Lernprogramm: Importieren oder Exportieren einer Datenbank mit verwalteter Identitätsauthentifizierung für Azure SQL Database (Vorschau)

Gilt für:Azure SQL Database

In diesem Lernprogramm wird gezeigt, wie Azure SQL Database BACPAC-Dateien mit verwalteter Identitätsauthentifizierung importiert und exportiert werden.

Die verwaltete Identitätsauthentifizierung entfernt die Notwendigkeit, SQL-Administratoranmeldeinformationen und Speicherkontoschlüssel in Import- und Exportanforderungen bereitzustellen.

Hinweis

Der Import und Export von BACPAC-Dateien mit verwalteter Identitätsauthentifizierung befindet sich derzeit in der Vorschau.

Übersicht

Durch die Verwendung der verwalteten Identitätsauthentifizierung beim Importieren und Exportieren mit der Azure SQL-Datenbank können Sie Folgendes erreichen:

• Entfernen Sie SQL-Administrator-Kennwörter und Speicherkontoschlüssel.
• Erzwingen sie die Microsoft Entra-only-Authentifizierung.
• Verringern Sie den Verwaltungsaufwand für Anmeldeinformationen und deren Rotation.

Von Bedeutung

Import- und Exportvorgänge sind Operationen mit hohen Rechten. Erteilen Sie Berechtigungen nur an vertrauenswürdige Entitäten.

Architektur

Die verwaltete Identitätsauthentifizierung für den Import und Export verwendet die folgende Architektur:

• Der Import- und Exportdienst wird in der von Microsoft verwalteten Infrastruktur ausgeführt.
• Eine vom Benutzer zugewiesene verwaltete Identität, die dem logischen Server zugewiesen ist, wird für die Authentifizierung verwendet.
• Azure RBAC steuert den Zugriff auf Azure Storage.

Unterstützte Szenarien

Die folgenden Szenarien werden mit verwalteter Identitätsauthentifizierung unterstützt:

• In eine neue Datenbank importieren.
• In eine vorhandene leere Datenbank importieren.
• Exportieren aus einer vorhandenen Datenbank.

Die folgenden Szenarien werden bei der verwalteten Identitätsauthentifizierung nicht unterstützt:

• Mandantenübergreifende Importvorgänge.
• Verwaltete Identität wird nur auf Datenbankebene zugewiesen.

Voraussetzungen

• Ein Azure-Abonnement.
• Ein logischer Server für die Azure SQL-Datenbank.
• Ein Azure Speicherkonto mit einem BLOB-Container.

Erstellen einer benutzerseitig zugewiesenen verwalteten Identität

Erstellen Sie eine oder mehrere verwaltete Identitäten.

Wählen Sie aus den folgenden Authentifizierungsmodellen aus:

• Eine Identität für SQL und Azure Storage Zugriff.
• Trennen Sie Identitäten für SQL- und Speicherzugriff.

Verwenden Sie separate Identitäten, um die Berechtigungsverwaltung mit geringsten Berechtigungen zu vereinfachen.

So erstellen Sie eine verwaltete Identität Sie können das portal Azure, die Azure CLI, Azure PowerShell, eine ARM-Vorlage oder die REST-API verwenden.

Sie benötigen die vom Benutzer zugewiesene verwaltete Identitätsressourcen-ID für Export- oder Importvorgänge sowie für den Speicherkontozugriff. Die Ressourcen-ID hat folgendes Format:

/subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identityName>

Führen Sie die folgenden Schritte aus, um die Ressourcen-ID für eine vorhandene vom Benutzer zugewiesene verwaltete Identität im Azure-Portal zu ermitteln:

1. Wechseln Sie zu den Ihnen zugewiesenen verwalteten Identitäten im Azure-Portal.
2. Wählen Sie unter Einstellungen die Option Eigenschaften aus.
3. Kopieren Sie unter Essentials den Wert für die ID, die in späteren Schritten verwendet werden soll.

Erteilen von Speicherberechtigungen

Um die verwaltete Identitätsauthentifizierung für Import- und Exportvorgänge zu verwenden, muss die vom Benutzer zugewiesene verwaltete Identität, die auf das Speicherkonto zugreift, über die entsprechenden Azure RBAC-Berechtigungen für das Zielkonto verfügen.

