已啟用 Azure Arc 的身分識別和存取管理SQL 受管理執行個體
本文說明 已啟用 Azure Arc 的SQL 受管理執行個體 身分識別和存取管理 (IAM) 架構、設計考慮和建議的各種案例。
已啟用 Arc 的SQL 受管理執行個體仰賴 在已啟用 Azure Arc 的 Kubernetes 叢集上執行的已啟用 Azure Arc 的資料服務 延伸模組。 以下是啟用 Azure Arc 的資料服務的各種元件,這些元件對於身分識別和存取管理而言很重要,做為這個重要設計區域的一部分。
- Azure Arc 資料控制器
- Azure Arc Active Directory 連線or
- 已啟用 Azure Arc 的 SQL 受控執行個體
架構
SQL 驗證
支援啟用 Arc SQL 受管理執行個體使用本機 SQL 身分識別 的 SQL 驗證。 第一次登入期間會使用 SQL 驗證方法,為系統管理員建立 Windows 的登入認證,以及將許可權授與資料庫,以使用 Active Directory 驗證存取已啟用 Arc 的SQL 受管理執行個體。 Grafana 和 Kibana 儀表板目前僅支援基本驗證。
Active Directory 驗證
對於許多企業組織而言,Active Directory (AD) 驗證是使用在內部部署和雲端環境中執行之 SQL Server 強制執行角色型存取控制 (RBAC) 的標準。 已啟用 Azure Arc 的SQL 受管理執行個體支援 AD 驗證,以順暢地將現有的 SQL Server 資料庫移轉至已啟用 Arc 的SQL 受管理執行個體,並隨時掌握最新的 SQL Server 版本和安全性修補程式。
已啟用 Arc 的SQL 受管理執行個體會在已啟用 Arc 的 Kubernetes 叢集上執行時,使用 Kerberos keytab 來支援 AD 驗證 。 Active Directory 連接器 是已啟用 Arc 的資料服務中支援 AD 驗證的重要元件。
以下是產生和管理 Kerberos keytab 的兩種方式,並在已啟用 Arc 的SQL 受管理執行個體中使用。 下列各節說明使用適當索引鍵表模式的案例和時機。
系統管理的 Keytab
系統管理的 Keytab 模式 中的 Active Directory 連接器可簡化已啟用 Arc SQL 受管理執行個體的 AD 帳戶產生和金鑰表管理。 AD 連接器負責建立服務帳戶、指派 服務主體 ,以及 產生 keytab 以支援 AD 驗證。 對於偏好簡化作業而不是細微控制的客戶,建議使用此方法自動管理 AD 驗證的金鑰表。
圖 1:系統管理的 Keytab 模式中 AD 連接器的架構圖表。
客戶管理的 Keytab
客戶管理的 Keytab 模式 中的 Active Directory 連接器可完全控制管理服務帳戶、服務主體,以及產生 keytab 給嚴格遵循 資訊技術基礎結構程式庫 (ITIL) 程式的客戶,並區分職責,以將活動委派給不同的小組。
圖 2:客戶管理的 Keytab 模式中 AD 連接器的架構圖表。
Azure Arc 資料控制器
在直接連線模式中安裝已啟用 Arc 的資料服務延伸模組時, 會建立已啟用 Arc 的資料服務受控識別 ,以便與 Azure Resource Manager(ARM) API 控制平面和資料平面互動。 Azure Arc 資料控制器會在管理已啟用 Arc 的SQL 受管理執行個體時,使用此受控識別來執行這些動作。
在間接連線模式中, Azure Arc 資料控制器需要具有 必要許可權 的服務主體 ,以定期 將清查和資源使用量等使用量資訊 匯出至 Azure。
已啟用 Azure Arc 的資料服務上的 Azure RBAC
以下是將監視計量發佈至 Azure 監視器所需的 RBAC 許可權。
| 角色 | 描述 |
|---|---|
| 監視計量發行者 | 針對 Azure 資源啟用發佈計量。 |
安全存取已啟用 Azure Arc 的SQL 受管理執行個體
下列架構圖顯示使用 AD 驗證的安全存取。
下列架構圖顯示使用 SQL 驗證的安全存取。
設計考量
檢閱 Azure 登陸區域的身分識別和存取管理重要設計區域 ,以評估已啟用 Azure Arc 的資料服務對整體身分識別和存取模型的影響。
已啟用 Arc 的資料服務部署
請考慮使用身分識別來部署已啟用 Azure Arc 的資料服務,視已啟用 Arc 的資料服務部署類型而定,例如手動或自動化。 此身分識別可以是來自 Active Directory 網域服務 的 Microsoft Entra 帳戶或輕量型目錄存取通訊協定 (LDAP) 帳戶,或協力廠商 LDAP 提供者,根據已啟用 Azure Arc 的 Kubernetes 存取控制在內部部署或其他雲端環境中管理的方式。
請考慮群組型存取控制或個別身分識別型存取控制是否更適合您資訊技術 (IT) 組織根據這兩個選項所建立的作業額外負荷來管理已啟用 Arc 的資料服務。
