Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
gäller för:
Azure SQL DatabaseAzure SQL Managed Instance
Microsoft Entra-ID, tidigare Azure Active Directory, tillhandahåller en automatiskt hanterad identitet för att autentisera till alla Azure-tjänster som stöder Microsoft Entra-autentisering, till exempel Azure Key Vault, utan att exponera autentiseringsuppgifter i koden. Mer information finns i Hanterade identitetstyper i Azure.
Hanterade identiteter kan vara av två typer:
- Systemtilldelade
- Användartilldelad
Mer information finns i Hanterade identiteter i Microsoft Entra-ID för Azure SQL.
För TDE med kundhanterad nyckel (CMK) i Azure SQL används en hanterad identitet på servern för att ge åtkomsträttigheter till servern i nyckelvalvet eller hanterad HSM. Till exempel bör serverns systemtilldelade hanterade identitet förses med Azure Key Vault-behörigheter innan du aktiverar TDE med CMK på servern.
Förutom den systemtilldelade hanterade identiteten som redan stöds för TDE med CMK kan en användartilldelad hanterad identitet (UMI) som är tilldelad servern användas för att ge servern åtkomst till nyckelvalvet eller en hanterad HSM. En förutsättning för att aktivera nyckelvalv eller hanterad HSM-åtkomst är att se till att den användartilldelade hanterade identiteten har angetts behörigheterna Get, wrapKey och unwrapKey för nyckelvalvet eller hanterad HSM. Eftersom den användartilldelade hanterade identiteten är en fristående resurs som kan skapas och beviljas åtkomst till nyckelvalvet eller hanterad HSM kan TDE med en kundhanterad nyckel nu aktiveras när servern eller databasen skapas.
Anmärkning
För att tilldela en användartilldelad hanterad identitet till den logiska servern eller den hanterade instansen måste en användare ha ROLLEN SQL Server-deltagare eller SQL Managed Instance-deltagare i Azure RBAC tillsammans med andra Azure RBAC-roller som innehåller åtgärden Microsoft.ManagedIdentity/userAssignedIdentities/*/assign/action .
Fördelar med att använda UMI för kundhanterad TDE
Gör det möjligt att förauktorisera nyckelvalv eller hanterad HSM-åtkomst för logiska Azure SQL-servrar eller Azure SQL Managed Instances genom att skapa en användartilldelad hanterad identitet och ge den åtkomst till nyckelvalv eller hanterad HSM, även innan servern eller databasen har skapats.
Tillåter skapande av en logisk Azure SQL-server med TDE och CMK aktiverat.
Gör att samma användartilldelade hanterade identitet kan tilldelas till flera servrar, vilket eliminerar behovet av att individuellt aktivera systemtilldelad hanterad identitet för varje logisk Azure SQL-server eller Azure SQL Managed Instance och ge den åtkomst till nyckelvalv eller hanterad HSM.
Ger möjlighet att framtvinga CMK vid serverskapande med en tillgänglig inbyggd Azure-princip.
Överväganden vid användning av UMI för kundhanterad TDE
- Som standard använder TDE i Azure SQL den primära användartilldelade hanterade identiteten som angetts på servern för nyckelvalv eller hanterad HSM-åtkomst. Om inga användartilldelade identiteter har tilldelats till servern används serverns systemtilldelade hanterade identitet för nyckelvalvet eller hanterad HSM-åtkomst.
- När du använder en användartilldelad hanterad identitet för TDE med CMK tilldelar du identiteten till servern och anger den som den primära identiteten för servern.
- Den primära användartilldelade hanterade identiteten kräver kontinuerlig åtkomst till nyckelvalv eller hanterad HSM (get, wrapKey, unwrapKey behörigheter). Om identitetens åtkomst till nyckelvalvet eller hanterad HSM återkallas eller om tillräckliga behörigheter inte har angetts flyttas databasen till otillgängligt tillstånd.
- Om den primära användartilldelade hanterade identiteten uppdateras till en annan användartilldelad hanterad identitet måste den nya identiteten ges nödvändiga behörigheter till nyckelvalvet eller den hanterade HSM:n (Hardware Security Module) innan den primära identiteten uppdateras.
- Om du vill växla servern från användartilldelad till systemtilldelad hanterad identitet för nyckelvalv eller hanterad HSM-åtkomst anger du den systemtilldelade hanterade identiteten med nödvändiga nyckelvalv eller hanterade HSM-behörigheter och tar sedan bort alla användartilldelade hanterade identiteter från servern.
Viktigt!
Den primära användartilldelade hanterade identiteten som används för TDE med CMK bör inte tas bort från Azure. Om du tar bort den här identiteten förlorar servern åtkomsten till nyckelvalvet eller hanterad HSM och databaser blir otillgängliga.
Begränsningar och kända problem
- Om nyckelvalvet eller den hanterade HSM:n finns bakom ett virtuellt nätverk som använder en brandvägg måste alternativet Tillåt betrodda Microsoft-tjänster att kringgå den här brandväggen vara aktiverat i nyckelvalvets eller hanterade HSM:s nätverksmeny om du vill använda en användartilldelad hanterad identitet eller systemtilldelad hanterad identitet. När det här alternativet är aktiverat kan tillgängliga nycklar inte visas i SQL Server TDE-menyn i Azure-portalen. Om du vill ange en enskild CMK måste en nyckelidentifierare användas. När alternativet Tillåt betrodda Microsoft-tjänster att kringgå den här brandväggen inte är aktiverat returneras följande fel:
Failed to save Transparent Data Encryption settings for SQL resource: <ServerName>. Error message: The managed identity with ID '/subscriptions/subscriptionID/resourcegroups/resource_name/providers/Microsoft.ManagedIdentity/userAssignedIdentities/umi_name' requires the following Azure Key Vault permissions: 'Get, WrapKey, UnwrapKey' to the key 'https://keyvault_name/keys/key_name'. Please grant the missing permissions to the identity. Additionally ensure the key is not expired and is not disabled. For expired key, please extend the key expiry time so that SQL can use it to perform wrap and unwrap operations. If your key vault is behind a virtual network or firewall, ensure you select the 'Allow trusted Microsoft services to bypass this firewall' option. (https://aka.ms/sqltdebyokcreateserver).- Om du får felet ovan kontrollerar du om nyckelvalvet eller den hanterade HSM:n finns bakom ett virtuellt nätverk eller en brandvägg och kontrollerar att alternativet Tillåt betrodda Microsoft-tjänster att kringgå den här brandväggen är aktiverat.
- När flera användartilldelade hanterade identiteter tilldelas till servern eller den hanterade instansen, om en enda identitet tas bort från servern med hjälp av identitetsfönstret i Azure-portalen, lyckas åtgärden men identiteten tas inte bort från servern. Det går att framgångsrikt ta bort alla användartilldelade hanterade identiteter tillsammans från Azure-portalen.
- När servern eller den hanterade instansen är konfigurerad med kundhanterad TDE och både systemtilldelade och användartilldelade hanterade identiteter är aktiverade på servern, och de användartilldelade hanterade identiteterna tas bort utan att först ge den systemtilldelade hanterade identiteten åtkomst till nyckelvalvet eller den hanterade HSM:en, visas meddelandet Unexpected error occurred. Kontrollera att den systemtilldelade hanterade identiteten har fått nyckelvalv eller hanterad HSM-åtkomst innan du tar bort den primära användartilldelade hanterade identiteten (och andra användartilldelade hanterade identiteter) från servern.