Создать сервер, настроенный с управляемым удостоверением, назначаемым пользователем, и межтенантным ключом шифрования клиента (CMK) для TDE

Статья
2023-10-20

В этом руководстве мы рассмотрим шаги по созданию логического сервера SQL Azure с прозрачным шифрованием данных (TDE) и ключами, управляемыми клиентом (CMK), с помощью управляемого удостоверения, назначаемого пользователем, для доступа к Azure Key Vault в другом клиенте Microsoft Entra, отличном от клиента логического сервера. Дополнительные сведения см. в разделе "Ключи, управляемые клиентом, для кросс-тенантов с прозрачным шифрованием данных".

Примечание.

Microsoft Entra ID ранее был известен как Azure Active Directory (Azure AD).

Предварительные требования

В этом руководстве предполагается, что у вас есть два клиента Microsoft Entra.
- Первый содержит ресурс базы данных SQL Azure, мультитенантное приложение Microsoft Entra и управляемое удостоверение, назначаемое пользователем.
- Второй арендатор размещает Azure Key Vault.
Подробные инструкции по настройке межтенантной cmK и разрешений RBAC, необходимых для настройки приложений Microsoft Entra и Azure Key Vault, см. в одном из следующих руководств:
- Настройка кросс-тенантных ключей, управляемых клиентом, для новой учетной записи хранилища
- Настройка межарендных ключей, управляемых пользователем, для существующей учетной записи хранения

Необходимые ресурсы у первого арендатора

В этом руководстве предполагается, что первый арендатор принадлежит независимому поставщику программного обеспечения (ISV), а второй арендатор принадлежит их клиенту. Дополнительные сведения об этом сценарии см. в разделе Межтенантные ключи, управляемые клиентом, с прозрачным шифрованием данных.

Прежде чем настроить TDE для базы данных SQL Azure с помощью кросстенантного CMK, необходимо иметь мультитенантное приложение Microsoft Entra, настроенное с пользовательским управляемым удостоверением, назначенным в качестве удостоверяющего федеративного удостоверения для приложения. Следуйте одному из руководств в разделе "Предварительные требования".

В первом арендаторе, где вы планируете создать базу данных SQL Azure, создайте и настройте мультитенантное приложение Microsoft Entra
Создать назначенное пользователем управляемое удостоверение
Настройте управляемое удостоверение, назначенное пользователем как учетные данные федеративного удостоверения для мультитенантного приложения
Запишите имя приложения и идентификатор приложения. Это можно найти в портале Azure>Microsoft Entra ID>Корпоративные приложения и найти созданное приложение.

Необходимые ресурсы у второго арендатора

Примечание.

Модули Azure AD и MSOnline PowerShell устарели с 30 марта 2024 г. Дополнительные сведения см. в обновлении об отмене. После этой даты поддержка этих модулей ограничена поддержкой миграции в пакет SDK Для Microsoft Graph PowerShell и исправления безопасности. Устаревшие модули будут продолжать функционировать до 30 марта 2025 года.

Мы рекомендуем перейти на Microsoft Graph PowerShell для взаимодействия с Microsoft Entra ID (ранее — Azure AD). Часто задаваемые вопросы о миграции см. в разделе "Вопросы и ответы о миграции". Примечание: Версии 1.0.x MSOnline могут столкнуться с перебоями после 30 июня 2024 г.

Во втором клиенте, где находится Azure Key Vault, создайте субъект-службу (приложение) с помощью идентификатора приложения из зарегистрированного приложения из первого клиента. Вот некоторые примеры того, как зарегистрировать мультитенантное приложение. Замените <TenantID> и <ApplicationID> идентификатором клиента клиента из идентификатора Microsoft Entra ID и идентификатора приложения из мультитенантного приложения соответственно:
- PowerShell:
```
Connect-AzureAD -TenantID <TenantID>
New-AzADServicePrincipal  -ApplicationId <ApplicationID>
```
- Azure CLI:
```
az login --tenant <TenantID>
az ad sp create --id <ApplicationID>
```
Перейдите в портал Azure, Microsoft Entra ID, корпоративные приложения и найдите только что созданное приложение.
Создайте Azure Key Vault, если у вас его нет, и создайте ключ.
Создайте или задайте политику доступа.
1. Выберите разрешения Get, Wrap Key, Unwrap Key в Разрешениях ключа при создании политики доступа
2. Выберите мультитенантное приложение, созданное на первом шаге, в параметре субъекта при создании политики доступа.
После создания политики доступа и ключа извлеките ключ из Key Vault и запишите идентификатор ключа.

