Auditoría mediante identidad administrada

Se aplica a:Azure SQL DatabaseAzure Synapse Analytics

La auditoría para Azure SQL Database se puede configurar para usar una cuenta de almacenamiento con dos métodos de autenticación:

• Identidad administrada
• Claves de acceso de almacenamiento

La identidad administrada puede ser una identidad administrada asignada por el sistema (SMI) o asignada por el usuario (UMI).

Para configurar la escritura de registros de auditoría en una cuenta de almacenamiento, vaya a Azure Portal y seleccione el recurso de servidor lógico para Azure SQL Database. Seleccione Almacenamiento en el menú Auditoría. Seleccione la cuenta de almacenamiento de Azure en la que se guardarán los registros.

De forma predeterminada, la identidad que se usa es la identidad de usuario primario asignada al servidor. Si no hay ninguna identidad de usuario, el servidor crea una identidad administrada asignada por el sistema y la usa para la autenticación.

Seleccione el período de retención abriendo las propiedades avanzadas. Después, seleccione Guardar. Los registros anteriores al período de retención se eliminarán.

Nota

Para configurar la auditoría basada en identidades administradas en Azure Synapse Analytics, consulte la sección Configuración de la identidad administrada asignada por el sistema para la auditoría de Azure Synapse Analytics más adelante en este artículo.

Identidad administrada asignada por el usuario

UMI ofrece a los usuarios flexibilidad para crear y mantener su propia UMI para un inquilino determinado. La UMI se puede usar como identidades de servidor para Azure SQL. El usuario administra la UMI, en comparación con una identidad administrada asignada por el sistema, cuya identidad la define exclusivamente el servidor y la asigna el sistema.

Para más información sobre UMI, consulte Identidades administradas en Microsoft Entra ID para Azure SQL.

Configuración de la identidad administrada asignada por el usuario para la auditoría de Azure SQL Database

Antes de configurar la auditoría para enviar registros a la cuenta de almacenamiento, la identidad administrada asignada al servidor debe tener la asignación de roles Colaborador de datos de blobs de almacenamiento. Esta asignación es necesaria si va a configurar la auditoría mediante PowerShell, la CLI de Azure, la API de REST o las plantillas de ARM. La asignación de roles se realiza automáticamente al usar Azure Portal para configurar la auditoría, por lo que los pasos siguientes no son necesarios si va a configurar la auditoría a través de Azure Portal.

1. Vaya a Azure Portal.

2. Cree una identidad administrada asignada por el usuario si todavía no lo ha hecho. Para más información, consulte Creación de una identidad administrada asignada por el usuario.

3. Vaya a la cuenta de almacenamiento que desea configurar para la auditoría.

4. Seleccione el menú Control de acceso (IAM).

5. Seleccione Agregar>Agregar asignación de roles.

6. En la pestaña Rol, busque y seleccione Colaborador de datos de blobs de almacenamiento. Seleccione Next (Siguiente).

7. En la pestaña Miembros, seleccione Identidad administrada en la sección Asignar acceso a y luego Seleccionar miembros. Puede seleccionar la identidad administrada que se creó para el servidor.

8. Seleccione Revisar y asignar.

   

Para obtener más información, consulte Asignación de roles de Azure mediante el portal.

Use los elementos siguientes para configurar la auditoría mediante la identidad administrada asignada por el usuario:

Portal

1. Vaya al menú Identidad del servidor. En la sección Identidad administrada asignada por el usuario, Agregue la identidad administrada.

2. A continuación, puede seleccionar la identidad administrada agregada como la Identidad principal del servidor.

   

3. Vaya al menú Auditoría del servidor. Seleccione Identidad administrada como Tipo de autenticación de almacenamiento al configurar el Almacenamiento para el servidor.

La CLI de Azure

Para usar una identidad administrada, pase el parámetro --storage-key como una cadena vacía para usar la identidad administrada principal asignada al servidor al configurar la auditoría. Este es un comando de ejemplo:

az SQL server audit-policy update -g "sampleresourcegroup" -n "sampleauditingtestserver" --state Enabled --bsts Enabled --storage-endpoint https://<storageaccountname>.blob.core.windows.net --storage-key ""

Para obtener más información, consulte az sql server audit-policy.

PowerShell

Para usar una identidad administrada, pase el parámetro UseIdentity como True para usar la identidad administrada principal asignada al servidor. Este es un comando de ejemplo:

Set-AzSqlServerAudit -ResourceGroupName "sampleresourcegroup" -ServerName "sampleauditingtestserver" -BlobStorageTargetState Enabled -StorageAccountResourceId "/subscriptions/<SubscriptionID>/resourcegroups/sampleresourcegroup/providers/Microsoft.Storage/storageAccounts/auditingteststorageacc" -UseIdentity True

Para obtener más información, consulte Set-AzSqlServerAudit.

REST API

Para usar la identidad administrada principal, omita pasar el parámetro storageAccountAccessKey en la solicitud:

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/auditingSettings/default?api-version=2017-03-01-preview

{
  "properties": {
    "state": "Enabled",
    "storageEndpoint": "https://mystorage.blob.core.windows.net"
  }
}

Para más información, consulte Configuración de la auditoría de servidor: creación o actualización.

Configuración de la identidad administrada asignada por el sistema para la auditoría de Azure Synapse Analytics

No puede usar la autenticación basada en UMI en una cuenta de almacenamiento para la auditoría. Solo se puede usar la identidad administrada asignada por el sistema (SMI) para Azure Synapse Analytics. Para que la autenticación SMI funcione, la identidad administrada debe tener asignado el rol Colaborador de datos de Storage Blob, en la configuración de Access Control de la cuenta de almacenamiento. Este rol se agrega automáticamente si se usa Azure Portal para configurar la auditoría.

En Azure Portal para Azure Synapse Analytics, no hay ninguna opción para elegir explícitamente la clave SAS o la autenticación de SMI, como sucede con Azure SQL Database.

• Si la cuenta de almacenamiento está detrás de una red virtual o un firewall, la auditoría se configura automáticamente mediante la autenticación SMI.

• Si la cuenta de almacenamiento no está detrás de una red virtual o un firewall, la auditoría se configura automáticamente mediante la autenticación basada en claves SAS. Sin embargo, no se puede usar la identidad administrada si la cuenta de almacenamiento no está detrás de una red virtual o un firewall.

Para forzar el uso de la autenticación SMI, independientemente de si la cuenta de almacenamiento está detrás de una red virtual o un firewall, use la API REST o PowerShell, como se indica a continuación:

• Si usa la API REST, omita el campo StorageAccountAccessKey explícitamente en el cuerpo de la solicitud.

  Para más información, consulte:

  • Directivas de auditoría de blobs de servidor: API REST de creación o actualización (Azure SQL Database)
  • Directivas de auditoría de blobs de base de datos: API REST de creación o actualización (Azure SQL Database)

• Si usa PowerShell, pase el parámetro UseIdentity como true.

  Para más información, consulte:

  • Set-AzSqlServerAudit (Az.Sql)
  • Set-AzSqlDatabaseAudit (Az.Sql)

Pasos siguientes

• Información general sobre auditoría
• Episodio de Data Exposed Novedades de Auditoría de Azure SQL
• Auditoría de SQL Managed Instance
• Auditoría de SQL Server