Creare un server configurato con identità gestita assegnata dall'utente e TDE gestito dal cliente

Si applica a:database SQL di Azure

Questa guida pratica illustra i passaggi per creare un server logico in Azure configurato con Transparent Data Encryption (TDE) con chiavi gestite dal cliente usando un'identitàgestita assegnata dall'utente per accedere ad Azure Key Vault.

Nota

Microsoft Entra ID era precedentemente noto come Azure Active Directory (Azure AD).

Prerequisiti

• Questa guida pratica presuppone che sia già stata creata un'istanza di Azure Key Vault e che sia stata importata una chiave da usare come protezione TDE per database SQL di Azure. Per altre informazioni, vedere Transparent Data Encryption con supporto BYOK.
• L'eliminazione temporanea e la protezione eliminazione devono essere abilitate nell'insieme di credenziali delle chiavi
• È necessario aver creato un'identità gestita assegnata dall'utente e fornire le autorizzazioni TDE necessarie (Get, Wrap Key, Unwrap Key) nell'insieme di credenziali delle chiavi precedente. Per la creazione di un'identità gestita assegnata dall'utente, vedere Creare un'identità gestita assegnata dall'utente.
• È necessario che Azure PowerShell sia installato ed eseguito.
• [Consigliata ma facoltativa] Creare innanzitutto il materiale della chiave per la protezione TDE in un modulo di protezione hardware (HSM) o in un archivio chiavi locale e importare il materiale della chiave in Azure Key Vault. Seguire le Istruzioni per l'uso di un modulo di protezione hardware (HSM) e di Key Vault per altre informazioni.

Creare un server configurato con TDE con chiave gestita dal cliente (CMK)

I passaggi seguenti illustrano il processo di creazione di un nuovo server logico database SQL di Azure e di un nuovo database con un'identità gestita assegnata dall'utente. L'identità gestita assegnata dall'utente è necessaria per configurare una chiave gestita dal cliente per TDE in fase di creazione del server.

Portale

1. Passare alla pagina Selezionare l'opzione di distribuzione SQL nella portale di Azure.

2. Se non è già stato eseguito l'accesso a portale di Azure, accedere quando richiesto.

3. In Database SQL lasciare l'opzione Tipo di risorsa impostata su Database singolo e selezionare Crea.

4. Nella scheda Informazioni di base del modulo Crea database SQL selezionare la Sottoscrizione di Azure corretta in Dettagli del progetto.

5. In Gruppo di risorse selezionare Crea nuovo, immettere un nome per il gruppo di risorse e selezionare OK.

6. In Nome database immettere ContosoHR.

7. In server selezionare Crea nuovo e compilare il modulo Nuovo server con i valori seguenti:

   • Nome server: immettere un nome server univoco. I nomi dei server devono essere univoci a livello globale per tutti i server in Azure, non solo univoci all'interno di una sottoscrizione. Immettere un valore simile mysqlserver135a e il portale di Azure invierà informazioni se è disponibile o meno.
   • Account di accesso amministratore del server: immettere un nome di accesso amministratore, ad esempio: azureuser.
   • Password: immettere una password che soddisfi i requisiti della password e immetterla di nuovo nel campo Conferma password .
   • Località: selezionare una località dall'elenco a discesa

8. Selezionare Avanti: Rete nella parte inferiore della pagina.

9. Nella scheda Rete selezionare Endpoint pubblico in Metodo di connettività.

10. In Regole del firewall impostare Aggiungi indirizzo IP client corrente su Sì. Lasciare l'opzione Consenti alle risorse e ai servizi di Azure di accedere a questo server impostata su No.

    

11. Selezionare Avanti: Sicurezza nella parte inferiore della pagina.

12. Nella scheda Sicurezza, in Identità server selezionare Configura identità.

    

13. Nel riquadro Identità selezionare No per Identità gestita assegnata dal sistema e quindi selezionare Aggiungi in Identità gestita assegnata dall'utente. Selezionare la sottoscrizione desiderata e quindi in Identità gestite assegnate dall'utente selezionare l'identità gestita assegnata dall'utente desiderata dalla sottoscrizione selezionata. Selezionare quindi il pulsante Aggiungi .

    

    

14. In Identità primaria selezionare la stessa identità gestita assegnata dall'utente selezionata nel passaggio precedente.

    

15. Selezionare Applica.

16. Nella scheda Sicurezza, in Transparent Data Encryption Key Management è possibile configurare Transparent Data Encryption per il server o il database.

    • Per Chiave a livello di server: selezionare Configura Transparent Data Encryption. Selezionare Chiave gestita dal cliente e verrà visualizzata un'opzione per selezionare Seleziona una chiave . Selezionare Cambia chiave. Selezionare la sottoscrizione desiderata, l'insieme di credenziali delle chiavi, la chiave e la versione per la chiave gestita dal cliente da usare per TDE. Fare clic sul pulsante Seleziona.

    

    

    • Per Chiave a livello di database: selezionare Configura Transparent Data Encryption. Selezionare Chiave gestita dal cliente a livello di database e verrà visualizzata un'opzione per configurare l'identità del database e la chiave gestita dal cliente. Selezionare Configura per configurare un'identità gestita assegnata dall'utente per il database, simile al passaggio 13. Selezionare Cambia chiave per configurare una chiave gestita dal cliente. Selezionare la sottoscrizione desiderata, l'insieme di credenziali delle chiavi, la chiave e la versione per la chiave gestita dal cliente da usare per TDE. È anche possibile abilitare La rotazione automatica della chiave nel menu Transparent Data Encryption . Fare clic sul pulsante Seleziona.

    

17. Selezionare Applica.

18. Selezionare Rivedi e crea nella parte inferiore della pagina

19. Nella pagina Rivedi e crea, dopo aver rivisto le impostazioni, selezionare Crea.

L’interfaccia della riga di comando di Azure

Per informazioni sull'installazione della versione corrente dell'interfaccia della riga di comando di Azure, vedere Installare l'interfaccia della riga di comando di Azure .

Creare un server configurato con identità gestita assegnata dall'utente e TDE gestito dal cliente usando il comando az sql server create .

az sql server create \
    --name $serverName \
    --resource-group $resourceGroupName \
    --location $location  \
    --admin-user $adminlogin \
    --admin-password $password \
    --assign-identity \
    --identity-type $identitytype \
    --user-assigned-identity-id $identityid \
    --primary-user-assigned-identity-id $primaryidentityid \
    --key-id $keyid
 

Creare un database con il comando az sql db create.

az sql db create \
    --resource-group $resourceGroupName \
    --server $serverName \
    --name mySampleDatabase \
    --sample-name AdventureWorksLT \
    --edition GeneralPurpose \
    --compute-model Serverless \
    --family Gen5 \
    --capacity 2

PowerShell

Creare un server configurato con identità gestita assegnata dall'utente e TDE gestito dal cliente usando PowerShell.

Per istruzioni sull'installazione del modulo Az PowerShell, vedere Installare Azure PowerShell. Per cmdlet specifici, vedere AzureRM.Sql.

Usare il cmdlet New-AzSqlServer .

Sostituire i valori seguenti nell'esempio:

• <ResourceGroupName>: nome del gruppo di risorse per il server logico SQL di Azure
• <Location>: posizione del server, ad esempio West US, o Central US
• <ServerName>: usare un nome univoco del server logico SQL di Azure
• <ServerAdminName>: account di accesso di SQL Amministrazione istrator
• <ServerAdminPassword>: password sql Amministrazione istrator
• <IdentityType>: tipo di identità da assegnare al server. I valori possibili sono SystemAssigned, SystemAssigned,UserAssignedUserAssignede None
• <UserAssignedIdentityId>: elenco di identità gestite assegnate dall'utente da assegnare al server (può essere uno o più)
• <PrimaryUserAssignedIdentityId>: identità gestita assegnata dall'utente che deve essere usata come primaria o predefinita in questo server
• <CustomerManagedKeyId>: identificatore di chiave e può essere recuperato dalla chiave in Key Vault

Per ottenere l'ID risorsa dell'identità gestita assegnata dall'utente, cercare Identità gestite nella portale di Azure. Trovare l'identità gestita e passare a Proprietà. Un esempio di ID risorsa UMI è simile al seguente:/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>

# create a server with user-assigned managed identity and customer-managed TDE
$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    SqlAdministratorCredentials = (Get-Credential)
    SqlAdministratorLogin = "<ServerAdminName>"
    SqlAdministratorPassword = "<ServerAdminPassword>"
    AssignIdentity = $true
    IdentityType = "<IdentityType>"
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    PrimaryUserAssignedIdentityId = "<PrimaryUserAssignedIdentityId>"
    KeyId = "<CustomerManagedKeyId>"
}

New-AzSqlServer @params

Modello ARM

Di seguito è riportato un esempio di modello di Resource Manager che crea un server logico in Azure con un'identità gestita assegnata dall'utente e un TDE gestito dal cliente. Il modello aggiunge anche un set di amministratori di Microsoft Entra per il server e abilita l'autenticazione solo Entra di Microsoft, ma questo può essere rimosso dall'esempio di modello.

Per altre informazioni e modelli di Resource Manager, vedere Modelli di Azure Resource Manager per database SQL di Azure e Istanza gestita di SQL.

Usa una distribuzione personalizzata nel portale di Azure e crea un modello personalizzato nell'editor. Salva quindi la configurazione dopo aver incollato l'esempio.

Per ottenere l'ID risorsa dell'identità gestita assegnata dall'utente, cercare Identità gestite nella portale di Azure. Trovare l'identità gestita e passare a Proprietà. Un esempio di ID risorsa UMI è simile a /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "String"
        },
        "location": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity."
            }
        },
        "keyvault_url": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The key vault URI."
            }
        },
        "AdminLogin": {
            "minLength": 1,
            "type": "String"
        },
        "AdminLoginPassword": {
            "type": "SecureString"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "administratorLogin": "[parameters('AdminLogin')]",
                "administratorLoginPassword": "[parameters('AdminLoginPassword')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "KeyId": "[parameters('keyvault_url')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Passaggi successivi

• Introduzione all'integrazione di Azure Key Vault e al supporto Bring Your Own Key per TDE: Attivare TDE usando la propria chiave da Key Vault.