Een logische Azure SQL Database-server maken die is geconfigureerd met door de gebruiker toegewezen beheerde identiteit en door de klant beheerde TDE

van toepassing op:Azure SQL Database-

In deze instructiegids worden de stappen beschreven voor het maken van een logische Azure SQL Database-server die is geconfigureerd met Transparent Data Encryption (TDE) met door de klant beheerde sleutels (CMK) met behulp van een door de gebruiker toegewezen beheerde identiteit voor toegang tot Azure Key Vault.

Notitie

Microsoft Entra ID voorheen Azure Active Directory (Azure AD) werd genoemd.

Voorwaarden

In deze instructiegids wordt ervan uitgegaan dat u al een Azure Key Vault- hebt gemaakt en er een sleutel in hebt geïmporteerd voor gebruik als TDE-beveiliging voor Azure SQL Database. Voor meer informatie, zie transparante gegevensversleuteling met BYOK-ondersteuning.
Voorlopig verwijderen en verwijderingsbeveiliging moeten ingeschakeld worden voor de sleutelkluis.
U moet een door de gebruiker toegewezen beheerde identiteit hebben gemaakt en deze de vereiste TDE-machtigingen (Get, Wrap Key, Unwrap Key) hebben opgegeven in de bovenstaande sleutelkluis. Zie voor het maken van een door de gebruiker toegewezen beheerde identiteit.
U moet Azure PowerShell hebben geïnstalleerd en uitgevoerd.
[Aanbevolen maar optioneel] Maak eerst het sleutelmateriaal voor de TDE-protector in een HSM (Hardware Security Module) of lokaal sleutelarchief en importeer het sleutelmateriaal in Azure Key Vault. Volg de instructies voor het gebruik van een HSM (Hardware Security Module) en Key Vault voor meer informatie.

Een server maken die is geconfigureerd met TDE met door de klant beheerde sleutel (CMK)

De volgende stappen geven een overzicht van het proces voor het maken van een nieuwe logische Azure SQL Database-server en een nieuwe database waaraan een door de gebruiker toegewezen beheerde identiteit is toegewezen. De door de gebruiker toegewezen beheerde identiteit is vereist om een door de klant beheerde sleutel voor TDE te configureren tijdens het aanmaken van de server.

Ga naar Azure SQL Hub op aka.ms/azuresqlhub.
Selecteer Opties weergeven in het deelvenster voor Azure SQL Database.
Selecteer In het venster Opties voor Azure SQL Databasede optie SQL Database maken.
Selecteer op het tabblad Basisinformatie van het formulier SQL Database maken, onder Projectdetails, de gewenste Azure Subscription.
Voor resourcegroep selecteert u Nieuw aanmaken, voert u een naam in voor uw resourcegroep en selecteert u OK.
Voer voor databasenaamContosoHRin.
Voor Serverselecteert u Nieuwemaken en vult u het formulier Nieuwe server in met de volgende waarden:
- servernaam: voer een unieke servernaam in. Servernamen moeten globaal uniek zijn voor alle servers in Azure, niet alleen uniek binnen een abonnement. Voer iets in als mysqlserver135en azure Portal laat u weten of deze beschikbaar is of niet.
- aanmeldgegevens van de serverbeheerder: voer een aanmeldingsnaam voor een beheerder in, bijvoorbeeld: azureuser.
- wachtwoord: voer een wachtwoord in dat voldoet aan de wachtwoordvereisten en voer het opnieuw in het veld Wachtwoord bevestigen in.
- Locatie: Selecteer een locatie in de vervolgkeuzelijst
Selecteer Volgende: Netwerken om naar de volgende stap te gaan.
Selecteer op het tabblad Netwerken voor connectiviteitsmethodeOpenbaar eindpunt.
Voor firewallregelsstelt u Huidige client-IP-adres toevoegen aan Ja-. Laat Azure-services en -resources toegang geven tot deze server ingesteld op Geen.
Selecteer Volgende: Beveiliging om naar de volgende stap te gaan.
Selecteer op het tabblad Beveiliging, onder serveridentiteit, Identiteiten configureren.
Selecteer in het deelvenster IdentityOff voor Door het systeem toegewezen beheerde identiteit en selecteer vervolgens Toevoegen onder Door de gebruiker toegewezen beheerde identiteit. Selecteer het gewenste Abonnement en selecteer vervolgens onder Door de gebruiker toegewezen beheerde identiteitende gewenste door de gebruiker toegewezen beheerde identiteit in het geselecteerde abonnement. Selecteer vervolgens de knop Toevoegen.
Selecteer onder primaire identiteitdezelfde door de gebruiker toegewezen beheerde identiteit die in de vorige stap is geselecteerd.
Selecteer de optie Toepassen.
Op het tabblad Beveiliging , onder Transparent Data Encryption Key Management, kunt u transparante gegevensversleuteling configureren voor de server of database.
- Voor sleutel op serverniveau: selecteer Transparante gegevensversleuteling configureren. Selecteer Customer-Managed Sleutelen er verschijnt een optie om een sleutel te selecteren. Selecteer Verander sleutel. Selecteer het gewenste Abonnement, Key Vault, Sleutelen versie voor de door de klant beheerde sleutel die moet worden gebruikt voor TDE. Selecteer de knop Select.
- Voor sleutel op databaseniveau: selecteer Transparante gegevensversleuteling configureren. Selecteer databaseniveau Customer-Managed sleutelen een optie voor het configureren van de database-id en Customer-Managed sleutel wordt weergegeven. Selecteer configureren om een User-Assigned Managed Identity- voor de database te configureren, vergelijkbaar met stap 13. Selecteer Wijzig sleutel om een Customer-Managed sleutelte configureren. Selecteer het gewenste Abonnement, Key Vault, Sleutelen versie voor de door de klant beheerde sleutel die moet worden gebruikt voor TDE. U kunt ook de optie Auto draaifunctie inschakelen in het menu Transparante Data Encryptie. Selecteer de knop Select.
Selecteer de optie Toepassen.
Selecteer Volgende: Aanvullende instellingen.
Klik op Volgende: Tags.
Overweeg het gebruik van Azure-tags. Bijvoorbeeld de tag 'Eigenaar' of 'CreatedBy' om te bepalen wie de resource heeft gemaakt en de omgevingstag om te bepalen of deze resource zich in Productie, Ontwikkeling, enzovoort bevindt. Zie Uw naamgevings- en tagstrategie voor Azure-resources ontwikkelen voor meer informatie.
Kies Beoordelen + creëren.
Controleer op de pagina Beoordelen en maken, en selecteer vervolgens Maken.