Erteilen Sie Berechtigungen für die vom Benutzer zugewiesene verwaltete Identität, die Sie für den Speicherkontozugriff verwenden möchten. Dies kann eine andere verwaltete Identität sein als die dem logischen Server zugewiesene identität, oder sie kann dieselbe Identität sein, wenn Sie eine einzelne Identität sowohl für SQL als auch für den Speicherzugriff verwenden möchten.

Hinweis

Um Rollenzuweisungen hinzuzufügen oder Co-Administratoren hinzuzufügen, muss der Benutzer ein Administrator des Abonnements oder ein Benutzerzugriffsadministrator sein.

Führen Sie die folgenden Schritte aus, um Azure RBAC-Berechtigungen für das Speicherkonto der verwalteten Identität zu erteilen:

1. Wählen Sie Azure-Rollenzuweisungen für die benutzerzugewiesene verwaltete Identität im Azure-Portal aus.
2. Wählen Sie im Bereich Azure Rollenzuweisungen+ Rollenzuweisung hinzufügen (Vorschau) aus, um den Bereich Rollenzuweisung hinzufügen (Vorschau) zu öffnen.
3. Wählen Sie in der Dropdownliste "Umfang""Speicher" aus.
4. Vergewissern Sie sich unter "Abonnement", dass das richtige Abonnement ausgewählt ist.
5. Wählen Sie unter "Ressource" das Speicherkonto aus, das Sie für Den Export- oder Importvorgang verwenden möchten.
6. Suchen Sie unter "Rolle" nach der relevanten Speicher-BLOB-Rolle für Ihren Vorgang:
   • Weisen Sie für Exportvorgänge die Rolle " Storage Blob Data Contributor " zu.
   • Weisen Sie für Importvorgänge die Rolle " Storage Blob Data Reader " zu.
7. Wählen Sie "Speichern" aus, um die Rollenzuweisung zu speichern.

Die verwaltete Identität dem logischen Server zuweisen

Weisen Sie die vom Benutzer zugewiesene verwaltete Identität, die Sie für den logischen Server erstellt haben, dem logischen Server zu.

Führen Sie die folgenden Schritte aus, um die verwaltete Identität dem logischen Server zuzuweisen:

1. Öffnen Sie Ihren logischen Server für Azure SQL-Datenbank im Azure-Portal.
2. Wählen Sie unter Sicherheit die Option Identität aus.
3. Verwenden Sie im Abschnitt Vom Benutzer zugewiesene verwaltete Identität, + Hinzufügen, um das Fenster Vom Benutzer zugewiesene verwaltete Identität auswählen zu öffnen.
4. Suchen Sie nach der verwalteten Identität, die Sie im vorherigen Schritt erstellt haben, wählen Sie sie aus, und wählen Sie dann "Hinzufügen" aus, um sie dem Server zuzuweisen.
5. Weisen Sie eine vom Benutzer zugewiesene verwaltete Identität als primäre Identität zu.
6. Verwenden Sie das Symbol " Speichern " in der Navigationsleiste, um die Änderungen zu speichern.

Konfigurieren Sie den Microsoft Entra-Administrator

Führen Sie die folgenden Schritte aus, um den Microsoft Entra-Administrator zu konfigurieren:

1. Wählen Sie auf dem logical server for Azure SQL Database pane, under Settings, Microsoft Entra admin aus.
2. Wählen Sie Setze Administrator aus, um den Bereich Microsoft Entra ID zu öffnen.
3. Suchen Sie nach der vom Benutzer zugewiesenen verwalteten Identität, wählen Sie sie aus, und verwenden Sie dann Select, um sie als Microsoft Entra Administrator festzulegen.
4. (Optional) Aktivieren Sie das Kontrollkästchen, um nur Microsoft Entra-Authentifizierung für diesen Server zuzulassen und die Microsoft Entra-Authentifizierung für den logischen Server durchzusetzen. Diese Einstellung blockiert alle SQL-Authentifizierung, sodass nur verwaltete Identitäten und andere Microsoft Entra Prinzipale auf den Server zugreifen können.
5. Verwenden Sie das Symbol " Speichern " in der Navigationsleiste, um die Änderungen zu speichern.

