使用受控識別稽核

適用於：Azure SQL 資料庫Azure Synapse Analytics

Azure SQL 資料庫的稽核可以設定為使用採兩種驗證方法的儲存體帳戶：

• 受控識別
• 儲存體存取金鑰

受控識別有兩種：系統指派的受控識別 (SMI)；使用者指派的受控識別 (UMI)。

若要設定將稽核記錄寫入儲存體帳戶，請移至 Azure 入口網站，然後選取 Azure SQL 資料庫的邏輯伺服器資源。 在 [稽核] 功能表中選取 [儲存體]。 選取要在將記錄儲存到的 Azure 儲存體帳戶。

根據預設，使用的身分識別是指派給伺服器的主要使用者識別。 如果無使用者識別，伺服器會建立系統指派的受控識別，並將其用於驗證。

開啟 [進階屬性] 以選取保留期間。 然後選取儲存。 早於保留期限的記錄會予以刪除。

注意

若要在 Azure Synapse Analytics 上設定基於受控識別的稽核，請參閱本文稍後的設定系統指派的受控識別以進行 Azure Synapse Analytics 稽核一節。

使用者指派的受控識別

UMI 使得使用者可以彈性地為指定租用戶建立和維護自己的 UMI。 UMI 可用作 Azure SQL 的伺服器身分識別。 UMI 由使用者管理 (相較於系統指派的受控識別，該身分識別是每個伺服器唯一定義的) 並由系統指派。

如需有關 UMI 的詳細資訊，請參閱適用於 Azure SQL 的 Microsoft Entra ID 中的受控身分識別。

設定使用者指派的受控識別以進行 Azure SQL 資料庫稽核

在設定稽核以將記錄傳送至儲存體帳戶之前，指派給伺服器的受控識別必須具有儲存體 Blob 資料參與者角色指派。 若要使用 PowerShell、Azure CLI、REST API 或 ARM 範本設定稽核，則需要此指派。 使用 Azure 入口網站設定稽核時，角色指派會自動完成，因此如果您透過 Azure 入口網站設定稽核，不需要執行下列步驟。

1. 前往 Azure 入口網站。

2. 建立使用者指派的受控識別 (如果您還沒有這樣做的話)。 如需詳細資訊，請參閱建立使用者指派的受控識別。

3. 移至您想要為稽核設定的儲存體帳戶。

4. 選取 [存取控制 (IAM)] 功能表。

5. 選取 [新增>][新增角色指派]。

6. 在 [角色] 索引標籤中，選取 [儲存體 Blob 資料參與者]。 選取 [下一步]。

7. 在 [成員] 索引標籤的 [將存取權指派給] 區段中，選取 [受控識別]，然後選擇 [選取成員]。 您可以選取為您的伺服器建立的受控識別。

8. 選取檢閱+指派。

   

如需詳細資訊，請參閱使用入口網站指派 Azure 角色。

遵循下列步驟可設定使用者指派的受控識別設定稽核。

入口網站

1. 移至伺服器的 [身分識別] 功能表。 在 [使用者指派的受控識別] 區段，[新增] 受控識別。

2. 然後，可以選取新增的受控識別作為伺服器的主要身分識別。

   

3. 移至伺服器的 [稽核] 功能表。 設定伺服器的儲存體時，選取 [受控識別] 作為 [儲存體驗證類型]。

Azure CLI

若要使用受控識別，請將 --storage-key 參數當作空字串傳遞，以在設定稽核時使用指派給伺服器的主要受控識別。 以下是命令範例：

az SQL server audit-policy update -g "sampleresourcegroup" -n "sampleauditingtestserver" --state Enabled --bsts Enabled --storage-endpoint https://<storageaccountname>.blob.core.windows.net --storage-key ""

如需詳細資訊，請參閱 az sql server audit-policy。

PowerShell

若要使用受控識別，請將 UseIdentity 參數作為 True 傳遞，以使用指派給伺服器的主要受控識別。 以下是命令範例：

Set-AzSqlServerAudit -ResourceGroupName "sampleresourcegroup" -ServerName "sampleauditingtestserver" -BlobStorageTargetState Enabled -StorageAccountResourceId "/subscriptions/<SubscriptionID>/resourcegroups/sampleresourcegroup/providers/Microsoft.Storage/storageAccounts/auditingteststorageacc" -UseIdentity True

如需詳細資訊，請參閱 Set-AzSqlServerAudit。

REST API

若要使用主要受控識別，請略過在要求中傳遞參數 storageAccountAccessKey：

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/auditingSettings/default?api-version=2017-03-01-preview

{
  "properties": {
    "state": "Enabled",
    "storageEndpoint": "https://mystorage.blob.core.windows.net"
  }
}

如需詳細資訊，請參閱伺服器稽核設定 - 建立或更新。

設定系統指派的受控識別以進行 Azure Synapse Analytics 稽核

不能對儲存體帳戶使用 UMI 型驗證來進行稽核。 只有系統指派的受控識別 (SMI) 可用於 Azure Synapse Analytics。 若要讓 SMI 驗證正常運作，受控識別必須在儲存體帳戶的 [存取控制] 設定中，將 [儲存體 Blob 資料參與者] 角色指派給它。 如果將 Azure 入口網站用於設定稽核，系統會自動新增此角色。

在 Azure Synapse Analytics 的 Azure 入口網站中，沒有明確選擇 SAS 金鑰或 SMI 驗證的選項，與 Azure SQL 資料庫中的情況一樣。

• 如果儲存體帳戶位於 VNet 或防火牆後方，系統會使用 SMI 驗證自動設定稽核。

• 如果儲存體帳戶不在 VNet 或防火牆後方，系統會使用基於 SAS 金鑰的驗證自動設定稽核。 不過，如果儲存體帳戶不在 VNet 或防火牆後方，就無法使用受控識別。

若要強制使用 SMI 驗證，不論儲存體帳戶是否位於 VNet 或防火牆後方，請使用 REST API 或 PowerShell，如下所示：

• 如果使用 REST API，請明確省略要求本文中的 StorageAccountAccessKey 欄位。

  如需詳細資訊，請參閱：

  • 伺服器 Blob 稽核原則 - 建立或更新 - REST API (Azure SQL 資料庫)
  • 資料庫 Blob 稽核原則 - 建立或更新 - REST API (Azure SQL 資料庫)

• 如果使用 PowerShell，請將 UseIdentity 參數作為 true 傳遞。

  如需詳細資訊，請參閱：

  • Set-AzSqlServerAudit (Az.Sql)
  • Set-AzSqlDatabaseAudit (Az.Sql)

下一步

• 稽核概觀
• 「Data Exposed」單集：Azure SQL 稽核的新功能
• SQL 受控執行個體的稽核
• SQL Server 的稽核