Partager via


Créer un serveur configuré avec l’identité managée affectée par l’utilisateur et le TDE géré par le client

S’applique à : Azure SQL Database

Ce guide pratique décrit les étapes à suivre pour créer un serveur logique dans Azure configuré avec le Transparent Data Encryption (TDE) avec des clés gérées par le client (CMK) en utilisant une identité managée affectée par l’utilisateur pour accéder à Azure Key Vault.

Remarque

Microsoft Entra ID était anciennement appelé Azure Active Directory (Azure AD).

Prérequis

Créer un serveur configuré avec TDE avec une clé gérée par le client (CMK)

Les étapes suivantes décrivent le processus de création d’un serveur logique Azure SQL Database et d’une nouvelle base de données avec une identité managée affectée par l’utilisateur. L’identité managée affectée par l’utilisateur est requise pour configurer une clé gérée par le client pour TDE au moment de la création du serveur.

  1. Accédez à la page Sélectionner l’option de déploiement SQL dans le portail Azure.

  2. Si vous n’êtes pas déjà connecté au portail Azure, connectez-vous lorsque vous y êtes invité.

  3. Sous Bases de données SQL, laissez Type de ressource défini sur Base de données unique, puis sélectionnez Créer.

  4. Sous l’onglet De base du formulaire Créer une base de données SQL, sous Détails du projet, sélectionnez l’Abonnement Azure souhaité.

  5. Pour Groupe de ressources, sélectionnez Créer, entrez un nom pour votre groupe de ressources, puis sélectionnez OK.

  6. Pour Nom de la base de données, entrez ContosoHR.

  7. Pour Serveur, sélectionnez Créer, puis remplissez le formulaire Nouveau serveur avec les valeurs suivantes :

    • Nom du serveur : Entrez un nom de serveur unique. Les noms de serveur doivent être uniques au niveau mondial pour tous les serveurs Azure, et pas seulement au sein d'un abonnement. Entrez une valeur comme mysqlserver135 et le portail Azure vous indiquera si elle est disponible ou non.
    • Nom de connexion d’administrateur serveur : entrez le nom de connexion de l’administrateur, par exemple : azureuser.
    • Mot de passe : entrez un mot de passe qui répond aux exigences de mot de passe, puis réentrez-le dans le champ Confirmer le mot de passe.
    • Emplacement : sélectionnez un emplacement dans la liste déroulante
  8. Sélectionnez Suivant : Réseau en bas de la page.

  9. Sous l’onglet Réseau, pour Méthode de connectivité, sélectionnez Point de terminaison public.

  10. Pour Règles de pare-feu, affectez la valeur Oui à Ajouter l’adresse IP actuelle du client. Laissez Autoriser les services et les ressources Azure à accéder à ce serveur avec la valeur Non.

    Capture d’écran des paramètres de mise en réseau lors de la création d’un serveur SQL dans le Portail Azure

  11. Sélectionnez Suivant : Sécurité en bas de la page.

  12. Dans l’onglet Sécurité, sous Identité du serveur et sélectionnez Configurer les identités.

    Capture d’écran des paramètres de sécurité et de la configuration des identités dans le portail Azure.

  13. Dans le volet Identité, sélectionnez Désactivé pour Identité managée affectée par le système, puis sélectionnez Ajouter sous Identité managée affectée par l’utilisateur. Sélectionnez l’Abonnement souhaité puis, sous Identités managées affectées par l’utilisateur, sélectionnez l’identité managée affectée par l’utilisateur souhaitée dans l’abonnement sélectionné. Sélectionnez ensuite le bouton Ajouter.

    Capture d’écran de l’ajout d’une identité managée attribuée à un utilisateur lors de la configuration de l’identité du serveur.

    Capture d’écran d’une identité managée affectée par l’utilisateur lors de la configuration de l’identité du serveur.

  14. Sous Identité principale, sélectionnez la même identité managée affectée par l’utilisateur que celle de l’étape précédente.

    Capture d’écran de la sélection de l’identité primaire pour le serveur.

  15. Sélectionnez Appliquer

  16. Sous l’onglet Sécurité, sous Gestion des clés Transparent Data Encryption, vous avez la possibilité de configurer le Transparent Data Encryption pour le serveur ou la base de données.

    • Pour la clé de niveau serveur : sélectionnez Configurer le Transparent Data Encryption. Sélectionnez Clé gérée par le client et une option permettant de Sélectionner une clé s’affiche. Sélectionnez Changer la clé. Sélectionnez les valeurs de votre choix pour Abonnement, Coffre de clés, Clé et Version pour la clé gérée par le client à utiliser pour le TDE. Sélectionnez le bouton Sélectionner.

    Capture d’écran de la configuration de TDE pour le serveur dans Azure SQL.

    Capture d’écran sélectionnant la clé à utiliser avec TDE.

    • Pour la clé de niveau base de données : sélectionnez Configurer le Transparent Data Encryption. Sélectionnez Clé gérée par le client au niveau de la base de données. Une option permettant de configurer l’identité de base de données et la clé gérée par le client s’affiche. Sélectionnez Configurer pour configurer une identité managée affectée par l’utilisateur pour la base de données, comme à l’étape 13. Sélectionnez Modifier la clé pour configurer une clé gérée par le client. Sélectionnez les valeurs de votre choix pour Abonnement, Coffre de clés, Clé et Version pour la clé gérée par le client à utiliser pour le TDE. Vous avez également la possibilité d’activer la rotation automatique de la clé dans le menu Transparent Data Encryption. Cliquez sur le bouton Sélectionner.

    Capture d’écran de la configuration de TDE pour une base de données dans Azure SQL.

  17. Sélectionnez Appliquer

  18. Au bas de la page, sélectionnez Vérifier + créer

  19. Dans la page Vérifier + créer, après vérification, sélectionnez Créer.

Étapes suivantes