Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dotyczy:
program SQL Server na maszynie wirtualnej platformy Azure
Program SQL Server oferuje wiele funkcji szyfrowania, takich jak transparent data encryption (TDE),szyfrowanie na poziomie kolumny (CLE) i szyfrowanie kopii zapasowych. Te metody szyfrowania wymagają zarządzania kluczami kryptograficznymi używanymi do szyfrowania i przechowywania ich. Usługa Azure Key Vault zwiększa bezpieczeństwo i zarządzanie tymi kluczami, przechowując je w bezpiecznej i wysoce dostępnej lokalizacji. Łącznik programu SQL Server umożliwia programowi SQL Server używanie tych kluczy z usługi Azure Key Vault i zarządzanego sprzętowego modułu zabezpieczeń (HSM) usługi Azure Key Vault.
Jeśli korzystasz z lokalnie zainstalowanego programu SQL Server, postępuj zgodnie z krokami opisanymi w artykule Uzyskiwanie dostępu do usługi Azure Key Vault z lokalnego wystąpienia programu SQL Server. Te same kroki dotyczą programu SQL Server na maszynach wirtualnych platformy Azure, ale możesz zaoszczędzić czas przy użyciu funkcji integracji z usługą Azure Key Vault.
Uwaga
W przypadku programu SQL Server 2017 i starszych wersji integracja usługi Azure Key Vault jest dostępna tylko dla wersji Enterprise, Developer i Evaluation programu SQL Server. Program SQL Server 2019 wprowadził obsługę wersji Standard.
Wszystkie operacje konfiguracji TDE Extensible Key Management (EKM) z usługą Azure Key Vault muszą być wykonywane przez administratora komputera z programem SQL Server, a polecenia Transact-SQL (T-SQL) wykonywane przez sysadmin. Aby uzyskać więcej informacji na temat konfigurowania funkcji TDE EKM za pomocą usługi Azure Key Vault, zobacz Set up SQL Server TDE Extensible Key Management by using Azure Key Vault.
Po włączeniu tej funkcji automatycznie instalowany jest łącznik SQL Server, konfigurowany dostawca EKM do uzyskania dostępu do Azure Key Vault oraz tworzone jest poświadczenie do uzyskania dostępu do skarbca. Jeśli spojrzysz na kroki opisane wcześniej w dokumentacji lokalnej, zobaczysz, że ta funkcja automatyzuje kroki 3, 4 i 5 (do 5,4 w celu utworzenia poświadczeń). Upewnij się, że tworzysz jednostkę usługi (krok 1) i utwórz magazyn kluczy (krok 2) z odpowiednimi uprawnieniami nadanymi jednostce usługi. Zapoznaj się z sekcjami kontrola dostępu oparta na rolach na platformie Azure i Vault sekcjach dotyczących uprawnień do użycia.
Z tego miejsca cała konfiguracja maszyny wirtualnej z programem SQL Server jest zautomatyzowana. Po zakończeniu instalacji tej funkcji można wykonać instrukcje Transact-SQL (T-SQL), aby rozpocząć szyfrowanie baz danych lub kopii zapasowych w zwykły sposób.
Uwaga
Integrację usługi Key Vault można również skonfigurować przy użyciu szablonu. Aby uzyskać więcej informacji, zobacz Szablon szybkiego startu platformy Azure na potrzeby integracji z usługą Azure Key Vault.
Łącznik SQL Server w wersji 1.0.5.0 został zainstalowany na maszynie wirtualnej SQL Server za pośrednictwem rozszerzenia infrastruktury SQL jako usługi (IaaS). Uaktualnienie rozszerzenia agenta IaaS sql nie powoduje zaktualizowania wersji dostawcy. Rozważ ręczne uaktualnienie wersji łącznika programu SQL Server, jeśli masz zainstalowaną starszą wersję (na przykład w przypadku korzystania z zarządzanego modułu HSM usługi Azure Key Vault, który wymaga co najmniej wersji 15.0.2000.440). Możesz sprawdzić wersję łącznika programu SQL Server za pomocą następującego zapytania T-SQL:
SELECT name, version from sys.cryptographic_providers
Włączanie i konfigurowanie integracji z usługą Key Vault
Integrację usługi Key Vault można włączyć podczas aprowizacji lub skonfigurować dla istniejących maszyn wirtualnych.
Nowe maszyny wirtualne
Jeśli aprowizujesz nową maszynę wirtualną SQL przy użyciu usługi Resource Manager, witryna Azure Portal umożliwia włączenie integracji z usługą Azure Key Vault.
Aby uzyskać szczegółowy przewodnik aprowizacji, zobacz Aprowizowanie programu SQL Server na maszynie wirtualnej platformy Azure (Azure Portal). Listę parametrów i jej opis można wyświetlić w integracji usługi Azure Key Vault.
Istniejące maszyny wirtualne
W przypadku istniejących maszyn wirtualnych SQL otwórz zasób maszyn wirtualnych SQL. W obszarze Zabezpieczenia wybierz pozycję Konfiguracja zabezpieczeń. Wybierz pozycję Włącz , aby włączyć integrację usługi Azure Key Vault.
Poniższy zrzut ekranu przedstawia sposób włączania usługi Azure Key Vault w portalu dla istniejącego programu SQL Server na maszynie wirtualnej platformy Azure:
Po zakończeniu wybierz pozycję Zastosuj w dolnej części strony Zabezpieczenia , aby zapisać zmiany.
Uwaga
Nazwa poświadczenia później odpowiada identyfikatorowi logowania. To mapowanie umożliwia dostęp do logowania do magazynu kluczy. Ręczny krok tworzenia poświadczeń został omówiony w kroku 5.4 w temacie Konfigurowanie rozszerzonego zarządzania kluczami TDE programu SQL Server przy użyciu usługi Azure Key Vault, ale musisz użyć ALTER LOGIN i dodać poświadczenia do utworzonego identyfikatora logowania.
ALTER LOGIN [login_name] ADD CREDENTIAL [credential_name];
Przejdź do kroku 5.5 w sekcji Konfigurowanie rozszerzalnego zarządzania kluczami TDE programu SQL Server przy użyciu usługi Azure Key Vault , aby ukończyć konfigurację EKM.