ユーザー割り当てマネージド ID と TDE 用のテナント間 CMK を使用して構成されたサーバーを作成する

適用対象:Azure SQL Database

このガイドでは、Transparent Data Encryption (TDE) とカスタマー マネージド キー (CMK) を使って Azure SQL 論理サーバーを作成する手順について説明します。ユーザー割り当てマネージド ID を使って、論理サーバー テナントとは異なる Microsoft Entra テナントの Azure Key Vault にアクセスします。 詳しくは、「Transparent Data Encryption でのクロステナント カスタマー マネージド キー」をご覧ください。

Note

Microsoft Entra ID の、旧称は Azure Active Directory（Azure AD）です。

前提条件

• このガイドでは、2 つの Microsoft Entra テナントを所有していることを前提としています。
  • 1 つ目は、Azure SQL Database リソース、マルチテナント Microsoft Entra アプリケーション、ユーザー割り当てマネージド ID で構成されます。
  • 2 つ目のテナントは、Azure Key Vault を格納します。
• Microsoft Entra アプリケーションと Azure Key Vault の構成に必要なテナント間 CMK および RBAC アクセス許可のセットアップに関する包括的な手順については、次のいずれかのガイドを参照してください。
  • 新しいストレージ アカウント用のクロステナントのカスタマー マネージド キーを構成する
  • 既存のストレージ アカウント用のクロステナントのカスタマー マネージド キーを構成する

1 つ目のテナントで必要なリソース

このチュートリアルでは、1 つ目のテナントは独立系ソフトウェア ベンダー (ISV) に属し、2 つ目のテナントはクライアントのものであると仮定します。 このシナリオについて詳しくは、「Transparent Data Encryption でのクロステナント カスタマー マネージド キー」をご覧ください。

テナント間 CMK を使って Azure SQL Database 用に TDE を構成する前に、アプリケーションのフェデレーション ID 資格情報として割り当てられたユーザー割り当てマネージド ID を使って構成されたマルチテナント Microsoft Entra アプリケーションを用意する必要があります。 前提条件のガイドのいずれかに従って行います。

1. Azure SQL Database を作成する最初のテナントで、マルチテナント Microsoft Entra アプリケーションを作成して構成します

2. ユーザー割り当てマネージド ID を作成する

3. マルチテナント アプリケーションのフェデレーション ID 資格情報として、ユーザー割り当てマネージド ID を構成します

4. アプリケーション名とアプリケーション ID を記録しておきます。 これは、Azure portal>[Microsoft Entra]>[エンタープライズ アプリケーション] で作成されたアプリケーションを検索することで確認できます

2 つ目のテナントで必要なリソース

Note

Azure AD および MSOnline PowerShell モジュールは、2024 年 3 月 30 日の時点で非推奨となります。 詳細については、非推奨の最新情報を参照してください。 この日以降、これらのモジュールのサポートは、Microsoft Graph PowerShell SDK への移行支援とセキュリティ修正プログラムに限定されます。 非推奨になるモジュールは、2025 年 3 月 30 日まで引き続き機能します。

Microsoft Entra ID (旧称 Azure AD) を使用するには、Microsoft Graph PowerShell に移行することをお勧めします。 移行に関する一般的な質問については、「移行に関する FAQ」を参照してください。 注: バージョン 1.0.x の MSOnline では、2024 年 6 月 30 日以降に中断が発生する可能性があります。

1. Azure Key Vault が存在する 2 つ目のテナントでは、1 つ目のテナントの登録済みアプリケーションのアプリケーション ID を使ってサービス プリンシパル (アプリケーション) を作成します。 マルチテナント アプリケーションを登録する方法の例をいくつか次に示します。 <TenantID> と <ApplicationID> をそれぞれ、Microsoft Entra ID のクライアント テナント ID と、マルチテナント アプリケーションのアプリケーション ID に置き換えます。

   • PowerShell:

     Connect-AzureAD -TenantID <TenantID>
     New-AzADServicePrincipal  -ApplicationId <ApplicationID>
     

   • Azure CLI:

     az login --tenant <TenantID>
     az ad sp create --id <ApplicationID>
     

2. Azure portal>[Microsoft Entra ID]>[エンタープライズ アプリケーション] に移動し、先に作成したアプリケーションを検索します。

3. Azure キー コンテナーがない場合は作成して、キーを作成します

4. アクセス ポリシーを作成または設定します。

   1. アクセス ポリシーを作成するときに、[キーのアクセス許可] で "キーの取得、キーの折り返し、キーの折り返し解除" のアクセス許可を選びます
   2. アクセス ポリシーを作成するときに、[プリンシパル] オプションで、最初のステップで作成したマルチテナント アプリケーションを選びます

   

