Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a:
SQL Server en máquina virtual de Azure
SQL Server ofrece varias características de cifrado, como el cifrado de datos transparente (TDE), el cifrado de nivel de columna (CLE) y el cifrado de copia de seguridad. Estos métodos de cifrado requieren que administre y almacene las claves criptográficas que usa para el cifrado. El servicio Azure Key Vault mejora la seguridad y administración de estas claves almacenándolas en una ubicación segura y de alta disponibilidad. El Conector de SQL Server permite a SQL Server usar estas claves desde Azure Key Vault y el Módulo de seguridad de hardware (HSM) administrado de Azure Key Vault.
Si ejecuta SQL Server localmente, siga los pasos descritos en Acceso a Azure Key Vault desde la instancia local de SQL Server. En SQL Server en máquinas virtuales de Azure se aplican los mismos pasos, pero puede ahorrar tiempo con la característica Integración de Azure Key Vault.
Nota:
Para SQL Server 2017 y versiones anteriores, la integración de Azure Key Vault solo está disponible para las ediciones Enterprise, Developer y Evaluation de SQL Server. SQL Server 2019 introdujo compatibilidad con la edición Standard.
El administrador del equipo de SQL Server debe realizar todas las operaciones de configuración de TDE Extensible Key Management (EKM) con Azure Key Vault, y los comandos de Transact-SQL (T-SQL) deben ser ejecutados por el sysadmin. Para más información sobre cómo configurar TDE EKM con Azure Key Vault, consulte Configuración de la administración extensible de claves de TDE de SQL Server mediante Azure Key Vault.
Al habilitar esta característica, instala automáticamente el conector de SQL Server, configura el proveedor EKM para acceder a Azure Key Vault y crea la credencial para acceder al almacén. Si examina los pasos de la documentación local mencionada anteriormente, verá que esta característica automatiza los pasos 3, 4 y 5 (hasta 5.4 para crear la credencial). Asegúrese de crear la entidad de servicio (paso 1) y de crear el almacén de claves (paso 2) con los permisos adecuados concedidos a la entidad de servicio. Consulte las secciones Control de acceso basado en rol de Azure y la Directiva de acceso del almacén sobre qué permisos usar.
Desde allí, se automatiza toda la configuración de la máquina virtual de SQL Server. Cuando esta característica completa la configuración, puede ejecutar instrucciones Transact-SQL (T-SQL) para comenzar a cifrar las bases de datos o las copias de seguridad como lo haría normalmente.
Nota:
También puede usar una plantilla para configurar la integración de Key Vault. Para más información, consulte la plantilla de inicio rápido de Azure para la integración de Azure Key Vault.
La versión 1.0.5.0 del conector de SQL Server se instala en la máquina virtual con SQL Server a través de la extensión de infraestructura como servicio (IaaS) de SQL. La actualización de la extensión agente de IaaS de SQL no actualiza la versión del proveedor. Considere la posibilidad de actualizar manualmente la versión del conector de SQL Server si tiene instalada una versión anterior (por ejemplo, al usar un HSM administrado de Azure Key Vault, que necesita al menos la versión 15.0.2000.440). Puede comprobar la versión del conector de SQL Server con la siguiente consulta de T-SQL:
SELECT name, version from sys.cryptographic_providers
Habilitación y configuración de la integración de Key Vault
Puede habilitar la integración de Key Vault durante el aprovisionamiento o configurarla para las máquinas virtuales existentes.
Nuevas máquinas virtuales
Si va a aprovisionar una nueva máquina virtual SQL mediante Resource Manager, Azure Portal proporciona una manera de habilitar la integración de Azure Key Vault.
Para ver un tutorial detallado del aprovisionamiento, vea Aprovisionamiento de SQL Server en una máquina virtual de Azure (Azure Portal). Puede ver la lista de parámetros y su descripción en la integración de Azure Key Vault.
Máquinas virtuales existentes
En el caso de las máquinas virtuales SQL existentes, abra el recurso máquinas virtuales SQL. En Seguridad, seleccione Configuración de seguridad. Seleccione Habilitar para habilitar la integración de Azure Key Vault.
En la captura de pantalla siguiente se muestra cómo habilitar Azure Key Vault en el portal para una instancia de SQL Server existente en una máquina virtual de Azure:
Cuando termine, seleccione Aplicar en la parte inferior de la página Seguridad para guardar los cambios.
Nota:
El nombre de la credencial se asocia posteriormente a un inicio de sesión. Esta asignación concede permisos de acceso a la bóveda de claves. El paso manual de creación de una credencial se describe en el paso 5.4 de Configuración de la administración extensible de claves de TDE de SQL Server mediante Azure Key Vault, pero debe usar ALTER LOGIN y agregar la credencial al inicio de sesión que creó.
ALTER LOGIN [login_name] ADD CREDENTIAL [credential_name];
Continúe con el paso 5.5 de Configuración de la administración extensible de claves de TDE de SQL Server mediante Azure Key Vault para completar la configuración de EKM.