Audit avec une identité managée

S’applique à : Azure SQL Database Azure Synapse Analytics

L’audit pour Azure SQL Database peut être configuré pour utiliser un compte de stockage avec deux méthodes d’authentification :

• Identité managée
• Clés d’accès de stockage

L’identité managée peut être une identité managée affectée par le système (SMI) ou une identité managée affectée par l’utilisateur (UMI).

Pour configurer l’écriture de journaux d’audit dans un compte de stockage, accédez au Portail Azure, puis sélectionnez votre ressource de serveur logique pour Azure SQL Database. Sélectionnez Stockage dans le menu Audit. Sélectionnez le compte de stockage Azure dans lequel les journaux seront enregistrés.

Par défaut, l’identité utilisée est l’identité d’utilisateur principal attribuée au serveur. S’il n’existe pas d’identité d’utilisateur, le serveur crée une identité managée affectée par le système et l’utilise pour l’authentification.

Sélectionnez la période de rétention en ouvrant Propriétés avancées. Ensuite, sélectionnez Enregistrer. Une fois la période de conservation écoulée, les journaux sont supprimés.

Notes

Pour configurer l’audit basé sur une identité managée sur Azure Synapse Analytics, consultez la section Configurer une identité managée affectée par le système pour l’audit Azure Synapse Analytics plus loin dans cet article.

Identité managée affectée par l’utilisateur

UMI offre aux utilisateurs la possibilité de créer et de gérer leur propre UMI pour un locataire donné. La fonctionnalité UMI peut être utilisée en tant qu’identités de serveur pour Azure SQL. Cette identité est managée par l’utilisateur, là où pour une identité managée affectée par le système, elle est définie de manière unique par le serveur et affectée par le système.

Pour plus d’informations sur les identités UMI, consultez Identités managées dans Microsoft Entra ID for Azure SQL.

Configurer l’identité managée affectée par l’utilisateur pour ’audit d’Azure SQL Database

Avant de pouvoir configurer l’audit pour l’envoi de journaux à votre compte de stockage, l’identité managée affectée au serveur doit avoir le rôle Contributeur aux données Blob du stockage. Cette affectation est nécessaire si vous configurez l’audit en utilisant PowerShell, Azure CLI, l’API REST ou des modèles ARM. L’attribution de rôle s’effectue automatiquement quand l’audit est configuré depuis le portail Azure. Les étapes ci-dessous ne sont donc pas nécessaires si passez par le portail pour configurer l’audit.

1. Accédez au portail Azure.

2. Créez une identité managée affectée par l’utilisateur, si vous ne l’avez pas encore fait. Pour plus d’informations, consultez Créer une identité managée affectée par l’utilisateur.

3. Accédez au compte de stockage que vous souhaitez configurer pour l’audit.

4. Sélectionnez le menu Contrôle d’accès (IAM).

5. Sélectionnez Ajouter>Ajouter une attribution de rôle.

6. Sous l’onglet Rôle, recherchez et sélectionnez Contributeur aux données Blob du stockage. Sélectionnez Suivant.

7. Sous l’onglet Membres, sélectionnez Identité managée dans la section Attribuer l’accès à, puis Sélectionner des membres. Vous pouvez sélectionner l’identité managée qui a été créée pour votre serveur.

8. Sélectionnez Vérifier + attribuer.

   

Pour plus d’informations, consultez Attribuer des rôles Azure à l’aide du portail.

Suivez les étapes suivantes pour configurer l’audit en utilisant une identité managée affectée par l’utilisateur :

Portail

1. Accédez au menu Identité pour votre serveur. Sous la section Identité managée affectée par l’utilisateur, ajoutez l’identité managée.

2. Vous pouvez ensuite sélectionner l’identité managée que vous venez d’ajouter en tant qu’identité principale de votre serveur.

   

3. Accédez au menu Audit pour le serveur. Sélectionnez Identité managée en tant que Type d’authentification du stockage au moment de configurer le Stockage pour votre serveur.

