你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

使用托管标识进行审核

适用于：Azure SQL 数据库Azure Synapse Analytics

可将 Azure SQL 数据库审核配置为使用具有两种身份验证方法的存储帐户：

• 托管标识
• 存储访问密钥

托管标识可以是系统分配的托管标识 (SMI)，也可以是用户分配的托管标识 (UMI)。

若要配置将审核日志写入存储帐户，请转到 Azure 门户，然后选择 Azure SQL 数据库的逻辑服务器资源。 在“审核”菜单中选择“存储”。 选择将在其中保存日志的 Azure 存储帐户。

默认情况下，使用的标识是分配给服务器的主要用户标识。 如果没有用户标识，服务器将创建系统分配的托管标识并将其用于身份验证。

通过打开“高级属性”选择保持期。 然后，选择“保存”。 早于保留期的日志会被删除。

注意

若要在 Azure Synapse Analytics 上设置基于托管标识的审核，请参阅本文后面的为 Azure Synapse Analytics 审核配置系统分配的托管标识部分。

用户分配的托管标识

UMI 使用户能够灵活地为给定租户创建和维护自己的 UMI。 UMI 可用作 Azure SQL 的服务器标识。 系统分配的托管标识的标识由每个服务器唯一定义，并由系统分配，与其相比，UMI 由用户管理。

有关 UMI 的详细信息，请参阅 Microsoft Entra ID 中用于 Azure SQL 的托管标识。

为 Azure SQL 数据库审核配置用户分配的托管标识

在将审核设置为将日志发送到存储帐户之前，分配给服务器的托管标识需要具有存储 Blob 数据参与者角色分配。 如果要使用 PowerShell、Azure CLI、REST API 或 ARM 模板配置审核，则需要此分配。 使用 Azure 门户配置审核时，会自动完成角色分配，因此，如果要通过 Azure 门户配置审核，则不需要执行以下步骤。

1. 转到 Azure 门户。

2. 创建用户分配的托管标识（如果还没有）。 有关详细信息，请参阅创建用户分配的托管标识。

3. 转到要配置以进行审核的存储帐户。

4. 选择“访问控制(IAM)”菜单。

5. 选择“添加”>“添加角色分配”。

6. 在“角色”选项卡中，搜索并选择“存储 Blob 数据参与者”。 选择“下一步”。

7. 在“成员”选项卡中，选择“将访问权限分配给”部分中的“托管标识”，然后选择“选择成员”。 可以选择为服务器创建的“托管标识”。

8. 选择“查看 + 分配”。

   

有关详细信息，请参阅使用门户分配 Azure 角色。

使用以下内容配置使用用户分配的托管标识的审核：

门户

1. 转到服务器的“标识”菜单。 在“用户分配的托管标识”部分下，选择“添加”添加托管标识。

2. 然后，可以选择添加的托管标识作为服务器的“主标识”。

   

3. 转到服务器的“审核”菜单。 为服务器配置“存储”时，选择“托管标识”作为“存储身份验证类型”。

Azure CLI

若要使用托管标识，请将 --storage-key 参数作为空字符串传递，以便在配置审核时使用分配给服务器的主托管标识。 下面是一个示例命令：

az SQL server audit-policy update -g "sampleresourcegroup" -n "sampleauditingtestserver" --state Enabled --bsts Enabled --storage-endpoint https://<storageaccountname>.blob.core.windows.net --storage-key ""

有关详细信息，请参阅 az sql server audit-policy。

PowerShell

若要使用托管标识，请将“UseIdentity”参数作为 True 传递，以使用分配给服务器的主托管标识。 下面是一个示例命令：

Set-AzSqlServerAudit -ResourceGroupName "sampleresourcegroup" -ServerName "sampleauditingtestserver" -BlobStorageTargetState Enabled -StorageAccountResourceId "/subscriptions/<SubscriptionID>/resourcegroups/sampleresourcegroup/providers/Microsoft.Storage/storageAccounts/auditingteststorageacc" -UseIdentity True

有关详细信息，请参阅 Set-AzSqlServerAudit。

REST API

若要使用主托管标识，请跳过在请求中传递参数“storageAccountAccessKey”：

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/auditingSettings/default?api-version=2017-03-01-preview

{
  "properties": {
    "state": "Enabled",
    "storageEndpoint": "https://mystorage.blob.core.windows.net"
  }
}

有关详细信息，请参阅服务器审核设置 - 创建或更新。

为 Azure Synapse Analytics 审核配置系统分配的托管标识

不能对存储帐户使用基于 UMI 的身份验证来进行审核。 只有系统分配的托管标识 (SMI) 可用于 Azure Synapse Analytics。 若要使 SMI 身份验证正常工作，必须在存储帐户的“访问控制”设置中为托管标识分配“存储 Blob 数据参与者”角色。 如果使用 Azure 门户配置审核，将自动添加此角色。

在 Azure Synapse Analytics 的 Azure 门户中，没有用于显式选择 SAS 密钥或 SMI 身份验证的选项，Azure SQL 数据库就属于这种情况。

• 如果存储帐户受 VNet 或防火墙保护，则使用 SMI 身份验证自动配置审核。

• 如果存储帐户不位于 VNet 或防火墙后面，则使用基于 SAS 密钥的身份验证自动配置审核。 但是，如果存储帐户不在 VNet 或防火墙之后，则无法使用托管标识。

若要强制使用 SMI 身份验证（无论存储帐户是否受 VNet 或防火墙保护），请使用 REST API 或 PowerShell，如下所示：

• 如果使用 REST API，请在请求正文中显式省略 StorageAccountAccessKey 字段。

  若要了解详细信息，请参阅以下内容：

  • 服务器 Blob 审核策略 - 创建或更新 - REST API（Azure SQL 数据库）
  • 数据库 Blob 审核策略 - 创建或更新 - REST API（Azure SQL 数据库）

• 如果使用 PowerShell，将 UseIdentity 参数作为 true 传递。

  若要了解详细信息，请参阅以下内容：

  • Set-AzSqlServerAudit (Az.Sql)
  • Set-AzSqlDatabaseAudit (Az.Sql)

后续步骤

• 审核概述
• Data Exposed 剧集：Azure SQL 审核中的新增功能
• SQL 托管实例的审核
• SQL Server 的审核