Создание логического сервера Базы данных SQL Azure, настроенного с помощью управляемого удостоверения, назначаемого пользователем, и управляемого клиентом TDE

Применимо к: База данных SQL Azure

В этом руководстве описаны шаги по созданию логического сервера Базы данных SQL Azure , настроенного с прозрачным шифрованием данных (TDE) с ключами, управляемыми клиентом (CMK), с помощью управляемого удостоверения, назначаемого пользователем , для доступа к Azure Key Vault.

Примечание.

Идентификатор Microsoft Entra ранее был известен как Azure Active Directory (Azure AD).

Необходимые компоненты

В этом практическом руководстве предполагается, что вы уже создали Azure Key Vault и импортировали ключ для использования в качестве средства защиты TDE для Базы данных SQL Azure. Дополнительные сведения см. в статье Прозрачное шифрование данных с поддержкой BYOK.
Защита от мягкого удаления и очистки должна быть включена в хранилище ключей.
Вы должны создать управляемое удостоверение, назначаемое пользователем, и предоставить ему необходимые разрешения TDE (получение, упаковка ключа, распаковка ключа) в указанном выше хранилище ключей. Сведения о создании управляемого удостоверения, назначаемого пользователем, см. в статье Создание управляемого удостоверения, назначаемого пользователем.
У вас должна быть установлена и запущена среда Azure PowerShell.
[Рекомендуется, но необязательно.] Предварительно создайте материал ключа для предохранителя TDE в аппаратном модуле безопасности (HSM) или локальном хранилище ключей, а затем импортируйте этот материал в Azure Key Vault. Дополнительные сведения вы найдете в инструкциях по использованию аппаратного модуля безопасности (HSM) и Key Vault.

Создание сервера, настроенного с помощью TDE, с использованием ключа, управляемого клиентом (CMK)

Ниже описано, как создать новый логический сервер Базы данных SQL Azure и новой базы данных с управляемым удостоверением, назначаемым пользователем. Управляемое удостоверение, назначаемое пользователю, требуется для настройки ключа, управляемого клиентом, для TDE во время создания сервера.

Перейдите в Центр SQL Azure в aka.ms/azuresqlhub.
В области базы данных SQL Azure выберите "Показать параметры".
В окне параметров базы данных SQL Azure выберите "Создать базу данных SQL".
На вкладке Основные сведения формы Создание базы данных SQL в разделе Сведения о проекте выберите подходящую подписку Azure.
В разделе Группа ресурсов щелкните Создать новую, введите имя группы ресурсов и нажмите ОК.
В поле Имя базы данных введите ContosoHR.
В группе Сервер выберите Создать и заполните форму Новый сервер следующим образом:
- В поле Имя сервера введите уникальное имя сервера. Имена серверов должны быть глобально уникальными для всех серверов в Azure, а не только в рамках подписки. Введите, например mysqlserver135, и портал Azure проинформирует о доступности этого имени.
- Имя для входа администратора сервера. Введите имя для входа администратора, например azureuser.
- Пароль. Введите пароль, соответствующий требованиям, а затем введите его еще раз в поле Подтверждение пароля.
- Расположение. Выберите расположение из раскрывающегося списка.
Нажмите кнопку "Далее" — сеть , чтобы перейти к следующему шагу.
На вкладке Сеть в разделе Метод подключения выберите Общедоступная конечная точка.
В разделе Правила брандмауэра установите переключатель Добавить текущий IP-адрес клиента в положение Да. Оставьте значение Нет для параметра Разрешить доступ к серверу службам и ресурсам Azure.
Нажмите кнопку "Далее": безопасность , чтобы перейти к следующему шагу.
На вкладке "Безопасность" в разделе "Удостоверение сервера" выберите "Настройка удостоверений".
На панели удостоверений выберите "Выкл. Для управляемого удостоверения, назначенного системой", а затем выберите "Добавить" в разделе "Назначаемое пользователем управляемое удостоверение". Выберите нужную подписку, а затем в разделе "Назначаемые пользователем управляемые удостоверения" выберите требуемое управляемое удостоверение, назначаемое пользователем, из выбранной подписки. Теперь нажмите кнопку Добавить.
В разделе Основное удостоверение выберите то же управляемое удостоверение, назначаемое пользователем, которое было выбрано на предыдущем шаге.
Нажмите кнопку "Применить".
На вкладке "Безопасность " в разделе "Прозрачное управление ключами шифрования данных" можно настроить прозрачное шифрование данных для сервера или базы данных.
- Для ключа уровня сервера: выберите " Настроить прозрачное шифрование данных". Выберите ключ, управляемый клиентом, и появится параметр выбора ключа . Выберите "Изменить ключ". Выберите нужную подписку, хранилище ключей, ключ и версию для ключа, управляемого клиентом, который будет использоваться для TDE. Выберите кнопку Выбрать.
- Для ключа уровня базы данных: выберите " Настроить прозрачное шифрование данных". Выберите ключ уровня базы данных, управляемый клиентом, и появится параметр настройки удостоверения базы данных и ключа, управляемого клиентом. Выберите "Настроить", чтобы настроить управляемое удостоверение , назначаемое пользователем для базы данных, аналогично шагу 13. Выберите "Изменить ключ", чтобы настроить ключ, управляемый клиентом. Выберите нужную подписку, хранилище ключей, ключ и версию для ключа, управляемого клиентом, который будет использоваться для TDE. Вы также можете включить автоматическое поворота клавиши в меню прозрачное шифрование данных. Выберите кнопку Выбрать.
Нажмите кнопку "Применить".
Нажмите кнопку "Далее": дополнительные параметры.
Нажмите кнопку "Далее": теги.
Рассмотрите возможность использования тегов Azure. Например, тег "Владелец" или "CreatedBy", чтобы определить, кто создал ресурс, и тег среды, чтобы определить, находится ли этот ресурс в рабочей среде, разработке и т. д. Дополнительные сведения см. в статье "Разработка стратегии именования и тегов для ресурсов Azure".
Выберите Review + create.
На странице Просмотр и создание после проверки нажмите кнопку Создать.

