Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Aplica-se a:
SQL Server em VM do Azure
O SQL Server oferece múltiplas funcionalidades de encriptação, como encriptação de dados transparentes (TDE), encriptação ao nível das colunas (CLE) e encriptação de backup. Estes métodos de encriptação exigem que gere e armazene as chaves criptográficas que utiliza para encriptação. O serviço Azure Key Vault melhora a segurança e a gestão destas chaves ao armazená-las num local seguro e altamente disponível. O SQL Server Connector permite que o SQL Server utilize essas chaves do Azure Key Vault e do Módulo de Segurança de Hardware Gerido (HSM) do Azure Key Vault.
Se estiver a usar SQL Server on-premises, siga os passos para aceder ao Azure Key Vault a partir da sua instância local de SQL Server. As mesmas etapas se aplicam ao SQL Server em VMs do Azure, mas você pode economizar tempo usando o recurso de Integração do Cofre da Chave do Azure.
Observação
Para o SQL Server 2017 e versões anteriores, a integração Azure Key Vault está disponível apenas para as edições Enterprise, Developer e Evaluation do SQL Server. O SQL Server 2019 introduziu suporte para a edição Standard.
Todas as operações de configuração do TDE Extensible Key Management (EKM) com o Azure Key Vault devem ser executadas pelo administrador do computador do SQL Server, e os comandos (T-SQL) Transact-SQL realizados pelo sysadmin. Para obter mais informações sobre como configurar o TDE EKM com o Azure Key Vault, consulte Configurar o Gerenciamento Extensível de Chaves TDE do SQL Server usando o Azure Key Vault.
Quando ativa esta funcionalidade, instala-se automaticamente o SQL Server Connector, configura o fornecedor EKM para aceder ao Azure Key Vault e cria a credencial para aceder ao seu cofre. Se olhar para os passos na documentação on-premises mencionada anteriormente, verá que esta funcionalidade automatiza os passos 3, 4 e 5 (até 5.4 para criar a credencial). Certifica-te de que crias o principal de serviço (passo 1) e crias o cofre de chaves (passo 2) com as permissões adequadas dadas ao principal de serviço. Consulte o de controle de acesso baseado em função do Azure e a política de acesso do Vault seções sobre quais permissões usar.
A partir daí, toda a configuração da sua VM do SQL Server é automatizada. Quando esta funcionalidade concluir a configuração, pode executar instruções Transact-SQL (T-SQL) para começar a encriptar as suas bases de dados ou backups como normalmente faria.
Observação
Você também pode configurar a integração do Cofre da Chave usando um modelo. Para mais informações, consulte o modelo de iniciação rápida do Azure para a integração com o Cofre de Chaves do Azure.
O SQL Server Connector versão 1.0.5.0 é instalado na VM do SQL Server por meio da extensão de infraestrutura SQL como serviço (IaaS). Atualizar a extensão SQL IaaS Agent não atualiza a versão do fornecedor. Considere atualizar manualmente a versão do SQL Server Connector se você tiver uma versão mais antiga instalada (por exemplo, ao usar um HSM gerenciado do Azure Key Vault, que precisa de pelo menos a versão 15.0.2000.440). Você pode verificar a versão do SQL Server Connector com a seguinte consulta T-SQL:
SELECT name, version from sys.cryptographic_providers
Habilitar e configurar a integração do Key Vault
Você pode habilitar a integração do Cofre da Chave durante o provisionamento ou configurá-la para VMs existentes.
Novas VMs
Se estiver a provisionar uma nova máquina virtual SQL usando o Resource Manager, o portal Azure oferece uma forma de ativar a integração com o Azure Key Vault.
Para obter um passo a passo detalhado do provisionamento, consulte provisionar o SQL Server na VM do Azure (portal do Azure). Você pode exibir a lista de parâmetros e sua descrição na integração do Azure Key Vault em .
VMs existentes
Para máquinas virtuais SQL existentes, abra o seu recurso de máquinas virtuais SQL. Em Segurança, selecione Configuração de Segurança. Selecione Ativar para ativar a integração do Azure Key Vault.
A captura de tela a seguir mostra como habilitar o Cofre da Chave do Azure no portal para um SQL Server existente na VM do Azure:
Quando terminar, selecione Aplicar no final da página de Segurança para guardar as suas alterações.
Observação
Mais tarde, o nome da credencial corresponde a um login. Este mapeamento concede ao login acesso ao cofre de chaves. O passo manual para criar uma credencial é discutido no passo 5.4 de Configurar SQL Server TDE Gestão de Chaves Extensível usando o Azure Key Vault, mas precisa de usar ALTER LOGIN e adicionar a credencial ao login que criou.
ALTER LOGIN [login_name] ADD CREDENTIAL [credential_name];
Continue com a etapa 5.5 do Configurar o Gerenciamento Extensível de Chaves TDE do SQL Server usando o Azure Key Vault para concluir a instalação do EKM.