L’interface de ligne de commande Microsoft Azure

Pour utiliser une identité managée, transmettez le paramètre --storage-key en tant que chaîne vide pour utiliser l’identité managée principale affectée au serveur pendant la configuration de l’audit. Voici un exemple de commande :

az SQL server audit-policy update -g "sampleresourcegroup" -n "sampleauditingtestserver" --state Enabled --bsts Enabled --storage-endpoint https://<storageaccountname>.blob.core.windows.net --storage-key ""

Pour plus d’informations, consultez az sql server audit-policy.

PowerShell

Pour utiliser une identité managée, transmettez le paramètre UseIdentity en tant que True pour utiliser l’identité managée principale affectée au serveur. Voici un exemple de commande :

Set-AzSqlServerAudit -ResourceGroupName "sampleresourcegroup" -ServerName "sampleauditingtestserver" -BlobStorageTargetState Enabled -StorageAccountResourceId "/subscriptions/<SubscriptionID>/resourcegroups/sampleresourcegroup/providers/Microsoft.Storage/storageAccounts/auditingteststorageacc" -UseIdentity True

Pour plus d’informations, consultez Set-AzSqlServerAudit.

REST API

Pour utiliser l’identité managée principale, ne transmettez pas le paramètre storageAccountAccessKey dans la demande :

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/auditingSettings/default?api-version=2017-03-01-preview

{
  "properties": {
    "state": "Enabled",
    "storageEndpoint": "https://mystorage.blob.core.windows.net"
  }
}

Pour plus d’informations, consultez Paramètres d’audit de serveur – Créer ou mettre à jour.

Configurer une identité managée affectée par le système pour l’audit Azure Synapse Analytics

Vous ne pouvez pas utiliser une authentification basée sur UMI sur un compte de stockage pour l’audit. Seule une identité managée affectée par le système (SMI) peut être utilisée pour Azure Synapse Analytics. Pour que l’authentification SMI fonctionne, l’identité managée doit avoir le rôle Contributeur aux données blob de stockage attribué dans les paramètres Contrôle d’accès du compte de stockage. Ce rôle est automatiquement ajouté si le Portail Azure est utilisé pour configurer l’audit.

Dans le portail Azure pour Azure Synapse Analytics, il n’existe aucune option permettant de choisir explicitement une clé SAS ou une authentification SMI, comme c’est le cas pour Azure SQL Database.

• Si le compte de stockage se trouve derrière un réseau virtuel ou un pare-feu, l’audit est automatiquement configuré avec une authentification SMI.

• Si le compte de stockage ne se trouve pas derrière un VNet ou un pare-feu, l’audit est automatiquement configuré à l’aide de l’authentification basée sur un clé SAS. Toutefois, l’identité managée ne peut pas être utilisée si le compte de stockage ne se trouve pas derrière un VNet ou un pare-feu.

Pour forcer l’utilisation d’une authentification SMI, que le compte de stockage se trouve ou pas derrière un réseau virtuel ou un pare-feu, utilisez l’API REST ou PowerShell, comme suit :

• Si vous utilisez l’API REST, omettez le champ StorageAccountAccessKey explicitement dans le corps de la requête.

  Pour plus d’informations, consultez :

  • Stratégies d’audit de blob de serveur - Créer ou mettre à jour - API REST (Azure SQL Database)
  • Stratégies d’audit de blob de base de données - Créer ou mettre à jour - API REST (Azure SQL Database)

• Si vous utilisez PowerShell, passez le paramètre UseIdentity en tant que true.

  Pour plus d’informations, consultez :

  • Set-AzSqlServerAudit (Az.Sql)
  • Set-AzSqlDatabaseAudit (Az.Sql)

Étapes suivantes

• Vue d’ensemble de l’audit
• Épisode Data Exposed : Nouveautés de l’audit Azure SQL
• Audit pour SQL Managed Instance
• Audit pour SQL Server