在 Azure VM (資源管理員) 上設定 SQL Server 的 Azure Key Vault 整合
有多個 SQL Server 加密功能,例如透明資料加密 (TDE)、資料行層級加密 (CLE) 和備份加密。 這些形式的加密需要您管理和儲存用來加密的密碼編譯金鑰。 Azure Key Vault 服務旨在改善安全性,以及在安全且高可用性的位置管理這些金鑰。 SQL Server 連接器可讓 SQL Server 從 Azure Key Vault 和 Azure 金鑰保存庫 受控硬體安全模組(HSM)使用這些金鑰。
如果正在執行內部部署的 SQL Server,則可遵循一些步驟來從內部部署 SQL Server 執行個體存取 Azure Key Vault。 相同的步驟適用於 Azure VM 上的 SQL Server,但您可以透過使用 Azure Key Vault 整合功能來節省時間。
注意
Azure Key Vault 整合僅適用於 SQL Server 的 Enterprise、Developer 和 Evaluation 版本。 從 SQL Server 2019 開始,也支援 Standard 版本。
啟用這項功能時,它會自動安裝 SQL Server 連接器、設定 EKM 提供者來存取 Azure 金鑰保存庫,並建立認證讓您存取您的保存庫。 如果您看到先前提及的內部部署文件中的步驟,您可以發現這項功能會自動執行步驟 3 和 4 以及 5(最多到步驟 5.4 以建立憑證) 請確定已建立金鑰保存庫(步驟 2)。 該位置會自動化 SQL VM 的整個設定。 這項功能完成設定後,即可執行 Transact-SQL (T-SQL) 陳述式,以開始如往常一般加密資料庫或備份。
注意
您也可以使用範本來設定 Key Vault 整合。 如需詳細資訊,請參閱 適用於 Azure 金鑰保存庫整合的 Azure 快速入門範本。
SQL Server 連接器 1.0.4.0 版本會透過 SQL 基礎結構即服務(IaaS)延伸項目功能安裝在 SQL Server VM 上。 升級 SQL IaaS 代理程式延伸模組不會更新提供者版本。 如有需要,請考慮手動升級 SQL Server 連接器版本(例如,使用 Azure Key Vault 受控 HSM 時,至少需要 15.0.2000.440 版)。
啟用和設定 Key Vault 整合
您可在佈建期間啟用 Key Vault 整合,或針對現有的 VM 設定這項整合。
新的 VM
如果您要使用資源管理員佈建新的 SQL Server 虛擬機器,則 Azure 入口網站提供啟用 Azure Key Vault 整合的方式。
有關佈建的詳細逐步解說,請參閱在 Azure VM(Azure 入口網站)上佈建 SQL Server。
現有的 VM
針對現有 SQL 虛擬機器,請開啟 SQL 虛擬機器資源,在安全性下選擇安全性設定。 選取啟用以啟用 Azure Key Vault 整合。
以下螢幕截圖顯示如何在入口網站中為 Azure VM 上的現有 SQL Server 啟用 Azure Key Vault:
完成後,請選取位於 [安全性] 頁面底部的 [套用] 按鈕來儲存變更。
注意
此處所建立的認證名稱會在稍後對應到 SQL 登入。 這樣能允許 SQL 登入存取金鑰保存庫。
使用 Azure Key Vault 完成 EKM 設定,繼續進行設定 SQL Server TDE 可延伸金鑰管理的步驟 5.5。