建立伺服器，並設定使用者指派的受控識別和客戶受控的 TDE

發行項
01/15/2025

適用於：Azure SQL 資料庫

本操作指南概述建立 Azure 邏輯伺服器並設定透明資料加密 (TDE) 與客戶自控金鑰 (CMK) 的步驟，以運用使用者指派的受控識別來存取 Azure Key Vault。

注意

Microsoft Entra ID 先前稱為 Azure Active Directory (Azure AD)。

必要條件

本操作指南假設您已經建立 Azure Key Vault，並將金鑰匯入其中，以作為 Azure SQL Database 的 TDE 保護裝置。若要深入了解，請參閱具有 BYOK 支援的透明資料加密。
您必須在金鑰保存庫上啟用虛刪除和清除保護
您必須建立使用者指派的受控識別，並為其提供上述金鑰保存庫的必要 TDE 權限 (取得、包裝金鑰、解除包裝金鑰)。若要建立使用者指派的受控識別，請參閱建立使用者指派的受控識別。
您必須安裝並執行 Azure PowerShell。
[建議執行的選擇性作業] 先在硬體安全性模組 (HSM) 或本機金鑰存放區中建立 TDE 保護裝置的金鑰內容，然後將金鑰內容匯入至 Azure Key Vault。請依照使用硬體安全性模組 (HSM) 與 Key Vault 的指示操作，以深入了解。

建立伺服器並設定 TDE 和客戶自控金鑰 (CMK)

下列步驟概述建立新 Azure SQL Database 邏輯伺服器和新資料庫的程序，其中包含已指派的使用者指派受控識別。您必須具備使用者指派的受控識別，才能在建立伺服器期間設定客戶自控金鑰以用於 TDE。

瀏覽至 Azure 入口網站中的 [選取 SQL 部署] 選項頁面。
如果您尚未登入 Azure 入口網站，請在出現提示時登入。
在 SQL Database下，將 [資源類型] 設定為 [單一資料庫]，然後選取 [建立]。
在 [建立 SQL Database] 表單 [基本資料] 索引標籤的 [專案詳細資料] 下，選取想要的 Azure 訂用帳戶。
針對 [資源群組]，選取 [新建]，輸入您的資源群組名稱，然後選取 [確定]。
針對 [資料庫名稱]，輸入。
在伺服器中，選取 [建立新的]，並以下列值填寫新伺服器表單：
- 伺服器名稱：輸入唯一的伺服器名稱。伺服器名稱對於 Azure 中所有伺服器必須為全域唯一，而不只是在訂閱中是唯一的。您可以輸入 mysqlserver135 等，Azure 入口網站會讓您知道該名稱是否可用。
- 伺服器管理員登入：輸入管理員登入名稱，例如 azureuser。
- 密碼：輸入符合密碼需求的密碼，然後在 [確認密碼] 欄位中再次輸入。
- 位置：從下拉式清單中選取位置
完成時，選取 [下一步:網路功能]，為於頁面底部。
在網路功能索引標籤的連線方法中，選取 [公用端點]。
針對 [防火牆規則]，將 [新增目前的用戶端 IP 位址] 設定為 [是]。將 [允許 Azure 服務和資源存取此伺服器] 設定為 [否]。
選取頁面底部的 [下一步：安全性]。
在 [安全性] 索引標籤的 [伺服器身分識別]下方，選取 [設定身分識別]。
在 [身分識別] 窗格上，針對 [系統指派的受控身分識別] 選取 [關閉]，然後選取 [使用者指派的受控身分識別] 下的 [新增]。選取所需的 [訂用帳戶]，然後在 [使用者指派的受控身分識別] 下方，從選取的訂用帳戶中選取所需的使用者指派受控身分識別。接著，選取 [新增] 按鈕。
在 [主要身分識別] 下方，選取上一個步驟中選取的相同使用者指派受控識別。
選取 [套用]
在 [安全性] 索引標籤的 [透明資料加密金鑰管理] 下，您可以選擇為伺服器或資料庫設定透明資料加密。
- 針對 [伺服器層級金鑰]：選取 [設定透明資料加密]。選取 [客戶自控金鑰]，然後可選取 [選取金鑰] 的選項隨即出現。選取 [變更金鑰]。針對要用於 TDE 的客戶自控金鑰，選取所需的訂閱、金鑰保存庫、金鑰和版本。選取 [選取] 按鈕。
- 針對 [資料庫層級金鑰]：選取 [設定透明資料加密]。選取 [資料庫層級客戶自控金鑰]，然後可設定 [資料庫身分識別] 和 [客戶自控金鑰] 的選項隨即顯示。選取 [設定] 來設定資料庫的 [使用者指派的受控識別]，類似於步驟 13。選取 [變更金鑰] 以設定 [客戶自控金鑰]。針對要用於 TDE 的客戶自控金鑰，選取所需的訂閱、金鑰保存庫、金鑰和版本。您也可以選擇在 [透明資料加密] 功能表中啟用 [自動輪替金鑰]。選取 [選取] 按鈕。
選取 [套用]
選取頁面底部的 [檢閱 + 建立]
檢閱 [檢閱 + 建立] 頁面之後，選取 [建立]。

