Настройка интеграции Azure Key Vault для SQL Server на виртуальных машинах Azure (Resource Manager)
Область применения: 
SQL Server на виртуальной машине Azure
Существует несколько функций шифрования SQL Server, например прозрачное шифрование данных (TDE), шифрование на уровне столбцов (CLE) и шифрование резервной копии. Эти формы шифрования требуют хранить используемые для шифрования ключи и управлять ими. Служба Azure Key Vault предназначена для обеспечения лучшей защиты этих ключей и управления ими в надежном и высокодоступном расположении. Соединитель SQL Server позволяет SQL Server использовать эти ключи из Azure Key Vault и управляемого аппаратного модуля безопасности Azure Key Vault (HSM).
Если вы используете SQL Server в локальной среде, можете выполнить шаги для получения доступа к Azure Key Vault из локального экземпляра SQL Server. Те же действия применяются к SQL Server на виртуальных машинах Azure, но вы можете сэкономить время с помощью функции интеграции Azure Key Vault.
Примечание.
Интеграция с Azure Key Vault доступна только для выпусков SQL Server Enterprise, Developer и Evaluation. Начиная с SQL Server 2019, также поддерживается выпуск Standard.
Если эта функция включена, она автоматически устанавливает соединитель SQL Server, настраивает поставщик расширенного управления ключами для доступа к хранилищу ключей Azure и создает учетные данные, которые позволяют получить доступ к вашему хранилищу. Если вы изучили шаги, описанные ранее в локальной документации, вы увидите, что эта функция автоматизирует шаги 3, 4 и 5 (до 5,4 для создания учетных данных). Убедитесь, что хранилище ключей уже создано (шаг 2). Далее вся настройка виртуальной машины SQL Server выполняется автоматически. Когда настройка этой функции завершится, можно выполнить инструкции Transact-SQL (T-SQL), чтобы начать шифрование или резервное копирование баз данных как обычно.
Примечание.
Можно также настроить интеграцию Key Vault с помощью шаблона. Чтобы получить дополнительные сведения, ознакомьтесь с шаблоном быстрого запуска Azure для интеграции с хранилищем ключей Azure.
Соединитель SQL Server версии 1.0.4.0 устанавливается на виртуальной машине SQL Server через расширение инфраструктуры SQL как услуга (IaaS). Обновление расширения агента IaaS SQL не обновляет версию поставщика. При необходимости рекомендуется вручную обновить версию соединителя SQL Server (например, при использовании управляемого HSM в Azure Key Vault, для которой требуется по крайней мере версия 15.0.2000.440).
Включение и настройка интеграции с Key Vault
Интеграцию Key Vault можно включить во время подготовки или настроить ее для существующих виртуальных машин.
Новые виртуальные машины
При подготовке новой виртуальной машины SQL с помощью Resource Manager на портале Azure предоставляется возможность включить интеграцию Azure Key Vault.
Подробное пошаговое руководство по подготовке см. в статье "Подготовка SQL Server на виртуальной машине Azure" (портал Azure).
Существующие виртуальные машины
Для существующих виртуальных машин SQL откройте ресурс виртуальных машин SQL в разделе "Безопасность" выберите "Конфигурация безопасности". Выберите "Включить", чтобы включить интеграцию Azure Key Vault.
На следующем снимке экрана показано, как включить Azure Key Vault на портале для существующего SQL Server на виртуальной машине Azure:
По завершении в нижней части страницы Безопасность нажмите кнопку Применить, чтобы сохранить изменения.
Примечание.
Имя учетных данных, которое мы создали, позже будет сопоставлено с именем для входа в SQL. С помощью этих данных для входа в SQL можно получить доступ к хранилищу ключей.
Перейдите к шагу 5.5 из настройки sql Server TDE Extensible Key Management с помощью Azure Key Vault , чтобы завершить настройку EKM.