Hinweis

Wenn Sie mehreren Ressourcen Administratorzugriff auf den logischen Server gewähren müssen, sollten Sie in Betracht ziehen, eine Microsoft Entra-Gruppe zu erstellen, diese Gruppe als Administrator festzulegen und dann die vom Benutzer zugewiesene verwaltete Identität als Mitglied dieser Gruppe hinzuzufügen.

Exportieren einer Datenbank

Sie können eine Datenbank mit verwalteter Identitätsauthentifizierung mithilfe des Azure Portals, der Azure CLI, Azure PowerShell oder der REST-API exportieren.

Azure Portal

Führen Sie die folgenden Schritte aus, um eine Datenbank mit verwalteter Identitätsauthentifizierung aus dem Azure-Portal zu exportieren:

1. Wechseln Sie im Azure-Portal zu Ihrer Azure SQL Database.
2. Wählen Sie im Bereich "Übersicht " die Option "Exportieren " aus, um den Bereich " Datenbank exportieren " zu öffnen.
3. Um auf das Speicherkonto mit einer verwalteten Identität zuzugreifen, aktivieren Sie das Kontrollkästchen " Verwaltete Identität für die Speicherauthentifizierung verwenden ", und geben Sie dann die Ressourcen-ID für die verwaltete Identität an, die dem Speicherkontozugriff gewährt wurde.
4. Wählen Sie für den Authentifizierungstypverwaltete Identität aus.
5. Das Feld "SQL Managed Identity Resource Id " sollte automatisch mit der Ressourcen-ID für die vom Benutzer zugewiesene verwaltete Identität auf dem logischen Server ausgefüllt werden. Geben Sie andernfalls die Ressourcen-ID für die vom Benutzer zugewiesene verwaltete Identität an, die Sie gespeichert haben, als Sie die verwaltete Identität erstellten.

Azure PowerShell

Verwenden Sie zum Exportieren einer Datenbank mit verwalteter Identitätsauthentifizierung das Cmdlet New-AzSqlDatabaseExport mit dem -AuthenticationType "ManagedIdentity" Parameter.

Im folgenden Beispiel wird veranschaulicht, wie Eine Datenbank mit verwalteter Identitätsauthentifizierung exportiert wird, während eine separate verwaltete Identität für den Speicherzugriff verwendet wird:

$serverName = "<server name>" 
$databaseName = "<database name>" 
$resourceGroupName = "<resource group name>"
$storageUri = "https://<storageaccount>.blob.core.windows.net/<container name>/<filename>.bacpac" 
$managedIdentitySqlResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>" 
$managedIdentityStorageResourceId = “/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>”

New-AzSqlDatabaseExport -DatabaseName $databaseName -ServerName $serverName -ResourceGroupName $resourceGroupName -StorageKeyType "ManagedIdentity" -StorageKey $managedIdentityStorageResourceId -StorageUri $storageUri -AdministratorLogin $managedIdentitySqlResourceId -AuthenticationType "ManagedIdentity" 

Im folgenden Beispiel wird veranschaulicht, wie Eine Datenbank mit verwalteter Identitätsauthentifizierung exportiert wird und dabei dieselbe verwaltete Identität sowohl für SQL als auch für den Speicherzugriff verwendet wird:

$serverName = "<server name>" 
$databaseName = "<database name>" 
$resourceGroupName = "<resource group name>"
$storageUri = "https://<storageaccount>.blob.core.windows.net/<container name>/<filename>.bacpac" 
$managedIdentitySqlResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>"
 
New-AzSqlDatabaseExport -DatabaseName $databaseName -ServerName $serverName -ResourceGroupName $resourceGroupName -StorageKeyType "ManagedIdentity" -StorageKey $managedIdentitySqlResourceId -StorageUri $storageUri -AdministratorLogin $managedIdentitySqlResourceId -AuthenticationType "ManagedIdentity" 

Azure CLI

Verwenden Sie zum Exportieren einer Datenbank mit verwalteter Identitätsauthentifizierung den Befehl "az sql db export " mit dem --authentication-type "ManagedIdentity" Parameter.