Zie Azure CLI installeren artikel voor meer informatie over het installeren van de huidige versie van Azure CLI.

Maak een server geconfigureerd met een door de gebruiker toegewezen beheerde identiteit en klantgestuurde TDE met behulp van de opdracht az sql server create.

az sql server create \
    --name $serverName \
    --resource-group $resourceGroupName \
    --location $location  \
    --admin-user $adminlogin \
    --admin-password $password \
    --assign-identity \
    --identity-type $identitytype \
    --user-assigned-identity-id $identityid \
    --primary-user-assigned-identity-id $primaryidentityid \
    --key-id $keyid

Maak een database met het commando az sql db create.

az sql db create \
    --resource-group $resourceGroupName \
    --server $serverName \
    --name mySampleDatabase \
    --sample-name AdventureWorksLT \
    --edition GeneralPurpose \
    --compute-model Serverless \
    --family Gen5 \
    --capacity 2

Maak een server die is geconfigureerd met door de gebruiker toegewezen beheerde identiteit en door de klant beheerde TDE met behulp van PowerShell.

Zie Azure PowerShell-installeren voor installatie-instructies voor Az PowerShell-module.

Gebruik de cmdlet New-AzSqlServer.

Vervang de volgende waarden in het voorbeeld:

<ResourceGroupName>: naam van de resourcegroep voor uw logische Azure SQL-server
<Location>: locatie van de server, zoals West USof Central US
<ServerName>: een unieke naam van een logische Azure SQL-server gebruiken
<ServerAdminName>: de sql-beheerderaanmelding
<ServerAdminPassword>: het wachtwoord van de SQL-beheerder
<IdentityType>: Het type identiteit dat moet worden toegewezen aan de server. Mogelijke waarden zijn SystemAssigned, UserAssigned, SystemAssigned,UserAssigned en Geen
<UserAssignedIdentityId>: de lijst met door de gebruiker toegewezen beheerde identiteiten die aan de server moeten worden toegewezen (kan een of meerdere zijn)
<PrimaryUserAssignedIdentityId>: de door de gebruiker toegewezen beheerde identiteit die moet worden gebruikt als de primaire of standaardinstelling op deze server
<CustomerManagedKeyId>: Sleutel-id en kan worden opgehaald uit de sleutel in Azure Key Vault

Als u uw door de gebruiker toegewezen beheerde identiteit resource-idwilt ophalen, zoekt u naar beheerde identiteiten in de Azure portal. Zoek uw beheerde identiteit en ga naar Eigenschappen. Een voorbeeld van uw UMI Resource-id ziet eruit als /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>

# create a server with user-assigned managed identity and customer-managed TDE
$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    SqlAdministratorCredentials = (Get-Credential)
    SqlAdministratorLogin = "<ServerAdminName>"
    SqlAdministratorPassword = "<ServerAdminPassword>"
    AssignIdentity = $true
    IdentityType = "<IdentityType>"
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    PrimaryUserAssignedIdentityId = "<PrimaryUserAssignedIdentityId>"
    KeyId = "<CustomerManagedKeyId>"
}

New-AzSqlServer @params

Hier volgt een voorbeeld van een ARM-sjabloon waarmee een logische server in Azure wordt gemaakt met een door de gebruiker toegewezen beheerde identiteit en door de klant beheerde TDE. De sjabloon voegt ook een Microsoft Entra admin set toe voor de server en schakelt uitsluitend Microsoft Entra-verificatie in met Azure SQL, maar dit kan worden verwijderd uit het sjabloonvoorbeeld.

Zie Azure Resource Manager-sjablonen voor Azure SQL Database voor meer informatie en ARM-sjablonen.

Gebruik een aangepaste -implementatie in de Azure-portalen maak uw eigen sjabloon in de editor. Vervolgens de configuratie opslaan nadat u in het voorbeeld hebt geplakt.

Als u uw door de gebruiker toegewezen beheerde identiteit resource-idwilt ophalen, zoekt u naar beheerde identiteiten in de Azure portal. Zoek uw beheerde identiteit en ga naar Eigenschappen. Een voorbeeld van uw UMI resource-id ziet eruit als /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "String"
        },
        "location": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity."
            }
        },
        "keyvault_url": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Azure Key Vault URI."
            }
        },
        "AdminLogin": {
            "minLength": 1,
            "type": "String"
        },
        "AdminLoginPassword": {
            "type": "SecureString"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "administratorLogin": "[parameters('AdminLogin')]",
                "administratorLoginPassword": "[parameters('AdminLoginPassword')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "KeyId": "[parameters('keyvault_url')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Volgende stap

PowerShell and Azure CLI: Transparent Data Encryption met door de klant beheerde sleutels inschakelen vanuit Azure Key Vault

Feedback

Is deze pagina nuttig?

Last updated on 2025-09-15