ユーザー割り当てマネージド ID とカスタマー マネージド TDE で構成された Azure SQL Database 論理サーバーを作成する

1. aka.ms/azuresqlhub の Azure SQL ハブに移動します。

2. リソース メニューで、[ Azure SQL Database ] を展開し、[ SQL データベース] を選択します。

3. [ + 作成 ] ドロップダウン ボタンを選択し、 SQL データベースを選択します。

   

4. [SQL データベースの作成] フォームの [基本] タブにある [プロジェクトの詳細] で、目的の Azure [サブスクリプション] を選択します。

5. [リソース グループ] の [新規作成] を選択し、リソース グループの名前を入力し、 [OK] を選択します。

6. [データベース名] に「ContosoHR」と入力します。

7. [サーバー] で、 [新規作成] を選択し、 [新しいサーバー] フォームに次の値を入力します。

   • [サーバー名] : 一意のサーバー名を入力します。 サーバー名は、サブスクリプション内で一意ではなく、Azure のすべてのサーバーに対してグローバルに一意である必要があります。 mysqlserver135 などと入力すると、使用可能かどうかが Azure portal で確認できます。
   • [サーバー管理者ログイン]: 管理者のログイン名を入力します (例: azureuser)。
   • パスワード: パスワード要件を満たすパスワードを入力し、[パスワードの確認入力] フィールドにもう一度入力します。
   • [場所] : ドロップダウン リストから場所を選択します

   Important

   サーバー管理者ログイン名フィールドには、個人情報、センシティブ情報、または機密情報を含めないでください。 このフィールドに入力されたデータは、 顧客データとは見なされません。

8. [次へ: ネットワーク] を選択して、次の手順に進みます。

9. [ネットワーク] タブの [接続方法] で、 [パブリック エンドポイント] を選択します。

10. [ファイアウォール規則] で、 [現在のクライアント IP アドレスを追加する] を [はい] に設定します。 [Azure サービスおよびリソースにこのサーバー グループへのアクセスを許可する] を [いいえ] に設定したままにします。

    

11. [次へ: セキュリティ] を選択して、次の手順に進みます。

12. [セキュリティ] タブの [ID] で、[ID の構成] を選択します。

    

13. [ID] メニューの [システム割り当てマネージド ID] で [オフ] を選んでから、[ユーザー割り当てマネージド ID] で [追加] を選びます。 使用する [サブスクリプション] を選んでから、[ユーザー割り当てマネージド ID] で、選んだサブスクリプションから使用するユーザー割り当てマネージド ID を選びます。 次に [追加] ボタンを選択します。

    

    

14. [プライマリ ID] で、前の手順で選択したのと同じユーザー割り当てマネージド ID を選択します。

    

15. を選択してを適用します。

16. [ セキュリティ ] タブの [ Transparent Data Encryption Key Management] で、サーバーまたはデータベースの透過的なデータ暗号化を構成できます。

    • サーバー レベル キーの場合: [Transparent Data Encryption を構成する] を選択します。 [カスタマー マネージド キー] を選ぶと、[キーの選択] オプションが表示されます。 [キーの変更] を選びます。 TDE に使用するカスタマー マネージド キーの目的のサブスクリプション、キー コンテナー、キー、バージョンを選択します。 [選択] ボタンを選択します。

      ヒント

      バージョン管理および非バージョン管理の Azure Key Vault キーを使用した TDE

      TDE 保護機能を設定すると、特定のキー バージョンまたはバージョンレス キー識別子を使用して Azure Key Vault キーを参照できます。

      どちらの場合も、Azure SQL Database は常に、Azure Key Vault または Azure Key Vault Managed HSM の最新の有効なバージョンのキーを解決して使用します。 TDE 保護機能構成に特定のキー バージョンが埋め込まれるのを回避するには、バージョンレス キー識別子を使用します。

      バージョンレス キー識別子は、現在、Azure SQL Database でのみサポートされています。

      例:

      • 特定のバージョンを含むキー識別子

        https://<key-vault-name>.vault.azure.net/keys/<key-name>/<key-version>

      • バージョンレス キー識別子

        https://<key-vault-name>.vault.azure.net/keys/<key-name>

    

    

    • データベース レベル キーの場合: [Transparent Data Encryption を構成する] を選択します。 [データベース レベルのカスタマー マネージド キー] を選択すると、データベース ID とカスタマー マネージド キーを構成するオプションが表示されます。 手順 13 と同様に、[構成] を選択して、データベースのユーザー割り当てマネージド ID を構成します。 [キーの変更] を選択してカスタマー マネージド キーを構成します。 TDE に使用するカスタマー マネージド キーの目的のサブスクリプション、キー コンテナー、キー、バージョンを選択します。 [Transparent Data Encryption] メニューでキーの自動ローテーションを有効にするオプションもあります。 [選択] ボタンを選択します。