5. アクセス ポリシーとキーが作成されたら、Key Vault からキーを取得し、キー識別子を記録しておきます

TDE とテナント間カスタマー マネージド キー (CMK) を使用して構成されたサーバーを作成する

このガイドでは、ユーザー割り当てマネージド ID を使って Azure SQL で論理サーバーとデータベースを作成するプロセスと、テナント間カスタマー マネージド キーを設定する方法について説明します。 ユーザー割り当てマネージド ID は、サーバー作成フェーズの間に Transparent Data Encryption 用にカスタマー マネージド キーを設定するために必要です。

重要

API を使って SQL 論理サーバーを作成するユーザーまたはアプリケーションのサブスクリプションには、SQL Server 共同作成者とマネージド ID オペレーター以上の RBAC ロールが必要です。

ポータル

1. Azure portal の [SQL デプロイ オプションの選択] ページを参照します。

2. まだ Azure portal にサインインしていない場合は、求められたらサインインします。

3. [SQL データベース] で、 [リソースの種類] を [単一データベース] に設定し、 [作成] を選択します。

4. [SQL データベースの作成] フォームの [基本] タブにある [プロジェクトの詳細] で、目的の Azure [サブスクリプション] を選択します。

5. [リソース グループ] の [新規作成] を選択し、リソース グループの名前を入力し、 [OK] を選択します。

6. [データベース名] に、データベースの名前を入力します。 たとえば、「 ContosoHR 」のように入力します。

7. [サーバー] で、 [新規作成] を選択し、 [新しいサーバー] フォームに次の値を入力します。

   • [サーバー名] : 一意のサーバー名を入力します。 サーバー名は、サブスクリプション内で一意ではなく、Azure のすべてのサーバーに対してグローバルに一意である必要があります。 mysqlserver135 などと入力すると、使用可能かどうかが Azure portal で確認できます。
   • [サーバー管理者ログイン]: 管理者のログイン名を入力します (例: azureuser)。
   • パスワード: パスワード要件を満たすパスワードを入力し、[パスワードの確認入力] フィールドにもう一度入力します。
   • [場所] : ドロップダウン リストから場所を選択します

8. ページの下部にある [Next: Networking](次へ: ネットワーク) を選択します。

9. [ネットワーク] タブの [接続方法] で、 [パブリック エンドポイント] を選択します。

10. [ファイアウォール規則] で、 [現在のクライアント IP アドレスを追加する] を [はい] に設定します。 [Azure サービスおよびリソースにこのサーバー グループへのアクセスを許可する] を [いいえ] に設定したままにします。 このページの残りの選択項目は、既定値のままでかまいません。

    

11. ページの下部で [次へ: セキュリティ] を選択します。

12. [セキュリティ] タブの [ID] で、[ID の構成] を選択します。

    

13. [ID] メニューの [システム割り当てマネージド ID] で [オフ] を選んでから、[ユーザー割り当てマネージド ID] で [追加] を選びます。 使用する [サブスクリプション] を選んでから、[ユーザー割り当てマネージド ID] で、選んだサブスクリプションから使用するユーザー割り当てマネージド ID を選びます。 次に [追加] ボタンを選択します。

14. [プライマリ ID] で、前の手順で選択したのと同じユーザー割り当てマネージド ID を選択します。

    

15. [フェデレーション クライアント ID] では、[ID の変更] オプションを選んで、「前提条件」で作成したマルチテナント アプリケーションを検索します。

    

    Note

    マルチテナント アプリケーションが必要なアクセス許可 ("取得、キーを折り返す、キーの折り返しを解除") でキー コンテナー アクセス ポリシーに追加されていない場合、Azure portal での ID フェデレーションにこのアプリケーションを使うとエラーが表示されます。 フェデレーション クライアント ID を構成する前に、アクセス許可が正しく構成されていることを確認します。

16. [適用] を選択します

17. [セキュリティ] タブの [Transparent Data Encryption] で、[Transparent Data Encryption を構成する] を選びます。 [カスタマー マネージド キー] を選ぶと、[キー識別子を入力してください] オプションが表示されます。 2 つ目のテナントのキーから取得したキー識別子を追加します。

    

18. [適用] を選択します

19. ページの下部にある [確認と作成] を選択します

20. [確認と作成] ページで、確認後、 [作成] を選択します。

Azure CLI

Azure CLI の現在のリリースのインストールについては、Azure CLI のインストールに関する記事を参照してください。

az sql server create コマンドを使って、ユーザー割り当てマネージド ID とテナント間カスタマー マネージド TDE で構成されたサーバーを作成します。 key-id フィールドは、2 つ目のテナントのキー識別子を使用できます。 federated-client-id フィールドでは、マルチテナント アプリケーションのアプリケーション ID を使用できます。

az sql server create \
    --name $serverName \
    --resource-group $resourceGroupName \
    --location $location  \
    --admin-user $adminlogin \
    --admin-password $password \
    --assign-identity \
    --identity-type $identitytype \
    --user-assigned-identity-id $identityid \
    --primary-user-assigned-identity-id $primaryidentityid \
    --key-id $keyid \
    --federated-client-id $federatedid
 

az sql db create コマンドを使用してデータベースを作成します。

az sql db create \
    --resource-group $resourceGroupName \
    --server $serverName \
    --name mySampleDatabase \
    --sample-name AdventureWorksLT \
    --edition GeneralPurpose \
    --compute-model Serverless \
    --family Gen5 \
    --capacity 2

