Criar servidor lógico do Banco de Dados SQL do Azure configurado com identidade gerenciada atribuída pelo usuário e TDE gerenciada pelo cliente

1. Vá para o hub SQL do Azure em aka.ms/azuresqlhub.

2. No menu de recursos, expanda Azure SQL Database e selecione bases de dados SQL.

3. Selecione o menu suspenso + Criar e selecione base de dados SQL.

   

4. Na guia Noções básicas do do formulário Criar Banco de Dados SQL, sob os Detalhes do projeto, selecione a Assinatura do Azure desejada.

5. Para Grupo de Recursos, selecione Criar novo, introduza um nome para o grupo de recursos e selecione OK.

6. Para Nome do banco de dados, digite ContosoHR.

7. Para o servidor , selecione Criar novoe preencha o formulário de novo servidor com os seguintes valores:

   • Nome do servidor: Insira um nome de servidor exclusivo. Os nomes de servidor devem ser globalmente exclusivos para todos os servidores no Azure, não apenas exclusivos dentro de uma assinatura. Insira algo como mysqlserver135e o portal do Azure informará se ele está disponível ou não.
   • Login de administrador do servidor: Insira um nome de login de administrador, por exemplo: azureuser.
   • palavra-passe : introduza uma palavra-passe que cumpra os requisitos de palavra-passe e introduza-a novamente no campo Confirmar palavra-passe.
   • Localização: Selecione um local na lista suspensa

   Importante

   Não inclua qualquer informação pessoal, sensível ou confidencial no campo do nome de login do administrador do servidor. Os dados introduzidos neste campo não são considerados dados do cliente.

8. Selecione Next: Networking para passar para a próxima etapa.

9. Na guia de Rede, para método de conectividade, selecione ponto de extremidade público.

10. Para regras de Firewall, configure Adicionar endereço IP do cliente atual comoSim. Mantenha Permitir que os serviços e recursos do Azure acedam a este servidor definido como Não.

    

11. Selecione Avançar: Segurança para passar para a próxima etapa.

12. Na guia Segurança, em Identidade do Servidor, selecione Configurar Identidades.

    

13. No painel Identidade, selecione Desativar para Identidade gerida atribuída pelo sistema e, em seguida, selecione Adicionar em Identidade gerida atribuída pelo utilizador. Selecione a subscrição pretendida e, em seguida, em Identidades geridas atribuídas pelo utilizador, selecione a identidade gerida atribuída pelo utilizador a partir da subscrição selecionada. Em seguida, selecione o botão Adicionar.

    

    

14. Na identidade principal, selecione a mesma identidade gerida atribuída pelo utilizador que foi selecionada na etapa anterior.

    

15. Selecione Aplicar.

16. Na guia Segurança , em Gerenciamento de Chaves de Criptografia de Dados Transparente, você tem a opção de configurar a criptografia de dados transparente para o servidor ou banco de dados.

    • Para chave a nível de servidor: Selecione Configurar criptografia de dados transparente. Selecione a tecla Customer-Managed, e aparecerá uma opção para selecionar a tecla . Selecione Alterar chave. Selecione a Assinatura desejada, o Cofre de chaves, a Chave e a Versão para a chave gerida pelo cliente a ser usada para TDE. Selecione o botão Selecionar.

      Sugestão

      Utilização de chaves Azure Key Vault versionadas e sem versão para TDE

      Quando defines o protetor TDE, podes referenciar uma chave Azure Key Vault usando uma versão específica da chave ou um identificador de chave sem versão.

      Em ambos os casos, o Azure SQL Database utiliza e resolve sempre a versão mais recente habilitada da chave no Azure Key Vault ou no Azure Key Vault Managed HSM. Use identificadores de chave sem versão para evitar incorporar uma versão específica de chave na configuração do protetor TDE.

      Identificadores de chave sem versão são atualmente suportados apenas para Azure SQL Database.

      Exemplos:

      • Identificador de chave que inclui uma versão específica

        https://<key-vault-name>.vault.azure.net/keys/<key-name>/<key-version>

      • Identificador de chave sem versão

        https://<key-vault-name>.vault.azure.net/keys/<key-name>

    

    

    • Para chave de nível de banco de dados: Selecione Configurar criptografia de dados transparente. Selecione Chave Gerida pelo Cliente ao Nível do Banco de Dados, e uma opção para configurar a Identidade do Banco de Dados e a Chave Gerida pelo Cliente aparecerá. Selecione Configurar para configurar um User-Assigned Identidade Gerenciada para o banco de dados, semelhante à etapa 13. Selecione Alterar chave para configurar uma chave Customer-Managed. Selecione a Assinatura desejada, o Cofre de chaves, a Chave e a Versão para a chave gerida pelo cliente a ser usada para TDE. Você também tem a opção de ativar a chave de rotação automática no menu Criptografia de Dados Transparente. Selecione o botão Selecionar.

