Créer une instance managée Azure SQL avec une identité managée affectée par l’utilisateur

S’applique à : Azure SQL Managed Instance

• Azure SQL Database
• Azure SQL Managed Instance

Ce guide pratique de procédure décrit les étapes de création d’une Azure SQL Managed Instance avec une identité managée affectée par l’utilisateur à partir de Microsoft Entra ID (anciennement Azure Active Directory). Pour plus d’informations sur les avantages de l’utilisation d’une identité managée affectée par l’utilisateur pour l’identité de serveur dans Azure SQL Database, consultez Identité managée affectée par l’utilisateur dans Microsoft Entra pour Azure SQL.

Remarque

Microsoft Entra ID était anciennement appelé Azure Active Directory (Azure AD).

Prérequis

• Pour approvisionner une SQL Managed Instance avec une identité managée affectée par l'utilisateur, le rôle Collaborateur SQL Managed Instance (ou un rôle avec des autorisations plus élevées), et un rôle RBAC Azure contenant l'action suivante sont requis :
  • Microsoft.ManagedIdentity/userAssignedIdentities/*/assign/action - Par exemple, l’opérateur d’identité managée a cette action.
• Créez une identité managée affectée par l’utilisateur et attribuez-lui l’autorisation nécessaire pour une identité de serveur ou d’instance managée. Pour plus d’informations, consultez Gérer les identités gérées affectées par l’utilisateur et autorisations d’identité managée affectée par l’utilisateur pour Azure SQL.
• Le module Az.Sql 3.4 ou une version ultérieure est requis lors de l’utilisation de PowerShell pour les identités managées affectées par l’utilisateur.
• Azure CLI 2.26.0 ou une version ultérieure est nécessaire pour utiliser Azure CLI avec les identités managées affectées par l’utilisateur.
• Pour obtenir la liste des limitations et les problèmes connus lors de l’utilisation de l’identité managée affectée par l’utilisateur, consultez Identité managée affectée par l’utilisateur dans Microsoft Entra pour Azure SQL

Portail

1. Accédez à la page Sélectionner l’option de déploiement SQL dans le portail Azure.

2. Si vous n’êtes pas déjà connecté au portail Azure, connectez-vous lorsque vous y êtes invité.

3. Sous SQL managed instances, laissez Type de ressource défini sur Instance unique, puis sélectionnez Créer.

4. Renseignez les informations obligatoires requises sous l’onglet Informations de base pour Détails du projet et Détails de l’instance gérée. Il s’agit d’informations de base qui sont obligatoires pour provisionner une instance managée SQL.

   

   Pour plus d’informations sur les options de configuration, consultez Démarrage rapide : Créer une instance gérée Azure SQL Managed Instance.

5. Sous Authentification, sélectionnez votre modèle d’authentification préféré. Si vous souhaitez configurer l’authentification Microsoft Entra uniquement, consultez le guide.

6. Ensuite, passez à la configuration de l’onglet Réseau, ou laissez les paramètres par défaut.

7. Sous l’onglet Sécurité, accédez à Identité et sélectionnez Configurer les identités.

   

8. Dans le volet Identité, sous Identité managée affectée par l'utilisateur, sélectionnez Ajouter. Sélectionnez l’Abonnement souhaité, puis sous Identités managées affectées par l’utilisateur, sélectionnez l’identité managée affectée par l’utilisateur souhaitée dans l’abonnement sélectionné. Sélectionnez ensuite le bouton Sélectionner.

   

   

9. Sous Identité principale, sélectionnez la même identité managée affectée par l’utilisateur que celle de l’étape précédente.

   

   Notes

   Si l’identité managée affectée par le système est l’identité principale, le champ Identité principale doit être vide.

10. Sélectionnez Appliquer

11. Vous pouvez laisser le reste des paramètres par défaut. Pour plus d’informations sur les autres onglets et paramètres, suivez le guide de Démarrage rapide : Créer une instance gérée Azure SQL.

12. Une fois que vous avez fini de configurer vos paramètres, sélectionnez Vérifier + créer pour continuer. Sélectionnez Créer pour commencer le provisionnement de l’instance managée.

L’interface de ligne de commande Microsoft Azure

La commande Azure CLI az sql mi create permet de configurer une nouvelle instance Azure SQL Managed Instance. La commande ci-dessous permet de configurer une Managed Instance avec une identité managée affectée par l’utilisateur et d’activer l’authentification Microsoft Entra uniquement.

Remarque

Le script requiert la création d’un réseau virtuel et d’un sous-réseau comme condition préalable.

