Utwórz serwer logiczny baz danych Azure SQL skonfigurowany z identyfikacją zarządzaną przypisywaną przez użytkownika oraz kluczem zarządzanym przez klienta (CMK) w kontekście TDE między dzierżawcami.

Dotyczy:Azure SQL Database

W tym przewodniku omówimy kroki tworzenia serwera logicznego w usłudze Azure SQL Database z przezroczystym szyfrowaniem danych (TDE) i kluczami zarządzanymi przez klienta (CMK), przy użyciu tożsamości zarządzanej przypisanej przez użytkownika do uzyskania dostępu do Azure Key Vault w innej dzierżawie Microsoft Entra niż dzierżawa serwera logicznego. Aby uzyskać więcej informacji, zobacz Cross-tenant-customer-managed keys with transparent data encryption (Klucze zarządzane przez klienta między dzierżawami z przezroczystym szyfrowaniem danych).

Uwaga

Microsoft Entra ID był wcześniej znany jako Azure Active Directory (Azure AD).

Wymagania wstępne

Ten przewodnik zakłada, że masz dwie dzierżawy firmy Microsoft Entra.
- Pierwszy zawiera zasób usługi Azure SQL Database, aplikację Microsoft Entra obsługującą wielu użytkowników i tożsamość zarządzaną przypisaną przez użytkownika.
- Druga dzierżawa zawiera usługę Azure Key Vault.
Aby uzyskać kompleksowe instrukcje dotyczące konfigurowania klucza zarządzanego przez wielu dzierżawców i uprawnień RBAC niezbędnych do konfigurowania aplikacji firmy Microsoft Entra i usługi Azure Key Vault, zapoznaj się z jednym z następujących przewodników:
- Konfigurowanie kluczy zarządzanych przez klienta między dzierżawami dla nowego konta magazynu
- Konfigurowanie kluczy zarządzanych przez klienta między dzierżawami dla istniejącego konta magazynu

Wymagane zasoby w pierwszej dzierżawie

Na potrzeby tego samouczka zakładamy, że pierwsza dzierżawa należy do niezależnego dostawcy oprogramowania (ISV), a druga dzierżawa pochodzi z klienta. Aby uzyskać więcej informacji na temat tego scenariusza, zobacz Cross-tenant-customer-managed keys with transparent data encryption (Klucze zarządzane przez klienta między dzierżawami z przezroczystym szyfrowaniem danych).

Aby można było skonfigurować funkcję TDE dla usługi Azure SQL Database przy użyciu wielodostępnego klucza zarządzanego, musimy mieć wielodostępną aplikację Microsoft Entra skonfigurowaną przy użyciu tożsamości zarządzanej przypisanej przez użytkownika jako poświadczenia tożsamości federacyjnej dla aplikacji. Postępuj zgodnie z jednym z przewodników w sekcji Wymagania wstępne.

Na pierwszym koncie dzierżawcy, gdzie chcesz utworzyć bazę danych Azure SQL Database, utwórz i skonfiguruj wielodostępną aplikację Microsoft Entra
Tworzenie tożsamości zarządzanej przypisanej przez użytkownika
Skonfiguruj zarządzaną tożsamość przypisaną użytkownikowi jako poświadczenie tożsamości federacyjnej dla aplikacji z wieloma najemcami.
Zarejestruj nazwę aplikacji i identyfikator aplikacji. Można to znaleźć w witrynie Azure Portal>Microsoft Entra ID>Dla przedsiębiorstw aplikacji i wyszukać utworzoną aplikację

Wymagane zasoby w drugiej dzierżawie

Uwaga

Moduły usług Azure AD i MSOnline programu PowerShell są przestarzałe od 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację o wycofaniu. Po tej dacie obsługa tych modułów jest ograniczona do pomocy dotyczącej migracji do zestawu MICROSOFT Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.

Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z identyfikatorem Entra firmy Microsoft (dawniej Azure AD). W przypadku typowych pytań dotyczących migracji zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Uwaga: wersje 1.0.x usługi MSOnline mogą wystąpić zakłócenia po 30 czerwca 2024 r.

