Audit menggunakan identitas terkelola

Berlaku untuk:Azure SQL DatabaseAzure Synapse Analytics

Audit untuk Azure SQL Database dapat dikonfigurasi untuk menggunakan akun Penyimpanan dengan dua metode autentikasi:

• Identitas Terkelola
• Kunci Akses Penyimpanan

Identitas Terkelola dapat menjadi identitas terkelola yang ditetapkan sistem (SMI) atau identitas terkelola yang ditetapkan pengguna (UMI).

Untuk mengonfigurasi penulisan log audit ke akun penyimpanan, buka portal Azure, dan pilih sumber daya server logis Anda untuk Azure SQL Database. Pilih Penyimpanan di menu Audit . Pilih akun penyimpanan Azure tempat log akan disimpan.

Secara default, identitas yang digunakan adalah identitas pengguna utama yang ditetapkan ke server. Jika tidak ada identitas pengguna, server membuat identitas terkelola yang ditetapkan sistem dan menggunakannya untuk autentikasi.

Pilih periode retensi dengan membuka properti Tingkat Lanjut. Kemudian pilih Simpan. Log yang lebih lama dari periode retensi akan dihapus.

Identitas terkelola yang ditetapkan pengguna

UMI memberi pengguna fleksibilitas untuk membuat dan memelihara UMI mereka sendiri untuk penyewa tertentu. UMI bisa digunakan sebagai identitas server untuk Azure SQL. UMI dikelola oleh pengguna, dibandingkan dengan identitas terkelola yang ditetapkan sistem, identitas mana yang ditentukan secara unik per server, dan ditetapkan oleh sistem.

Untuk informasi selengkapnya tentang UMI, lihat Identitas terkelola di ID Microsoft Entra untuk Azure SQL.

Mengonfigurasi identitas terkelola yang ditetapkan pengguna untuk audit Azure SQL Database

Sebelum audit dapat disiapkan untuk mengirim log ke akun penyimpanan Anda, identitas terkelola yang ditetapkan ke server harus memiliki penetapan peran Kontributor Data Blob Penyimpanan. Penugasan ini diperlukan jika Anda mengonfigurasi audit menggunakan PowerShell, Azure CLI, REST API, atau templat ARM. Penetapan peran dilakukan secara otomatis saat menggunakan portal Azure untuk mengonfigurasi Audit, sehingga langkah-langkah di bawah ini tidak perlu jika Anda mengonfigurasi Audit melalui portal Azure.

1. Buka portal Azure.

2. Buat identitas terkelola yang ditetapkan pengguna jika Anda belum melakukannya. Untuk informasi selengkapnya, lihat membuat identitas terkelola yang ditetapkan pengguna.

3. Buka akun penyimpanan yang ingin Anda konfigurasi untuk audit.

4. Pilih menu Access Control (IAM).

5. Pilih Tambahkan Tambahkan>penetapan peran.

6. Di tab Peran , cari dan pilih Kontributor Data Blob Penyimpanan. Pilih Selanjutnya.

7. Di tab Anggota , pilih Identitas terkelola di bagian Tetapkan akses ke , lalu Pilih anggota. Anda dapat memilih Identitas terkelola yang dibuat untuk server Anda.

8. Pilih Tinjau + tetapkan.

   

Untuk informasi selengkapnya, lihat Menetapkan peran Azure menggunakan portal.

Gunakan hal berikut untuk mengonfigurasi audit menggunakan identitas terkelola yang ditetapkan pengguna:

az SQL server audit-policy update -g "sampleresourcegroup" -n "sampleauditingtestserver" --state Enabled --bsts Enabled --storage-endpoint https://<storageaccountname>.blob.core.windows.net --storage-key ""

Set-AzSqlServerAudit -ResourceGroupName "sampleresourcegroup" -ServerName "sampleauditingtestserver" -BlobStorageTargetState Enabled -StorageAccountResourceId "/subscriptions/<SubscriptionID>/resourcegroups/sampleresourcegroup/providers/Microsoft.Storage/storageAccounts/auditingteststorageacc" -UseIdentity True

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/auditingSettings/default?api-version=2017-03-01-preview

{
  "properties": {
    "state": "Enabled",
    "storageEndpoint": "https://mystorage.blob.core.windows.net"
  }
}

Mengonfigurasi identitas terkelola yang ditetapkan sistem untuk audit Azure Synapse Analytics

Anda tidak dapat menggunakan autentikasi berbasis UMI ke akun penyimpanan untuk audit. Hanya identitas terkelola yang ditetapkan sistem (SMI) yang dapat digunakan untuk Azure Synapse Analytics. Agar autentikasi SMI berfungsi, identitas terkelola harus memiliki peran Kontributor Data Blob Penyimpanan yang ditetapkan untuknya, di pengaturan Kontrol Akses akun penyimpanan. Peran ini secara otomatis ditambahkan jika portal Azure digunakan untuk mengonfigurasi audit.

Dalam portal Azure untuk Azure Synapse Analytics, tidak ada opsi untuk memilih kunci SAS atau autentikasi SMI secara eksplisit, seperti halnya untuk Azure SQL Database.

• Jika akun penyimpanan berada di belakang VNet atau firewall, audit secara otomatis dikonfigurasi menggunakan autentikasi SMI.

• Jika akun penyimpanan tidak berada di belakang VNet atau firewall, audit secara otomatis dikonfigurasi menggunakan autentikasi berbasis kunci SAS. Namun, identitas terkelola tidak dapat digunakan jika akun penyimpanan tidak berada di belakang VNet atau firewall.

Untuk memaksa penggunaan autentikasi SMI, terlepas dari apakah akun penyimpanan berada di belakang VNet atau firewall, gunakan REST API atau PowerShell, sebagai berikut:

• Jika menggunakan REST API, hilangkan StorageAccountAccessKey bidang secara eksplisit di isi permintaan.

  Untuk informasi selengkapnya, referensi:

  • Kebijakan Audit Blob Server - Buat atau Perbarui - REST API (Azure SQL Database)
  • Kebijakan Audit Blob Database - Membuat atau Memperbarui - REST API (Azure SQL Database

• Jika menggunakan PowerShell, berikan UseIdentity parameter sebagai true.

  Untuk informasi selengkapnya, referensi:

  • Set-AzSqlServerAudit (Az.Sql)
  • Set-AzSqlDatabaseAudit (Az.Sql)

Langkah berikutnya

• Gambaran umum audit
• Episode Terekspos Data: Apa yang Baru dalam Audit Azure SQL
• Audit SQL Managed Instance
• Audit untuk SQL Server