Müşteri tarafından yönetilen anahtarla Azure SQL Saydam Veri ŞifrelemesiAzure SQL Transparent Data Encryption with customer-managed key

Uygulama hedefi: Azure SQL veritabanı Azure SQL yönetilen örneği Azure SYNAPSE Analytics

Müşteri tarafından yönetilen anahtarla Azure SQL Saydam veri şifrelemesi (TDE) , bekleyen veri koruması için kendi anahtarını getir (bYok) senaryosunu sağlar ve kuruluşların anahtar ve veri yönetiminde görevlerin ayrılmasını sağlar.Azure SQL Transparent Data Encryption (TDE) with customer-managed key enables Bring Your Own Key (BYOK) scenario for data protection at rest, and allows organizations to implement separation of duties in the management of keys and data. Müşteri tarafından yönetilen saydam veri şifrelemesi ile, müşteri, anahtar yaşam döngüsü yönetimi (anahtar oluşturma, karşıya yükleme, döndürme, silme), anahtar kullanımı izinleri ve anahtarların üzerinde işlemler denetimi hakkında tam bir denetim üzerinden ve bunların sorumluluğundadır.With customer-managed transparent data encryption, customer is responsible for and in a full control of a key lifecycle management (key creation, upload, rotation, deletion), key usage permissions, and auditing of operations on keys.

Bu senaryoda, TDE koruyucusu olarak adlandırılan veritabanı şifreleme anahtarı (DEK) şifrelemesi için kullanılan anahtar, bulut tabanlı bir dış anahtar yönetim sistemi olan müşterinin sahip olduğu ve müşteri tarafından yönetilen Azure Key Vault (AKV)içinde depolanan, müşteri tarafından yönetilen bir asimetrik anahtardır.In this scenario, the key used for encryption of the Database Encryption Key (DEK), called TDE protector, is a customer-managed asymmetric key stored in a customer-owned and customer-managed Azure Key Vault (AKV), a cloud-based external key management system. Key Vault, isteğe bağlı olarak FIPS 140-2 düzey 2 tarafından doğrulanan donanım güvenlik modülleri (HSM 'ler) tarafından desteklenen, RSA şifreleme anahtarları için yüksek düzeyde kullanılabilir ve ölçeklenebilir güvenli depolama alanı.Key Vault is highly available and scalable secure storage for RSA cryptographic keys, optionally backed by FIPS 140-2 Level 2 validated hardware security modules (HSMs). Depolanan bir anahtara doğrudan erişime izin vermez, ancak yetkili varlıkların anahtarını kullanarak şifreleme/şifre çözme hizmetleri sağlar.It doesn't allow direct access to a stored key, but provides services of encryption/decryption using the key to the authorized entities. Anahtar, Anahtar Kasası tarafından oluşturulabilir, içeri aktarılabilir veya bir şirket ıçı HSM cihazından anahtar kasasına aktarılabilir.The key can be generated by the key vault, imported, or transferred to the key vault from an on-prem HSM device.

Azure SQL veritabanı ve Azure SYNAPSE Analytics için, TDE koruyucusu sunucu düzeyinde ayarlanır ve bu sunucuyla ilişkili olan tüm şifreli veritabanları tarafından devralınır.For Azure SQL Database and Azure Synapse Analytics, the TDE protector is set at the server level and is inherited by all encrypted databases associated with that server. Azure SQL yönetilen örneği için, TDE koruyucusu örnek düzeyinde ayarlanır ve bu örnekteki tüm şifreli veritabanları tarafından devralınır.For Azure SQL Managed Instance, the TDE protector is set at the instance level and is inherited by all encrypted databases on that instance. Sunucu TERIMI hem SQL veritabanı hem de Azure SYNAPSE ' deki bir sunucuya ve farklı belirtilmedikçe, bu belge boyunca SQL yönetilen örneğindeki yönetilen bir örneğe başvurur.The term server refers both to a server in SQL Database and Azure Synapse and to a managed instance in SQL Managed Instance throughout this document, unless stated differently.

Önemli

Müşteri tarafından yönetilen TDE kullanmaya başlamak isteyen hizmet tarafından yönetilen TDE kullanan bu işlemler için veriler, geçiş işlemi sırasında şifrelenmiş olarak kalır ve veritabanı dosyalarının kapalı kalması veya yeniden şifrelenmesi gerekmez.For those using service-managed TDE who would like to start using customer-managed TDE, data remains encrypted during the process of switching over, and there is no downtime nor re-encryption of the database files. Hizmet tarafından yönetilen anahtardan müşterinin yönettiği bir anahtara geçiş yapmak, hızlı ve çevrimiçi bir işlem olan DEK ' ın yeniden şifrelenmesini gerektirir.Switching from a service-managed key to a customer-managed key only requires re-encryption of the DEK, which is a fast and online operation.