請考慮在已啟用 Azure Arc 的 Kubernetes 系統管理員與資料庫管理群組 (DMG) 與應用程式管理群組之間,根據組織的安全性控管和職責需求的區隔,部署和管理已啟用 Azure Arc 的資料服務。
請考慮系統管理的 keytab 與客戶自控 keytab 之間的使用模式,以部署 Azure Arc AD 連線or,以支援已啟用 Arc SQL 受管理執行個體 的 AD 驗證。 這兩種方法都有簡化作業的優點,相較于完全客戶對管理服務帳戶的控制,以及 AD 驗證支援的 Keytab。
已啟用 Arc 的資料服務存取
已啟用 Arc 的SQL 受管理執行個體存取控制完全獨立于已啟用 Azure Arc 的基礎 Kubernetes 存取控制 。 請務必進行一些設計決策,以管理已啟用 Arc 的SQL 受管理執行個體,並提供取用者應用程式和終端使用者的存取權。
視組織的應用程式或服務功能而定,選擇 AD 與 SQL 驗證。 並非所有應用程式都支援 AD 驗證,請檢閱貴組織的安全性原則,以取得允許的驗證類型,並在使用 SQL 驗證時強制執行必要的額外安全性控制。
當雲端原生服務需要驗證並聯機到已啟用 Arc SQL 受管理執行個體 的資料庫,以擷取和內嵌資料到資料分析服務時,請考慮使用透過 SQL 加入 AD 的內部部署自我裝載執行時間虛擬或實體機器,以驗證並聯機到已啟用 Arc 的SQL 受管理執行個體。
設計建議
除了下列設計建議之外,請檢閱 已啟用 Azure Arc 的 Kubernetes 身分識別和存取管理設計建議 ,因為已啟用 Arc 的 SQL 受管理執行個體部署在已啟用 Arc 的 Kubernetes 叢集上。
已啟用 Arc 的資料服務部署
針對遵循嚴格 ITIL 程式的企業組織,請藉由建立不同的安全性群組,將負責管理已啟用 Arc 的資料服務與已啟用 Arc 之 Kubernetes 的小組隔離,然後指派許可權來管理已啟用 Arc 的資料服務。
使用系統管理的 Keytab 模式進行 AD 驗證支援,以卸載網域帳戶和 Keytab 管理額外負荷,以簡化作業。
使用客戶管理的 Keytab 模式進行 AD 驗證,以完全控制服務帳戶建立和金鑰表產生。
建立專用 的 AD 組織單位 (OU) 來委派存取控制,並簡化所有已啟用 Arc 的帳戶SQL 受管理執行個體作業。
針對 Kerberos keytab 檔案使用 AES256 加密,並避免使用 RC4 加密。
已啟用 Arc 的資料服務存取
適當時,請使用 AD 驗證搭配 SQL 受管理執行個體,將使用者生命週期管理卸載至目錄服務,並使用 AD 中的安全性群組來管理使用者權限。
使用 SQL 驗證搭配已啟用 Arc 的SQL 受管理執行個體作為 最不慣用的驗證 類型,且 無法使用 AD 驗證 時。
一旦讓您的組織需求能夠進行 AD 驗證,請避免使用 SQL 驗證進行日常作業。 僅針對資料庫管理的資料庫伺服器進行緊急存取,才使用 SQL 驗證。
在不支援 AD 驗證的部署案例中,請使用已啟用 Arc 的 SQL 驗證SQL 受管理執行個體。 請務必使用強式密碼原則,並啟用稽核,以監視授與存取資料庫伺服器和資料庫的 SQL 使用者身分識別和許可權。
角色型存取控制 (RBAC)
在系統管理的 Keytab 模式中 ,啟用 Arc SQL 受管理執行個體的 Active Directory OU 層級需要網域服務帳戶 (DSA) 的明確許可權 。
以下是 必要的 RBAC 許可權 。 對於客戶管理的 Keytab 模式,Active Directory OU 層級的網域服務帳戶不需要明確許可權。
Azure Arc AD 連線or 許可權
| 權限 | 描述 |
|---|---|
| 讀取全部內容 | 允許讀取目錄物件的所有屬性。 |
| 寫入所有屬性 | 允許更新目錄物件的所有屬性。 |
| 建立使用者物件 | 允許在 OU 中建立目錄物件。 |
| 刪除使用者物件 | 允許刪除 OU 中的目錄物件。 |
| 重設密碼 | 允許在 OU 中重設使用者物件的密碼。 |
SQL Server 角色
下一步
如需已啟用 Azure Arc SQL 受管理執行個體身分識別和存取管理的詳細資訊,請參閱下列文章:
- 使用 Active Directory 驗證啟用 Azure Arc 的SQL 受管理執行個體
- Active Directory 驗證必要條件中已啟用 Azure Arc 的SQL 受管理執行個體
- 教學課程:使用 Azure CLI 部署 Active Directory 連接器
- 部署已啟用 Active Directory 的 Azure Arc 整合式SQL 受管理執行個體
- 使用 Azure Arc Jumpstart 體驗已啟用 Azure Arc 的自動化案例SQL 受管理執行個體。
- 若要深入瞭解 Azure Arc,請檢閱 Microsoft Learn 上的 Azure Arc 學習路徑。