PowerShell

PowerShell を使って、ユーザー割り当てマネージド ID とテナント間カスタマー マネージド TDE で構成されたサーバーを作成します。

Az PowerShell モジュールのインストール手順については、Azure PowerShell のインストールを参照してください。 具体的なコマンドレットについては、「AzureRM.Sql」を参照してください。

New-AzSqlServer コマンドレットを使用します。

この例では次の値を置き換えます。

• <ResourceGroupName>: Azure SQL 論理サーバーのリソース グループの名前
• <Location>: サーバーの場所 (West US、Central US など)
• <ServerName>: 一意の Azure SQL 論理サーバー名を使用します
• <ServerAdminName>: SQL 管理者のログイン
• <ServerAdminPassword>:SQL 管理者のパスワード
• <IdentityType>: サーバーに割り当てる ID の種類。 指定できる値は、「SystemAssigned」、「UserAssigned」、「SystemAssigned,UserAssigned」、および「なし」です
• <UserAssignedIdentityId>: サーバーに割り当てるユーザー割り当てマネージド ID の一覧 (1 つ以上を指定できます)
• <PrimaryUserAssignedIdentityId>: このサーバーのプライマリまたは既定として使用する必要があるユーザー割り当てマネージド ID
• <CustomerManagedKeyId>: 2 つ目のテナントの Key Vault のキー識別子
• <FederatedClientId>: マルチテナント アプリケーションのアプリケーション ID

ユーザー割り当てマネージド ID のリソース ID を取得するには、Azure portal でマネージド ID を検索します。 マネージド ID を見つけて、[プロパティ] に移動します。 UMI リソース ID の例は、/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity> のようになります

# create a server with user-assigned managed identity and cross-tenant customer-managed TDE
$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    SqlAdministratorCredentials = (Get-Credential)
    SqlAdministratorLogin = "<ServerAdminName>"
    SqlAdministratorPassword = "<ServerAdminPassword>"
    AssignIdentity = $true
    IdentityType = "<IdentityType>"
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    PrimaryUserAssignedIdentityId = "<PrimaryUserAssignedIdentityId>"
    KeyId = "<CustomerManagedKeyId>"
    FederatedClientId = "<FederatedClientId>"
}

New-AzSqlServer @params

ARM テンプレート

ユーザー割り当てマネージド ID とカスタマー マネージド TDE を持つ Azure SQL 論理サーバーを作成する ARM テンプレートの例を次に示します。 テナント間 CMK の場合は、2 つ目のテナントの Key Vault のキー識別子と、マルチテナント アプリケーションのアプリケーション ID を使います。

このテンプレートはサーバーの Microsoft Entra 管理者セットも追加し、Microsoft Entra のみの認証を有効にしますが、これはテンプレートの例から削除できます。

ARM テンプレートの詳細については、「Azure SQL Database および SQL Managed Instance 用 Azure Resource Manager テンプレート」を参照してください。

Azure portal のカスタム デプロイを使用し、エディターで独自のテンプレートを作成します。 次に、例に貼り付けたら、構成を保存します。

ユーザー割り当てマネージド ID のリソース ID を取得するには、Azure portal でマネージド ID を検索します。 マネージド ID を見つけて、[プロパティ] に移動します。 UMI リソース ID の例は、/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity> のようになります。

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "String"
        },
        "location": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity."
            }
        },
        "federated_clientid": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Application ID of the multi-tenant application."
            }
        },
        "keyvault_url": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The key vault URI."
            }
        },
        "AdminLogin": {
            "minLength": 1,
            "type": "String"
        },
        "AdminLoginPassword": {
            "type": "SecureString"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2022-05-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "administratorLogin": "[parameters('AdminLogin')]",
                "administratorLoginPassword": "[parameters('AdminLoginPassword')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "federatedClientId": "[parameters('federated_clientid')]",
                "KeyId": "[parameters('keyvault_url')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

次のステップ

• TDE のための Azure Key Vault 統合と Bring Your Own Key のサポートの概要: Key Vault の独自のキーを使用して TDE を有効にする
• Transparent Data Encryption でのクロステナント カスタマー マネージド キー

こちらもご覧ください

• データベース レベルのカスタマー マネージド キーを使用した Transparent Data Encryption (TDE)
• データベース レベルのカスタマー マネージド キーを使用して Transparent Data Encryption 用に geo レプリケーションとバックアップ復元を構成する
• データベース レベル CMK を使用した TDE の ID とキーの管理