    

17. を選択してを適用します。

18. [Next:追加設定] を選択します。

19. [次へ: タグ] を選択します。

20. Azure タグの使用を検討します。 たとえば、リソースを作成したユーザーを識別する "所有者" タグまたは "CreatedBy" タグ、このリソースが運用、開発などにあるかどうかを識別する Environment タグなどです。詳細については、「 Azure リソースの名前付けおよびタグ付け戦略を開発する」を参照してください。

21. [Review + create](レビュー + 作成) を選択します。

22. [確認と作成] ページで、確認後、 [作成] を選択します。

Azure CLI の現在のリリースのインストールについては、Azure CLI のインストールに関する記事を参照してください。

az sql server create コマンドを使用して、ユーザー割り当てマネージド ID とカスタマー マネージド TDE で構成されたサーバーを作成します。

az sql server create \
    --name $serverName \
    --resource-group $resourceGroupName \
    --location $location  \
    --admin-user $adminlogin \
    --admin-password $password \
    --assign-identity \
    --identity-type $identitytype \
    --user-assigned-identity-id $identityid \
    --primary-user-assigned-identity-id $primaryidentityid \
    --key-id $keyid

az sql db create コマンドを使用してデータベースを作成します。

az sql db create \
    --resource-group $resourceGroupName \
    --server $serverName \
    --name mySampleDatabase \
    --sample-name AdventureWorksLT \
    --edition GeneralPurpose \
    --compute-model Serverless \
    --family Gen5 \
    --capacity 2

PowerShell を使用して、ユーザー割り当てマネージド ID とカスタマー マネージド TDE で構成されたサーバーを作成します。

Az PowerShell モジュールのインストール手順については、Azure PowerShell のインストールを参照してください。

New-AzSqlServer コマンドレットを使用します。

この例では次の値を置き換えます。

• <ResourceGroupName>: Azure SQL 論理サーバーのリソース グループの名前
• <Location>: サーバーの場所 (West US、Central US など)
• <ServerName>: 一意の Azure SQL 論理サーバー名を使用します
• <ServerAdminName>: SQL 管理者のログイン
• <ServerAdminPassword>:SQL 管理者のパスワード
• <IdentityType>: サーバーに割り当てる ID の種類。 指定できる値は、「SystemAssigned」、「UserAssigned」、「SystemAssigned,UserAssigned」、および「なし」です
• <UserAssignedIdentityId>: サーバーに割り当てるユーザー割り当てマネージド ID の一覧 (1 つ以上を指定できます)
• <PrimaryUserAssignedIdentityId>: このサーバーのプライマリまたは既定として使用する必要があるユーザー割り当てマネージド ID
• <CustomerManagedKeyId>: キー識別子。Azure Key Vault のキーから取得できます

ユーザー割り当てマネージド ID のリソース ID を取得するには、Azure portal でマネージド ID を検索します。 マネージド ID を見つけて、[プロパティ] に移動します。 UMI リソース ID の例は、/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity> のようになります

# create a server with user-assigned managed identity and customer-managed TDE
$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    SqlAdministratorCredentials = (Get-Credential)
    SqlAdministratorLogin = "<ServerAdminName>"
    SqlAdministratorPassword = "<ServerAdminPassword>"
    AssignIdentity = $true
    IdentityType = "<IdentityType>"
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    PrimaryUserAssignedIdentityId = "<PrimaryUserAssignedIdentityId>"
    KeyId = "<CustomerManagedKeyId>"
}

New-AzSqlServer @params

ユーザー割り当てマネージド ID とカスタマー マネージド TDE を持つ Azure の論理サーバーを作成する ARM テンプレートの例を次に示します。 このテンプレートでは、サーバーの Microsoft Entra 管理者セットも追加され、 Azure SQL での Microsoft Entra 専用認証が有効になりますが、これはテンプレートの例から削除できます。

ARM テンプレートの詳細については、「Azure SQL データベース用 Azure Resource Manager テンプレート」を参照してください。

Azure portal のカスタム デプロイを使用し、エディターで独自のテンプレートを作成します。 次に、例に貼り付けたら、構成を保存します。

ユーザー割り当てマネージド ID のリソース ID を取得するには、Azure portal でマネージド ID を検索します。 マネージド ID を見つけて、[プロパティ] に移動します。 UMI リソース ID の例は、/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity> のようになります。

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "String"
        },
        "location": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity."
            }
        },
        "keyvault_url": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Azure Key Vault URI."
            }
        },
        "AdminLogin": {
            "minLength": 1,
            "type": "String"
        },
        "AdminLoginPassword": {
            "type": "SecureString"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "administratorLogin": "[parameters('AdminLogin')]",
                "administratorLoginPassword": "[parameters('AdminLoginPassword')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "KeyId": "[parameters('keyvault_url')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}