W drugiej dzierżawie, w której znajduje się usługa Azure Key Vault, utwórz jednostkę usługi (aplikację) przy użyciu identyfikatora aplikacji z zarejestrowanej aplikacji z pierwszej dzierżawy. Są oto kilka przykładów rejestrowania aplikacji wielodostępnej. Zastąp <TenantID> oraz <ApplicationID> identyfikatorem dzierżawy klienta Tenant ID z Microsoft Entra ID i identyfikatorem aplikacji z aplikacji wielodostępnej.
- PowerShell:
```
Connect-AzureAD -TenantID <TenantID>
New-AzADServicePrincipal  -ApplicationId <ApplicationID>
```
- Interfejs wiersza polecenia platformy Azure:
```
az login --tenant <TenantID>
az ad sp create --id <ApplicationID>
```
Przejdź do witryny Azure Portal>Microsoft Entra ID>Dla przedsiębiorstw aplikacji i wyszukaj właśnie utworzoną aplikację.
Utwórz usługę Azure Key Vault , jeśli jej nie masz, i utwórz klucz
Utwórz lub ustaw zasady dostępu.
1. Wybierz uprawnienia Pobierz, Zawijaj klucz, Odpakuj klucz w obszarze Uprawnienia klucza podczas tworzenia zasad dostępu
2. Wybierz aplikację wielodostępną utworzoną w pierwszym kroku w opcji Główny podczas tworzenia polityki dostępu.
Po utworzeniu zasad dostępu i klucza pobierz klucz z usługi Azure Key Vault i zapisz identyfikator klucza

Tworzenie serwera skonfigurowanego za pomocą funkcji TDE z kluczem zarządzanym przez klienta między dzierżawami (CMK)

Ten przewodnik przeprowadzi Cię przez proces tworzenia serwera logicznego i bazy danych w usłudze Azure SQL przy użyciu tożsamości zarządzanej przypisanej przez użytkownika, a także sposobu ustawiania klucza zarządzanego przez klienta między dzierżawami. Tożsamość zarządzana przypisana przez użytkownika jest wymagana do skonfigurowania klucza zarządzanego przez klienta na potrzeby przezroczystego szyfrowania danych w fazie tworzenia serwera.

Ważne

Użytkownik lub aplikacja korzystająca z interfejsów API do tworzenia serwerów logicznych SQL musi mieć role RBAC współautora programu SQL Server i operatora tożsamości zarządzanej lub nowszej w ramach subskrypcji.

Przejdź do centrum Azure SQL Hub pod adresem aka.ms/azuresqlhub.
W okienku usługi Azure SQL Database wybierz pozycję Pokaż opcje.
W oknie Opcje usługi Azure SQL Database wybierz pozycję Utwórz bazę danych SQL Database.
Na karcie Podstawy formularza Tworzenie bazy danych SQL Database w obszarze Szczegóły projektu wybierz odpowiednią subskrypcję platformy Azure.
W obszarze Grupa zasobów wybierz pozycję Utwórz nową, wprowadź nazwę grupy zasobów i wybierz przycisk OK.
W polu Nazwa bazy danych wprowadź nazwę bazy danych. Na przykład ContosoHR.
W polu Serwer wybierz pozycję Utwórz nowy i wypełnij formularz Nowy serwer następującymi wartościami:
- Nazwa serwera: wprowadź unikatową nazwę serwera. Nazwy serwerów muszą być globalnie unikatowe dla wszystkich serwerów na platformie Azure, a nie tylko unikatowych w ramach subskrypcji. Wprowadź ciąg podobny do mysqlserver135, a witryna Azure Portal poinformuje Cię, czy jest dostępna, czy nie.
- Identyfikator logowania administratora serwera: wprowadź nazwę logowania administratora, na przykład: azureuser.
- Hasło: wprowadź hasło spełniające wymagania dotyczące hasła i wprowadź je ponownie w polu Potwierdź hasło .
- Lokalizacja: wybierz lokalizację z listy rozwijanej
Wybierz pozycję Dalej: Sieć, aby przejść do następnego kroku.
Na karcie Sieć w polu Metoda łączności wybierz pozycję Publiczny punkt końcowy.
W obszarze Reguły zapory ustaw wartość Dodaj bieżący adres IP klienta na Wartość Tak. Pozostaw opcję Zezwalaj usługom i zasobom platformy Azure na dostęp do tego serwera ustawionego na nie. Pozostałe opcje na tej stronie można pozostawić jako domyślne.
Wybierz pozycję Dalej: Zabezpieczenia, aby przejść do następnego kroku.
Na karcie Zabezpieczenia w obszarze Tożsamość wybierz pozycję Konfiguruj tożsamości.
W menu Tożsamość wybierz pozycję Wył. w polu Tożsamość zarządzana przypisana przez system, a następnie wybierz pozycję Dodaj w obszarze Tożsamość zarządzana przypisana przez użytkownika. Wybierz żądaną subskrypcję , a następnie w obszarze Tożsamości zarządzane przypisane przez użytkownika wybierz odpowiednią tożsamość zarządzaną przypisaną przez użytkownika z wybranej subskrypcji. Następnie wybierz przycisk Dodaj .
W obszarze Tożsamość podstawowa wybierz tę samą tożsamość zarządzaną przypisaną przez użytkownika wybraną w poprzednim kroku.
W polu Tożsamość klienta federacyjnego wybierz opcję Zmień tożsamość i wyszukaj aplikację wielodostępną utworzoną w sekcji Wymagania wstępne.