Not

Azure SQL müşterilerinin bekleyen verilerin iki katmanını kullanmasını sağlamak için platform tarafından yönetilen anahtarlarla altyapı şifrelemesi (AES-256 şifreleme algoritması kullanılarak) kullanıma alınıyor. Bu, zaten mevcut olan, müşteri tarafından yönetilen anahtarlarla birlikte, bekleyen bir şifreleme katmanını de sağlar.To provide Azure SQL customers with two layers of encryption of data at rest, infrastructure encryption (using AES-256 encryption algorithm) with platform managed keys is being rolled out. This provides an addition layer of encryption at rest along with TDE with customer-managed keys, which is already available. Azure SQL veritabanı ve yönetilen örnek için, altyapı şifrelemesi açık olduğunda, ana veritabanı ve diğer sistem veritabanları dahil olmak üzere tüm veritabanları şifrelenir.For Azure SQL Database and Managed Instance, all databases, including the master database and other system databases, will be encrypted when infrastructure encryption is turned on. Şu anda müşterilerin bu özelliğe erişim istemesi gerekir.At this time, customers must request access to this capability. Bu özellik ile ilgileniyorsanız, iletişim kurun AzureSQLDoubleEncryptionAtRest@service.microsoft.com .If you are interested in this capability, contact AzureSQLDoubleEncryptionAtRest@service.microsoft.com .

Müşteri tarafından yönetilen TDE 'nın avantajlarıBenefits of the customer-managed TDE

Müşteri tarafından yönetilen TDE müşteri için aşağıdaki avantajları sağlar:Customer-managed TDE provides the following benefits to the customer:

  • TDE koruyucunun kullanımı ve yönetimi üzerinde tam ve ayrıntılı denetim;Full and granular control over usage and management of the TDE protector;

  • TDE koruyucusu kullanımının saydamlığı;Transparency of the TDE protector usage;

  • Kuruluş içindeki anahtar ve verilerin yönetiminde görev ayrımı uygulama yeteneği;Ability to implement separation of duties in the management of keys and data within the organization;

  • Key Vault Yöneticisi şifrelenmiş veritabanını erişilemez hale getirmek için anahtar erişim izinlerini iptal edebilir;Key Vault administrator can revoke key access permissions to make encrypted database inaccessible;

  • AKV; içindeki anahtarların Merkezi YönetimiCentral management of keys in AKV;

  • Microsoft 'un şifreleme anahtarlarını göremediği ve ayıklayamayacağı gibi, bu nedenle son müşterilerinizin sunduğu daha fazla güven;Greater trust from your end customers, since AKV is designed such that Microsoft cannot see nor extract encryption keys;

Müşteri tarafından yönetilen TDE nasıl çalıştığıHow customer-managed TDE works

Müşteri tarafından yönetilen TDE 'nın kurulumu ve çalışması

Sunucunun, 1. & lt; 1} içinde depolanan TDE koruyucusunu kullanabilmesi için, Anahtar Kasası yöneticisinin benzersiz Azure Active Directory (Azure AD) kimliğini kullanarak sunucuya aşağıdaki erişim haklarını vermesi gerekir:For server to be able to use TDE protector stored in AKV for encryption of the DEK, key vault administrator needs to give the following access rights to the server using its unique Azure Active Directory (Azure AD) identity:

  • Key Vault, anahtarın genel bölümünü ve özelliklerini almaget - for retrieving the public part and properties of the key in the Key Vault

  • wrapKey -koruyabilmek için (ŞIFRELEME) dekwrapKey - to be able to protect (encrypt) DEK

  • unwrapKey -korumayı kaldırmak için (şifre çözme) dekunwrapKey - to be able to unprotect (decrypt) DEK

Anahtar Kasası Yöneticisi ayrıca Anahtar Kasası denetim olaylarının günlüğe kaydedilmesini etkinleştirerekdaha sonra denetlenebilir.Key vault administrator can also enable logging of key vault audit events, so they can be audited later.

Sunucu, AKV 'den bir TDE koruyucusu kullanacak şekilde yapılandırıldığında, sunucu her bir TDE etkin veritabanının DEK i şifreleme için anahtar kasasına gönderir.When server is configured to use a TDE protector from AKV, the server sends the DEK of each TDE-enabled database to the key vault for encryption. Anahtar Kasası, daha sonra Kullanıcı veritabanında depolanan şifreli DEK ' i döndürür.Key vault returns the encrypted DEK, which is then stored in the user database.

Gerektiğinde, sunucu şifre çözme için anahtar kasasına korumalı DEK gönderir.When needed, server sends protected DEK to the key vault for decryption.

Denetçiler, günlük etkinleştirildiyse Anahtar Kasası AuditEvent günlüklerini gözden geçirmek için Azure Izleyici 'yi kullanabilir.Auditors can use Azure Monitor to review key vault AuditEvent logs, if logging is enabled.

