Creación de un servidor configurado con una identidad administrada asignada por el usuario y un TDE administrado por el cliente

Se aplica a:Azure SQL Database

En esta guía paso a paso se describen los pasos para crear un servidor lógico en Azure configurado con cifrado de datos transparente (TDE) mediante claves administradas por el cliente (CMK) con una identidad administrada asignada por el usuario para acceder a Azure Key Vault.

Nota:

Microsoft Entra ID era conocido anteriormente como Azure Active Directory (Azure AD).

Requisitos previos

• En esta guía paso a paso se supone que ya ha creado una instancia de Azure Key Vault y que ha importado una clave en ella para usarla como protección de TDE para Azure SQL Database. Para más información, vea Cifrado de datos transparente compatible con BYOK.
• La protección contra eliminación temporal y purga debe estar habilitada en el almacén de claves.
• Debe haber creado una identidad administrada asignada por el usuario y haberle proporcionado los permisos de TDE necesarios (Get, Wrap Key, Unwrap Key) en el almacén de claves anterior. Para crear una identidad administrada asignada por el usuario, vea Crear una identidad administrada asignada por el usuario.
• Es preciso tener instalado y en ejecución Azure PowerShell.
• [Recomendado pero opcional] Cree primero el material de clave para el protector de TDE en un módulo de seguridad de hardware (HSM) o en un almacén local de claves e importe el material de clave a Azure Key Vault. Siga las instrucciones para usar un módulo de seguridad de hardware (HSM) y Key Vault para más información.

Creación de un servidor configurado con TDE mediante una clave administrada por el cliente (CMK)

Los pasos siguientes describen el proceso para crear una base de datos y un servidor lógico de Azure SQL Database con una identidad administrada asignada por el usuario asignada. La identidad administrada asignada por el usuario es necesaria para configurar una clave administrada por el cliente para TDE en el momento de crear el servidor.

Portal

1. Vaya a la página Seleccione una opción de implementación de SQL en Azure Portal.

2. Si aún no ha iniciado sesión en Azure Portal, hágalo cuando se le solicite.

3. En Bases de datos SQL, deje Tipo de recurso establecido en Base de datos única y seleccione Crear.

4. En la pestaña Básico del formulario Create SQL Database, en Detalles del proyecto, seleccione la suscripción de Azure correcta.

5. En Grupo de recursos, seleccione Crear nuevo, especifique un nombre válido para el grupo de recursos y seleccione Aceptar.

6. En Nombre de base de datos, escriba ContosoHR.

7. En Servidor, seleccione Crear nuevo y rellene el formulario Nuevo servidor con los valores siguientes:

   • Nombre del servidor: escriba un nombre de servidor único. Los nombres de los servidores deben ser globalmente únicos en todos los servidores de Azure, no solo únicos dentro de una suscripción. Escriba algo como mysqlserver135; Azure Portal le avisa de si está disponible o no.
   • Inicio de sesión del administrador del servidor: escriba un nombre de inicio de sesión de administrador, por ejemplo, azureuser.
   • Contraseña: escriba una contraseña que cumpla los requisitos de contraseña y escríbala de nuevo en el campo Confirmar contraseña.
   • Ubicación: seleccione una ubicación en la lista desplegable.

8. Seleccione Siguiente: Redes en la parte inferior de la página.

9. En la pestaña Redes, en Método de conectividad, seleccione Punto de conexión público.

10. En Reglas de firewall, establezca Agregar dirección IP del cliente actual en Sí. Deje la opción Permitir que los servicios y recursos de Azure accedan a este grupo de servidores establecida en No.

    

11. Seleccione Siguiente: Seguridad en la parte inferior de la página.

12. En la pestaña Seguridad, en Identidad de servidor, seleccione Configurar identidades.

    

13. En el panel Identidad, seleccione Desactivado para Identidad administrada asignada por el sistema y, a continuación, seleccione Agregar en Identidad administrada asignada por el usuario. En Suscripción seleccione la suscripción deseada y, a continuación, en Identidades administradas asignadas por el usuario, seleccione la identidad administrada asignada por el usuario deseada en la suscripción seleccionada. Después, seleccione el botón Agregar.

    

    

14. En Identidad principal, seleccione la misma identidad administrada asignada por el usuario seleccionada en el paso anterior.

    

15. Seleccione Aplicar.

16. En la pestaña Seguridad, en Administración de claves de cifrado de datos transparente, tiene la opción de configurar el cifrado de datos transparente para el servidor o la base de datos.

    • En Clave de nivel de servidor: seleccione Configurar cifrado de datos transparente. Seleccione Clave administrada por el cliente y aparecerá una opción para elegir Seleccionar una clave. Seleccione Cambiar clave. Seleccione la Subscription deseada, el Almacén de claves, la Clave y la Versión para la clave administrada por el cliente que se usará para TDE. Seleccione el botón Seleccionar.