Im folgenden Beispiel wird veranschaulicht, wie Eine Datenbank mit verwalteter Identitätsauthentifizierung exportiert wird, während eine separate verwaltete Identität für den Speicherzugriff verwendet wird:

$serverName = "<server name>" 
$databaseName = "<database name>" 
$resourceGroupName = "<resource group name>"
$storageUri = "https://<storageaccount>.blob.core.windows.net/<container name>/<filename>.bacpac" 
$managedIdentitySqlResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>" 
$managedIdentityStorageResourceId = “/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>”
 

az sql db export -s $serverName -n $databaseName -g $resourceGroupName --auth-type ManagedIdentity -u $managedIdentitySqlResourceId --storage-key-type ManagedIdentity --storage-key $managedIdentityStorageResourceId --storage-uri $storageUri

Im folgenden Beispiel wird veranschaulicht, wie Eine Datenbank mit verwalteter Identitätsauthentifizierung exportiert wird und dabei dieselbe verwaltete Identität sowohl für SQL als auch für den Speicherzugriff verwendet wird:

$serverName = "<server name>" 
$databaseName = "<database name>" 
$resourceGroupName = "<resource group name>"
$storageUri = "https://<storageaccount>.blob.core.windows.net/<container name>/<filename>.bacpac" 
$managedIdentitySqlResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>" 
 

az sql db export -s $serverName -n $databaseName -g $resourceGroupName --auth-type ManagedIdentity -u $managedIdentitySqlResourceId --storage-key-type ManagedIdentity --storage-key $managedIdentitySqlResourceId --storage-uri $storageUri

REST-API

Um eine Datenbank mit verwalteter Identitätsauthentifizierung zu exportieren, verwenden Sie die Databases - Export REST API.

POST https://management.azure.com/subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.Sql/servers/<serverName>/databases/<databaseName>/export?api-version=2023-08-01

{
	"authenticationType": "ManagedIdentity",
	"administratorLogin": "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<sqlIdentityName>",
	"storageKeyType": "ManagedIdentity",
	"storageKey": "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<storageIdentityName>",
	"storageUri": "https://<storageAccount>.blob.core.windows.net/<container>/<fileName>.bacpac"
}

Datenbank importieren

Sie können eine Datenbank mit verwalteter Identitätsauthentifizierung mithilfe des Azure Portals, der Azure CLI, Azure PowerShell oder der REST-API importieren.

Sie können eine Datenbank als neue Datenbank oder in eine vorhandene leere Datenbank importieren.

Azure Portal

Führen Sie die folgenden Schritte aus, um eine Datenbank mit verwalteter Identitätsauthentifizierung aus dem Azure-Portal zu importieren:

1. Wechseln Sie zu Ihrem logischen Server für Azure SQL-Datenbank im Azure-Portal.
2. Wählen Sie im Bereich "Übersicht " die Option "Importieren" aus, um den Bereich " Datenbank importieren " zu öffnen.
3. Um auf das Speicherkonto mit einer verwalteten Identität zuzugreifen, aktivieren Sie das Kontrollkästchen " Verwaltete Identität für die Speicherauthentifizierung verwenden ", und geben Sie dann die Ressourcen-ID für die verwaltete Identität an, die dem Speicherkontozugriff gewährt wurde.
4. Geben Sie unter Datenbankname den Namen für die Zieldatenbank an.
5. Wählen Sie für den Authentifizierungstypverwaltete Identität aus.
6. Das Feld "SQL Managed Identity Resource Id " sollte automatisch mit der Ressourcen-ID für die vom Benutzer zugewiesene verwaltete Identität auf dem logischen Server ausgefüllt werden. Falls dies nicht der Fall ist, geben Sie die Ressourcen-ID für die vom Benutzer zugewiesene verwaltete Identität an, die Sie gespeichert haben, als Sie die verwaltete Identität erstellt haben.

Azure PowerShell

Verwenden Sie zum Importieren einer Datenbank mit verwalteter Identitätsauthentifizierung das Cmdlet New-AzSqlDatabaseImport mit dem -AuthenticationType "ManagedIdentity" Parameter.

