Skapa en logisk Azure SQL Database-server som konfigurerats med användartilldelad hanterad identitet och kundhanterad TDE

2025-09-15

Den här instruktionsguiden beskriver stegen för att skapa en logisk Azure SQL Database-server som konfigurerats med transparent datakryptering (TDE) med kundhanterade nycklar (CMK) med hjälp av en användartilldelad hanterad identitet för åtkomst till Azure Key Vault.

Anteckning

Microsoft Entra ID tidigare kallades Azure Active Directory (Azure AD).

Förutsättningar

Den här instruktionsguiden förutsätter att du redan har skapat en Azure Key Vault- och importerat en nyckel till den som ska användas som TDE-skydd för Azure SQL Database. För mer information, se transparent datakryptering med BYOK-stöd.
Funktionerna för mjuk borttagning och rensningsskydd måste vara aktiverade på nyckelvalvet.
Du måste ha skapat en användartilldelad hanterad identitet och gett den nödvändiga behörigheter för Transparent Data Encryption (TDE) (Hämta, Slå in nyckel, Packa upp nyckel) i ovan nämnda nyckelvalv. Information om hur du skapar en användartilldelad hanterad identitet finns i Skapa en användartilldelad hanterad identitet.
Du måste ha Azure PowerShell installerat och igång.
[Rekommenderat men valfritt] Skapa nyckelmaterialet för TDE-skyddet i en maskinvarusäkerhetsmodul (HSM) eller lokalt nyckelarkiv först och importera nyckelmaterialet till Azure Key Vault. Följ instruktioner för hur du använder en maskinvarusäkerhetsmodul (HSM) och Key Vault- för att lära dig mer.

Skapa en server som konfigurerats med TDE med kundhanterad nyckel (CMK)

Följande steg beskriver processen med att skapa en ny logisk Azure SQL Database-server och en ny databas med en användartilldelad hanterad identitet tilldelad. För att konfigurera en kundhanterad nyckel för TDE vid tiden för serverns skapande krävs den användartilldelade hanterade identiteten.

Gå till Azure SQL Hub på aka.ms/azuresqlhub.
I fönstret för Azure SQL Database väljer du Visa alternativ.
I fönstret Azure SQL Database-alternativ väljer du Skapa SQL Database.
På fliken Grundläggande i formuläret Skapa SQL Database går du till Projektinformationoch väljer önskad Azure -prenumeration.
För Resursgruppväljer du Skapa ny, anger ett namn för resursgruppen och väljer OK.
Ange för ContosoHR .
För Serverväljer du Skapa nyoch fyller i formuläret Ny server med följande värden:
- Servernamn: Ange ett unikt servernamn. Servernamn måste vara globalt unika för alla servrar i Azure, inte bara unika i en prenumeration. Ange något i stil med mysqlserver135, så meddelar Azure-portalen dig om det är tillgängligt eller inte.
- Inloggning för serveradministratör: Ange ett inloggningsnamn för administratör, till exempel: azureuser.
- Lösenord: Ange ett lösenord som uppfyller lösenordskraven och ange det igen i fältet Bekräfta lösenord.
- Plats: Välj en plats i listrutan
Välj Nästa: Nätverk för att gå vidare till nästa steg.
På fliken Nätverk väljer du offentlig slutpunktför Anslutningsmetod.
För brandväggsregleranger du Lägg till aktuell klient-IP-adress till Ja. Låt Tillåt att Azure-tjänster och resurser får åtkomst till den här servern anges till Nej.
Välj Nästa: Säkerhet för att gå vidare till nästa steg.
På fliken Säkerhet under Serveridentitetväljer du Konfigurera identiteter.
I fönstret Identity väljer du Stäng av för Systemtilldelad hanterad identitet och väljer sedan Lägg till under Användartilldelad hanterad identitet. Välj önskad Prenumeration och under Användartilldelade hanterade identiteterväljer du önskad användartilldelad hanterad identitet från den valda prenumerationen. Välj sedan knappen Lägg till.
Under Primär identitetväljer du samma användartilldelade hanterade identitet som valdes i föregående steg.
Välj Använd.
På fliken Säkerhet under Transparent datakrypteringsnyckelhantering har du möjlighet att konfigurera transparent datakryptering för servern eller databasen.
- För nyckel på servernivå: Välj Konfigurera transparent datakryptering. Välj kundhanterad nyckel, och ett alternativ för att välja en nyckel visas. Välj Ändra nyckel. Välj önskad Prenumeration, Key Vault, Keyoch Version för den kundhanterade nyckel som ska användas för TDE. Välj knappen Välj.
- För nyckel på databasnivå: Välj Konfigurera transparent datakryptering. Välj databasnivå Customer-Managed Keyoch ett alternativ för att konfigurera Database Identity och Customer-Managed Key visas. Välj Konfigurera för att konfigurera en User-Assigned hanterad identitet för databasen, ungefär som i steg 13. Välj Ändra nyckel för att konfigurera en Customer-Managed nyckel. Välj önskad Prenumeration, Key Vault, Keyoch Version för den kundhanterade nyckel som ska användas för TDE. Du kan också aktivera Auto-rotate-nyckel i menyn Transparent datakryptering. Välj knappen Välj.
Välj Använd.
Välj Nästa: Ytterligare inställningar.
Välj Nästa: Taggar.
Överväg att använda Azure-taggar. Till exempel taggen "Ägare" eller "CreatedBy" för att identifiera vem som skapade resursen och taggen Miljö för att identifiera om den här resursen finns i Produktion, Utveckling osv. Mer information finns i Utveckla din namngivnings- och taggningsstrategi för Azure-resurser.
Välj Förhandsgranska + skapa.
På sidan Granska + skapa, efter att du har granskat, välj Skapa.