Not

Anahtar Kasası için tüm izin değişikliklerinin etkili olması 10 dakika sürebilir.It may take around 10 minutes for any permission changes to take effect for the key vault. Bu işlem, AKV 'deki TDE koruyucusu için erişim izinlerini iptal etme ve bu zaman çerçevesinde bulunan kullanıcıların erişim izinlerine sahip olmaya devam eder.This includes revoking access permissions to the TDE protector in AKV, and users within this time frame may still have access permissions.

Müşteri tarafından yönetilen TDE yapılandırma gereksinimleriRequirements for configuring customer-managed TDE

AKV 'yi yapılandırma gereksinimleriRequirements for configuring AKV

  • Anahtar Kasası ve SQL veritabanı/yönetilen örnek aynı Azure Active Directory kiracısına ait olmalıdır.Key vault and SQL Database/managed instance must belong to the same Azure Active Directory tenant. Platformlar arası anahtar kasası ve sunucu etkileşimleri desteklenmez.Cross-tenant key vault and server interactions are not supported. Kaynakları daha sonra taşımak için, AKV ile TDE yeniden yapılandırılması gerekir.To move resources afterwards, TDE with AKV will have to be reconfigured. Kaynakları taşımahakkında daha fazla bilgi edinin.Learn more about moving resources.

  • Anahtar kasasında geçici silme özelliğinin etkinleştirilmesi, veri kaybını korumak için yanlışlıkla anahtar (veya Anahtar Kasası) silme gerçekleşmelidir.Soft-delete feature must be enabled on the key vault, to protect from data loss accidental key (or key vault) deletion happens. Geçici olarak silinen kaynaklar, bu sırada müşteri tarafından kurtarılmaz veya temizlenmediği takdirde 90 gün boyunca tutulur.Soft-deleted resources are retained for 90 days, unless recovered or purged by the customer in the meantime. Kurtarma ve Temizleme eylemlerinin bir Anahtar Kasası erişim ilkesiyle ilişkili kendi izinleri vardır.The recover and purge actions have their own permissions associated in a key vault access policy. Geçici silme özelliği varsayılan olarak kapalıdır ve PowerShell veya CLIaracılığıyla etkinleştirilebilir.Soft-delete feature is off by default and can be enabled via PowerShell or the CLI. Azure portal aracılığıyla etkinleştirilemez.It cannot be enabled via the Azure portal.

  • Azure Active Directory kimliğini kullanarak sunucuya veya yönetilen örnek için anahtar kasasına (Get, wrapKey, unwrapKey) erişim izni verin.Grant the server or managed instance access to the key vault (get, wrapKey, unwrapKey) using its Azure Active Directory identity. Azure portal kullanılırken, Azure AD kimliği otomatik olarak oluşturulur.When using the Azure portal, the Azure AD identity gets automatically created. PowerShell veya CLı kullanırken, Azure AD kimliğinin açık bir şekilde oluşturulması ve tamamlanmasının doğrulanması gerekir.When using PowerShell or the CLI, the Azure AD identity must be explicitly created and completion should be verified. PowerShell kullanırken ayrıntılı adım adım yönergeler için bkz. bYok Ile TDE yapılandırma ve SQL yönetilen örneği için bYok Ile TDE yapılandırma .See Configure TDE with BYOK and Configure TDE with BYOK for SQL Managed Instance for detailed step-by-step instructions when using PowerShell.

  • AKV ile güvenlik duvarı kullanırken, Güvenilen Microsoft hizmetlerinin güvenlik duvarını atlamasına Izin ver seçeneğini etkinleştirmeniz gerekir.When using firewall with AKV, you must enable option Allow trusted Microsoft services to bypass the firewall.

TDE koruyucusunu yapılandırma gereksinimleriRequirements for configuring TDE protector

  • TDE koruyucusu yalnızca asimetrik, RSA veya RSA HSM anahtarı olabilir.TDE protector can be only asymmetric, RSA or RSA HSM key. Desteklenen anahtar uzunlukları 2048 bayt ve 3072 bayttır.The supported key lengths are 2048 bytes and 3072 bytes.

  • Anahtar etkinleştirme tarihi (ayarlandıysa), geçmişteki bir tarih ve saat olmalıdır.The key activation date (if set) must be a date and time in the past. Sona erme tarihi (ayarlandıysa) gelecekteki bir tarih ve saat olmalıdır.Expiration date (if set) must be a future date and time.

  • Anahtar etkin durumda olmalıdır.The key must be in the Enabled state.

  • Anahtar kasasında mevcut anahtarı içeri aktarıyorsanız, bunu desteklenen dosya biçimlerinde ( .pfx , .byok , veya) sağladığınızdan emin olun .backup .If you are importing existing key into the key vault, make sure to provide it in the supported file formats (.pfx, .byok, or .backup).

