Verwaltete Identitäten für transparente Datenverschlüsselung mit kundenseitig verwaltetem Schlüssel

Gilt für:Azure SQL-DatenbankAzure SQL Managed Instance

Microsoft Entra ID, ehemals Azure Active Directory, bietet eine automatisch verwaltete Identität zur Authentifizierung bei allen Azure-Diensten, die die Microsoft Entra-Authentifizierung unterstützen, wie z. B. Azure Key Vault, ohne dass Anmeldeinformationen im Code offengelegt werden. Weitere Informationen finden Sie unter verwaltete Identitätstypen in Azure.

Es gibt zwei Typen von verwalteten Identitäten:

• Vom System zugewiesen:
• Vom Benutzer zugewiesen:

Weitere Informationen finden Sie unter Verwaltete Identitäten in Microsoft Entra ID für Azure SQL.

Für TDE mit vom Kunden verwaltetem Schlüssel (CUSTOMER Managed Key, CMK) in Azure SQL wird eine verwaltete Identität auf dem Server für die Bereitstellung von Zugriffsrechten auf dem Server im Schlüsseltresor oder verwaltetem HSM verwendet. Beispielsweise sollte die vom System zugewiesene verwaltete Identität des Servers mit Azure Key Vault-Berechtigungen bereitgestellt werden, bevor TDE mit CMK auf dem Server aktiviert wird.

Zusätzlich zu der vom System zugewiesenen verwalteten Identität, die bereits für TDE mit CMK unterstützt wird, kann eine vom Benutzer zugewiesene verwaltete Identität (UMI), die dem Server zugewiesen ist, verwendet werden, um dem Server den Zugriff auf den Schlüsseltresor oder das verwaltete HSM zu ermöglichen. Voraussetzung für die Aktivierung des Zugriffs auf den Schlüsseltresor oder verwaltetes HSM ist, dass die benutzerseitig zugewiesene verwaltete Identität über die Berechtigungen Get, wrapKey und unwrapKey für den Schlüsseltresor oder oder verwaltetes HSM verfügt. Da die benutzerseitig zugewiesene verwaltete Identität eine eigenständige Ressource ist, die erstellt und mit Zugriff auf den Schlüsseltresor oder verwaltetes HSM versehen werden kann, kann TDE mit einem kundenseitig verwalteten Schlüssel nun zur Erstellungszeit für den Server oder die Datenbank aktiviert werden.

Vorteile der Verwendung von UMI für kundenseitig verwaltete TDE

• Ermöglicht die Vorabautorisierung des Zugriffs auf den Schlüsseltresor oder das verwaltete HSM für logische Azure SQL-Server oder verwaltete Azure SQL-Instanzen, indem eine benutzerdefinierte verwaltete Identität erstellt und ihr Zugriff auf den Schlüsseltresor oder das verwaltete HSM gewährt wird, sogar bevor der Server oder die Datenbank erstellt worden sind.

• Ermöglicht die Erstellung eines logischen Azure SQL-Servers mit aktiviertem TDE und CMK

• Ermöglicht die Zuweisung derselben vom Benutzer zugewiesenen verwalteten Identität zu mehreren Servern, wodurch die Notwendigkeit entfällt, die vom System zugewiesene verwaltete Identität für jeden logischen Azure SQL-Server oder jede verwaltete Azure SQL-Instanz einzeln zu aktivieren, und Zugang zu Key Vault oder verwaltetem HSM bereitgestellt wird.

• Bietet die Möglichkeit, CMK zur Servererstellungszeit mit einer verfügbaren integrierten Azure-Richtlinie zu erzwingen.

