为 Azure VM (Resource Manager) 上的 SQL Server 配置 Azure 密钥保管库集成

适用于：Azure VM 上的 SQL Server

SQL Server 提供多种加密功能，例如 透明数据加密（TDE）、 列级加密（CLE）和 备份加密。 这些加密方法要求管理和存储用于加密的加密密钥。 Azure Key Vault 服务通过将密钥存储在安全且高度可用的位置，从而提高了这些密钥的安全性和管理。 SQL Server 连接器使 SQL Server 能够从 Azure Key Vault 和 Azure Key Vault 托管硬件安全模块 (HSM) 使用这些密钥。

如果在本地运行 SQL Server，请遵循 从本地 SQL Server 实例访问 Azure Key Vault 的步骤。 这些步骤同样适用于 Azure 虚拟机上的 SQL Server，不过可以使用 Azure Key Vault 集成功能节省时间。

启用此功能时，它会自动安装 SQL Server 连接器，将 EKM 提供程序配置为访问 Azure Key Vault，并创建用于访问保管库的凭据。 如果查看前面提到的本地文档中的步骤，则会看到此功能自动执行步骤 3、4 和 5（最多 5.4 创建凭据）。 请确保创建服务主体（步骤 1），并使用授予服务主体的适当权限创建密钥保管库（步骤 2）。 请参阅 Azure 基于角色的访问控制 和 保管库访问策略 部分，以确定要使用哪些权限。

之后，会自动进行 SQL Server VM 的整个设置。 此功能完成设置后，可以执行 Transact-SQL （T-SQL） 语句，以像平常一样开始加密数据库或备份。

SELECT name, version from sys.cryptographic_providers

启用和配置密钥保管库集成

可以在预配期间启用密钥保管库集成，或为现有 VM 配置该集成。

新的虚拟机

如果要使用资源管理器预配新的 SQL 虚拟机，Azure 门户提供了一种启用 Azure Key Vault 集成的方法。

有关预配的详细演练，请参阅预配 Azure 虚拟机上的 SQL Server（Azure 门户）。 可以在 Azure Key Vault 集成中查看参数列表及其说明。

现有 VM

对于现有的 SQL 虚拟机，请打开 SQL 虚拟机资源。 在 “安全性”下，选择“ 安全配置”。 选择“启用”以启用“Azure Key Vault 集成”。

以下屏幕截图展示了如何在门户中为 Azure 虚拟机上的现有 SQL Server 启用 Azure Key Vault：

完成后，选择“安全”页底部的“应用”以保存更改。

ALTER LOGIN [login_name] ADD CREDENTIAL [credential_name];

按照使用 Azure Key Vault 设置 SQL Server TDE 可扩展密钥管理中第 5.5 步的说明继续操作，以完成 EKM 设置。

相关内容

• Azure 虚拟机中 SQL Server 的安全注意事项