Identitäts- und Schlüsselverwaltung für TDE mit kundenseitig verwalteten Schlüsseln auf Datenbankebene

Hinweis

TDE CMK auf Datenbankebene ist für Azure SQL-Datenbank (alle SQL-Datenbank-Editionen) verfügbar. Es ist nicht für Azure SQL Managed Instance, lokal installierten SQL Server, Azure VMs und Azure Synapse Analytics (dedizierte SQL-Pools (ehemals SQL DW)) verfügbar.
Derselbe Leitfaden kann angewendet werden, um kundenseitig verwaltete Schlüssel auf Datenbankebene im gleichen Mandanten zu konfigurieren, indem der Verbundclient-ID-Parameter ausgeschlossen wird. Weitere Informationen zu kundenseitig verwalteten Schlüsseln auf Datenbankebene finden Sie unter Transparente Datenverschlüsselung (TDE) mit kundenseitig verwalteten Schlüsseln auf Datenbankebene.

In diesem Leitfaden werden die Schritte zum Erstellen, Aktualisieren und Abrufen einer Azure SQL-Datenbank-Instanz mit transparenter Datenverschlüsselung (Transparent Data Encryption, TDE) und kundenseitig verwalteten Schlüsseln (CMK) auf Datenbankebene unter Verwendung einer benutzerseitig zugewiesenen verwalteten Identität für den Zugriff auf Azure Key Vault beschrieben. Der Azure Key Vault befindet sich in einem anderen Microsoft Entra-Mandanten als der Azure SQL-Datenbank. Weitere Informationen finden Sie unter Mandantenübergreifende kundenseitig verwaltete Schlüssel mit Transparent Data Encryption.

Hinweis

Microsoft Entra ID war zuvor als Azure Active Directory (Azure AD) bekannt.

Voraussetzungen

In diesem Leitfaden wird davon ausgegangen, dass Sie über zwei Microsoft Entra-Mandanten verfügen.
- Der erste besteht aus der Azure SQL-Datenbankressource, einer mehrinstanzenbasierten Microsoft Entra-Anwendung und einer vom Benutzer zugewiesenen verwalteten Identität.
- Der zweite Mandant enthält die Azure Key Vault-Instanz.
Ausführliche Anweisungen zum Einrichten mandantenübergreifender CMKs und den RBAC-Berechtigungen, die zum Konfigurieren von Microsoft Entra-Anwendungen und Azure Key Vault erforderlich sind, finden Sie in einem der folgenden Leitfäden:
- Konfigurieren von mandantenübergreifenden kundenseitig verwalteten Schlüsseln für ein neues Speicherkonto
- Konfigurieren von mandantenübergreifenden kundenseitig verwalteten Schlüsseln für ein vorhandenes Speicherkonto
Die Azure CLI Version 2.52.0 oder höher.
Az PowerShell-Modul, Version 10.3.0 oder höher
Die RBAC-Berechtigungen, die für CMK auf Datenbankebene erforderlich sind, sind dieselben, die auch für CMK auf Serverebene erforderlich sind. Insbesondere gelten die gleichen RBAC-Berechtigungen, die bei der Verwendung von Azure Key Vault, Managed Identities und Cross-tenant CMK für TDE auf Serverebene anwendbar sind, auch auf Datenbankebene. Weitere Informationen zur Schlüsselverwaltung und Zugriffsrichtlinie finden Sie unter Schlüsselverwaltung.

Erforderliche Ressourcen im ersten Mandanten

In diesem Tutorial wird davon ausgegangen, dass der erste Mandant einem unabhängigen Softwareanbieter (Independent Software Vendor, ISV) und der zweite Mandant der Kundschaft gehört. Weitere Informationen zu diesem Szenario finden Sie unter Mandantenübergreifende kundenseitig verwaltete Schlüssel mit Transparent Data Encryption.

Damit Sie TDE für Azure SQL-Datenbank mit einem mandantenübergreifenden CMK konfigurieren können, benötigen Sie eine Microsoft Entra-Anwendung mit mehreren Mandanten, die mit einer benutzerseitig zugewiesenen verwalteten Identität mit Anmeldeinformationen für eine Verbundidentität für die Anwendung konfiguriert ist. Befolgen Sie dazu einen der Leitfäden unter „Voraussetzungen“.

Erstellen und konfigurieren Sie im ersten Mandanten, in dem Sie die Azure SQL-Datenbank-Instanz erstellen möchten, eine mehrinstanzenfähige Microsoft Entra-Anwendung.
Erstellen Sie eine benutzerseitig zugewiesene verwaltete Identität.
Konfigurieren Sie die vom Benutzer zugewiesene verwaltete Identität als Verbundidentitätsnachweis für die mehrmandantenfähige Anwendung.
Notieren Sie sich den Namen und die ID der Anwendung. Sie finden beides, indem Sie unter Azure-Portal>Microsoft Entra ID>Unternehmensanwendungen nach der erstellten Anwendung suchen.

