Créer un serveur configuré avec l’identité managée affectée par l’utilisateur et le TDE géré par le client

S’applique à Azure SQL Database

Ce guide pratique décrit les étapes à suivre pour créer un serveur logique dans Azure configuré avec le Transparent Data Encryption (TDE) avec des clés gérées par le client (CMK) en utilisant une identité managée affectée par l’utilisateur pour accéder à Azure Key Vault.

Remarque

Microsoft Entra ID était anciennement appelé Azure Active Directory (Azure AD).

Prérequis

• Ce guide suppose que vous avez déjà créé une instance Azure Key Vault et que vous avez importé une clé dans celle-ci afin de l’utiliser comme protecteur TDE pour Azure SQL Database. Pour plus d’informations, consultez Transparent Data Encryption avec prise en charge de BYOK.
• La protection par suppression réversible et la protection contre la suppression définitive doivent être activées dans le coffre de clés
• Vous devez avoir créé une identité managée affectée par l’utilisateur et lui avoir fourni les autorisations TDE requises (Get, Wrap Key, Unwrap Key) dans le coffre de clés ci-dessus. Pour créer une identité managée affectée par l’utilisateur, consultez Créer une identité managée affectée par l’utilisateur.
• Azure PowerShell doit être installé et en cours d’exécution.
• [Recommandé mais facultatif] Créez tout d’abord le matériel de clé pour le protecteur TDE dans un module de sécurité matériel (HSM) ou le magasin de clés local, puis importez le matériel de clé dans Azure Key Vault. Suivez le instructions sur l’utilisation d’un module de sécurité matériel (HSM) et Key Vault pour en savoir plus.

Créer un serveur configuré avec TDE avec une clé gérée par le client (CMK)

Les étapes suivantes décrivent le processus de création d’un serveur logique Azure SQL Database et d’une nouvelle base de données avec une identité managée affectée par l’utilisateur. L’identité managée affectée par l’utilisateur est requise pour configurer une clé gérée par le client pour TDE au moment de la création du serveur.

Portail

1. Accédez à la page Sélectionner l’option de déploiement SQL dans le portail Azure.

2. Si vous n’êtes pas déjà connecté au portail Azure, connectez-vous lorsque vous y êtes invité.

3. Sous Bases de données SQL, laissez Type de ressource défini sur Base de données unique, puis sélectionnez Créer.

4. Sous l’onglet De base du formulaire Créer une base de données SQL, sous Détails du projet, sélectionnez l’Abonnement Azure souhaité.

5. Pour Groupe de ressources, sélectionnez Créer, entrez un nom pour votre groupe de ressources, puis sélectionnez OK.

6. Pour Nom de la base de données, entrez ContosoHR.

7. Pour Serveur, sélectionnez Créer, puis remplissez le formulaire Nouveau serveur avec les valeurs suivantes :

   • Nom du serveur : Entrez un nom de serveur unique. Les noms de serveur doivent être uniques au niveau mondial pour tous les serveurs Azure, et pas seulement au sein d'un abonnement. Entrez une valeur comme mysqlserver135 et le portail Azure vous indiquera si elle est disponible ou non.
   • Nom de connexion d’administrateur serveur : entrez le nom de connexion de l’administrateur, par exemple : azureuser.
   • Mot de passe : entrez un mot de passe qui répond aux exigences de mot de passe, puis réentrez-le dans le champ Confirmer le mot de passe.
   • Emplacement : sélectionnez un emplacement dans la liste déroulante

8. Sélectionnez Suivant : Réseau en bas de la page.

9. Sous l’onglet Réseau, pour Méthode de connectivité, sélectionnez Point de terminaison public.

10. Pour Règles de pare-feu, affectez la valeur Oui à Ajouter l’adresse IP actuelle du client. Laissez Autoriser les services et les ressources Azure à accéder à ce serveur avec la valeur Non.

    

11. Sélectionnez Suivant : Sécurité en bas de la page.

12. Dans l’onglet Sécurité, sous Identité du serveur et sélectionnez Configurer les identités.

    

13. Dans le volet Identité, sélectionnez Désactivé pour Identité managée affectée par le système, puis sélectionnez Ajouter sous Identité managée affectée par l’utilisateur. Sélectionnez l’Abonnement souhaité puis, sous Identités managées affectées par l’utilisateur, sélectionnez l’identité managée affectée par l’utilisateur souhaitée dans l’abonnement sélectionné. Sélectionnez ensuite le bouton Ajouter.

    

    

14. Sous Identité principale, sélectionnez la même identité managée affectée par l’utilisateur que celle de l’étape précédente.

    

15. Sélectionnez Appliquer

16. Sous l’onglet Sécurité, sous Gestion des clés Transparent Data Encryption, vous avez la possibilité de configurer le Transparent Data Encryption pour le serveur ou la base de données.

    • Pour la clé de niveau serveur : sélectionnez Configurer le Transparent Data Encryption. Sélectionnez Clé gérée par le client et une option permettant de Sélectionner une clé s’affiche. Sélectionnez Changer la clé. Sélectionnez les valeurs de votre choix pour Abonnement, Coffre de clés, Clé et Version pour la clé gérée par le client à utiliser pour le TDE. Sélectionnez le bouton Sélectionner.

