你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于:
Azure SQL 数据库
本文介绍如何使用 Azure 门户实现动态数据掩码。 还可以使用 Azure SQL 数据库 PowerShell cmdlet 或 REST API 实现动态数据掩码。
注意
无法使用 Azure SQL 托管实例的 Azure 门户(使用 PowerShell 或 REST API)设置此功能。 有关详细信息,请参阅 Dynamic Data Masking。
启用动态数据掩码
在 https://portal.azure.com 中启动 Azure 门户。
在 Azure 门户中转到自己的数据库资源。
在“ 安全性 ”部分下,选择 “动态数据掩码”。
在 “动态数据掩码 配置”页中,你可能会看到建议引擎已标记用于掩码的某些数据库列。 若要接受建议,请选择一个或多个列 的“添加掩码 ”,并根据此列的默认类型创建掩码。 可以通过选择掩码规则并将掩码字段格式编辑为所选的不同格式来更改掩码函数。 选择“保存”以保存设置。 在以下屏幕截图中,可以看到示例
AdventureWorksLT数据库的推荐动态数据掩码。
若要为数据库中的任何列添加掩码,请在 “动态数据掩 码配置”页的顶部,选择“ 添加掩码 ”以打开 “添加掩码规则 配置”页。
选择“架构”、“表”和“列”,以定义要掩码的指定字段。
从敏感数据掩码类别列表中“选择掩码方式”。
选择“ 在 数据掩码规则页中添加”以更新动态数据掩码策略中的掩码规则集。
键入不应对其进行掩码的 SQL 身份验证用户或 Microsoft Entra ID(旧称 Azure Active Directory)身份验证标识,允许其访问未掩码的敏感数据。 这些用户在键入时应该采用分号分隔用户列表的形式。 拥有管理员权限的用户始终可以访问原始的未掩码数据。
提示
若要使应用程序层向应用程序特权用户显示敏感数据,请添加应用程序查询数据库时需要使用的 SQL 用户或 Microsoft Entra 标识。 强烈建议在此列表中包含最少量的特权用户,以最大程度地降低泄露敏感数据的风险。
在数据掩码配置页中选择“ 保存” 以保存新的或更新的屏蔽策略。