Erforderliche Ressourcen im zweiten Mandanten

Hinweis

Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Update zur Einstellung. Nach diesem Datum wird die Unterstützung für diese Module auf die Migrationsunterstützung für das Microsoft Graph PowerShell-SDK und Sicherheitskorrekturen beschränkt. Die veralteten Module funktionieren weiterhin bis zum 30. März 2025.

Es wird empfohlen, für die Interaktion mit Microsoft Entra ID (früher Azure AD) zu Microsoft Graph PowerShell zu migrieren. Informationen zu allgemeinen Migrationsfragen finden Sie in den häufig gestellten Fragen zur Migration. Hinweis: Bei der Version 1.0.x von MSOnline können nach dem 30. Juni 2024 Unterbrechungen auftreten.

Erstellen Sie im zweiten Mandanten, in dem sich die Azure Key Vault-Instanz befindet, einen Dienstprinzipal (Anwendung) mithilfe der Anwendungs-ID der registrierten Anwendung im ersten Mandanten. Hier sind einige Beispiele für die Registrierung der Mehrinstanzenanwendung. Ersetzen Sie <TenantID> und <ApplicationID> durch die Kundenmandanten-ID aus Microsoft Entra ID bzw. der Anwendungs-ID der mehrinstanzenfähigen Anwendung:
- PowerShell:
```
Connect-Entra -TenantID <TenantID>
New-EntraServicePrincipal  -AppId <ApplicationID>
```
- Die Azure CLI:
```
az login --tenant <TenantID>
az ad sp create --id <ApplicationID>
```
Navigieren Sie zu Azure-Portal>Microsoft Entra ID>Unternehmensanwendungen, und suchen Sie nach der erstellten Anwendung.
Erstellen Sie bei Bedarf eine Azure Key Vault-Instanz und einen Schlüssel.
Erstellen Sie die Zugriffsrichtlinie, oder legen Sie sie fest.
1. Wählen Sie beim Erstellen der Zugriffsrichtlinie unter Schlüsselberechtigungen die Berechtigungen „Abrufen“, „Schlüssel packen“ und „Schlüssel entpacken“ aus.
2. Wählen Sie die mehrfachinstanzenfähige Anwendung aus, die im ersten Schritt in der Option "Prinzipal " beim Erstellen der Zugriffsrichtlinie erstellt wurde.
Nachdem die Zugriffsrichtlinie und der Schlüssel erstellt wurden, rufen Sie den Schlüssel aus Azure Key Vault ab, und notieren Sie den Schlüsselbezeichner.

Erstellen einer Azure SQL-Datenbank-Instanz mit kundenseitig verwalteten Schlüsseln auf Datenbankebene

Im Folgenden finden Sie Beispiele zum Erstellen einer Datenbank in Azure SQL-Datenbank mit einer benutzerseitig zugewiesenen verwalteten Identität und zum Festlegen eines mandantenübergreifenden kundenseitig verwalteten Schlüssels auf Datenbankebene. Die benutzerseitig zugewiesene verwaltete Identität ist für das Einrichten eines kundenseitig verwalteten Schlüssels für TDE (Transparent Data Encryption) während der Datenbankerstellung erforderlich.

Wechseln Sie zum Azure SQL-Hub bei aka.ms/azuresqlhub.
Wählen Sie im Bereich für azure SQL-Datenbankdie Option "Optionen anzeigen" aus.
Wählen Sie im Fenster "Azure SQL-Datenbankoptionen " die Option "SQL-Datenbank erstellen" aus.
Wählen Sie auf der Registerkarte Grundeinstellungen des Formulars SQL-Datenbank erstellen unter Projektdetails das gewünschte Abonnement für Azure, die Ressourcengruppe und den Server für Ihre Datenbank aus. Verwenden Sie dann einen eindeutigen Namen für den Datenbanknamen. Wenn Sie keinen logischen Server für Azure SQL-Datenbank erstellt haben, finden Sie weitere Informationen unter Erstellen eines Servers, der mit TDE mit mandantenübergreifenden kundenseitig verwalteten CMKs konfiguriert ist.
Wenn Sie zur Registerkarte " Sicherheit " gelangen, wählen Sie "Transparente Datenverschlüsselung für den Schlüssel auf Datenbankebene konfigurieren" aus.
Wählen Sie im Menü Transparente Datenverschlüsselung die Option kundenseitig verwalteter Schlüssel auf Datenbankebene (CMK) aus.
Wählen Sie für die benutzerseitig zugewiesene verwaltete Identität die Option Konfigurieren, um eine Datenbankidentität zu aktivieren, und fügen Sie der Ressource eine benutzerseitig zugewiesene verwaltete Identität hinzu, wenn die gewünschte Identität nicht im Menü Identität aufgeführt ist. Wählen Sie anschließend Anwenden.