    

17. Selecione Aplicar.

18. Selecione Seguinte: Configurações adicionais.

19. Selecione Next: Tags.

20. Considere usar tags do Azure. Por exemplo, a tag "Owner" ou "CreatedBy" para identificar quem criou o recurso e a tag Environment para identificar se esse recurso está em Produção, Desenvolvimento, etc. Para obter mais informações, consulte Desenvolver sua estratégia de nomenclatura e marcação para recursos do Azure.

21. Selecione Verificar + criar.

22. Na página Rever + criar, depois de revisar, selecione Criar.

Para obter informações sobre como instalar a versão atual da CLI do Azure, consulte o artigo Instalar a CLI do Azure.

Crie um servidor configurado com identidade gerenciada atribuída pelo usuário e TDE gerenciado pelo cliente usando o comando az sql server create.

az sql server create \
    --name $serverName \
    --resource-group $resourceGroupName \
    --location $location  \
    --admin-user $adminlogin \
    --admin-password $password \
    --assign-identity \
    --identity-type $identitytype \
    --user-assigned-identity-id $identityid \
    --primary-user-assigned-identity-id $primaryidentityid \
    --key-id $keyid

Crie um banco de dados com o comando az sql db create.

az sql db create \
    --resource-group $resourceGroupName \
    --server $serverName \
    --name mySampleDatabase \
    --sample-name AdventureWorksLT \
    --edition GeneralPurpose \
    --compute-model Serverless \
    --family Gen5 \
    --capacity 2

Crie um servidor configurado com identidade gerenciada atribuída pelo usuário e TDE gerenciado pelo cliente usando o PowerShell.

Para obter instruções de instalação do módulo Az PowerShell, consulte Instalar o Azure PowerShell.

Utilize o cmdlet New-AzSqlServer.

Substitua os seguintes valores no exemplo:

• <ResourceGroupName>: Nome do grupo de recursos para seu servidor lógico SQL do Azure
• <Location>: Localização do servidor, como West US, ou Central US
• <ServerName>: Usar um nome de servidor lógico SQL exclusivo do Azure
• <ServerAdminName>: O logon do administrador SQL
• <ServerAdminPassword>: A senha do administrador SQL
• <IdentityType>: Tipo de identidade a ser atribuída ao servidor. Os valores possíveis são SystemAssigned, UserAssigned, SystemAssigned,UserAssigned e Nenhum
• <UserAssignedIdentityId>: A lista de identidades gerenciadas atribuídas pelo usuário a serem atribuídas ao servidor (pode ser uma ou várias)
• <PrimaryUserAssignedIdentityId>: A identidade gerenciada atribuída pelo usuário que deve ser usada como principal ou padrão neste servidor
• <CustomerManagedKeyId>: Identificador de Chave e pode ser recuperado a partir da chave no Cofre de Chaves do Azure

Para obter a sua identidade gerida atribuída ao utilizador ID de Recurso, pesquise por Identidades Geridas no portal do Azure . Encontre sua identidade gerenciada e vá para Propriedades. Um exemplo do seu ID de Recurso UMI parece-se com /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>

# create a server with user-assigned managed identity and customer-managed TDE
$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    SqlAdministratorCredentials = (Get-Credential)
    SqlAdministratorLogin = "<ServerAdminName>"
    SqlAdministratorPassword = "<ServerAdminPassword>"
    AssignIdentity = $true
    IdentityType = "<IdentityType>"
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    PrimaryUserAssignedIdentityId = "<PrimaryUserAssignedIdentityId>"
    KeyId = "<CustomerManagedKeyId>"
}

New-AzSqlServer @params

Aqui está um exemplo de um modelo ARM que cria um servidor lógico no Azure com uma identidade gerenciada atribuída pelo usuário e TDE gerenciada pelo cliente. O modelo também adiciona um conjunto de administradores do Microsoft Entra para o servidor e habilita a autenticação somente do Microsoft Entra com o Azure SQL, mas isso pode ser removido do exemplo de modelo.

Para obter mais informações e modelos ARM, consulte Modelos do Azure Resource Manager para o Banco de Dados SQL do Azure.

Use uma implementação Personalizada no portal do Azuree Crie o seu próprio modelo no editor. Em seguida, guarde a configuração depois de colar no exemplo.

Para obter a sua identidade gerida atribuída ao utilizador ID de Recurso, pesquise por Identidades Geridas no portal do Azure . Encontre sua identidade gerenciada e vá para Propriedades. Um exemplo do ID de recurso UMI , como, se parece com /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "String"
        },
        "location": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity."
            }
        },
        "keyvault_url": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Azure Key Vault URI."
            }
        },
        "AdminLogin": {
            "minLength": 1,
            "type": "String"
        },
        "AdminLoginPassword": {
            "type": "SecureString"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "administratorLogin": "[parameters('AdminLogin')]",
                "administratorLoginPassword": "[parameters('AdminLoginPassword')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "KeyId": "[parameters('keyvault_url')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}