Создание сервера, настроенного с использованием TDE и межарендного ключа, управляемого клиентом (CMK)

В этом руководстве вы узнаете, как создать логический сервер и базу данных в SQL Azure с управляемым удостоверением, назначаемого пользователем, а также как задать управляемый клиентом ключ между клиентами. Управляемое удостоверение, назначаемое пользователем, является обязательным для настройки управляемого клиентом ключа для прозрачного шифрования данных на этапе создания сервера.

Внимание

Пользователю или приложению, использующим API-интерфейсы для создания логических серверов SQL, требуются роли участника SQL Server и оператора управляемых удостоверений RBAC или выше в подписке.

Перейдите на страницу Выберите вариант развертывания SQL на портале Azure.
Если вы еще не вошли на портал Azure, выполните вход при появлении соответствующего запроса.
В разделе Базы данных SQL оставьте для параметра Тип ресурса значение Отдельная база данных и нажмите кнопку Создать.
На вкладке Основные сведения формы Создание базы данных SQL в разделе Сведения о проекте выберите подходящую подписку Azure.
В разделе Группа ресурсов щелкните Создать новую, введите имя группы ресурсов и нажмите ОК.
Для имени базы данных введите имя базы данных. Например, ContosoHR.
В группе Сервер выберите Создать и заполните форму Новый сервер следующим образом:
- В поле Имя сервера введите уникальное имя сервера. Имена серверов должны быть глобально уникальными для всех серверов в Azure, а не только в рамках подписки. Введите, например mysqlserver135, и портал Azure проинформирует о доступности этого имени.
- Имя для входа администратора сервера. Введите имя для входа администратора, например azureuser.
- Пароль. Введите пароль, соответствующий требованиям, а затем введите его еще раз в поле Подтверждение пароля.
- Расположение. Выберите расположение из раскрывающегося списка.
В нижней части страницы нажмите кнопку Далее: сети.
На вкладке Сеть в разделе Метод подключения выберите Общедоступная конечная точка.
В разделе Правила брандмауэра установите переключатель Добавить текущий IP-адрес клиента в положение Да. Оставьте значение Нет для параметра Разрешить доступ к серверу службам и ресурсам Azure. Остальные выбранные элементы на этой странице можно оставить как по умолчанию.
Выберите Далее: безопасность доступа в нижней части страницы.
На вкладке "Безопасность" в разделе "Удостоверение" выберите "Настройка удостоверений".
На меню "Удостоверение" выберите "Выкл" для назначенное системой управляемое удостоверение, затем выберите "Добавить" в разделе назначаемое пользователем управляемое удостоверение. Выберите нужную подписку, а затем в разделе "Назначаемые пользователем управляемые удостоверения" выберите требуемое управляемое удостоверение, назначаемое пользователем, из выбранной подписки. Теперь нажмите кнопку Добавить.
В разделе Основное удостоверение выберите то же управляемое удостоверение, назначаемое пользователем, которое было выбрано на предыдущем шаге.
Для федеративного удостоверения клиентавыберите вариант Изменить удостоверение и найдите мультитенантное приложение, созданное в предварительных требованиях.

Примечание.

Если мультитенантное приложение не добавлено в политику доступа к хранилищу ключей с необходимыми разрешениями (Get, Wrap Key, Unwrap Key), то при его использовании для федерации удостоверений на портале Azure будет показано сообщение об ошибке. Убедитесь, что разрешения настроены правильно перед настройкой федеративного удостоверения клиента.
Нажмите кнопку Применить.
На вкладке "Безопасность" в разделе "Прозрачное шифрование данных" выберите "Настроить прозрачное шифрование данных". Выберите ключ, управляемый клиентом, и появится параметр ввести идентификатор ключа. Добавьте идентификатор ключа, полученный из ключа у второго арендатора.
Нажмите кнопку Применить.
В нижней части страницы щелкните Просмотреть и создать.
На странице Просмотр и создание после проверки нажмите кнопку Создать.

Сведения об установке текущего выпуска Azure CLI см. в статье Установка Azure CLI.

Создайте сервер, настроенный с помощью управляемого удостоверения, назначаемого пользователем, и управляемого клиентом кросстенантного TDE с помощью команды az sql server create. Идентификатор ключа второго клиента можно использовать в поле key-id. Идентификатор приложения мультитенантного приложения можно использовать в поле federated-client-id.

az sql server create \
    --name $serverName \
    --resource-group $resourceGroupName \
    --location $location  \
    --admin-user $adminlogin \
    --admin-password $password \
    --assign-identity \
    --identity-type $identitytype \
    --user-assigned-identity-id $identityid \
    --primary-user-assigned-identity-id $primaryidentityid \
    --key-id $keyid \
    --federated-client-id $federatedid

Создайте базу данных с помощью команды az sql db create.

az sql db create \
    --resource-group $resourceGroupName \
    --server $serverName \
    --name mySampleDatabase \
    --sample-name AdventureWorksLT \
    --edition GeneralPurpose \
    --compute-model Serverless \
    --family Gen5 \
    --capacity 2

Создайте сервер, настроенный с пользовательским управляемым удостоверением и TDE, управляемым клиентом в межтенантной среде, с помощью PowerShell.