Hinweis

Sie können die Verbundclientidentität hier konfigurieren, wenn Sie CMK für TDE konfigurieren.
Wählen Sie im Menü Transparente Datenverschlüsselung die Option Schlüssel ändern aus. Wählen Sie das gewünschte Abonnement, Schlüsseltresor, Schlüssel und Version für den kundenseitig verwalteter Schlüssel aus, der für TDE verwendet werden soll. Wählen Sie die Schaltfläche Auswählen aus. Nachdem Sie einen Schlüssel ausgewählt haben, können Sie bei Bedarf zusätzliche Datenbankschlüssel hinzufügen, indem Sie den Azure Key Vault-URI (Objektbezeichner) im Menü Transparente Datenverschlüsselung verwenden.

Die automatische Schlüsselrotation kann auch auf Datenbankebene mithilfe des Kontrollkästchens Schlüssel automatisch rotieren im Menü Transparente Datenverschlüsselung aktiviert werden.
Wählen Sie Anwenden aus, um mit der Erstellung der Datenbank fortzufahren.
Klicken Sie auf Weiter: Zusätzliche Einstellungen.
Klicken Sie auf Weiter: Tags.
Erwägen Sie die Verwendung von Azure-Tags. Beispielsweise das Tag "Owner" oder "CreatedBy", um zu identifizieren, wer die Ressource erstellt hat, und das Environment-Tag, um zu identifizieren, ob sich diese Ressource in Produktion, Entwicklung usw. befindet. Weitere Informationen finden Sie unter Entwickeln Ihrer Benennungs- und Kategorisierungsstrategie für Azure-Ressourcen.
Klicken Sie auf Überprüfen + erstellen.
Wählen Sie nach Überprüfung auf der Seite Überprüfen + erstellen die Option Erstellenaus.

Hinweis

Die Datenbankerstellung schlägt fehl, wenn die vom Benutzer zugewiesene verwaltete Identität nicht über die richtigen Berechtigungen für den Schlüsseltresor verfügt. Die benutzerseitig zugewiesene verwaltete Identität benötigt die Berechtigungen Get, wrapKey und unwrapKey für den Schlüsseltresor. Weitere Informationen finden Sie unter Verwaltete Identitäten für transparente Datenverschlüsselung mit kundenseitig verwaltetem Schlüssel.

Informationen zur Installation der aktuellen Version von Azure CLI finden Sie im Artikel Azure CLI installieren.

Erstellen Sie mit dem Befehl az sql db create eine Datenbank mit benutzerseitig zugewiesener verwalteter Identität und mandantenübergreifender kundenseitig verwalteter TDE. Im Feld kann der encryption-protector des zweiten Mandanten verwendet werden. Die Anwendungs-ID der Mehrinstanzenanwendung kann im Feld federated-client-id verwendet werden. Mit dem Parameter --encryption-protector-auto-rotation können Sie die automatische Schlüsselrotation auf Datenbankebene aktivieren.

Um die Ressourcen-ID der benutzerseitig zugewiesenen verwalteten Identität zu erhalten, suchen Sie im Azure-Portal nach Verwalteten Identitäten. Suchen Sie ihre verwaltete Identität und gehen Sie zu Eigenschaften. Ein Beispiel für Ihre UMI-Ressourcen-ID sieht wie /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity> aus.

az sql db create --resource-group $resourceGroupName --server $serverName --name mySampleDatabase --sample-name AdventureWorksLT --edition GeneralPurpose --compute-model Serverless --family Gen5 --capacity 2 --assign-identity --user-assigned-identity-id $identityid --encryption-protector $keyid --federated-client-id $federatedclientid --encryption-protector-auto-rotation True

Erstellen Sie mit PowerShell eine Datenbank mit benutzerseitig zugewiesener verwalteter Identität und mandantenübergreifender kundenseitig verwalteter TDE auf Datenbankebene.

Anweisungen zur Installation des Az PowerShell-Moduls finden Sie unter Install Azure PowerShell (Installieren von Azure PowerShell).

Verwenden Sie das Cmdlet New-AzSqlDatabase.

Ersetzen Sie im Beispiel die folgenden Werte:

<ResourceGroupName>: Name der Ressourcengruppe für Ihren logischen Azure SQL-Server.
<DatabaseName>: Verwenden Sie einen eindeutigen Namen für die Azure SQL-Datenbank-Instanz.
<ServerName>: Verwenden Sie einen eindeutigen Namen für den logischen Azure SQL-Server.
<UserAssignedIdentityId>: Die Liste der benutzerseitig zugewiesenen verwalteten Identitäten, die dem Server zugewiesen werden sollen (kann eine oder mehrere Identitäten sein)
<CustomerManagedKeyId>: Schlüsselbezeichner aus der Azure Key Vault-Instanz im zweiten Mandanten
<FederatedClientId>: Die Anwendungs-ID der Mehrinstanzenanwendung
-EncryptionProtectorAutoRotation: Kann zum Aktivieren der automatischen Schlüsselrotation auf Datenbankebene verwendet werden.

