Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Si applica a:
SQL Server su VM di Azure
SQL Server offre più funzionalità di crittografia, ad esempio Transparent Data Encryption (TDE),crittografia a livello di colonna (CLE) e crittografia del backup. Questi metodi di crittografia richiedono la gestione e l'archiviazione delle chiavi crittografiche usate per la crittografia. Il servizio Azure Key Vault migliora la sicurezza e la gestione di queste chiavi archiviandole in una posizione sicura e a disponibilità elevata. Il connettore SQL Server consente a SQL Server di usare queste chiavi da Azure Key Vault e dal modulo di protezione hardware (HSM) gestito di Azure Key Vault.
Se si esegue SQL Server in locale, seguire la procedura descritta in Accedere ad Azure Key Vault dall'istanza di SQL Server locale. La stessa procedura va eseguita per SQL Server in macchine virtuali di Azure, ma è possibile risparmiare tempo usando la funzionalità Integrazione di Azure Key Vault.
Nota
Per SQL Server 2017 e versioni precedenti, l'integrazione di Azure Key Vault è disponibile solo per le edizioni Enterprise, Developer e Evaluation di SQL Server. SQL Server 2019 ha introdotto il supporto per l'edizione Standard.
Tutte le operazioni di installazione di TDE Extensible Key Management (EKM) con Azure Key Vault devono essere eseguite dall'amministratore del computer SQL Server e i comandi Transact-SQL (T-SQL) eseguiti da sysadmin. Per altre informazioni sulla configurazione di TDE EKM con Azure Key Vault, vedere Configurare TDE Extensible Key Management di SQL Server usando Azure Key Vault.
Quando si abilita questa funzionalità, viene installato automaticamente il connettore SQL Server, viene configurato il provider EKM per accedere ad Azure Key Vault e vengono create le credenziali per accedere all'insieme di credenziali. Se si esaminano i passaggi nella documentazione locale indicata in precedenza, si noterà che questa funzionalità automatizza i passaggi 3, 4 e 5 (fino a 5,4 per creare le credenziali). Assicurarsi di creare il principal del servizio (passaggio 1) e di creare il Key Vault (passaggio 2) con le autorizzazioni appropriate concesse al principal del servizio. Fare riferimento alle sezioni Controllo degli accessi basato sui ruoli di Azure e Politiche di accesso alla cassaforte per le autorizzazioni da utilizzare.
Una volta completata questa operazione, l'intera installazione della macchina virtuale di SQL Server è automatizzata. Quando questa funzionalità completa l'installazione, è possibile eseguire istruzioni Transact-SQL (T-SQL) per iniziare a crittografare i database o i backup come normalmente.
Nota
È anche possibile configurare l'integrazione Key Vault usando un modello. Per ulteriori informazioni, consultare il template di avvio rapido di Azure per l'integrazione di Azure Key Vault.
Il connettore SQL Server versione 1.0.5.0 viene installato nella macchina virtuale di SQL Server tramite l'estensione IaaS (Infrastructure as a Service). L'aggiornamento dell'estensione SQL IaaS Agent non aggiorna la versione del provider. È consigliabile aggiornare manualmente la versione del connettore SQL Server se è installata una versione precedente, ad esempio quando si usa un modulo di protezione hardware gestito di Azure Key Vault, che richiede almeno la versione 15.0.2000.440. È possibile controllare la versione del connettore SQL Server con la query T-SQL seguente:
SELECT name, version from sys.cryptographic_providers
Abilitare e configurare l'integrazione Key Vault
È possibile abilitare l'integrazione di Key Vault durante il provisioning oppure configurarla per le macchine virtuali esistenti.
Nuove VM
Se si esegue il provisioning di una nuova macchina virtuale SQL usando Resource Manager, il portale di Azure consente di abilitare l'integrazione di Azure Key Vault.
Per una procedura dettagliata del provisioning, si veda Effettuare il provisioning di una VM di SQL Server (portale di Azure). È possibile visualizzare l'elenco dei parametri e la relativa descrizione nell'integrazione di Azure Key Vault.
VM esistenti
Per le macchine virtuali SQL esistenti, aprire la risorsa macchine virtuali SQL. In Sicurezza selezionare Configurazione di sicurezza. Selezionare Abilita per abilitare l'integrazione di Azure Key Vault.
Il seguente screenshot mostra come abilitare Azure Key Vault nel portale per una VM di SQL Server esistente:
Al termine, selezionare Applica nella parte inferiore della pagina Sicurezza per salvare le modifiche.
Nota
Il nome della credenziale viene successivamente mappato a un login. Questo mapping concede l'accesso al key vault tramite login. Il passaggio manuale della creazione di una credenziale è illustrato nel passaggio 5.4 di Configurare la gestione delle chiavi estendibili TDE di SQL Server usando Azure Key Vault, ma è necessario usare ALTER LOGIN e aggiungere le credenziali all'account di accesso creato.
ALTER LOGIN [login_name] ADD CREDENTIAL [credential_name];
Continuare con il passaggio 5.5 da Configurare la gestione delle chiavi estendibili TDE di SQL Server usando Azure Key Vault per completare l'installazione di EKM.