Information om hur du installerar den aktuella versionen av Azure CLI finns i artikeln Installera Azure CLI.

Skapa en server som är konfigurerad med användartilldelad hanterad identitet och kundhanterad TDE genom att använda kommandot az sql server create.

az sql server create \
    --name $serverName \
    --resource-group $resourceGroupName \
    --location $location  \
    --admin-user $adminlogin \
    --admin-password $password \
    --assign-identity \
    --identity-type $identitytype \
    --user-assigned-identity-id $identityid \
    --primary-user-assigned-identity-id $primaryidentityid \
    --key-id $keyid

Skapa en databas med kommandot az sql db create.

az sql db create \
    --resource-group $resourceGroupName \
    --server $serverName \
    --name mySampleDatabase \
    --sample-name AdventureWorksLT \
    --edition GeneralPurpose \
    --compute-model Serverless \
    --family Gen5 \
    --capacity 2

Skapa en server som konfigurerats med användartilldelad hanterad identitet och kundhanterad TDE med hjälp av PowerShell.

Installationsinstruktioner för Az PowerShell-moduler finns i Installera Azure PowerShell.

Använd cmdleten New-AzSqlServer.

Ersätt följande värden i exemplet:

<ResourceGroupName>: Namnet på resursgruppen för din logiska Azure SQL-server
<Location>: Plats för servern, till exempel West USeller Central US
<ServerName>: Använd ett unikt namn på den logiska Azure SQL-servern
<ServerAdminName>: SQL-administratörsinloggningen
<ServerAdminPassword>: SQL-administratörslösenordet
<IdentityType>: Typ av identitet som ska tilldelas till servern. Möjliga värden är SystemAssigned, UserAssigned, SystemAssigned,UserAssigned och None
<UserAssignedIdentityId>: Listan över användartilldelade hanterade identiteter som ska tilldelas till servern (kan vara en eller flera)
<PrimaryUserAssignedIdentityId>: Den användartilldelade hanterade identiteten som ska användas som primär eller standard på den här servern
<CustomerManagedKeyId>: Nyckelidentifierare och kan hämtas från nyckeln i Azure Key Vault

Om du vill hämta din användartilldelade hanterade identitet resurs-IDsöker du efter hanterade identiteter i Azure-portalen. Hitta din hanterade identitet och gå till Egenskaper. Ett exempel på ditt resurs-ID för UMI ser ut som /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>

# create a server with user-assigned managed identity and customer-managed TDE
$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    SqlAdministratorCredentials = (Get-Credential)
    SqlAdministratorLogin = "<ServerAdminName>"
    SqlAdministratorPassword = "<ServerAdminPassword>"
    AssignIdentity = $true
    IdentityType = "<IdentityType>"
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    PrimaryUserAssignedIdentityId = "<PrimaryUserAssignedIdentityId>"
    KeyId = "<CustomerManagedKeyId>"
}

New-AzSqlServer @params

Här är ett exempel på en ARM-mall som skapar en logisk server i Azure med en användartilldelad hanterad identitet och kundhanterad TDE. Mallen lägger också till en Microsoft Entra-administratörsuppsättning för servern och aktiverar endast Microsoft Entra-autentisering med Azure SQL, men detta kan tas bort från mallexemplet.

Mer information och ARM-mallar finns i Azure Resource Manager-mallar för Azure SQL Database.

Använd en anpassad distribution i Azure-portalenoch Skapa en egen mall i redigeraren. Nästa, Spara konfigurationen efter att du klistrar in i exemplet.

Om du vill hämta din användartilldelade hanterade identitet resurs-IDsöker du efter hanterade identiteter i Azure-portalen. Hitta din hanterade identitet och gå till Egenskaper. Ett exempel på ditt UMI-resurs-ID ser ut som /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "String"
        },
        "location": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity."
            }
        },
        "keyvault_url": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Azure Key Vault URI."
            }
        },
        "AdminLogin": {
            "minLength": 1,
            "type": "String"
        },
        "AdminLoginPassword": {
            "type": "SecureString"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "administratorLogin": "[parameters('AdminLogin')]",
                "administratorLoginPassword": "[parameters('AdminLoginPassword')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "KeyId": "[parameters('keyvault_url')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Nästa steg

PowerShell och Azure CLI: Aktivera transparent datakryptering med kundhanterad nyckel från Azure Key Vault

Feedback

Var den här sidan till hjälp?