# create a server with user-assigned managed identity and cross-tenant customer-managed TDE with automatic key rotation enabled
$params = @{
    ResourceGroupName = '<ResourceGroupName>'
    ServerName = '<ServerName>'
    DatabaseName = '<DatabaseName>'
    AssignIdentity = $true
    UserAssignedIdentityId = '<UserAssignedIdentityId>'
    EncryptionProtector = '<CustomerManagedKeyId>'
    FederatedClientId = '<FederatedClientId>'
    EncryptionProtectorAutoRotation = $true
}

New-AzSqlDatabase @params

Hier sehen Sie ein Beispiel für eine ARM-Vorlage, mit der eine Azure SQL-Datenbank-Instanz mit einer benutzerseitig zugewiesenen verwalteten Identität und kundenseitig verwalteter TDE auf Datenbankebene erstellt wird. Verwenden Sie für ein mandantenübergreifendes CMK den Schlüsselbezeichner aus dem zweiten Mandanten Azure Key Vault und die Anwendungs-ID aus der mehrinstanzenfähigen Anwendung.

Weitere Informationen und ARM-Vorlagen finden Sie unter Azure Resource Manager-Vorlagen für Azure SQL-Datenbank.

Verwenden Sie eine benutzerdefinierte Bereitstellung im Azure-Portal, und erstellen Sie im Editor Ihre eigene Vorlage. Speichern Sie als Nächstes die Konfiguration, nachdem Sie das Beispiel eingefügt haben.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "server_name": {
      "type": "String"
    },
    "database_name": {
      "type": "String"
    },
    "user_assigned_identity": {
      "type": "String"
    },
    "encryption_protector": {
      "type": "String"
    },
    "federated_client_id": {
      "type": "String"
    },
    "location": {
      "type": "String"
    },
    "encryption_protector_auto_rotation": {
      "type": "bool"
    }
  },
  "variables": {},
  "resources": [
    {
      "type": "Microsoft.Sql/servers/databases",
      "apiVersion": "2023-02-01-preview",
      "name": "[concat(parameters('server_name'), concat('/',parameters('database_name')))]",
      "location": "[parameters('location')]",
      "sku": {
        "name": "Basic",
        "tier": "Basic",
        "capacity": 5
      },
      "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
          "[parameters('user_assigned_identity')]": {}
        }
      },
      "properties": {
        "collation": "SQL_Latin1_General_CP1_CI_AS",
        "maxSizeBytes": 104857600,
        "catalogCollation": "SQL_Latin1_General_CP1_CI_AS",
        "zoneRedundant": false,
        "readScale": "Disabled",
        "requestedBackupStorageRedundancy": "Geo",
        "maintenanceConfigurationId": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Maintenance/publicMaintenanceConfigurations/SQL_Default",
        "isLedgerOn": false,
        "encryptionProtector": "[parameters('encryption_protector')]",
        "federatedClientId": "[parameters('federated_client_id')]",
        "encryptionProtectorAutoRotation": "[parameters('encryption_protector_auto_rotation')]"
      }
    }
  ]
}

Aktualisieren einer vorhandenen Azure SQL-Datenbank-Instanz mit kundenseitig verwalteten Schlüsseln auf Datenbankebene

Im Folgenden finden Sie Beispiele zum Aktualisieren einer vorhandenen Datenbank in Azure SQL-Datenbank mit einer benutzerseitig zugewiesenen verwalteten Identität und zum Festlegen eines mandantenübergreifenden kundenseitig verwalteten Schlüssels auf Datenbankebene. Die benutzerseitig zugewiesene verwaltete Identität ist für das Einrichten eines kundenseitig verwalteten Schlüssels für TDE (Transparent Data Encryption) während der Datenbankerstellung erforderlich.