Uwaga

Jeśli aplikacja wielodostępna nie została dodana do magazynu kluczy w ramach zasad dostępu z wymaganymi uprawnieniami (Get, Wrap Key, Unwrap Key), użycie tej aplikacji do federacji tożsamości w portalu Azure spowoduje wyświetlenie błędu. Przed skonfigurowaniem tożsamości klienta federacyjnego upewnij się, że uprawnienia są poprawnie skonfigurowane.
Wybierz i zastosuj.
Na karcie Zabezpieczenia w obszarze Zarządzanie kluczami transparent data encryption można skonfigurować klucz na poziomie serwera lub klucz poziomu bazy danych. Wartość domyślna klucza na poziomie serwera to klucz zarządzany przez usługę. Wybierz pozycję Konfiguruj przezroczyste szyfrowanie danych , jeśli chcesz skonfigurować klucz zarządzany przez klienta dla serwera.
Na stronie Transparent Data Encryption wybierz pozycję Klucz zarządzany przez klienta, a zostanie wyświetlona opcja Wprowadź identyfikator klucza . Dodaj identyfikator klucza uzyskany z klucza w drugiej dzierżawie.

Aby uzyskać informacje na temat konfigurowania klucza na poziomie bazy danych, zobacz Zarządzanie tożsamościami i kluczami dla funkcji TDE z kluczami zarządzanymi przez klienta na poziomie bazy danych.
Wybierz i zastosuj.
Wybierz pozycję Dalej: Dodatkowe ustawienia.
Wybierz pozycję Dalej: Tagi.
Rozważ użycie tagów platformy Azure. Na przykład tag "Właściciel" lub "CreatedBy", aby zidentyfikować, kto utworzył zasób, oraz tag Środowisko w celu określenia, czy ten zasób znajduje się w środowisku produkcyjnym, programistycznym itp. Aby uzyskać więcej informacji, zobacz Develop your naming and tagging strategy for Azure resources (Opracowywanie strategii nazewnictwa i tagowania zasobów platformy Azure).
Wybierz opcję Recenzja i utwórz.
Na stronie Przeglądanie i tworzenie po przejrzeniu wybierz pozycję Utwórz.

Aby uzyskać informacje na temat instalowania bieżącej wersji interfejsu wiersza polecenia platformy Azure, zobacz Artykuł Instalowanie interfejsu wiersza polecenia platformy Azure.

Utwórz serwer skonfigurowany przy użyciu tożsamości zarządzanej przypisanej przez użytkownika i funkcji TDE zarządzanej przez klienta między dzierżawami przy użyciu polecenia az sql server create . Identyfikator klucza z drugiej dzierżawy może być używany w key-id polu . W polu można użyć identyfikatora aplikacji wielodostępnej federated-client-id .

az sql server create \
    --name $serverName \
    --resource-group $resourceGroupName \
    --location $location  \
    --admin-user $adminlogin \
    --admin-password $password \
    --assign-identity \
    --identity-type $identitytype \
    --user-assigned-identity-id $identityid \
    --primary-user-assigned-identity-id $primaryidentityid \
    --key-id $keyid \
    --federated-client-id $federatedid

Utwórz bazę danych za pomocą polecenia az sql db create .

az sql db create \
    --resource-group $resourceGroupName \
    --server $serverName \
    --name mySampleDatabase \
    --sample-name AdventureWorksLT \
    --edition GeneralPurpose \
    --compute-model Serverless \
    --family Gen5 \
    --capacity 2

Utwórz serwer skonfigurowany z tożsamością zarządzaną przypisaną przez użytkownika i funkcją TDE zarządzaną przez klienta między dzierżawami przy użyciu programu PowerShell.