Not

Azure SQL artık, yönetilen bir HSM 'de TDE koruyucusu olarak depolanan bir RSA anahtarının kullanılmasını desteklemektedir.Azure SQL now supports using a RSA key stored in a Managed HSM as TDE Protector. Bu özellik genel önizlemede.This feature is in public preview. Azure Key Vault yönetilen HSM, FIPS 140-2 düzey 3 tarafından doğrulanan HSM 'leri kullanarak bulut uygulamalarınızın şifreleme anahtarlarını korumanıza olanak sağlayan, tam olarak yönetilen, yüksek oranda kullanılabilir, tek kiracılı ve standartlara uygun bir bulut hizmetidir.Azure Key Vault Managed HSM is a fully managed, highly available, single-tenant, standards-compliant cloud service that enables you to safeguard cryptographic keys for your cloud applications, using FIPS 140-2 Level 3 validated HSMs. Yönetilen HSM'ler hakkında daha fazla bilgi edinin.Learn more about Managed HSMs.

Müşteri tarafından yönetilen TDE yapılandırılırken önerilerRecommendations when configuring customer-managed TDE

AKV yapılandırılırken önerilerRecommendations when configuring AKV

  • Sunucu, anahtar kasasındaki TDE koruyucuya eriştiğinde yüksek kullanılabilirlik sağlamak için, tek bir abonelikteki en fazla 500 Genel Amaçlı veya 200 İş Açısından Kritik veritabanlarını toplam bir anahtar kasası ile ilişkilendirin.Associate at most 500 General Purpose or 200 Business Critical databases in total with a key vault in a single subscription to ensure high availability when server accesses the TDE protector in the key vault. Bu rakamlar deneyimi temel alır ve Anahtar Kasası hizmeti sınırlarıbölümünde belgelenmiştir.These figures are based on the experience and documented in the key vault service limits. Buradaki amaç, sunucuda veritabanları olduğundan kasada çok sayıda anahtar işlem tetikleyeceği için sunucu yük devretmesinin ardından oluşan sorunları önlemektir.The intention here is to prevent issues after server failover, as it will trigger as many key operations against the vault as there are databases in that server.

  • Bu kritik kaynağı kimlerin silebilen ve yanlışlıkla veya yetkisiz silme işleminin önlenmesi için anahtar kasasında bir kaynak kilidi ayarlayın.Set a resource lock on the key vault to control who can delete this critical resource and prevent accidental or unauthorized deletion. Kaynak kilitlerihakkında daha fazla bilgi edinin.Learn more about resource locks.

  • Tüm şifreleme anahtarlarında denetim ve raporlamayı etkinleştir: Anahtar Kasası, diğer güvenlik bilgilerine ve olay yönetim araçlarına eklemek kolay olan Günlükler sağlar.Enable auditing and reporting on all encryption keys: Key vault provides logs that are easy to inject into other security information and event management tools. Operations Management Suite Log Analytics , zaten tümleştirilmiş bir hizmetin bir örneğidir.Operations Management Suite Log Analytics is one example of a service that is already integrated.

  • Her bir sunucuyu farklı bölgelerde bulunan iki anahtar kasası ile bağlayın ve şifrelenmiş veritabanlarının yüksek oranda kullanılabilirliğini sağlamak için aynı anahtar malzemesini tutun.Link each server with two key vaults that reside in different regions and hold the same key material, to ensure high availability of encrypted databases. Yalnızca aynı bölgedeki anahtar kasasındaki anahtarı TDE koruyucusu ile işaretleyin.Mark only the key from the key vault in the same region as a TDE protector. Aynı bölgedeki anahtar kasasını etkileyen bir kesinti varsa, sistem otomatik olarak uzak bölgedeki anahtar kasasına geçiş yapar.System will automatically switch to the key vault in the remote region if there is an outage affecting the key vault in the same region.

TDE koruyucusunu yapılandırırken önerilerRecommendations when configuring TDE protector

  • TDE koruyucunun bir kopyasını güvenli bir yerde tutun veya Emanet hizmetine sağlayın.Keep a copy of the TDE protector on a secure place or escrow it to the escrow service.

  • Anahtar, Anahtar Kasası 'nda oluşturulduysa, ilk kez AKV 'de anahtarı kullanmadan önce anahtar yedeklemesi oluşturun.If the key is generated in the key vault, create a key backup before using the key in AKV for the first time. Yedekleme, yalnızca bir Azure Key Vault geri yüklenebilir.Backup can be restored to an Azure Key Vault only. Backup-AzKeyVaultKey komutu hakkında daha fazla bilgi edinin.Learn more about the Backup-AzKeyVaultKey command.

  • Anahtara her değişiklik yapıldığında (örneğin, anahtar öznitelikleri, Etiketler, ACL 'Ler) yeni bir yedekleme oluşturun.Create a new backup whenever any changes are made to the key (for example, key attributes, tags, ACLs).