Navigieren Sie im Azure-Portal zu der SQL-Datenbankressource, die Sie mit einem kundenseitig verwalteten Schlüssel auf Datenbankebene aktualisieren möchten.
Wählen Sie unter Sicherheit die Option Identität aus. Fügen Sie eine vom Benutzer zugewiesene verwaltete Identität für diese Datenbank hinzu, und wählen Sie dann Speichern aus.
Wechseln Sie nun zum Menü Datenverschlüsselung unter Sicherheit für Ihre Datenbank. Wählen Sie kundenseitig verwalteter Schlüssel auf Datenbankebene (CMK) aus. Die Datenbankidentität für die Datenbank sollte bereits aktiviert sein, da Sie die Identität im letzten Schritt konfiguriert haben.
Wählen Sie die Schlüssel ändern. Wählen Sie das gewünschte Abonnement, Schlüsseltresor, Schlüssel und Version für den kundenseitig verwalteter Schlüssel aus, der für TDE verwendet werden soll. Wählen Sie die Schaltfläche Auswählen aus. Nachdem Sie einen Schlüssel ausgewählt haben, können Sie bei Bedarf zusätzliche Datenbankschlüssel hinzufügen, indem Sie den Azure Key Vault-URI (Objektbezeichner) im Menü Datenverschlüsselung verwenden.

Aktivieren Sie das Kontrollkästchen Schlüssel automatisch rotieren, wenn Sie die automatische Schlüsselrotation auf Datenbankebene aktivieren möchten.
Wählen Sie Speichern aus.

Informationen zur Installation der aktuellen Version von Azure CLI finden Sie im Artikel Azure CLI installieren.

Aktualisieren Sie mit dem Befehl az sql db create eine Datenbank mit benutzerseitig zugewiesener verwalteter Identität und mandantenübergreifender kundenseitig verwalteter TDE. Im Feld kann der encryption-protector des zweiten Mandanten verwendet werden. Die Anwendungs-ID der Mehrinstanzenanwendung kann im Feld federated-client-id verwendet werden.

az sql db update --resource-group $resourceGroupName --server $serverName --name mySampleDatabase --sample-name AdventureWorksLT --edition GeneralPurpose --compute-model Serverless --family Gen5 --capacity 2 --assign-identity --user-assigned-identity-id $identityid --encryption-protector $keyid --federated-client-id $federatedclientid --keys $keys --keys-to-remove $keysToRemove --encryption-protector-auto-rotation True

Die Liste $keys ist eine durch Leerzeichen getrennte Liste von Schlüsseln, die der Datenbank hinzugefügt werden sollen, und $keysToRemove ist eine durch Leerzeichen getrennte Liste von Schlüsseln, die aus der Datenbank entfernt werden müssen.

$keys = '"https://yourvault.vault.azure.net/keys/yourkey1/6638b3667e384aefa31364f94d230000" "https://yourvault.vault.azure.net/keys/yourkey2/ fd021f84a0d94d43b8ef33154bca0000"'

$keysToRemove = '"https://yourvault.vault.azure.net/keys/yourkey3/6638b3667e384aefa31364f94d230000" "https://yourvault.vault.azure.net/keys/yourkey4/fd021f84a0d94d43b8ef33154bca0000"'

Aktualisieren Sie mit PowerShell eine Datenbank mit benutzerseitig zugewiesener verwalteter Identität und mandantenübergreifender kundenseitig verwalteter TDE auf Datenbankebene.

Anweisungen zur Installation des Az PowerShell-Moduls finden Sie unter Install Azure PowerShell (Installieren von Azure PowerShell).

Verwenden Sie das Cmdlet Set-AzSqlDatabase.

Ersetzen Sie im Beispiel die folgenden Werte:

<ResourceGroupName>: Name der Ressourcengruppe für Ihren logischen Azure SQL-Server.
<DatabaseName>: Verwenden Sie einen eindeutigen Namen für die Azure SQL-Datenbank-Instanz.
<ServerName>: Verwenden Sie einen eindeutigen Namen für den logischen Azure SQL-Server.
<UserAssignedIdentityId>: Die Liste der benutzerseitig zugewiesenen verwalteten Identitäten, die dem Server zugewiesen werden sollen (kann eine oder mehrere Identitäten sein)
<CustomerManagedKeyId>: Schlüsselbezeichner aus der Azure Key Vault-Instanz im zweiten Mandanten
<FederatedClientId>: Die Anwendungs-ID der Mehrinstanzenanwendung
<ListOfKeys>: Die durch Kommas getrennte Liste der kundenseitig verwalteten Schlüssel auf Datenbankebene, die der Datenbank hinzugefügt werden sollen
<ListOfKeysToRemove>: Die durch Kommas getrennte Liste der kundenseitig verwalteten Schlüssel auf Datenbankebene, die aus der Datenbank entfernt werden sollen
-EncryptionProtectorAutoRotation: Kann zum Aktivieren der automatischen Schlüsselrotation auf Datenbankebene verwendet werden.

