Beheerde identiteiten voor transparante gegevensversleuteling met door de klant beheerde sleutel

Van toepassing op:Azure SQL DatabaseAzure SQL Managed Instance

Microsoft Entra ID, voorheen Azure Active Directory, biedt een automatisch beheerde identiteit voor verificatie bij elke Azure-service die Ondersteuning biedt voor Microsoft Entra-verificatie, zoals Azure Key Vault, zonder referenties in de code weer te geven. Zie Beheerde identiteitstypen in Azure voor meer informatie.

Beheerde identiteiten kunnen van twee typen zijn:

• door het systeem toegewezen
• door de gebruiker toegewezen

Zie Beheerde identiteiten in Microsoft Entra ID voor Azure SQL voor meer informatie.

Voor TDE met door de klant beheerde sleutel (CMK) in Azure SQL wordt een beheerde identiteit op de server gebruikt voor het verlenen van toegangsrechten voor de server in de sleutelkluis of beheerde HSM. De door het systeem toegewezen beheerde identiteit van de server moet bijvoorbeeld worden geleverd met Azure Key Vault-machtigingen voordat TDE met CMK op de server wordt ingeschakeld.

Naast de door het systeem toegewezen beheerde identiteit die al wordt ondersteund voor TDE met CMK, kan een door de gebruiker toegewezen beheerde identiteit (UMI) die aan de server is toegewezen, worden gebruikt om de server toegang te geven tot de sleutelkluis of beheerde HSM. Een vereiste voor het inschakelen van key vault- of beheerde HSM-toegang is ervoor te zorgen dat de door de gebruiker toegewezen beheerde identiteit de machtigingen Get, WrapKey en UnwrapKey voor de sleutelkluis of beheerde HSM heeft gekregen. Omdat de door de gebruiker toegewezen beheerde identiteit een zelfstandige resource is die kan worden gemaakt en toegang kan krijgen tot de sleutelkluis of beheerde HSM, kan TDE met een door de klant beheerde sleutel nu worden ingeschakeld tijdens de creatie van de server of database.

Voordelen van het gebruik van UMI voor door de klant beheerde TDE

• Hiermee kunt u sleutelkluis of beheerde HSM-toegang vooraf autoriseren voor logische Azure SQL-servers of Azure SQL Managed Instances door een door de gebruiker toegewezen beheerde identiteit te maken en deze toegang te verlenen tot de sleutelkluis of beheerde HSM, zelfs voordat de server of database is gemaakt.

• Hiermee kunt u een logische Azure SQL-server maken waarvoor TDE en CMK zijn ingeschakeld.

• Hiermee kan dezelfde door de gebruiker toegewezen beheerde identiteit worden toegewezen aan meerdere servers. Dit elimineert de noodzaak om voor elke logische Azure SQL-server of Azure SQL Managed Instance afzonderlijk de door het systeem toegewezen beheerde identiteit in te schakelen, en geeft toegang tot de sleutelkluis of beheerde HSM.

• Dit systeem biedt de mogelijkheid om de CMK af te dwingen bij het aanmaken van een server met een beschikbaar ingebouwd Azure-beleid.

Overwegingen bij het gebruik van UMI voor door de klant beheerde TDE

• TDE in Azure SQL maakt standaard gebruik van de primaire door de gebruiker toegewezen beheerde identiteit die is ingesteld op de server voor key vault- of beheerde HSM-toegang. Als er geen door de gebruiker toegewezen identiteiten zijn toegewezen aan de server, wordt de door het systeem toegewezen beheerde identiteit van de server gebruikt voor key vault- of beheerde HSM-toegang.
• Wanneer u een door de gebruiker toegewezen beheerde identiteit voor TDE met CMK gebruikt, wijst u de identiteit toe aan de server en stelt u deze in als de primaire identiteit voor de server.
• De primaire door de gebruiker toegewezen beheerde identiteit vereist continue sleutelkluis- of beheerde HSM-toegang (get, wrapKey, unwrapKey-machtigingen ). Als de toegang van de identiteit tot de sleutelkluis of beheerde HSM is ingetrokken of als er onvoldoende machtigingen zijn opgegeven, wordt de database verplaatst naar de status Niet toegankelijk .
• Als de primaire door de gebruiker toegewezen beheerde identiteit wordt bijgewerkt naar een andere door de gebruiker toegewezen beheerde identiteit, moet de nieuwe identiteit vereiste machtigingen krijgen voor de sleutelkluis of beheerde HSM voordat de primaire identiteit wordt bijgewerkt.
• Om de server over te schakelen van een door de gebruiker toegewezen beheerde identiteit naar een door het systeem toegewezen beheerde identiteit voor toegang tot de sleutelkluis of beheerde HSM, geeft u de vereiste sleutelkluis- of HSM-machtigingen aan de door het systeem toegewezen beheerde identiteit, en verwijdert u vervolgens alle door de gebruiker toegewezen beheerde identiteiten van de server.

