Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения:
SQL Server на виртуальной машине Azure
SQL Server предлагает несколько функций шифрования, таких как прозрачное шифрование данных (TDE),шифрование уровня столбцов (CLE) и шифрование резервных копий. Эти методы шифрования требуют управления криптографическими ключами, используемыми для шифрования. Служба Azure Key Vault улучшает безопасность и управление этими ключами, сохраняя их в безопасном и высокодоступном расположении. Соединитель SQL Server позволяет SQL Server использовать эти ключи из Azure Key Vault и управляемого аппаратного модуля безопасности Azure Key Vault (HSM).
Если вы используете SQL Server локально, выполните действия, описанные в том, как получить доступ к Azure Key Vault из локального экземпляра SQL Server. Те же действия применяются к SQL Server на виртуальных машинах Azure, но вы можете сэкономить время с помощью функции интеграции Azure Key Vault.
Примечание.
Для SQL Server 2017 и более ранних версий интеграция Azure Key Vault доступна только для выпусков SQL Server Enterprise, Developer и Evaluation Edition. SQL Server 2019 представила поддержку выпуска Standard.
Все операции настройки TDE Extensible Key Management (EKM) с помощью Azure Key Vault должны выполняться администратором компьютера SQL Server, а команды Transact-SQL (T-SQL) должны выполняться посредством sysadmin. Дополнительные сведения о настройке TDE EKM с помощью Azure Key Vault см. в статье Настройка управления расширяемыми ключами TDE SQL Server с помощью Azure Key Vault.
При включении этой функции она автоматически устанавливает коннектор SQL Server, настраивает поставщика EKM для доступа к Azure Key Vault и создает учетные записи для доступа к хранилищу. Если вы посмотрите на шаги, описанные ранее в локальной документации, вы увидите, что эта функция автоматизирует шаги 3, 4 и 5 (до 5,4 для создания учетных данных). Создайте субъект-службу (шаг 1) и создадите хранилище ключей (шаг 2) с соответствующими разрешениями, предоставленными субъекту-службе. Ознакомьтесь с разделами доступа на основе ролей Azure и политика доступа Хранилища, где указаны необходимые разрешения.
Далее вся настройка виртуальной машины SQL Server выполняется автоматически. Когда эта функция завершит настройку, можно выполнить инструкции Transact-SQL (T-SQL), чтобы начать шифрование баз данных или резервных копий, как обычно.
Примечание.
Можно также настроить интеграцию Key Vault с помощью шаблона. Чтобы получить дополнительные сведения, ознакомьтесь с шаблоном быстрого запуска Azure для интеграции с хранилищем ключей Azure.
Соединитель SQL Server версии 1.0.5.0 устанавливается на виртуальной машине SQL Server через расширение инфраструктуры SQL как услуга (IaaS). Обновление расширения агента IaaS SQL не обновляет версию поставщика. Рассмотрите возможность ручного обновления версии коннектора SQL Server, если у вас установлена более ранняя версия (например, при использовании управляемого HSM в Azure Key Vault, который должен иметь версию не ниже 15.0.2000.440). Вы можете проверить версию соединителя SQL Server с помощью следующего запроса T-SQL:
SELECT name, version from sys.cryptographic_providers
Включение и настройка интеграции с Key Vault
Интеграцию Key Vault можно включить во время подготовки или настроить ее для существующих виртуальных машин.
Новые виртуальные машины
Если вы подготавливаете новую виртуальную машину SQL с помощью Resource Manager, портал Azure предоставляет способ включения интеграции Azure Key Vault.
Подробное пошаговое руководство по подготовке см. в статье "Подготовка SQL Server на виртуальной машине Azure" (портал Azure). Список параметров и его описание можно просмотреть в интеграции Azure Key Vault.
Существующие виртуальные машины
Для существующих виртуальных машин SQL откройте ресурс виртуальных машин SQL. В разделе "Безопасность" выберите "Конфигурация безопасности". Выберите «Включить», чтобы включить интеграцию с Azure Key Vault.
На следующем снимке экрана показано, как включить Azure Key Vault на портале для существующего SQL Server на виртуальной машине Azure:
По завершении нажмите кнопку "Применить" в нижней части страницы "Безопасность ", чтобы сохранить изменения.
Примечание.
Имя учетных данных со временем сопоставляется с логином. Это сопоставление предоставляет доступ к хранилищу ключей для входа. Шаг создания учетных данных вручную рассматривается на шаге 5.4 настройки управления расширяемыми ключами SQL Server TDE с помощью Azure Key Vault, но необходимо использовать ALTER LOGIN и добавить учетные данные в созданное имя входа.
ALTER LOGIN [login_name] ADD CREDENTIAL [credential_name];
Продолжите с шага 5.5 из Настройка SQL Server TDE Extensible Key Management с помощью Azure Key Vault, чтобы завершить настройку EKM.