálva az alábbi parancsokkal.

Portal

Ha az adatbázisszintű ügyfél által felügyelt kulcsbeállítást kiszolgálószintű titkosítási kulcsra szeretné visszaállítani az Azure Portalon, nyissa meg az SQL-adatbázis-erőforrás Adattitkosítás menüjének transzparens adattitkosítás lapját. Válassza a Kiszolgálószintű titkosítási kulcsot , majd a Beállítások mentéséhez válassza a Mentés lehetőséget.

Megjegyzés:

Az egyes adatbázisok kiszolgálószintű titkosítási kulcsbeállításának használatához az Azure SQL Database logikai kiszolgálójának úgy kell konfigurálnia, hogy a TDE szolgáltatás által felügyelt kulcsát használja.

Azure CLI

Az Azure CLI aktuális kiadásának telepítéséről további információt az Azure CLI telepítéséről szóló cikkben talál.

az sql db tde key revert --resource-group $resourceGroupName --server $serverName --name mySampleDatabase

PowerShell

Az Az PowerShell-modul telepítési utasításait az Azure PowerShell telepítése című témakörben találja. Adott parancsmagokért lásd: AzureRM.Sql.

A művelet végrehajtásához az Invoke-AzSqlDatabaseTransparentDataEncryptionProtectorRevert használható.

Invoke-AzSqlDatabaseTransparentDataEncryptionProtectorRevert -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName>

REST API

Használja a 2022-08-01-preview REST API-t az Azure SQL Database-hez.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/encryptionProtector/current/revert?api-version=2022-08-01-preview

További lépések

Tekintse meg a következő dokumentációt a különböző adatbázisszintű CMK-műveletekről:

• Transzparens adattitkosítás (TDE) ügyfél által felügyelt kulcsokkal az adatbázis szintjén

• Georeplikációs és biztonsági mentési visszaállítás konfigurálása transzparens adattitkosításhoz adatbázisszintű, ügyfél által felügyelt kulcsokkal