  • Anahtarları döndürürken anahtar kasasında anahtarın önceki sürümlerini saklayın , bu nedenle eski veritabanı yedeklemeleri geri yüklenebilir.Keep previous versions of the key in the key vault when rotating keys, so older database backups can be restored. Bir veritabanı için TDE koruyucusu değiştirildiğinde, veritabanının eski yedekleri en son TDE koruyucuyu kullanacak şekilde güncellenmez .When the TDE protector is changed for a database, old backups of the database are not updated to use the latest TDE protector. Geri yükleme sırasında her bir yedeklemenin, oluşturma zamanında şifrelendiğinden TDE koruyucusu olması gerekir.At restore time, each backup needs the TDE protector it was encrypted with at creation time. Anahtar döndürmeler , PowerShell kullanarak saydam veri şifrelemesi koruyucusunu döndürmebölümündeki yönergeleri izleyerek gerçekleştirilebilir.Key rotations can be performed following the instructions at Rotate the Transparent Data Encryption Protector Using PowerShell.

  • Hizmet tarafından yönetilen anahtarlara geçiş yapıldıktan sonra bile, daha önce kullanılan tüm anahtarları AKV 'de saklayın.Keep all previously used keys in AKV even after switching to service-managed keys. Veritabanı yedeklemelerinin, AKV 'de depolanan TDE koruyucuları ile geri yüklenebilmesini sağlar.It ensures database backups can be restored with the TDE protectors stored in AKV. Azure Key Vault ile oluşturulan TDE koruyucuları, kalan tüm depolanan yedeklemeler hizmet tarafından yönetilen anahtarlarla oluşturuluncaya kadar korunmalıdır.TDE protectors created with Azure Key Vault have to be maintained until all remaining stored backups have been created with service-managed keys. Backup-AzKeyVaultKeykullanarak bu anahtarların kurtarılabilir yedek kopyalarını oluşturun.Make recoverable backup copies of these keys using Backup-AzKeyVaultKey.

  • Bir güvenlik olayı sırasında, veri kaybı riski olmadan riskli olabilecek bir anahtarı kaldırmak için, riskli olabilecek anahtar kaldırma anahtarındakiadımları izleyin.To remove a potentially compromised key during a security incident without the risk of data loss, follow the steps from the Remove a potentially compromised key.

Erişilemeyen TDE koruyucusuInaccessible TDE protector

Saydam veri şifrelemesi, müşteri tarafından yönetilen anahtar kullanacak şekilde yapılandırıldığında, veritabanının çevrimiçi kalması için TDE koruyucusuna sürekli erişim gerekir.When transparent data encryption is configured to use a customer-managed key, continuous access to the TDE protector is required for the database to stay online. Sunucu, AKV 'de müşteri tarafından yönetilen TDE koruyucusuna erişimi kaybederse, 10 dakikalık bir veritabanı, ilgili hata iletisiyle tüm bağlantıları reddetmeye başlar ve durumunu erişilemez olarak değiştirir.If the server loses access to the customer-managed TDE protector in AKV, in up to 10 minutes a database will start denying all connections with the corresponding error message and change its state to Inaccessible. Erişilemeyen durumdaki bir veritabanında izin verilen tek eylem, onu siliyor.The only action allowed on a database in the Inaccessible state is deleting it.

Not

Zaman aralıklı bir ağ kesintisi nedeniyle veritabanına erişilemezse, hiçbir eylem gerekmez ve veritabanları otomatik olarak yeniden çevrimiçi olur.If the database is inaccessible due to an intermittent networking outage, there is no action required and the databases will come back online automatically.

Anahtar erişimi geri yüklendikten sonra, veritabanı yeniden çevrimiçi duruma getirilene kadar ek saat ve adımlar gerekir, bu, anahtara erişim olmadan geçen süreye ve veritabanındaki verilerin boyutuna göre farklılık gösterebilir:After access to the key is restored, taking database back online requires extra time and steps, which may vary based on the time elapsed without access to the key and the size of the data in the database:

  • Anahtar erişimi 8 saat içinde geri yüklenirse, veritabanı bir sonraki saat içinde geri döndürülür.If key access is restored within 8 hours, the database will autoheal within next hour.

  • Anahtar erişimi 8 saatten uzun bir süre sonra geri yüklenirse, oto Heal mümkün değildir ve veritabanının geri getirilmesi portala ek adımlar gerektirir ve veritabanının boyutuna bağlı olarak önemli miktarda zaman alabilir.If key access is restored after more than 8 hours, autoheal is not possible and bringing back the database requires extra steps on the portal and can take a significant amount of time depending on the size of the database. Veritabanı yeniden çevrimiçi olduktan sonra, önceden Yük devretme grubu yapılandırması, zaman içinde geri yükleme geçmişi ve Etiketler gibi sunucu düzeyi ayarları daha önce yapılandırılmış olur.Once the database is back online, previously configured server-level settings such as failover group configuration, point-in-time-restore history, and tags will be lost. Bu nedenle, temel alınan anahtar erişim sorunlarını 8 saat içinde tanımlamanızı ve adresetmenizi sağlayan bir bildirim sistemi uygulanması önerilir.Therefore, it's recommended implementing a notification system that allows you to identify and address the underlying key access issues within 8 hours.

Aşağıda, erişilemeyen bir veritabanını yeniden çevrimiçi hale getirmek için portalda gereken ek adımların bir görünümü yer alır.Below is a view of the extra steps required on the portal to bring an inaccessible database back online.