Aby uzyskać instrukcje instalacji modułu Az programu PowerShell, zobacz Instalowanie programu Azure PowerShell.

Użyj polecenia cmdlet New-AzSqlServer.

Zastąp następujące wartości w przykładzie:

<ResourceGroupName>: nazwa grupy zasobów dla serwera logicznego usługi Azure SQL
<Location>: Lokalizacja serwera, na przykład West US, lub Central US
<ServerName>: Użyj unikatowej nazwy serwera logicznego usługi Azure SQL
<ServerAdminName>: Identyfikator logowania administratora SQL
<ServerAdminPassword>: hasło administratora SQL
<IdentityType>: typ tożsamości, który ma zostać przypisany do serwera. Możliwe wartości to SystemAssigned, UserAssignedSystemAssigned,UserAssigned i None
<UserAssignedIdentityId>: lista tożsamości zarządzanych przypisanych przez użytkownika do przypisania do serwera (może to być jedna lub wiele)
<PrimaryUserAssignedIdentityId>: tożsamość zarządzana przypisana przez użytkownika, która powinna być używana jako podstawowa lub domyślna na tym serwerze
<CustomerManagedKeyId>: identyfikator klucza z drugiej dzierżawy usługi Azure Key Vault
<FederatedClientId>: identyfikator aplikacji wielodostępnej aplikacji

Aby uzyskać identyfikator zasobu tożsamości zarządzanej przypisanej przez użytkownika, wyszukaj pozycję Tożsamości zarządzane w witrynie Azure Portal. Znajdź tożsamość zarządzaną i przejdź do pozycji Właściwości. Przykład identyfikatora zasobu UMI wygląda następująco:/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>

# create a server with user-assigned managed identity and cross-tenant customer-managed TDE
$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    SqlAdministratorCredentials = (Get-Credential)
    SqlAdministratorLogin = "<ServerAdminName>"
    SqlAdministratorPassword = "<ServerAdminPassword>"
    AssignIdentity = $true
    IdentityType = "<IdentityType>"
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    PrimaryUserAssignedIdentityId = "<PrimaryUserAssignedIdentityId>"
    KeyId = "<CustomerManagedKeyId>"
    FederatedClientId = "<FederatedClientId>"
}

New-AzSqlServer @params

Oto przykład szablonu usługi ARM, który tworzy serwer logiczny Usługi Azure SQL z tożsamością zarządzaną przypisaną przez użytkownika i funkcją TDE zarządzaną przez klienta. W przypadku klucza zarządzanego przez klienta między dzierżawami użyj identyfikatora klucza z drugiej dzierżawy usługi Azure Key Vault oraz identyfikatora aplikacji z aplikacji wielodzierżawczej.

Szablon dodaje również zestaw administracyjny firmy Microsoft Entra dla serwera i włącza uwierzytelnianie tylko firmy Microsoft w usłudze Azure SQL, ale można go usunąć z przykładu szablonu.

Aby uzyskać więcej informacji i szablonów usługi ARM, zobacz Szablony usługi Azure Resource Manager dla usługi Azure SQL Database.

Użyj wdrożenia niestandardowego w witrynie Azure Portal i utwórz własny szablon w edytorze. Następnie zapisz konfigurację po wklejeniu w przykładzie.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "String"
        },
        "location": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity."
            }
        },
        "federated_clientid": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Application ID of the multi-tenant application."
            }
        },
        "keyvault_url": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The key vault URI."
            }
        },
        "AdminLogin": {
            "minLength": 1,
            "type": "String"
        },
        "AdminLoginPassword": {
            "type": "SecureString"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2022-05-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "administratorLogin": "[parameters('AdminLogin')]",
                "administratorLoginPassword": "[parameters('AdminLoginPassword')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "federatedClientId": "[parameters('federated_clientid')]",
                "KeyId": "[parameters('keyvault_url')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Sprzężenie zwrotne

Czy ta strona była pomocna?

Last updated on 2025-09-18