La connexion de l’administrateur SQL de l’instance gérée est automatiquement créée et le mot de passe est défini sur un mot de passe aléatoire. Étant donné que la connectivité de l’authentification SQL est désactivée lors de cet approvisionnement, la connexion administrateur SQL ne sera pas utilisée.

L’administrateur Microsoft Entra est le compte que vous définissez pour <AzureADAccount> et peut être utilisé pour gérer l’instance lorsque l’approvisionnement est terminé.

Remplacez les valeurs suivantes dans l’exemple :

• <subscriptionId> : votre ID d’abonnement, disponible dans le Portail Azure
• <ResourceGroupName> : Nom du groupe de ressources de votre instance managée Le groupe de ressources doit également inclure le réseau virtuel et le sous-réseau créés.
• <managedIdentity> : l’identité managée affectée par l’utilisateur. Peut également être utilisée comme identité principale.
• <primaryIdentity> : l’identité principale que vous voulez utiliser comme identité d’instance
• <AzureADAccount> : peut être un utilisateur ou un groupe Microsoft Entra. Par exemple, DummyLogin
• <AzureADAccountSID> : ID d’objet Microsoft Entra pour l’utilisateur
• <managedinstancename> : Nommer l’instance gérée que vous souhaitez créer
• Le paramètre subnet doit être mis à jour avec les paramètres <subscriptionId>, <ResourceGroupName>, <VNetName> et <SubnetName>.

# Define variables for resources
subscriptionId="<subscriptionId>"
resourceGroupName="<ResourceGroupName>"
managedIdentity="<managedIdentity>"
primaryIdentity="<primaryIdentity>"
AzureADAccount="<AzureADAccount>"
AzureADAccountSID="<AzureADAccountSID>"
VNetName="<VNetName>"
SubnetName="<SubnetName>"
managedinstancename="<managedinstancename>"

# Create a managed instance with a user-assigned managed identity
az sql mi create \
  --assign-identity \
  --identity-type UserAssigned \
  --user-assigned-identity-id "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$managedIdentity" \
  --primary-user-assigned-identity-id "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$primaryIdentity" \
  --enable-ad-only-auth \
  --external-admin-principal-type User \
  --external-admin-name $AzureADAccount \
  --external-admin-sid $AzureADAccountSID \
  -g $resourceGroupName \
  -n $managedinstancename \
  --subnet "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Network/virtualNetworks/$VNetName/subnets/$SubnetName"

Pour plus d’informations, voir az sql mi create.

Notes

L’exemple ci-dessus configure une instance gérée avec uniquement une identité managée affectée par l’utilisateur. Vous pouvez définir --identity-type sur UserAssigned,SystemAssigned si vous voulez que les deux types d’identités managées soient créés avec l’instance.

PowerShell

La commande PowerShell New-AzSqlInstance permet de configurer une nouvelle instance Azure SQL Managed Instance. La commande ci-dessous permet de configurer une Managed Instance avec une identité managée affectée par l’utilisateur et d’activer l’authentification Microsoft Entra uniquement.

Remarque

Le script requiert la création d’un réseau virtuel et d’un sous-réseau comme condition préalable.

La connexion de l’administrateur SQL de l’instance gérée est automatiquement créée et le mot de passe est défini sur un mot de passe aléatoire. Étant donné que la connectivité de l’authentification SQL est désactivée lors de cet approvisionnement, la connexion administrateur SQL ne sera pas utilisée.

L’administrateur Microsoft Entra est le compte que vous définissez pour <AzureADAccount> et peut être utilisé pour gérer l’instance lorsque l’approvisionnement est terminé.

Remplacez les valeurs suivantes dans l’exemple :

• <managedinstancename> : Nommer l’instance gérée que vous souhaitez créer
• <ResourceGroupName> : Nom du groupe de ressources de votre instance managée Le groupe de ressources doit également inclure le réseau virtuel et le sous-réseau créés.
• <subscriptionId> : votre ID d’abonnement, disponible dans le Portail Azure
• <managedIdentity> : l’identité managée affectée par l’utilisateur. Peut également être utilisée comme identité principale.
• <primaryIdentity> : l’identité principale que vous voulez utiliser comme identité d’instance
• <Location> : Emplacement de l’instance managée, par exemple West US ou Central US
• <AzureADAccount> : peut être un utilisateur ou un groupe Microsoft Entra. Par exemple, DummyLogin
• Le paramètre SubnetId doit être mis à jour avec les paramètres <subscriptionId>, <ResourceGroupName>, <VNetName> et <SubnetName>.