TDE BYOK erişilemeyen veritabanı

Yanlışlıkla TDE koruyucu erişimi iptaliAccidental TDE protector access revocation

Anahtar Kasası 'na yeterli erişim haklarına sahip birinin yanlışlıkla bu anahtara sunucu erişimini devre dışı bırakmasından kaynaklanabilir:It may happen that someone with sufficient access rights to the key vault accidentally disables server access to the key by:

  • anahtar kasasının Get, wrapKey, unwrapKey izinleri sunucudan iptal ediliyorrevoking the key vault's get, wrapKey, unwrapKey permissions from the server

  • anahtar siliniyordeleting the key

  • anahtar kasasını silmedeleting the key vault

  • anahtar kasasının güvenlik duvarı kurallarını değiştirmechanging the key vault's firewall rules

  • Azure Active Directory içindeki sunucunun yönetilen kimliğini silmedeleting the managed identity of the server in Azure Active Directory

Veritabanının erişilemez hale gelmesi için yaygın nedenlerhakkında daha fazla bilgi edinin.Learn more about the common causes for database to become inaccessible.

Müşteri tarafından yönetilen TDE 'nın izlenmesiMonitoring of the customer-managed TDE

Veritabanı durumunu izlemek ve TDE koruyucu erişimi kaybı nedeniyle uyarı etkinleştirmek için aşağıdaki Azure özelliklerini yapılandırın:To monitor database state and to enable alerting for loss of TDE protector access, configure the following Azure features:

  • Azure Kaynak durumu.Azure Resource Health. Veritabanına ilk bağlantı reddedildikten sonra TDE koruyucusu erişimi kayıp olan erişilemeyen bir veritabanı "kullanılamaz" olarak gösterilir.An inaccessible database that has lost access to the TDE protector will show as "Unavailable" after the first connection to the database has been denied.
  • Müşteri tarafından yönetilen anahtar kasasındaki TDE koruyucuya erişim başarısız olduğunda etkinlik günlüğü etkinlik günlüğüne eklenir.Activity Log when access to the TDE protector in the customer-managed key vault fails, entries are added to the activity log. Bu olaylar için uyarı oluşturulması mümkün olan en kısa sürede erişimi yeniden etkinleştirmenizi sağlar.Creating alerts for these events will enable you to reinstate access as soon as possible.
  • Eylem grupları , tercihlerinize göre size bildirim ve uyarı göndermek için tanımlanabilir; Örneğin, e-posta/SMS/Push/Voice, Logic App, Web KANCASı, ISM veya Otomasyon Runbook 'u.Action Groups can be defined to send you notifications and alerts based on your preferences, for example, Email/SMS/Push/Voice, Logic App, Webhook, ITSM, or Automation Runbook.

Müşteri tarafından yönetilen TDE ile veritabanı yedekleme ve geri yüklemeDatabase backup and restore with customer-managed TDE

Bir veritabanı TDE Key Vault 'ten anahtar kullanılarak şifrelendikten sonra, yeni oluşturulan tüm yedeklemeler aynı TDE koruyucusuyla de şifrelenir.Once a database is encrypted with TDE using a key from Key Vault, any newly generated backups are also encrypted with the same TDE protector. TDE koruyucusu değiştirildiğinde, veritabanının eski yedekleri en son TDE koruyucuyu kullanacak şekilde güncellenmez .When the TDE protector is changed, old backups of the database are not updated to use the latest TDE protector.

Key Vault bir TDE koruyucusu ile şifrelenmiş bir yedeklemeyi geri yüklemek için, anahtar malzemenin hedef sunucu için kullanılabilir olduğundan emin olun.To restore a backup encrypted with a TDE protector from Key Vault, make sure that the key material is available to the target server. Bu nedenle TDE koruyucusunun tüm eski sürümlerini anahtar kasasında tutmanızı öneririz; böylelikle veritabanı yedeklemeleri geri yüklenebilir.Therefore, we recommend that you keep all the old versions of the TDE protector in key vault, so database backups can be restored.

Önemli

Herhangi bir anda, bir sunucu için birden fazla TDE koruyucu kümesi olamaz.At any moment there can be not more than one TDE protector set for a server. Bu, Azure portal dikey penceresindeki "anahtarı varsayılan TDE koruyucuyu yap" ile işaretlenen anahtardır.It's the key marked with "Make the key the default TDE protector" in the Azure portal blade. Ancak, birden fazla ek anahtar, bir TDE koruyucusu olarak işaretlenmeksizin bir sunucuya bağlanabilir.However, multiple additional keys can be linked to a server without marking them as a TDE protector. Bu anahtarlar DEK koruma için kullanılmaz, ancak yedekleme dosyası karşılık gelen parmak izine sahip anahtarla şifrelendiyse, yedekten geri yükleme sırasında kullanılabilir.These keys are not used for protecting DEK, but can be used during restore from a backup, if backup file is encrypted with the key with the corresponding thumbprint.