Überlegungen bei der Verwendung von UMI für kundenseitig verwaltete TDE

• Standardmäßig verwendet TDE in Azure SQL die primäre, dem Benutzer zugewiesene, verwaltete Identität auf dem Server für den Zugriff auf Key Vault oder verwaltete HSMs. Wenn dem Server keine vom Benutzer zugewiesenen Identitäten zugewiesen wurden, wird die vom System zugewiesene verwaltete Identität des Servers für den Schlüsseltresor oder den verwalteten HSM-Zugriff verwendet.
• Wenn Sie eine vom Benutzer zugewiesene verwaltete Identität für TDE mit CMK verwenden, weisen Sie die Identität dem Server zu, und legen Sie sie als primäre Identität für den Server fest.
• Die primäre benutzerseitig zugewiesene verwaltete Identität erfordert fortlaufenden Zugriff auf den Schlüsseltresor oder verwaltetes HSM (get, wrapKey, unwrapKey-Berechtigungen). Wenn der Zugriff der Identität auf den Schlüsseltresor oder verwaltetes HSM widerrufen wird oder keine ausreichenden Berechtigungen bereitgestellt werden, geht die Datenbank in den Zustand Unzugänglich über.
• Wenn die primäre vom Benutzer zugewiesene verwaltete Identität auf eine andere vom Benutzer zugewiesene verwaltete Identität aktualisiert wird, muss der neuen Identität die erforderlichen Berechtigungen für den Schlüsseltresor oder das verwaltete HSM erteilt werden, bevor die primäre aktualisiert wird.
• Um den Server von der vom System zugewiesenen verwalteten Identität für den Schlüsseltresor oder den verwalteten HSM-Zugriff zu wechseln, stellen Sie die vom System zugewiesene verwaltete Identität mit den erforderlichen Schlüsseltresor- oder verwalteten HSM-Berechtigungen bereit, und entfernen Sie dann alle vom Benutzer zugewiesenen verwalteten Identitäten vom Server.

Einschränkungen und bekannte Probleme

• Wenn sich der Schlüsseltresor oder das verwaltete HSM hinter einem virtuellen Netzwerk befindet, das eine Firewall verwendet, muss die Option "Zulassen, dass vertrauenswürdige Microsoft-Dienste diese Firewall umgehen" im Netzwerk-Menü des Schlüsseltresors oder des verwalteten HSM aktiviert sein, wenn Sie eine benutzerzugewiesene verwaltete Identität oder eine systemzugewiesene verwaltete Identität verwenden möchten. Sobald diese Option aktiviert ist, können verfügbare Schlüssel nicht im TDE-Menü für SQL Server im Azure-Portal aufgeführt werden. Um einen einzelnen CMK festzulegen, muss ein Schlüsselbezeichner verwendet werden. Wenn die Option Vertrauenswürdigen Microsoft-Diensten die Umgehung dieser Firewall erlauben nicht aktiviert ist, wird der folgende Fehler zurückgegeben:
  • Failed to save Transparent Data Encryption settings for SQL resource: <ServerName>. Error message: The managed identity with ID '/subscriptions/subscriptionID/resourcegroups/resource_name/providers/Microsoft.ManagedIdentity/userAssignedIdentities/umi_name' requires the following Azure Key Vault permissions: 'Get, WrapKey, UnwrapKey' to the key 'https://keyvault_name/keys/key_name'. Please grant the missing permissions to the identity. Additionally ensure the key is not expired and is not disabled. For expired key, please extend the key expiry time so that SQL can use it to perform wrap and unwrap operations. If your key vault is behind a virtual network or firewall, ensure you select the 'Allow trusted Microsoft services to bypass this firewall' option. (https://aka.ms/sqltdebyokcreateserver).
  • Wenn der obige Fehler angezeigt wird, überprüfen Sie, ob sich der Schlüsseltresor oder verwaltete HSM hinter einem virtuellen Netzwerk oder einer Firewall befindet, und stellen Sie sicher, dass die Option "Vertrauenswürdige Microsoft-Dienste zulassen" aktiviert ist.
• Wenn dem Server oder der verwalteten Instanz mehrere benutzerseitig zugewiesene verwaltete Identitäten zugewiesen sind und eine einzelne Identität mithilfe des Bereichs Identität des Azure-Portals vom Server entfernt wird, ist der Vorgang erfolgreich, aber die Identität wird nicht vom Server entfernt. Das gemeinsame Entfernen aller benutzerseitig zugewiesenen verwalteten Identitäten aus dem Azure-Portal funktioniert erfolgreich.
• Wenn der Server oder die verwaltete Instanz mit vom Kunden verwaltetem TDE konfiguriert ist und sowohl vom System zugewiesene als auch vom Benutzer zugewiesene verwaltete Identitäten auf dem Server aktiviert sind, führt das Entfernen der vom Benutzer zugewiesenen verwalteten Identitäten vom Server, ohne zuerst den vom System zugewiesenen verwalteten Identitäten Zugriff auf den Key Vault oder das verwaltete HSM zu gewähren, zu einer unerwarteten Fehlermeldung. Stellen Sie sicher, dass die systemseitig zugewiesene verwaltete Identität Zugriff auf den Schlüsseltresor oder verwaltetes HSM erhalten hat, bevor Sie die primäre benutzerseitig zugewiesene verwaltete Identität (und alle anderen benutzerseitig zugewiesenen verwalteten Identitäten) vom Server entfernen.

Nächste Schritte

Verwandte Inhalte

• Erstellen einer Azure SQL Managed Instance mit einer benutzerseitig zugewiesenen verwalteten Identität