Im folgenden Beispiel wird veranschaulicht, wie Eine Datenbank mit verwalteter Identitätsauthentifizierung importiert wird, während eine separate verwaltete Identität für den Speicherzugriff verwendet wird:

$serverName = "<server name>" 
$databaseName = "<database name>" 
$resourceGroupName = "<resource group name>"
$storageUri = "https://<storageaccount>.blob.core.windows.net/<container name>/<filename>.bacpac" 
$managedIdentitySqlResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>" 
$managedIdentityStorageResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>"

New-AzSqlDatabaseImport -DatabaseName $databaseName -ServerName $serverName -ResourceGroupName $resourceGroupName -StorageKeyType "ManagedIdentity" -StorageKey $managedIdentityStorageResourceId -StorageUri $storageUri -AdministratorLogin $managedIdentitySqlResourceId -AuthenticationType "ManagedIdentity" 

Im folgenden Beispiel wird veranschaulicht, wie eine Datenbank mit verwalteter Identitätsauthentifizierung importiert wird, während dieselbe verwaltete Identität sowohl für SQL als auch für den Speicherzugriff verwendet wird:

$serverName = "<server name>" 
$databaseName = "<database name>" 
$resourceGroupName = "<resource group name>"
$storageUri = "https://<storageaccount>.blob.core.windows.net/<container name>/<filename>.bacpac" 
$managedIdentitySqlResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>"
 
New-AzSqlDatabaseImport -DatabaseName $databaseName -ServerName $serverName -ResourceGroupName $resourceGroupName -StorageKeyType "ManagedIdentity" -StorageKey $managedIdentitySqlResourceId -StorageUri $storageUri -AdministratorLogin $managedIdentitySqlResourceId -AuthenticationType "ManagedIdentity" 

Azure CLI

Verwenden Sie zum Importieren einer Datenbank mit verwalteter Identitätsauthentifizierung den Befehl "az sql db import " mit dem --auth-type ManagedIdentity Parameter.

Im folgenden Beispiel wird veranschaulicht, wie Eine Datenbank mit verwalteter Identitätsauthentifizierung importiert wird, während eine separate verwaltete Identität für den Speicherzugriff verwendet wird:

$serverName = "<server name>" 
$databaseName = "<database name>" 
$resourceGroupName = "<resource group name>"
$storageUri = "https://<storageaccount>.blob.core.windows.net/<container name>/<filename>.bacpac" 
$managedIdentitySqlResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>" 
$managedIdentityStorageResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>”
 

az sql db import -s $serverName -n $databaseName -g $resourceGroupName --auth-type ManagedIdentity -u $managedIdentitySqlResourceId --storage-key-type ManagedIdentity --storage-key $managedIdentityStorageResourceId --storage-uri $storageUri

Im folgenden Beispiel wird veranschaulicht, wie eine Datenbank mit verwalteter Identitätsauthentifizierung importiert wird, während dieselbe verwaltete Identität sowohl für SQL als auch für den Speicherzugriff verwendet wird:

$serverName = "<server name>" 
$databaseName = "<database name>" 
$resourceGroupName = "<resource group name>"
$storageUri = "https://<storageaccount>.blob.core.windows.net/<container name>/<filename>.bacpac" 
$managedIdentitySqlResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>" 
 

az sql db import -s $serverName -n $databaseName -g $resourceGroupName --auth-type ManagedIdentity -u $managedIdentitySqlResourceId --storage-key-type ManagedIdentity --storage-key $managedIdentitySqlResourceId --storage-uri $storageUri

REST-API

Um eine Datenbank mit Authentifizierung durch verwaltete Identität zu importieren, verwenden Sie die Datenbanken - REST-API.

POST https://management.azure.com/subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.Sql/servers/<serverName>/databases/<databaseName>/import?api-version=2023-08-01

{
	"authenticationType": "ManagedIdentity",
	"administratorLogin": "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<sqlIdentityName>",
	"storageKeyType": "ManagedIdentity",
	"storageKey": "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<storageIdentityName>",
	"storageUri": "https://<storageAccount>.blob.core.windows.net/<container>/<fileName>.bacpac",
	"databaseName": "<targetDatabaseName>",
	"edition": "GeneralPurpose",
	"serviceObjectiveName": "GP_Gen5_2"
}

Häufige Probleme beheben

Die folgenden häufig auftretenden Probleme können auftreten, wenn Sie die verwaltete Identitätsauthentifizierung für den Import und Export verwenden. Probieren Sie die Schritte zur Problembehandlung für jedes Problem aus:

• Tenant stimmt nicht überein: Stellen Sie sicher, dass sich der logische Server, die vom Benutzer zugewiesene verwaltete Identität und das Speicherkonto im selben Microsoft Entra Mandanten befinden.
• Managed Identity nicht als Microsoft Entra Administrator konfiguriert: Legen Sie die vom Benutzer zugewiesene verwaltete Identität als Microsoft Entra Administrator auf Serverebene auf dem logischen Server fest.
• Fehler bei der Speicherautorisierung: Bestätigen Sie, dass Speicher-Blob-Daten-Leser (für Import) oder Speicher-Blob-Daten-Mitwirkender (für Export) auf der richtigen Speicherebene gewährt werden.
• Operation-Autorisierungsfehler: Vergewissern Sie sich, dass der Benutzer über Azure RBAC-Berechtigung zum Übermitteln von Import- oder Exportvorgängen im SQL-Zielbereich verfügt.
• Authorisierung mit freigegebenem Schlüssel ist deaktiviert: Wenn Sie während des Import- oder Exportvorgangs ein Speicherkonto im Azure Portal auswählen, verwendet das Portal die Anmeldeinformationen des angemeldeten Benutzers und basiert auf der autorisierung mit gemeinsam genutzten Schlüsseln. Wenn die Autorisierung gemeinsam genutzter Schlüssel für das Speicherkonto deaktiviert ist, ist der Import und Export aus dem Azure Portal nicht verfügbar. Verwenden Sie die Azure CLI-, PowerShell- oder REST-API für Import- und Exportvorgänge, wenn der Zugriff auf gemeinsam genutzte Schlüssel deaktiviert ist.
• Storage-Konto nicht im Auswahl-Dropdown verfügbar: Wenn Sie das Azure-Portal für Import- oder Exportvorgänge verwenden, werden im Dropdownmenü für die Auswahl des Speicherkontos nur die Speicherkonten angezeigt, auf die der angemeldete Benutzer Zugriff hat. Wenn Ihr Speicherkonto nicht in der Dropdownliste angezeigt wird, stellen Sie sicher, dass der angemeldete Benutzer mindestens über die Rolle Leser-Zugriff auf das Speicherkonto verfügt.

Erlaubnisse

Der Benutzer, der die Import- oder Exportanforderung übermittelt, muss über die erforderlichen Azure RBAC-Berechtigungen verfügen, um die Import- oder Exportvorgänge im Zielbereich (Datenbank, Server, Ressourcengruppe oder Abonnement) auszuführen.

Die folgenden allgemeinen integrierten Rollen verfügen über die erforderlichen Berechtigungen:

• Mitwirkender von SQL DB
• Mitwirkender
• Owner

Sie können auch eine benutzerdefinierte Rolle verwenden, die die folgenden Berechtigungen enthält, die für Microsoft.Sql Import- und Exportaktionen erforderlich sind:

• Microsoft.Sql/servers/databases/export/action (POST)
• Microsoft.Sql/servers/databases/import/action (POST)
• Microsoft.Sql/servers/import/action (POST)
• Microsoft.Sql/servers/databases/extensions/write (PUT)

Einschränkungen

Beachten Sie die folgenden Einschränkungen bei der Verwendung der verwalteten Identitätsauthentifizierung für Import- und Exportvorgänge:

• Mandantenübergreifende Vorgänge werden nicht unterstützt.
• Verwaltete Identitäten auf Datenbankebene werden für Import- und Exportvorgänge nicht unterstützt.
• Während der Vorschau können einige Azure Portalerfahrungen eingeschränkt werden.
• Vom System zugewiesene verwaltete Identitäten werden nicht unterstützt.
• Das Importieren in und Exportieren aus einem Speicherkonto, das den Zugriff auf gemeinsam genutzte Schlüssel deaktiviert hat, wird bei Verwendung des Azure Portals nicht unterstützt. Verwenden Sie zum Importieren oder Exportieren aus einem Speicherkonto mit deaktiviertem Zugriff auf gemeinsam genutzte Schlüssel die Azure CLI-, PowerShell- oder REST-API.

Verwandte Inhalte

• Importieren einer BACPAC-Datei in eine Datenbank in Azure SQL Database
• In eine BACPAC-Datei exportieren
• Importieren oder Exportieren mithilfe eines privaten Links