Bir yedeklemeyi geri yüklemek için gerekli olan anahtar artık hedef sunucu için kullanılabilir değilse, geri yükleme denemeniz: "hedef sunucunun <Servername> ve arasında oluşturulan tüm AKV URI 'lere erişimi yok <Timestamp #1> <Timestamp #2> .If the key that is needed for restoring a backup is no longer available to the target server, the following error message is returned on the restore try: "Target server <Servername> does not have access to all AKV URIs created between <Timestamp #1> and <Timestamp #2>. Tüm AKV URI 'Lerini geri yükledikten sonra işlemi yeniden deneyin. "Retry operation after restoring all AKV URIs."

Bunu azaltmak için, hedef sunucu için Get-AzSqlServerKeyVaultKey cmdlet 'ini veya hedef yönetilen örnek için Get-AzSqlInstanceKeyVaultKey ' i çalıştırarak kullanılabilir anahtarların listesini döndürün ve eksik olanları tespit edin.To mitigate it, run the Get-AzSqlServerKeyVaultKey cmdlet for the target server or Get-AzSqlInstanceKeyVaultKey for the target managed instance to return the list of available keys and identify the missing ones. Tüm yedeklemelerin geri yüklenebildiğinden emin olmak için, geri yükleme için hedef sunucunun gerekli tüm anahtarlara erişebildiğinden emin olun.To ensure all backups can be restored, make sure the target server for the restore has access to all of keys needed. Bu anahtarların TDE koruyucusu olarak işaretlenmesi gerekmez.These keys don't need to be marked as TDE protector.

SQL veritabanı için yedekleme kurtarması hakkında daha fazla bilgi edinmek için bkz. SQL veritabanı 'nda veritabanını kurtarma.To learn more about backup recovery for SQL Database, see Recover a database in SQL Database. Azure SYNAPSE Analytics 'te adanmış SQL havuzu için yedekleme kurtarması hakkında daha fazla bilgi edinmek için bkz. ayrılmış BIR SQL havuzunu kurtarma.To learn more about backup recovery for dedicated SQL pool in Azure Synapse Analytics, see Recover a dedicated SQL pool. SQL yönetilen örneği ile SQL Server yerel yedekleme/geri yükleme için bkz . hızlı başlangıç: VERITABANıNı SQL yönetilen örneğine geri yüklemeFor SQL Server's native backup/restore with SQL Managed Instance, see Quickstart: Restore a database to SQL Managed Instance

Günlük dosyaları için ek dikkat: yedeklenen günlük dosyaları, döndürülse bile özgün TDE koruyucusu ile şifrelenmeye devam eder ve veritabanı şimdi yeni bir TDE koruyucu kullanıyor.Additional consideration for log files: Backed up log files remain encrypted with the original TDE protector, even if it was rotated and the database is now using a new TDE protector. Geri yükleme sırasında, veritabanını geri yüklemek için her iki anahtar de gerekecektir.At restore time, both keys will be needed to restore the database. Günlük dosyası Azure Key Vault depolanan bir TDE koruyucu kullanıyorsa, veritabanı hizmet tarafından yönetilen TDE kullanacak şekilde değiştirilse bile, bu anahtar geri yükleme zamanında gerekecektir.If the log file is using a TDE protector stored in Azure Key Vault, this key will be needed at restore time, even if the database has been changed to use service-managed TDE in the meantime.

Müşteri tarafından yönetilen TDE ile yüksek kullanılabilirlikHigh availability with customer-managed TDE

Sunucu için yapılandırılmış coğrafi yedeklilik olmadığında bile, sunucuyu aynı anahtar malzemesine sahip iki farklı bölgede iki farklı Anahtar Kasası kullanacak şekilde yapılandırmak kesinlikle önerilir.Even in cases when there is no configured geo-redundancy for server, it is highly recommended to configure the server to use two different key vaults in two different regions with the same key material. Diğer bölgedeki ikincil anahtar kasasındaki anahtar, TDE koruyucusu olarak işaretlenmemelidir ve buna izin verilmemiştir.The key in the secondary key vault in the other region should not be marked as TDE protector, and it's not even allowed. Birincil anahtar kasasını etkileyen bir kesinti varsa ve bu durumda, sistem varsa ikincil anahtar kasasında aynı parmak izine sahip diğer bağlantılı anahtara otomatik olarak geçiş yapar.If there is an outage affecting the primary key vault, and only then, the system will automatically switch to the other linked key with the same thumbprint in the secondary key vault, if it exists. Bu anahtar, iptal edilen erişim haklarından dolayı TDE koruyucusu erişilemediğinde veya anahtar ya da Anahtar Kasası silindiği için, müşterinin bir sunucunun anahtara erişimini kasıtlı olarak kısıtlayabileceğinden bu anahtarın gerçekleşmeyeceğini unutmayın.Note though that switch will not happen if TDE protector is inaccessible because of revoked access rights, or because key or key vault is deleted, as it may indicate that customer intentionally wanted to restrict server from accessing the key. Farklı bölgelerde iki Anahtar Kasası için aynı anahtar malzemesini sağlamak, anahtar kasasının dışında anahtar oluşturarak ve bunları her iki Anahtar Kasası içine aktararak yapılabilir.Providing the same key material to two key vaults in different regions can be done by creating the key outside of the key vault, and importing them into both key vaults.

