1

我正在尝试创建一个 ARM 模板,该模板可以使用 Key Vault 作为 EKM 在 Azure 中使用透明数据加密 (TDE) 部署 SQL Enterprise VM。

我找到了如何通过 Key Vault 启用 TDE 的示例,包括101 SQL KeyVault 模板SQL ARM Provision,但在这两种情况下,它们只需要 Key Vault URL 和访问凭据(AppID 和 Secret)。

由于没有提供现有的秘密 URL,这似乎意味着驻留在 EKM (Key Vault) 中的非对称密钥将由部署过程创建,根据 Microsoft 的安全说明,将生产工作负载作为密钥是不好的做法永远不能出口。

鉴于上述情况,我试图将 SQL 指向我已作为 pfx 文件导入 Key Vault 的现有非对称密钥,但在创建 VM 时我似乎找不到任何关于如何引用它的文档通过 ARM 模板。如果有人知道这是否可行,我将不胜感激,而不必在创建 VM 后通过 PowerShell 和/或 T-SQL 执行许多手动步骤。

4

2 回答 2

0

作为一个小的预警,这不是我使用过的东西,到目前为止,它只是通过阅读源代码,我可能很快就会尝试它,但这可能会有所帮助。

查看将 keyvault 添加Azure SQL 扩展的提交文件,模板与之交互的部分似乎是模板配置的部分

这也是 Azure SQL VM Powershell 命令与之交互的部分,它们也馈入相同的部分。

如果您可以通过该扩展从 Powershell 配置它,那么也应该可以通过模板进行配置。

于 2016-02-29T10:44:45.480 回答
0

Microsoft 已确认目前无法仅使用 ARM 模板通过 Key Vault 配置端到端 EKM。其中绝大多数必须通过 PowerShell 和/或 T-SQL 来实现。ARM 模板可用于创建 Key Vault,但您目前无法配置 Azure AD 应用程序(需要对 Key Vault 进行身份验证),也无法将 TDE 所需的非对称证书添加到 Key Vault 密钥中.

于 2016-03-17T21:43:04.113 回答