$instanceName = @{
    Name = "<managedinstancename>"
    ResourceGroupName = "<ResourceGroupName>"
    AssignIdentity = $true
    IdentityType = "UserAssigned"
    UserAssignedIdentityId = "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>"
    PrimaryUserAssignedIdentityId = "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<primaryIdentity>"
    ExternalAdminName = "<AzureADAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
    Location = "<Location>"
    SubnetId = "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>"
    LicenseType = "LicenseIncluded"
    StorageSizeInGB = 1024
    VCore = 16
    Edition = "GeneralPurpose"
    ComputeGeneration = "Gen5"
}

New-AzSqlInstance @instanceName

Pour plus d’informations, consultez New-AzSqlInstance.

Notes

L’exemple ci-dessus configure une instance gérée avec uniquement une identité managée affectée par l’utilisateur. Vous pouvez définir -IdentityType sur "UserAssigned,SystemAssigned" si vous voulez que les deux types d’identités managées soient créés avec l’instance.

REST API

L’API REST SQL Managed Instances - Créer ou Mettre à jour peut être utilisée pour créer une instance managée avec une identité managée affectée par l’utilisateur.

Remarque

Le script requiert la création d’un réseau virtuel et d’un sous-réseau comme condition préalable.

Le script ci-dessous configure une instance gérée avec une identité managée affectée par l’utilisateur, définit l’administrateur Microsoft Entra en tant que <AzureADAccount> et active l’authentification unique Microsoft Entra. La connexion de l’administrateur SQL de l’instance est aussi automatiquement créée et le mot de passe est défini sur un mot de passe aléatoire. Étant donné que la connectivité de l’authentification SQL est désactivée lors de cet approvisionnement, la connexion administrateur SQL ne sera pas utilisée.

L’administrateur Microsoft Entra <AzureADAccount> peut être utilisé pour gérer l’instance lorsque l’approvisionnement est terminé.

Remplacez les valeurs suivantes dans l’exemple :

• <tenantId> : Disponible en accédant à votre ressource Microsoft Entra ID dans le portail Azure. Dans le volet Vue d’ensemble, vous devez voir votre ID de locataire.
• <subscriptionId> : votre ID d’abonnement, disponible dans le Portail Azure
• <instanceName> : Utiliser un nom d’instance gérée unique
• <ResourceGroupName> : nom du groupe de ressources pour votre serveur logique
• <AzureADAccount> : peut être un utilisateur ou un groupe Microsoft Entra. Par exemple, DummyLogin
• <Location> : emplacement du serveur, tel que westus2 ou centralus
• <objectId> : Disponible en accédant à votre ressource Microsoft Entra ID dans le portail Azure. Dans le volet Utilisateur, recherchez l’utilisateur Microsoft Entra et recherchez son ID d’objet
• Le paramètre subnetId doit être mis à jour avec les paramètres <ResourceGroupName>, Subscription ID, <VNetName> et <SubnetName>.

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$instanceName = "<instanceName>"
$resourceGroupName = "<ResourceGroupName>"
$scopes ="https://management.core.windows.net/.default"

Login-AzAccount -tenantId $tenantId

# Login as an Azure AD user with permission to provision a managed instance

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes $scopes

$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

$body = '{
"name": "<instanceName>", "type": "Microsoft.Sql/managedInstances", "identity": {"type" : "UserAssigned", "UserAssignedIdentities" : {"/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>" : {}}},"location": "<Location>", "sku": {"name": "GP_Gen5", "tier": "GeneralPurpose", "family":"Gen5","capacity": 8},
"properties": { "PrimaryUserAssignedIdentityId":"/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<primaryIdentity>","administrators":{ "login":"<AzureADAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true },
"subnetId": "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>",
"licenseType": "LicenseIncluded", "vCores": 8, "storageSizeInGB": 2048, "collation": "SQL_Latin1_General_CP1_CI_AS", "proxyOverride": "Proxy", "timezoneId": "UTC", "privateEndpointConnections": [], "storageAccountType": "GRS", "zoneRedundant": false 
  }
}'

# To provision the instance, execute the `PUT` command

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Pour vérifier les résultats, exécutez la commande GET :

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method GET -Headers $authHeader  | Format-List

Modèle ARM

Pour approvisionner un nouveau réseau virtuel, un sous-réseau et une nouvelle Managed Instance configurée avec un administrateur Microsoft Entra, une identité managée affectée par l’utilisateur et l’authentification Microsoft Entra uniquement, utilisez le modèle suivant.

Utilisez un déploiement personnalisé dans le portail Azure et créez votre propre modèle dans l’éditeur. Ensuite, enregistrez la configuration une fois que vous avez collé l’exemple.

Pour obtenir votre ID de ressource d’identité managée affectée par l’utilisateur, recherchez Identités managées dans le portail Azure. Recherchez votre identité managée, puis accédez à Propriétés. Un exemple de votre ID de ressource UMI ressemblera à /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "managedInstanceName": {
            "type": "String",
            "metadata": {
                "description": "Enter managed instance name."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL managed instance."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity, in the form of /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>."
            }
        },
        "location": {
            "defaultValue": "[resourceGroup().location]",
            "type": "String",
            "metadata": {
                "description": "Enter location. If you leave this field blank resource group location would be used."
            }
        },
        "virtualNetworkName": {
            "type": "String",
            "defaultValue": "SQLMI-VNET",
            "metadata": {
                "description": "Enter virtual network name. If you leave this field blank name will be created by the template."
            }
        },
        "addressPrefix": {
            "defaultValue": "10.0.0.0/16",
            "type": "String",
            "metadata": {
                "description": "Enter virtual network address prefix."
            }
        },
        "subnetName": {
            "type": "String",
            "defaultValue": "ManagedInstances",
            "metadata": {
                "description": "Enter subnet name. If you leave this field blank name will be created by the template."
            }
        },
        "subnetPrefix": {
            "defaultValue": "10.0.0.0/24",
            "type": "String",
            "metadata": {
                "description": "Enter subnet address prefix."
            }
        },
        "skuName": {
            "defaultValue": "GP_Gen5",
            "allowedValues": [
                "GP_Gen5",
                "BC_Gen5"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter sku name."
            }
        },
        "vCores": {
            "defaultValue": 16,
            "allowedValues": [
                8,
                16,
                24,
                32,
                40,
                64,
                80
            ],
            "type": "Int",
            "metadata": {
                "description": "Enter number of vCores."
            }
        },
        "storageSizeInGB": {
            "defaultValue": 256,
            "minValue": 32,
            "maxValue": 8192,
            "type": "Int",
            "metadata": {
                "description": "Enter storage size."
            }
        },
        "licenseType": {
            "defaultValue": "LicenseIncluded",
            "allowedValues": [
                "BasePrice",
                "LicenseIncluded"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter license type."
            }
        }
    },
    "variables": {
        "networkSecurityGroupName": "[concat('SQLMI-', parameters('managedInstanceName'), '-NSG')]",
        "routeTableName": "[concat('SQLMI-', parameters('managedInstanceName'), '-Route-Table')]"
    },
    "resources": [
        {
            "type": "Microsoft.Network/networkSecurityGroups",
            "apiVersion": "2020-06-01",
            "name": "[variables('networkSecurityGroupName')]",
            "location": "[parameters('location')]",
            "properties": {
                "securityRules": [
                    {
                        "name": "allow_tds_inbound",
                        "properties": {
                            "description": "Allow access to data",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "1433",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1000,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "allow_redirect_inbound",
                        "properties": {
                            "description": "Allow inbound redirect traffic to Managed Instance inside the virtual network",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "11000-11999",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1100,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_inbound",
                        "properties": {
                            "description": "Deny all other inbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_outbound",
                        "properties": {
                            "description": "Deny all other outbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Outbound"
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Network/routeTables",
            "apiVersion": "2020-06-01",
            "name": "[variables('routeTableName')]",
            "location": "[parameters('location')]",
            "properties": {
                "disableBgpRoutePropagation": false
            }
        },
        {
            "type": "Microsoft.Network/virtualNetworks",
            "apiVersion": "2020-06-01",
            "name": "[parameters('virtualNetworkName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[variables('routeTableName')]",
                "[variables('networkSecurityGroupName')]"
            ],
            "properties": {
                "addressSpace": {
                    "addressPrefixes": [
                        "[parameters('addressPrefix')]"
                    ]
                },
                "subnets": [
                    {
                        "name": "[parameters('subnetName')]",
                        "properties": {
                            "addressPrefix": "[parameters('subnetPrefix')]",
                            "routeTable": {
                                "id": "[resourceId('Microsoft.Network/routeTables', variables('routeTableName'))]"
                            },
                            "networkSecurityGroup": {
                                "id": "[resourceId('Microsoft.Network/networkSecurityGroups', variables('networkSecurityGroupName'))]"
                            },
                            "delegations": [
                                {
                                    "name": "miDelegation",
                                    "properties": {
                                        "serviceName": "Microsoft.Sql/managedInstances"
                                    }
                                }
                            ]
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Sql/managedInstances",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('managedInstanceName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[parameters('virtualNetworkName')]"
            ],
            "sku": {
                "name": "[parameters('skuName')]"
            },
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "subnetId": "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('virtualNetworkName'), parameters('subnetName'))]",
                "storageSizeInGB": "[parameters('storageSizeInGB')]",
                "vCores": "[parameters('vCores')]",
                "licenseType": "[parameters('licenseType')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Contenu connexe

• Identités managées dans Microsoft Entra ID pour Azure SQL