Alternatif olarak, sunucu ile aynı bölgede bulunan Birincil Anahtar Kasası kullanılarak anahtar oluşturarak ve anahtarı farklı bir Azure bölgesindeki anahtar kasasında klonlayarak elde edilebilir.Alternatively, it can be accomplished by generating key using the primary key vault colocated in the same region as the server and cloning the key into a key vault in a different Azure region. Anahtarı birincil anahtar kasasından şifrelenmiş biçimde almak için Backup-azkeyvaultkey cmdlet 'ini kullanın ve ardından restore-azkeyvaultkey cmdlet 'ini kullanın ve anahtarı klonlamak için ikinci bölgede bir Anahtar Kasası belirtin.Use the Backup-AzKeyVaultKey cmdlet to retrieve the key in encrypted format from the primary key vault and then use the Restore-AzKeyVaultKey cmdlet and specify a key vault in the second region to clone the key. Alternatif olarak, anahtarı yedeklemek ve geri yüklemek için Azure portal kullanın.Alternatively, use the Azure portal to back up and restore the key. Anahtar yedekleme/geri yükleme işlemine yalnızca aynı Azure aboneliği ve Azure Coğrafyaiçindeki anahtar kasaları arasında izin verilir.Key backup/restore operation is only allowed between key vaults within the same Azure subscription and Azure geography.

Single-Server HA

Coğrafi-DR ve müşteri tarafından yönetilen TDEGeo-DR and customer-managed TDE

Hem etkin coğrafi çoğaltma hem de Yük devretme grupları senaryolarında, dahil edilen her sunucu ayrı bir Anahtar Kasası gerektirir ve bu, aynı Azure bölgesindeki sunucu ile birlikte bulunmalıdır.In both active geo-replication and failover groups scenarios, each server involved requires a separate key vault, that must be colocated with the server in the same Azure region. Müşteri, anahtar kasalarının önemli kasaların tamamında korunmasından sorumludur. böylece, coğrafi ikincil değer eşitlenmiş olur ve birincil anahtar kasasından, bölgedeki bir kesinti nedeniyle, bir yük devretme işlemi tetiklendiği için aynı anahtarı kullanmaya devam edebilir.Customer is responsible for keeping the key material across the key vaults consistent, so that geo-secondary is in sync and can take over using the same key from its local key vault if primary becomes inaccessible due to an outage in the region and a failover is triggered. En fazla dört ikincil değer yapılandırılabilir ve zincirleme (ikinconun ikincilleri) desteklenmez.Up to four secondaries can be configured, and chaining (secondaries of secondaries) is not supported.

Eksik anahtar malzemesi nedeniyle coğrafi çoğaltma sırasında veya sırasında sorunları önlemek için müşteri tarafından yönetilen TDE yapılandırılırken bu kuralları izlemeniz önemlidir:To avoid issues while establishing or during geo-replication due to incomplete key material, it's important to follow these rules when configuring customer-managed TDE:

  • Dahil edilen tüm anahtar kasaları, ilgili sunucular için aynı özelliklere ve aynı erişim haklarına sahip olmalıdır.All key vaults involved must have same properties, and same access rights for respective servers.

  • Dahil olan tüm anahtar kasaları aynı anahtar malzemesini içermelidir.All key vaults involved must contain identical key material. Yalnızca geçerli bir TDE koruyucu için değil, yedekleme dosyalarında kullanılabilecek tüm önceki TDE koruyucuları için geçerlidir.It applies not just to the current TDE protector, but to the all previous TDE protectors that may be used in the backup files.

  • İkisin ilk kurulumu ve döndürme işlemi, önce ikincil üzerinde, sonra birincilde yapılmalıdır.Both initial setup and rotation of the TDE protector must be done on the secondary first, and then on primary.

Yük devretme grupları ve coğrafi-Dr

Yük devretmeyi test etmek için etkin coğrafi Çoğaltmaya genel bakış' daki adımları izleyin.To test a failover, follow the steps in Active geo-replication overview. SQL veritabanının her iki Anahtar Kasası için de erişim izni olduğunu doğrulamak için yük devretme testi düzenli olarak yapılmalıdır.Testing failover should be done regularly to validate that SQL Database has maintained access permission to both key vaults.

Sonraki adımlarNext steps

Ayrıca, müşteri tarafından yönetilen TDE ile yaygın işlemler için aşağıdaki PowerShell örnek betiklerini denetlemek isteyebilirsiniz:You may also want to check the following PowerShell sample scripts for the common operations with customer-managed TDE: