Creare un Istanza gestita di SQL di Azure con un'identità gestita assegnata dall'utente

Si applica a:Azure SQL Managed Instance

• Database SQL di Azure
• Istanza gestita di database SQL di Azure

Questa guida pratica descrive i passaggi per creare un Istanza gestita di SQL di Azure con un'identità gestita assegnata dall'utente da Microsoft Entra ID (in precedenza Azure Active Directory). Per altre informazioni sui vantaggi dell'uso di un'identità gestita assegnata dall'utente per l'identità del server in database SQL di Azure, vedere Identità gestita assegnata dall'utente in Microsoft Entra for Azure SQL.

Nota

Microsoft Entra ID era precedentemente noto come Azure Active Directory (Azure AD).

Prerequisiti

• Per effettuare il provisioning di un Istanza gestita di SQL con un'identità gestita assegnata dall'utente, è necessario il ruolo collaboratore Istanza gestita di SQL (o un ruolo con autorizzazioni maggiori), insieme a un ruolo controllo degli accessi in base al ruolo di Azure contenente l'azione seguente:
  • Microsoft.ManagedIdentity/userAssignedIdentities/*/assign/action: ad esempio, l'operatore identità gestita ha questa azione.
• Creare un'identità gestita assegnata dall'utente e assegnarla l'autorizzazione necessaria per essere un'identità del server o dell'istanza gestita. Per altre informazioni, vedere Gestire le identità gestite assegnate dall'utente e le autorizzazioni di identità gestite assegnate dall'utente per Azure SQL.
• Il modulo Az.Sql 3.4 o versione successiva è necessario quando si usa PowerShell per le identità gestite assegnate dall'utente.
• L'interfaccia della riga di comando di Azure 2.26.0 o versione successiva è necessaria per usare l'interfaccia della riga di comando di Azure con identità gestite assegnate dall'utente.
• Per un elenco delle limitazioni e dei problemi noti relativi all'uso dell'identità gestita assegnata dall'utente, vedere Identità gestita assegnata dall'utente in Microsoft Entra per SQL di Azure

Portale

1. Passare alla pagina Selezionare l'opzione di distribuzione SQL nella portale di Azure.

2. Se non è già stato eseguito l'accesso a portale di Azure, accedere quando richiesto.

3. In Istanze gestite di SQL lasciare Il tipo di risorsa impostato su Istanza singola e selezionare Crea.

4. Compilare le informazioni obbligatorie nella scheda Informazioni di base per i dettagli del progetto e Istanza gestita dettagli. Contiene un set minimo di informazioni necessarie per effettuare il provisioning di un'istanza gestita di SQL.

   

   Per altre informazioni sulle opzioni di configurazione, vedere Avvio rapido: Creare un Istanza gestita di SQL di Azure.

5. In Autenticazione selezionare un modello di autenticazione preferito. Se si vuole configurare l'autenticazione solo Microsoft Entra-only, vedere la guida.

6. Passare quindi alla configurazione della scheda Rete o lasciare le impostazioni predefinite.

7. Nella scheda Sicurezza, in Identità, selezionare Configura identità.

   

8. Nel riquadro Identità, in Identità assegnata dall'utente, selezionare Aggiungi. Selezionare la sottoscrizione desiderata e quindi in Identità gestite assegnate dall'utente selezionare l'identità gestita assegnata dall'utente desiderata dalla sottoscrizione selezionata. Selezionare quindi il pulsante Seleziona .

   

   

9. In Identità primaria selezionare la stessa identità gestita assegnata dall'utente selezionata nel passaggio precedente.

   

   Nota

   Se l'identità gestita assegnata dal sistema è l'identità primaria, il campo Identità primaria deve essere vuoto.

10. Selezionare Applica.

11. È possibile lasciare il resto delle impostazioni predefinite. Per altre informazioni su altre schede e impostazioni, seguire la guida nell'articolo Avvio rapido: Creare un Istanza gestita di SQL di Azure.

12. Dopo aver completato la configurazione delle impostazioni, selezionare Rivedi e crea per continuare. Selezionare Crea per avviare il provisioning dell'istanza gestita.

L’interfaccia della riga di comando di Azure

Il comando dell'interfaccia della riga di comando az sql mi create di Azure viene usato per effettuare il provisioning di una nuova Istanza gestita di SQL di Azure. Il comando seguente eseguirà il provisioning di un'istanza gestita con un'identità gestita assegnata dall'utente e abiliterà anche l'autenticazione solo Microsoft Entra.The below command will provision a managed instance with a user-assigned managed identity, and also enable Microsoft Entra-only authentication.

Nota

Lo script richiede la creazione di una rete virtuale e una subnet come prerequisito.

L'account di accesso SQL Amministrazione istrator dell'istanza gestita verrà creato automaticamente e la password verrà impostata su una password casuale. Poiché la connettività di autenticazione SQL è disabilitata con questo provisioning, l'account di accesso di SQL Amministrazione istrator non verrà usato.

L'amministratore di Microsoft Entra sarà l'account impostato per <AzureADAccount>e può essere usato per gestire l'istanza al termine del provisioning.

Sostituire i valori seguenti nell'esempio:

• <subscriptionId>: l'ID sottoscrizione è disponibile nel portale di Azure
• <ResourceGroupName>: nome del gruppo di risorse per l'istanza gestita. Il gruppo di risorse deve includere anche la rete virtuale e la subnet create
• <managedIdentity>: identità gestita assegnata dall'utente. Può essere usato anche come identità primaria.
• <primaryIdentity>: l'identità primaria da usare come identità dell'istanza
• <AzureADAccount>: può essere un utente o un gruppo di Microsoft Entra. Ad esempio, DummyLogin
• <AzureADAccountSID>: ID oggetto Microsoft Entra per l'utente
• <managedinstancename>: denominare l'istanza gestita da creare
• Il subnet parametro deve essere aggiornato con <subscriptionId>, <ResourceGroupName><VNetName>, e <SubnetName>.

# Define variables for resources
subscriptionId="<subscriptionId>"
resourceGroupName="<ResourceGroupName>"
managedIdentity="<managedIdentity>"
primaryIdentity="<primaryIdentity>"
AzureADAccount="<AzureADAccount>"
AzureADAccountSID="<AzureADAccountSID>"
VNetName="<VNetName>"
SubnetName="<SubnetName>"
managedinstancename="<managedinstancename>"

# Create a managed instance with a user-assigned managed identity
az sql mi create \
  --assign-identity \
  --identity-type UserAssigned \
  --user-assigned-identity-id "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$managedIdentity" \
  --primary-user-assigned-identity-id "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$primaryIdentity" \
  --enable-ad-only-auth \
  --external-admin-principal-type User \
  --external-admin-name $AzureADAccount \
  --external-admin-sid $AzureADAccountSID \
  -g $resourceGroupName \
  -n $managedinstancename \
  --subnet "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Network/virtualNetworks/$VNetName/subnets/$SubnetName"

Per altre informazioni, vedere az sql mi create.

Nota

Nell'esempio precedente viene eseguito il provisioning di un'istanza gestita solo con un'identità gestita assegnata dall'utente. È possibile impostare il --identity-type valore su UserAssigned,SystemAssigned se si desidera creare entrambi i tipi di identità gestite con l'istanza di .

PowerShell

Il comando New-AzSqlInstance di PowerShell viene usato per effettuare il provisioning di una nuova Istanza gestita di SQL di Azure. Il comando seguente eseguirà il provisioning di un'istanza gestita con un'identità gestita assegnata dall'utente e abiliterà anche l'autenticazione solo Microsoft Entra.The below command will provision a managed instance with a user-assigned managed identity, and also enable Microsoft Entra-only authentication.

Nota

Lo script richiede la creazione di una rete virtuale e una subnet come prerequisito.

L'account di accesso SQL Amministrazione istrator dell'istanza gestita verrà creato automaticamente e la password verrà impostata su una password casuale. Poiché la connettività di autenticazione SQL è disabilitata con questo provisioning, l'account di accesso di SQL Amministrazione istrator non verrà usato.

L'amministratore di Microsoft Entra sarà l'account impostato per <AzureADAccount>e può essere usato per gestire l'istanza al termine del provisioning.

Sostituire i valori seguenti nell'esempio:

• <managedinstancename>: denominare l'istanza gestita da creare
• <ResourceGroupName>: nome del gruppo di risorse per l'istanza gestita. Il gruppo di risorse deve includere anche la rete virtuale e la subnet create
• <subscriptionId>: l'ID sottoscrizione è disponibile nel portale di Azure
• <managedIdentity>: identità gestita assegnata dall'utente. Può essere usato anche come identità primaria.
• <primaryIdentity>: l'identità primaria da usare come identità dell'istanza
• <Location>: posizione dell'istanza gestita, ad esempio West US, o Central US
• <AzureADAccount>: può essere un utente o un gruppo di Microsoft Entra. Ad esempio, DummyLogin
• Il SubnetId parametro deve essere aggiornato con <subscriptionId>, <ResourceGroupName><VNetName>, e <SubnetName>.

$instanceName = @{
    Name = "<managedinstancename>"
    ResourceGroupName = "<ResourceGroupName>"
    AssignIdentity = $true
    IdentityType = "UserAssigned"
    UserAssignedIdentityId = "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>"
    PrimaryUserAssignedIdentityId = "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<primaryIdentity>"
    ExternalAdminName = "<AzureADAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
    Location = "<Location>"
    SubnetId = "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>"
    LicenseType = "LicenseIncluded"
    StorageSizeInGB = 1024
    VCore = 16
    Edition = "GeneralPurpose"
    ComputeGeneration = "Gen5"
}

New-AzSqlInstance @instanceName

Per altre informazioni, vedere New-AzSqlInstance.

Nota

Nell'esempio precedente viene eseguito il provisioning di un'istanza gestita solo con un'identità gestita assegnata dall'utente. È possibile impostare l'oggetto -IdentityType"UserAssigned,SystemAssigned" su su se si desidera creare entrambi i tipi di identità gestite con l'istanza di .

REST API

Le Istanza gestita di SQL - Creare o aggiornare l'API REST possono essere usate per creare un'istanza gestita con un'identità gestita assegnata dall'utente.

Nota

Lo script richiede la creazione di una rete virtuale e una subnet come prerequisito.

Lo script seguente effettua il provisioning di un'istanza gestita con un'identità gestita assegnata dall'utente, imposta l'amministratore di Microsoft Entra come <AzureADAccount>e abilita l'autenticazione solo Entra di Microsoft. Verrà creato automaticamente anche l'account di accesso SQL Amministrazione istrator dell'istanza e la password verrà impostata su una password casuale. Poiché la connettività di autenticazione SQL è disabilitata con questo provisioning, l'account di accesso sql Amministrazione istrator non verrà usato.

L'amministratore <AzureADAccount> di Microsoft Entra può essere usato per gestire l'istanza al termine del provisioning.

Sostituire i valori seguenti nell'esempio:

• <tenantId>: è possibile trovare passando alla portale di Azure e passando alla risorsa ID Microsoft Entra. Nel riquadro Panoramica dovrebbe essere visualizzato l’ID tenant
• <subscriptionId>: l'ID sottoscrizione è disponibile nel portale di Azure
• <instanceName>: usare un nome di istanza gestita univoco
• <ResourceGroupName>: nome del gruppo di risorse per il server logico
• <AzureADAccount>: può essere un utente o un gruppo di Microsoft Entra. Ad esempio, DummyLogin
• <Location>: posizione del server, ad esempio westus2, o centralus
• <objectId>: è possibile trovare passando alla portale di Azure e passando alla risorsa ID Microsoft Entra. Nel riquadro Utente cercare l'utente Microsoft Entra e trovare il relativo ID oggetto
• Il subnetId parametro deve essere aggiornato con <ResourceGroupName>, , Subscription ID<VNetName>e<SubnetName>

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$instanceName = "<instanceName>"
$resourceGroupName = "<ResourceGroupName>"
$scopes ="https://management.core.windows.net/.default"

Login-AzAccount -tenantId $tenantId

# Login as an Azure AD user with permission to provision a managed instance

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes $scopes

$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

$body = '{
"name": "<instanceName>", "type": "Microsoft.Sql/managedInstances", "identity": {"type" : "UserAssigned", "UserAssignedIdentities" : {"/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>" : {}}},"location": "<Location>", "sku": {"name": "GP_Gen5", "tier": "GeneralPurpose", "family":"Gen5","capacity": 8},
"properties": { "PrimaryUserAssignedIdentityId":"/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<primaryIdentity>","administrators":{ "login":"<AzureADAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true },
"subnetId": "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>",
"licenseType": "LicenseIncluded", "vCores": 8, "storageSizeInGB": 2048, "collation": "SQL_Latin1_General_CP1_CI_AS", "proxyOverride": "Proxy", "timezoneId": "UTC", "privateEndpointConnections": [], "storageAccountType": "GRS", "zoneRedundant": false 
  }
}'

# To provision the instance, execute the `PUT` command

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Per controllare i risultati, eseguire il GET comando :

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method GET -Headers $authHeader  | Format-List

Modello ARM

Per effettuare il provisioning di una nuova rete virtuale, una subnet e una nuova istanza gestita configurata con un amministratore di Microsoft Entra, un'identità gestita assegnata dall'utente e l'autenticazione solo Microsoft Entra-only, usare il modello seguente.

Usa una distribuzione personalizzata nel portale di Azure e crea un modello personalizzato nell'editor. Salva quindi la configurazione dopo aver incollato l'esempio.

Per ottenere l'ID risorsa dell'identità gestita assegnata dall'utente, cercare Identità gestite nella portale di Azure. Trovare l'identità gestita e passare a Proprietà. Un esempio dell'ID risorsa UMI sarà simile a /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "managedInstanceName": {
            "type": "String",
            "metadata": {
                "description": "Enter managed instance name."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL managed instance."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity, in the form of /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>."
            }
        },
        "location": {
            "defaultValue": "[resourceGroup().location]",
            "type": "String",
            "metadata": {
                "description": "Enter location. If you leave this field blank resource group location would be used."
            }
        },
        "virtualNetworkName": {
            "type": "String",
            "defaultValue": "SQLMI-VNET",
            "metadata": {
                "description": "Enter virtual network name. If you leave this field blank name will be created by the template."
            }
        },
        "addressPrefix": {
            "defaultValue": "10.0.0.0/16",
            "type": "String",
            "metadata": {
                "description": "Enter virtual network address prefix."
            }
        },
        "subnetName": {
            "type": "String",
            "defaultValue": "ManagedInstances",
            "metadata": {
                "description": "Enter subnet name. If you leave this field blank name will be created by the template."
            }
        },
        "subnetPrefix": {
            "defaultValue": "10.0.0.0/24",
            "type": "String",
            "metadata": {
                "description": "Enter subnet address prefix."
            }
        },
        "skuName": {
            "defaultValue": "GP_Gen5",
            "allowedValues": [
                "GP_Gen5",
                "BC_Gen5"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter sku name."
            }
        },
        "vCores": {
            "defaultValue": 16,
            "allowedValues": [
                8,
                16,
                24,
                32,
                40,
                64,
                80
            ],
            "type": "Int",
            "metadata": {
                "description": "Enter number of vCores."
            }
        },
        "storageSizeInGB": {
            "defaultValue": 256,
            "minValue": 32,
            "maxValue": 8192,
            "type": "Int",
            "metadata": {
                "description": "Enter storage size."
            }
        },
        "licenseType": {
            "defaultValue": "LicenseIncluded",
            "allowedValues": [
                "BasePrice",
                "LicenseIncluded"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter license type."
            }
        }
    },
    "variables": {
        "networkSecurityGroupName": "[concat('SQLMI-', parameters('managedInstanceName'), '-NSG')]",
        "routeTableName": "[concat('SQLMI-', parameters('managedInstanceName'), '-Route-Table')]"
    },
    "resources": [
        {
            "type": "Microsoft.Network/networkSecurityGroups",
            "apiVersion": "2020-06-01",
            "name": "[variables('networkSecurityGroupName')]",
            "location": "[parameters('location')]",
            "properties": {
                "securityRules": [
                    {
                        "name": "allow_tds_inbound",
                        "properties": {
                            "description": "Allow access to data",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "1433",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1000,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "allow_redirect_inbound",
                        "properties": {
                            "description": "Allow inbound redirect traffic to Managed Instance inside the virtual network",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "11000-11999",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1100,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_inbound",
                        "properties": {
                            "description": "Deny all other inbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_outbound",
                        "properties": {
                            "description": "Deny all other outbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Outbound"
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Network/routeTables",
            "apiVersion": "2020-06-01",
            "name": "[variables('routeTableName')]",
            "location": "[parameters('location')]",
            "properties": {
                "disableBgpRoutePropagation": false
            }
        },
        {
            "type": "Microsoft.Network/virtualNetworks",
            "apiVersion": "2020-06-01",
            "name": "[parameters('virtualNetworkName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[variables('routeTableName')]",
                "[variables('networkSecurityGroupName')]"
            ],
            "properties": {
                "addressSpace": {
                    "addressPrefixes": [
                        "[parameters('addressPrefix')]"
                    ]
                },
                "subnets": [
                    {
                        "name": "[parameters('subnetName')]",
                        "properties": {
                            "addressPrefix": "[parameters('subnetPrefix')]",
                            "routeTable": {
                                "id": "[resourceId('Microsoft.Network/routeTables', variables('routeTableName'))]"
                            },
                            "networkSecurityGroup": {
                                "id": "[resourceId('Microsoft.Network/networkSecurityGroups', variables('networkSecurityGroupName'))]"
                            },
                            "delegations": [
                                {
                                    "name": "miDelegation",
                                    "properties": {
                                        "serviceName": "Microsoft.Sql/managedInstances"
                                    }
                                }
                            ]
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Sql/managedInstances",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('managedInstanceName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[parameters('virtualNetworkName')]"
            ],
            "sku": {
                "name": "[parameters('skuName')]"
            },
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "subnetId": "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('virtualNetworkName'), parameters('subnetName'))]",
                "storageSizeInGB": "[parameters('storageSizeInGB')]",
                "vCores": "[parameters('vCores')]",
                "licenseType": "[parameters('licenseType')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Contenuto correlato

• Identità gestita assegnata dall'utente nell'ID Microsoft Entra per SQL di Azure