$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    ServerName = "<ServerName>"
    DatabaseName = "<DatabaseName>"
    AssignIdentity = $true
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    EncryptionProtector = "<CustomerManagedKeyId>"
    FederatedClientId = "<FederatedClientId>"
    KeyList = "<ListOfKeys>"
    KeysToRemove = "<ListOfKeysToRemove>"
    EncryptionProtectorAutoRotation = $true
}

Set-AzSqlDatabase @params

Ein Beispiel für -KeyList und -KeysToRemove:

$keysToAdd = "https://yourvault.vault.azure.net/keys/yourkey1/fd021f84a0d94d43b8ef33154bca0000","https://yourvault.vault.azure.net/keys/yourkey2/fd021f84a0d94d43b8ef33154bca0000"

$keysToRemove = "https://yourvault.vault.azure.net/keys/yourkey3/fd021f84a0d94d43b8ef33154bca0000"

Hier sehen Sie ein Beispiel für eine ARM-Vorlage, mit der eine Azure SQL-Datenbank-Instanz mit einer benutzerseitig zugewiesenen verwalteten Identität und kundenseitig verwalteter TDE auf Datenbankebene aktualisiert wird. Verwenden Sie für ein mandantenübergreifendes CMK den Schlüsselbezeichner aus dem zweiten Mandanten Azure Key Vault und die Anwendungs-ID aus der mehrinstanzenfähigen Anwendung.

Weitere Informationen und ARM-Vorlagen finden Sie unter Azure Resource Manager-Vorlagen für Azure SQL-Datenbank.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "server_name": {
      "type": "String"
    },
    "database_name": {
      "type": "String"
    },
    "user_assigned_identity": {
      "type": "String"
    },
    "encryption_protector": {
      "type": "String"
    },
    "location": {
      "type": "String"
    },
    "federated_client_id": {
      "type": "String"
    },
    "keys_to_add": {
      "type": "Object"
    },
    "encryption_protector_auto_rotation": {
      "type": "bool"
    }
  },
  "variables": {},
  "resources": [
    {
      "type": "Microsoft.Sql/servers/databases",
      "apiVersion": "2023-02-01-preview",
      "name": "[concat(parameters('server_name'), concat('/',parameters('database_name')))]",
      "location": "[parameters('location')]",
      "sku": {
        "name": "Basic",
        "tier": "Basic",
        "capacity": 5
      },
      "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
          "[parameters('user_assigned_identity')]": {}
        }
      },
      "properties": {
        "collation": "SQL_Latin1_General_CP1_CI_AS",
        "maxSizeBytes": 104857600,
        "catalogCollation": "SQL_Latin1_General_CP1_CI_AS",
        "zoneRedundant": false,
        "readScale": "Disabled",
        "requestedBackupStorageRedundancy": "Geo",
        "maintenanceConfigurationId": "/subscriptions/e1775f9f-a286-474d-b6f0-29c42ac74554/providers/Microsoft.Maintenance/publicMaintenanceConfigurations/SQL_Default",
        "isLedgerOn": false,
        "encryptionProtector": "[parameters('encryption_protector')]",
        "keys": "[parameters('keys_to_add')]",
        "federatedClientId": "[parameters('federated_client_id')]",
        "encryptionProtectorAutoRotation": "[parameters('encryption_protector_auto_rotation')]"
      }
    }
  ]
}

Dies ist ein Beispiel für den encryption_protector- und keys_to_add-Parameter:

    "keys_to_add": {
      "value": {
        "https://yourvault.vault.azure.net/keys/yourkey1/fd021f84a0d94d43b8ef33154bca0000": {},
        "https://yourvault.vault.azure.net/keys/yourkey2/fd021f84a0d94d43b8ef33154bca0000": {}
      }
    },
    "encryption_protector": {
      "value": "https://yourvault.vault.azure.net/keys/yourkey2/fd021f84a0d94d43b8ef33154bca0000"
    }

Wichtig

Um einen Schlüssel aus der Datenbank zu entfernen, muss der Wert des Schlüsselwörterbuchs eines bestimmten Schlüssels als NULL übergeben werden. Beispiel: "https://yourvault.vault.azure.net/keys/yourkey1/fd021f84a0d94d43b8ef33154bca0000": null.

Anzeigen der kundenseitig verwalteten Schlüsseleinstellungen auf Datenbankebene in einer Azure SQL-Datenbank-Instanz

Im Folgenden werden Beispiele für das Abrufen von kundenseitig verwalteten Schlüssel auf Datenbankebene für eine Datenbank aufgeführt. Die ARM-Ressource Microsoft.Sql/servers/databases zeigt standardmäßig nur den TDE-Schutz und die verwaltete Identität an, die für die Datenbank konfiguriert sind. Um die Liste der Schlüssel vollständig zu erweitern, verwenden Sie den Parameter -ExpandKeyList. Darüber hinaus können Filter wie -KeysFilter "current" und ein Zeitpunktwert (z. B. 2023-01-01) verwendet werden, um die aktuellen und in der Vergangenheit zu einem bestimmten Zeitpunkt verwendeten Schlüssel abzurufen. Diese Filter werden nur für einzelne Datenbankabfragen und nicht für Abfragen auf Serverebene unterstützt.

