Compartir vía


Creación de un servidor configurado con una identidad administrada asignada por el usuario y un TDE administrado por el cliente

Se aplica a: Azure SQL Database

En esta guía paso a paso se describen los pasos para crear un servidor lógico en Azure configurado con cifrado de datos transparente (TDE) mediante claves administradas por el cliente (CMK) con una identidad administrada asignada por el usuario para acceder a Azure Key Vault.

Nota:

Microsoft Entra ID era conocido anteriormente como Azure Active Directory (Azure AD).

Requisitos previos

Creación de un servidor configurado con TDE mediante una clave administrada por el cliente (CMK)

Los pasos siguientes describen el proceso para crear una base de datos y un servidor lógico de Azure SQL Database con una identidad administrada asignada por el usuario asignada. La identidad administrada asignada por el usuario es necesaria para configurar una clave administrada por el cliente para TDE en el momento de crear el servidor.

  1. Vaya a la página Seleccione una opción de implementación de SQL en Azure Portal.

  2. Si aún no ha iniciado sesión en Azure Portal, hágalo cuando se le solicite.

  3. En Bases de datos SQL, deje Tipo de recurso establecido en Base de datos única y seleccione Crear.

  4. En la pestaña Básico del formulario Create SQL Database, en Detalles del proyecto, seleccione la suscripción de Azure correcta.

  5. En Grupo de recursos, seleccione Crear nuevo, especifique un nombre válido para el grupo de recursos y seleccione Aceptar.

  6. En Nombre de base de datos, escriba ContosoHR.

  7. En Servidor, seleccione Crear nuevo y rellene el formulario Nuevo servidor con los valores siguientes:

    • Nombre del servidor: escriba un nombre de servidor único. Los nombres de los servidores deben ser globalmente únicos en todos los servidores de Azure, no solo únicos dentro de una suscripción. Escriba algo como mysqlserver135; Azure Portal le avisa de si está disponible o no.
    • Inicio de sesión del administrador del servidor: escriba un nombre de inicio de sesión de administrador, por ejemplo, azureuser.
    • Contraseña: escriba una contraseña que cumpla los requisitos de contraseña y escríbala de nuevo en el campo Confirmar contraseña.
    • Ubicación: seleccione una ubicación en la lista desplegable.
  8. Seleccione Siguiente: Redes en la parte inferior de la página.

  9. En la pestaña Redes, en Método de conectividad, seleccione Punto de conexión público.

  10. En Reglas de firewall, establezca Agregar dirección IP del cliente actual en . Deje la opción Permitir que los servicios y recursos de Azure accedan a este grupo de servidores establecida en No.

    Captura de pantalla de la configuración de redes al crear una instancia de SQL Server en el portal de Azure

  11. Seleccione Siguiente: Seguridad en la parte inferior de la página.

  12. En la pestaña Seguridad, en Identidad de servidor, seleccione Configurar identidades.

    Captura de pantalla de la configuración de seguridad y configuración de identidades en Azure Portal.

  13. En el panel Identidad, seleccione Desactivado para Identidad administrada asignada por el sistema y, a continuación, seleccione Agregar en Identidad administrada asignada por el usuario. En Suscripción seleccione la suscripción deseada y, a continuación, en Identidades administradas asignadas por el usuario, seleccione la identidad administrada asignada por el usuario deseada en la suscripción seleccionada. Después, seleccione el botón Agregar.

    Captura de pantalla para agregar la identidad administrada asignada por el usuario al configurar la identidad de servidor.

    Captura de pantalla de la identidad administrada asignada por el usuario al configurar la identidad del servidor.

  14. En Identidad principal, seleccione la misma identidad administrada asignada por el usuario seleccionada en el paso anterior.

    Captura de pantalla de la selección de la identidad principal para el servidor.

  15. Seleccione Aplicar.

  16. En la pestaña Seguridad, en Administración de claves de cifrado de datos transparente, tiene la opción de configurar el cifrado de datos transparente para el servidor o la base de datos.

    • En Clave de nivel de servidor: seleccione Configurar cifrado de datos transparente. Seleccione Clave administrada por el cliente y aparecerá una opción para elegir Seleccionar una clave. Seleccione Cambiar clave. Seleccione la Subscription deseada, el Almacén de claves, la Clave y la Versión para la clave administrada por el cliente que se usará para TDE. Seleccione el botón Seleccionar.

    Captura de pantalla de la configuración de TDE para el servidor en Azure SQL.

    Captura de pantalla de la clave de selección que se va a usar con TDE.

    • En Clave de nivel de base de datos: seleccione Configurar cifrado de datos transparente. Seleccione Clave administrada por el cliente de nivel de base de datos y aparecerá una opción para configurar la identidad de base de datos y la clave administrada por el cliente. Seleccione Configurar para configurar una identidad administrada asignada por el usuario para la base de datos, similar al paso 13. Seleccione Cambiar clave para configurar una clave administrada por el cliente. Seleccione la Subscription deseada, el Almacén de claves, la Clave y la Versión para la clave administrada por el cliente que se usará para TDE. También tiene la opción de habilitar la Rotación automática de claves en el menú Cifrado de datos transparente. Seleccione el botón Seleccionar.

    Captura de pantalla de configuración de TDE para una base de datos en Azure SQL.

  17. Seleccione Aplicar.

  18. En la parte inferior de la página, seleccione Revisar y crear.

  19. En la página Revisar y crear, después de revisar, seleccione Crear.

Pasos siguientes