如需如何安裝目前版本的 Azure CLI，請參閱安裝 Azure CLI 一文。

使用 az sql server create 命令建立伺服器，並設定使用者指派的受控識別和客戶受控的 TDE。

az sql server create \
    --name $serverName \
    --resource-group $resourceGroupName \
    --location $location  \
    --admin-user $adminlogin \
    --admin-password $password \
    --assign-identity \
    --identity-type $identitytype \
    --user-assigned-identity-id $identityid \
    --primary-user-assigned-identity-id $primaryidentityid \
    --key-id $keyid

使用 az sql db create 命令建立資料庫。

az sql db create \
    --resource-group $resourceGroupName \
    --server $serverName \
    --name mySampleDatabase \
    --sample-name AdventureWorksLT \
    --edition GeneralPurpose \
    --compute-model Serverless \
    --family Gen5 \
    --capacity 2

使用 PowerShell 建立伺服器，並設定使用者指派的受控識別和客戶受控的 TDE。

如需 Az PowerShell 模組安裝指示，請參閱安裝 Azure PowerShell。

使用 New-AzSqlServer Cmdlet。

取代範例中的下列值：

<ResourceGroupName>：Azure SQL 邏輯伺服器的資源群組名稱
<Location>：伺服器的位置，例如 West US 或 Central US
<ServerName>：使用唯一的 Azure SQL 邏輯伺服器名稱
<ServerAdminName>：SQL 管理員登入
<ServerAdminPassword>：SQL 管理員密碼
<IdentityType>：要指派給伺服器的身分識別類型。可能的值是 SystemAssigned、UserAssigned, SystemAssigned,UserAssigned 和 None
<UserAssignedIdentityId>：要指派給伺服器的使用者指派受控識別清單 (可以是一或多個)
<PrimaryUserAssignedIdentityId>：使用者指派的受控識別，應該作為此伺服器的主要或預設值
<CustomerManagedKeyId>：「金鑰識別碼」，而且可以從金鑰保存庫中的金鑰擷取

若要取得使用者指派的受控識別資源識別碼，請在 Azure 入口網站中搜尋受控識別。尋找您的受控識別，並移至 [屬性]。 UMI「資源識別碼」的範例看起來像

# create a server with user-assigned managed identity and customer-managed TDE
$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    SqlAdministratorCredentials = (Get-Credential)
    SqlAdministratorLogin = "<ServerAdminName>"
    SqlAdministratorPassword = "<ServerAdminPassword>"
    AssignIdentity = $true
    IdentityType = "<IdentityType>"
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    PrimaryUserAssignedIdentityId = "<PrimaryUserAssignedIdentityId>"
    KeyId = "<CustomerManagedKeyId>"
}

New-AzSqlServer @params

以下是 ARM 範本的範例，其會建立 Azure 邏輯伺服器，包含使用者指派的受控識別和客戶受控 TDE。此範本也新增一個為伺服器設定的 Microsoft Entra 管理員，並啟用僅限 Microsoft Entra 驗證，但您可以從範本範例中移除這部分。

如需詳細資訊和 ARM 範本，請參閱適用於 Azure SQL 資料庫和 SQL 受控執行個體的 Azure Resource Manager 範本。

使用 Azure 入口網站中的自訂部署，然後在編輯器中建置您自己的範本。接下來，將設定貼進範例之後，加以儲存。

若要取得使用者指派的受控識別資源識別碼，請在 Azure 入口網站中搜尋受控識別。尋找您的受控識別，並移至 [屬性]。 UMI「資源識別碼」的範例看起來像。

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "String"
        },
        "location": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity."
            }
        },
        "keyvault_url": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The key vault URI."
            }
        },
        "AdminLogin": {
            "minLength": 1,
            "type": "String"
        },
        "AdminLoginPassword": {
            "type": "SecureString"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "administratorLogin": "[parameters('AdminLogin')]",
                "administratorLoginPassword": "[parameters('AdminLoginPassword')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "KeyId": "[parameters('keyvault_url')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

後續步驟

開始使用 Azure Key Vault 整合和「攜帶您自己的金鑰支援」以進行 TDE：透過 Key Vault 使用您自己的金鑰開啟 TDE。

共用方式為

建立伺服器，並設定使用者指派的受控識別和客戶受控的 TDE

必要條件

建立伺服器並設定 TDE 和客戶自控金鑰 (CMK)

後續步驟

意見反應

其他資源