Beperkingen en bekende problemen

• Als de sleutelkluis of beheerde HSM zich achter een virtueel netwerk bevindt dat gebruikmaakt van een firewall, moet de optie vertrouwde Microsoft-services toestaan om deze firewall te omzeilen , zijn ingeschakeld in het netwerkmenu van de sleutelkluis of beheerde HSM als u een door de gebruiker toegewezen beheerde identiteit of door het systeem toegewezen beheerde identiteit wilt gebruiken. Zodra deze optie is ingeschakeld, kunnen beschikbare sleutels niet worden weergegeven in het menu SQL Server TDE in Azure Portal. Als u een afzonderlijke CMK wilt instellen, moet een sleutel-id worden gebruikt. Wanneer de optie Vertrouwde Microsoft-services toestaan om deze firewall te omzeilen niet is ingeschakeld, wordt de volgende fout geretourneerd:
  • Failed to save Transparent Data Encryption settings for SQL resource: <ServerName>. Error message: The managed identity with ID '/subscriptions/subscriptionID/resourcegroups/resource_name/providers/Microsoft.ManagedIdentity/userAssignedIdentities/umi_name' requires the following Azure Key Vault permissions: 'Get, WrapKey, UnwrapKey' to the key 'https://keyvault_name/keys/key_name'. Please grant the missing permissions to the identity. Additionally ensure the key is not expired and is not disabled. For expired key, please extend the key expiry time so that SQL can use it to perform wrap and unwrap operations. If your key vault is behind a virtual network or firewall, ensure you select the 'Allow trusted Microsoft services to bypass this firewall' option. (https://aka.ms/sqltdebyokcreateserver).
  • Als u de bovenstaande fout krijgt, controleert u of de sleutelkluis of beheerde HSM zich achter een virtueel netwerk of een firewall bevindt en controleert u of de optie Vertrouwde Microsoft-services toestaan om deze firewall te omzeilen is ingeschakeld.
• Wanneer meerdere door de gebruiker toegewezen beheerde identiteiten worden toegewezen aan de server of het beheerde exemplaar, als één identiteit wordt verwijderd van de server met behulp van het deelvenster Identiteit van Azure Portal, slaagt de bewerking, maar wordt de identiteit niet verwijderd van de server. Het verwijderen van alle door de gebruiker toegewezen beheerde identiteiten uit Azure Portal werkt met succes.
• Wanneer de server of het beheerde exemplaar is geconfigureerd met door de klant beheerde TDE en zowel door het systeem toegewezen als door de gebruiker toegewezen beheerde identiteiten zijn ingeschakeld op de server, worden de door de gebruiker toegewezen beheerde identiteiten van de server verwijderd zonder eerst de door het systeem toegewezen beheerde identiteit toegang te geven tot de sleutelkluis of beheerde HSM, resulteert in een onverwacht foutbericht . Zorg ervoor dat de door het systeem toegewezen beheerde identiteit is verstrekt voor sleutelkluis of beheerde HSM-toegang voordat u de primaire door de gebruiker toegewezen beheerde identiteit (en andere door de gebruiker toegewezen beheerde identiteiten) van de server verwijdert.

Volgende stappen

Verwante inhoud

• Een azure SQL Managed Instance maken met een door de gebruiker toegewezen beheerde identiteit