Сведения об установке текущего выпуска Azure CLI см. в статье Установка Azure CLI.

Создайте сервер, настроенный с использованием управляемого удостоверения, назначаемого пользователем, и TDE, управляемого клиентом, с помощью команды az sql server create.

az sql server create \
    --name $serverName \
    --resource-group $resourceGroupName \
    --location $location  \
    --admin-user $adminlogin \
    --admin-password $password \
    --assign-identity \
    --identity-type $identitytype \
    --user-assigned-identity-id $identityid \
    --primary-user-assigned-identity-id $primaryidentityid \
    --key-id $keyid

Создайте базу данных с помощью команды az sql db create.

az sql db create \
    --resource-group $resourceGroupName \
    --server $serverName \
    --name mySampleDatabase \
    --sample-name AdventureWorksLT \
    --edition GeneralPurpose \
    --compute-model Serverless \
    --family Gen5 \
    --capacity 2

Создайте сервер, настроенный с использованием управляемого удостоверения, назначаемого пользователем, и TDE, управляемого клиентом, с помощью PowerShell.

Инструкции по установке модуля Az PowerShell см. в разделе "Установка Azure PowerShell".

Используйте командлет New-AzSqlServer.

Замените в примере приведенные ниже значения.

<ResourceGroupName>: имя группы ресурсов для логического сервера Azure SQL.
<Location>: расположение сервера, например West US или Central US.
<ServerName>: используйте уникальное имя логического сервера Azure SQL.
<ServerAdminName> — имя для входа администратора SQL.
<ServerAdminPassword> — пароль администратора SQL.
<IdentityType> — тип удостоверения, который будет назначен серверу. Возможные значения: SystemAssigned, UserAssigned, SystemAssigned,UserAssigned и None.
<UserAssignedIdentityId> — список управляемых удостоверений, назначаемых пользователем, которые должны быть назначены серверу (может быть одно или несколько).
<PrimaryUserAssignedIdentityId> — управляемое удостоверение, назначаемое пользователем, которое следует использовать в качестве основного удостоверения или удостоверения по умолчанию на этом сервере.
<CustomerManagedKeyId>: идентификатор ключа и его можно получить из ключа в Azure Key Vault.

Чтобы получить идентификатор ресурса управляемого удостоверения, назначаемого пользователем, выполните поиск по запросу Управляемые удостоверения на портале Azure. Найдите свое управляемое удостоверение и перейдите в раздел Свойства. Пример идентификатора ресурса UMI выглядит следующим образом./subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>

# create a server with user-assigned managed identity and customer-managed TDE
$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    SqlAdministratorCredentials = (Get-Credential)
    SqlAdministratorLogin = "<ServerAdminName>"
    SqlAdministratorPassword = "<ServerAdminPassword>"
    AssignIdentity = $true
    IdentityType = "<IdentityType>"
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    PrimaryUserAssignedIdentityId = "<PrimaryUserAssignedIdentityId>"
    KeyId = "<CustomerManagedKeyId>"
}

New-AzSqlServer @params

Ниже приведен пример шаблона ARM, создающего логический сервер в Azure с управляемым удостоверением, назначенным пользователем, и управляемым клиентом TDE. Шаблон также добавляет набор администраторов Microsoft Entra для сервера и включает проверку подлинности только для Microsoft Entra с помощью SQL Azure, но это можно удалить из примера шаблона.

Дополнительные сведения и шаблоны ARM см. в шаблонах Azure Resource Manager для Базы данных SQL Azure.

Используйте инструкции из разделов о пользовательском развертывании на портале Azure и создании собственного шаблона с помощью редактора. Затем необходимо сохранить конфигурацию после того, как вставлен пример.

Чтобы получить идентификатор ресурса управляемого удостоверения, назначаемого пользователем, выполните поиск по запросу Управляемые удостоверения на портале Azure. Найдите свое управляемое удостоверение и перейдите в раздел Свойства. Пример идентификатора ресурса UMI выглядит следующим образом/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "String"
        },
        "location": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity."
            }
        },
        "keyvault_url": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Azure Key Vault URI."
            }
        },
        "AdminLogin": {
            "minLength": 1,
            "type": "String"
        },
        "AdminLoginPassword": {
            "type": "SecureString"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "administratorLogin": "[parameters('AdminLogin')]",
                "administratorLoginPassword": "[parameters('AdminLoginPassword')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "KeyId": "[parameters('keyvault_url')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Следующий шаг

PowerShell и Azure CLI: включение прозрачного шифрования данных с управляемым пользователем ключом из Azure Key Vault

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2025-09-15