Инструкции по установке модуля Az PowerShell см. в разделе "Установка Azure PowerShell".

Используйте командлет New-AzSqlServer.

Замените в примере приведенные ниже значения.

<ResourceGroupName>: имя группы ресурсов для логического сервера Azure SQL.
<Location>: расположение сервера, например West US или Central US.
<ServerName>: используйте уникальное имя логического сервера Azure SQL.
<ServerAdminName> — логин администратора SQL.
<ServerAdminPassword> — пароль администратора SQL.
<IdentityType> — тип идентификации, который будет назначен серверу. Возможные значения: SystemAssigned, UserAssigned, SystemAssigned,UserAssigned и None.
<UserAssignedIdentityId> — список управляемых удостоверений, назначаемых пользователем, для назначения серверу (может быть одно или несколько).
<PrimaryUserAssignedIdentityId> — управляемое удостоверение, назначаемое пользователем, которое следует использовать в качестве основного удостоверения или удостоверения по умолчанию на этом сервере.
<CustomerManagedKeyId>: Ключевой идентификатор из второго хранилища ключей арендатора
<FederatedClientId>: идентификатор приложения мультитенантного приложения

Чтобы получить идентификатор ресурса назначенного пользователем управляемого удостоверения, выполните поиск по запросу Управляемые удостоверения на портале Azure. Найдите свое управляемое удостоверение и перейдите в раздел Свойства. Пример идентификатора ресурса UMI выглядит следующим образом./subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>

# create a server with user-assigned managed identity and cross-tenant customer-managed TDE
$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    SqlAdministratorCredentials = (Get-Credential)
    SqlAdministratorLogin = "<ServerAdminName>"
    SqlAdministratorPassword = "<ServerAdminPassword>"
    AssignIdentity = $true
    IdentityType = "<IdentityType>"
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    PrimaryUserAssignedIdentityId = "<PrimaryUserAssignedIdentityId>"
    KeyId = "<CustomerManagedKeyId>"
    FederatedClientId = "<FederatedClientId>"
}

New-AzSqlServer @params

Вот пример шаблона ARM, который создает логический сервер Azure SQL с управляемым удостоверением, назначаемым пользователем, и TDE, управляемым клиентом. Для межарендного CMK используйте идентификатор ключа из второго хранилища ключей клиента и идентификатор приложения из мультитенантного приложения.

Шаблон также добавляет набор администраторов Microsoft Entra для сервера и включает проверку подлинности только для Microsoft Entra, но это можно удалить из примера шаблона.

Дополнительные сведения и шаблоны ARM см. в разделе о шаблонах Azure Resource Manager для Базы данных SQL Azure и Управляемого экземпляра SQL.

Используйте пользовательское развертывание на портале Azure и создайте собственный шаблон в редакторе. Затем необходимо сохранить конфигурацию после того, как вставлен пример.

Чтобы получить идентификатор ресурса управляемого удостоверения, назначаемого пользователем, выполните поиск по запросу Управляемые удостоверения на портале Azure. Найдите ваше управляемое удостоверение и перейдите на вкладку Свойства. Пример идентификатора ресурса UMI выглядит следующим образом/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "String"
        },
        "location": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity."
            }
        },
        "federated_clientid": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Application ID of the multi-tenant application."
            }
        },
        "keyvault_url": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The key vault URI."
            }
        },
        "AdminLogin": {
            "minLength": 1,
            "type": "String"
        },
        "AdminLoginPassword": {
            "type": "SecureString"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2022-05-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "administratorLogin": "[parameters('AdminLogin')]",
                "administratorLoginPassword": "[parameters('AdminLoginPassword')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "federatedClientId": "[parameters('federated_clientid')]",
                "KeyId": "[parameters('keyvault_url')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Следующие шаги

Начало работы с интеграцией Azure Key Vault и поддержкой собственных ключей для TDE. Включение TDE с помощью собственного ключа из Key Vault
Межтенантные ключи, управляемые клиентом, с прозрачным шифрованием данных

Поделиться через

Создать сервер, настроенный с управляемым удостоверением, назначаемым пользователем, и межтенантным ключом шифрования клиента (CMK) для TDE

Предварительные требования

Необходимые ресурсы у первого арендатора

Необходимые ресурсы у второго арендатора

Создание сервера, настроенного с использованием TDE и межарендного ключа, управляемого клиентом (CMK)

Следующие шаги

См. также

Обратная связь

Дополнительные ресурсы