    

    

    • Pour la clé de niveau base de données : sélectionnez Configurer le Transparent Data Encryption. Sélectionnez Clé gérée par le client au niveau de la base de données. Une option permettant de configurer l’identité de base de données et la clé gérée par le client s’affiche. Sélectionnez Configurer pour configurer une identité managée affectée par l’utilisateur pour la base de données, comme à l’étape 13. Sélectionnez Modifier la clé pour configurer une clé gérée par le client. Sélectionnez les valeurs de votre choix pour Abonnement, Coffre de clés, Clé et Version pour la clé gérée par le client à utiliser pour le TDE. Vous avez également la possibilité d’activer la rotation automatique de la clé dans le menu Transparent Data Encryption. Cliquez sur le bouton Sélectionner.

    

17. Sélectionnez Appliquer

18. Au bas de la page, sélectionnez Vérifier + créer

19. Dans la page Vérifier + créer, après vérification, sélectionnez Créer.

L’interface de ligne de commande Microsoft Azure

Pour plus d’informations sur l’installation de la version actuelle d’Azure CLI, consultez Installer Azure CLI.

Créez un serveur configuré avec l’identité managée affectée par l’utilisateur et un TDE géré par le client à l’aide de la commande az sql server create.

az sql server create \
    --name $serverName \
    --resource-group $resourceGroupName \
    --location $location  \
    --admin-user $adminlogin \
    --admin-password $password \
    --assign-identity \
    --identity-type $identitytype \
    --user-assigned-identity-id $identityid \
    --primary-user-assigned-identity-id $primaryidentityid \
    --key-id $keyid
 

Créez une base de données avec la commande az sql db create.

az sql db create \
    --resource-group $resourceGroupName \
    --server $serverName \
    --name mySampleDatabase \
    --sample-name AdventureWorksLT \
    --edition GeneralPurpose \
    --compute-model Serverless \
    --family Gen5 \
    --capacity 2

PowerShell

Créez un serveur configuré avec l’identité managée affectée par l’utilisateur et le TDE géré par le client avec PowerShell.

Pour des instructions d’installation du module Az PowerShell, consultez Installer Azure PowerShell. Pour des applets de commande spécifiques, consultez AzureRM.Sql.

Utilisez la cmdlet New-AzSqlServer.

Remplacez les valeurs suivantes dans l’exemple :

• <ResourceGroupName> : nom du groupe de ressources pour votre serveur logique Azure SQL
• <Location> : emplacement du serveur, tel que West US ou Central US
• <ServerName> : utiliser un nom de serveur logique Azure SQL unique
• <ServerAdminName> : identifiant de l’administrateur SQL
• <ServerAdminPassword> : mot de passe de l’administrateur SQL
• <IdentityType> : le type d’identité à attribuer au serveur. Les valeurs possibles sont SystemAssigned, UserAssigned, SystemAssigned,UserAssigned et None
• <UserAssignedIdentityId> : liste des identités managées affectées par l’utilisateur devant être affectées au serveur (une ou plusieurs)
• <PrimaryUserAssignedIdentityId> : identité managée affectée par l’utilisateur qui doit être utilisée comme valeur principale ou par défaut sur ce serveur
• <CustomerManagedKeyId> : Identificateur de clé et peut être récupéré à partir de la clé dans Key Vault

Pour obtenir votre ID de ressource d’identité managée affectée par l’utilisateur, recherchez Identités managées dans le portail Azure. Recherchez votre identité managée, puis accédez à Propriétés. Un exemple de votre ID de ressource UMI va se présenter comme ceci : /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>

# create a server with user-assigned managed identity and customer-managed TDE
$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    SqlAdministratorCredentials = (Get-Credential)
    SqlAdministratorLogin = "<ServerAdminName>"
    SqlAdministratorPassword = "<ServerAdminPassword>"
    AssignIdentity = $true
    IdentityType = "<IdentityType>"
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    PrimaryUserAssignedIdentityId = "<PrimaryUserAssignedIdentityId>"
    KeyId = "<CustomerManagedKeyId>"
}

New-AzSqlServer @params

Modèle ARM

Voici un exemple de modèle ARM qui crée un serveur logique dans Azure avec une identité managée affectée par l’utilisateur et un TDE géré par le client. Le modèle ajoute également un administrateur Microsoft Entra défini pour le serveur, et active l’authentification Microsoft Entra uniquement, mais vous pouvez supprimer ce comportement de l’exemple de modèle.

Pour plus d’informations et découvrir les modèles ARM, consultez Modèles Azure Resource Manager pour Azure SQL Database et Azure SQL Managed Instance.

Utilisez un déploiement personnalisé dans le portail Azure et créez votre propre modèle dans l’éditeur. Ensuite, enregistrez la configuration une fois que vous avez collé l’exemple.

Pour obtenir votre ID de ressource d’identité managée affectée par l’utilisateur, recherchez Identités managées dans le portail Azure. Recherchez votre identité managée, puis accédez à Propriétés. Un exemple de votre ID de ressource UMI va se présenter comme ceci : /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "String"
        },
        "location": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity."
            }
        },
        "keyvault_url": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The key vault URI."
            }
        },
        "AdminLogin": {
            "minLength": 1,
            "type": "String"
        },
        "AdminLoginPassword": {
            "type": "SecureString"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "administratorLogin": "[parameters('AdminLogin')]",
                "administratorLoginPassword": "[parameters('AdminLoginPassword')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "KeyId": "[parameters('keyvault_url')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Étapes suivantes

• Découvrez l’intégration d’Azure Key Vault et la prise en charge de Bring Your Own Key pour TDE : Activer TDE à l’aide de votre propre clé depuis Key Vault.