Um die kundenseitig verwalteten Schlüssel auf Datenbankebene im Azure-Portal anzuzeigen, wechseln Sie zum Menü Datenverschlüsselung der SQL-Datenbankressource.

Informationen zur Installation der aktuellen Version von Azure CLI finden Sie im Artikel Azure CLI installieren.

# Retrieve the basic database level customer-managed key settings from a database
az sql db show --resource-group $resourceGroupName --server $serverName --name mySampleDatabase

# Retrieve the basic database level customer-managed key settings from a database and all the keys ever added
az sql db show --resource-group $resourceGroupName --server $serverName --name mySampleDatabase --expand-keys

# Retrieve the basic database level customer-managed key settings from a database and the current keys in use
az sql db show --resource-group $resourceGroupName --server $serverName --name mySampleDatabase --expand-keys --keys-filter current

# Retrieve the basic database level customer-managed key settings from a database and the keys in use at a particular point in time
az sql db show --resource-group $resourceGroupName --server $serverName --name mySampleDatabase --expand-keys --keys-filter 01-01-2015

# Retrieve all the databases in a server to check which ones are configured with database level customer-managed keys
az sql db list --resource-group $resourceGroupName --server $serverName

Anweisungen zur Installation des Az PowerShell-Moduls finden Sie unter Install Azure PowerShell (Installieren von Azure PowerShell).

Verwenden Sie das Cmdlet Get-AzSqlDatabase.

# Retrieve the basic database level customer-managed key settings from a database
Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName>

# Retrieve the basic database level customer-managed key settings from a database and all the keys ever added
Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList

# Retrieve the basic database level customer-managed key settings from a database and the current keys in use
Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter "current"

# Retrieve the basic database level customer-managed key settings from a database and the keys in use at a particular point in time
Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter '2023-02-03 00:00:00'

# Retrieve all the databases in a server to check which ones are configured with database level customer-managed keys
Get-AzSqlDatabase -resourceGroupName <ResourceGroupName> -ServerName <ServerName> | Select DatabaseName, EncryptionProtector

Verwenden Sie die REST-API 2022-08-01-preview für Azure SQL-Datenbank.

Rufen Sie die grundlegenden Einstellungen für kundenseitig verwaltete Schlüssel auf Datenbankebene aus einer Datenbank ab.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}?api-version=2022-08-01-preview

Rufen Sie die grundlegenden Einstellungen für kundenseitig verwaltete Schlüssel auf Datenbankebene aus einer Datenbank und alle Schlüssel ab, die jemals hinzugefügt wurden.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}?api-version=2022-08-01-preview&$expand=keys

Rufen Sie die grundlegenden Einstellungen für kundenseitig verwaltete Schlüssel auf Datenbankebene aus einer Datenbank und die aktuell verwendeten Schlüssel ab.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}?api-version=2022-08-01-preview&$expand=keys($filter=pointInTime('current'))

Rufen Sie die grundlegenden Einstellungen für kundenseitig verwaltete Schlüssel auf Datenbankebene aus einer Datenbank und die Schlüssel ab, die zu einem bestimmten Zeitpunkt verwaltet wurden.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}?api-version=2022-08-01-preview&$expand=keys($filter=pointInTime('2023-02-04T01:57:42.49Z'))

Auflisten aller Schlüssel auf einem logischen Server

Um die Liste aller Schlüssel (und nicht nur den primären Schutz) abzurufen, die von jeder Datenbank auf dem Server verwendet werden, muss die Abfrage einzeln mit den Schlüsselfiltern erfolgen. Das folgende Beispiel zeigt eine PowerShell-Abfrage zum Auflisten der einzelnen Schlüssel auf dem logischen Server.

Verwenden Sie das Cmdlet Get-AzSqlDatabase.

$dbs = Get-AzSqlDatabase -resourceGroupName <ResourceGroupName> -ServerName <ServerName>
foreach ($db in $dbs)
{
Get-AzSqlDatabase -DatabaseName $db.DatabaseName -ServerName $db.ServerName -ResourceGroupName $db.ResourceGroupName -ExpandKeyList
}

Erneutes Überprüfen der kundenseitig verwalteten Schlüsseleinstellungen auf Datenbankebene in einer Azure SQL-Datenbank-Instanz

Falls eine TDE-Schutzkomponente nicht zugänglich ist, wie in Azure SQL transparente Datenverschlüsselung mit kundengesteuertem Schlüssel beschrieben, kann nach Korrektur des Schlüsselzugriffs ein Vorgang zur Schlüsselüberprüfung verwendet werden, um die Datenbank zugänglich zu machen. Beispiele finden Sie in den folgenden Anweisungen oder Befehlen.