    

    

    • En Clave de nivel de base de datos: seleccione Configurar cifrado de datos transparente. Seleccione Clave administrada por el cliente de nivel de base de datos y aparecerá una opción para configurar la identidad de base de datos y la clave administrada por el cliente. Seleccione Configurar para configurar una identidad administrada asignada por el usuario para la base de datos, similar al paso 13. Seleccione Cambiar clave para configurar una clave administrada por el cliente. Seleccione la Subscription deseada, el Almacén de claves, la Clave y la Versión para la clave administrada por el cliente que se usará para TDE. También tiene la opción de habilitar la Rotación automática de claves en el menú Cifrado de datos transparente. Seleccione el botón Seleccionar.

    

17. Seleccione Aplicar.

18. En la parte inferior de la página, seleccione Revisar y crear.

19. En la página Revisar y crear, después de revisar, seleccione Crear.

La CLI de Azure

Para obtener información sobre cómo instalar la versión actual de la CLI de Azure, vea Instalación de la CLI de Azure.

Cree un servidor configurado con una identidad administrada asignada por el usuario y un TDE administrado por el cliente mediante el comando az sql server create.

az sql server create \
    --name $serverName \
    --resource-group $resourceGroupName \
    --location $location  \
    --admin-user $adminlogin \
    --admin-password $password \
    --assign-identity \
    --identity-type $identitytype \
    --user-assigned-identity-id $identityid \
    --primary-user-assigned-identity-id $primaryidentityid \
    --key-id $keyid
 

Cree una base de datos en el servidor con el comandoaz sql db create.

az sql db create \
    --resource-group $resourceGroupName \
    --server $serverName \
    --name mySampleDatabase \
    --sample-name AdventureWorksLT \
    --edition GeneralPurpose \
    --compute-model Serverless \
    --family Gen5 \
    --capacity 2

PowerShell

Cree un servidor configurado con una identidad administrada asignada por el usuario y un TDE administrado por el cliente mediante PowerShell.

Para obtener instrucciones sobre la instalación del módulo Azure PowerShell, consulte Instalación de Azure PowerShell. Para los cmdlets concretos, consulte AzureRM.Sql.

Use el cmdlet New-AzSqlServer.

Reemplace los valores siguientes del ejemplo:

• <ResourceGroupName>: nombre del grupo de recursos para el servidor lógico de Azure SQL
• <Location>: ubicación del servidor, como West US o Central US
• <ServerName>: use un nombre del servidor lógico de Azure SQL
• <ServerAdminName>: inicio de sesión de administrador de SQL
• <ServerAdminPassword>: contraseña de administrador de SQL
• <IdentityType>: tipo de identidad que se asignará al servidor. Los valores posibles son SystemAssigned, UserAssigned, SystemAssigned,UserAssigned y None.
• <UserAssignedIdentityId>: la lista de identidades administradas asignadas por el usuario que se asignarán al servidor (pueden ser una o varias).
• <PrimaryUserAssignedIdentityId>: la identidad administrada asignada por el usuario que debe usarse como principal o predeterminada en este servidor.
• <CustomerManagedKeyId>: Identificador de clave y se puede recuperar de la clave en Key Vault

Para obtener el Id. de recurso de la identidad administrada asignada por el usuario, busque Identidades administradas en Azure Portal. Busque su identidad administrada y vaya a Propiedades. Un ejemplo de Identificador de recurso para la UMI tiene un aspecto similar a /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>.

# create a server with user-assigned managed identity and customer-managed TDE
$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    SqlAdministratorCredentials = (Get-Credential)
    SqlAdministratorLogin = "<ServerAdminName>"
    SqlAdministratorPassword = "<ServerAdminPassword>"
    AssignIdentity = $true
    IdentityType = "<IdentityType>"
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    PrimaryUserAssignedIdentityId = "<PrimaryUserAssignedIdentityId>"
    KeyId = "<CustomerManagedKeyId>"
}

New-AzSqlServer @params

Plantilla de ARM

Este es un ejemplo de una plantilla de ARM que crea un servidor lógico en Azure con una identidad administrada asignada por el usuario y un TDE administrado por el cliente. La plantilla también agrega un conjunto de administradores de Microsoft Entra para el servidor y habilita la Autenticación solo de Microsoft Entra, pero se puede eliminar del ejemplo de plantilla.

Para más información y las plantillas de ARM, consulte Plantillas de Azure Resource Manager para Azure SQL Database y SQL Managed Instance.

Use una implementación personalizada en Azure Portal y cree su propia plantilla en el editor. A continuación, guarde la configuración una vez pegada en el ejemplo.

Para obtener el Id. de recurso de la identidad administrada asignada por el usuario, busque Identidades administradas en Azure Portal. Busque su identidad administrada y vaya a Propiedades. Un ejemplo de Identificador de recurso para la UMI tiene un aspecto similar a /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "String"
        },
        "location": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity."
            }
        },
        "keyvault_url": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The key vault URI."
            }
        },
        "AdminLogin": {
            "minLength": 1,
            "type": "String"
        },
        "AdminLoginPassword": {
            "type": "SecureString"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "administratorLogin": "[parameters('AdminLogin')]",
                "administratorLoginPassword": "[parameters('AdminLoginPassword')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "KeyId": "[parameters('keyvault_url')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Pasos siguientes

• Comience a trabajar con la integración de Azure Key Vault y la compatibilidad de Bring Your Own Key con TDE: Activación del TDE con su propia clave desde Key Vault.