Suchen Sie mit dem Azure-Portal nach Ihrer SQL-Datenbankressource. Nachdem Sie Ihre SQL-Datenbankressource ausgewählt haben, wechseln Sie zur Registerkarte Transparente Datenverschlüsselung im Menü Datenverschlüsselung unter den Sicherheitseinstellungen. Wenn die Datenbank keinen Zugriff mehr auf Azure Key Vault hat, wird die Schaltfläche Schlüssel erneut überprüfen angezeigt, und Sie haben die Möglichkeit, den vorhandenen Schlüssel erneut zu überprüfen, indem Sie Mit vorhandenem Schlüssel wiederholen auswählen, oder einen anderen Schlüssel auswählen, indem Sie Sicherungsschlüssel auswählen auswählen.

Informationen zur Installation der aktuellen Version von Azure CLI finden Sie im Artikel Azure CLI installieren.

az sql db tde key revalidate --resource-group $resourceGroupName --server $serverName --database mySampleDatabase

Anweisungen zur Installation des Az PowerShell-Moduls finden Sie unter Install Azure PowerShell (Installieren von Azure PowerShell).

Invoke-AzSqlDatabaseTransparentDataEncryptionProtectorRevalidation kann verwendet werden, um Zugriff auf die Datenbank zu ermöglichen.

Invoke-AzSqlDatabaseTransparentDataEncryptionProtectorRevalidation -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName>

Verwenden Sie die REST-API 2022-08-01-preview für Azure SQL-Datenbank.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/encryptionProtector/current/revalidate?api-version=2022-08-01-preview

Zurücksetzen der kundenseitig verwalteten Schlüsseleinstellungen auf Datenbankebene in einer Azure SQL-Datenbank-Instanz

Eine Datenbank, die mit CMK auf Datenbankebene konfiguriert ist, kann mit den folgenden Befehlen auf Verschlüsselung auf Serverebene zurückgesetzt werden, wenn der Server mit einem dienstseitig verwalteten Schlüssel konfiguriert ist.

Um die Einstellung für kundenseitig verwaltete Schlüssel auf Datenbankebene auf Verschlüsselungsschlüssel auf Serverebene im Azure-Portal rückgängig zu machen, wechseln Sie zur Registerkarte Transparente Datenverschlüsselung im Menü Datenverschlüsselung der SQL-Datenbankressource. Wählen Sie Verschlüsselungsschlüssel auf Serverebene und dann Speichern aus, um die Einstellungen zu speichern.

Hinweis

Um die Einstellung Verschlüsselungsschlüssel auf Serverebene für einzelne Datenbanken verwenden zu können, muss der logische Server für die Azure SQL-Datenbank für die Verwendung des vom Dienst verwalteten Schlüssels für TDE konfiguriert werden.

Informationen zur Installation der aktuellen Version von Azure CLI finden Sie im Artikel Azure CLI installieren.

az sql db tde key revert --resource-group $resourceGroupName --server $serverName --name mySampleDatabase

Anweisungen zur Installation des Az PowerShell-Moduls finden Sie unter Install Azure PowerShell (Installieren von Azure PowerShell).

Invoke-AzSqlDatabaseTransparentDataEncryptionProtectorRevert kann verwendet werden, um diesen Vorgang auszuführen.

Invoke-AzSqlDatabaseTransparentDataEncryptionProtectorRevert -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName>

Verwenden Sie die REST-API 2022-08-01-preview für Azure SQL-Datenbank.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/encryptionProtector/current/revert?api-version=2022-08-01-preview

Feedback

War diese Seite hilfreich?

Last updated on 2025-09-18

Freigeben über

Identitäts- und Schlüsselverwaltung für TDE mit kundenseitig verwalteten Schlüsseln auf Datenbankebene

Voraussetzungen

Erforderliche Ressourcen im ersten Mandanten

Erforderliche Ressourcen im zweiten Mandanten

Erstellen einer Azure SQL-Datenbank-Instanz mit kundenseitig verwalteten Schlüsseln auf Datenbankebene

Aktualisieren einer vorhandenen Azure SQL-Datenbank-Instanz mit kundenseitig verwalteten Schlüsseln auf Datenbankebene

Anzeigen der kundenseitig verwalteten Schlüsseleinstellungen auf Datenbankebene in einer Azure SQL-Datenbank-Instanz

Auflisten aller Schlüssel auf einem logischen Server

Erneutes Überprüfen der kundenseitig verwalteten Schlüsseleinstellungen auf Datenbankebene in einer Azure SQL-Datenbank-Instanz

Zurücksetzen der kundenseitig verwalteten Schlüsseleinstellungen auf Datenbankebene in einer Azure SQL-Datenbank-Instanz

Verwandte Inhalte

Feedback

Zusätzliche Ressourcen