ユーザー割り当てマネージド ID とカスタマー マネージド TDE で構成されたサーバーを作成する

適用対象:Azure SQL Database

この使い方ガイドでは、ユーザー割り当てマネージド ID を使用して Azure Key Vault にアクセスし、カスタマー マネージド キー (CMK) による Transparent Data Encryption (TDE) が構成された論理サーバーを Azure に作成する手順の概要を説明します。

Note

Microsoft Entra ID の、旧称は Azure Active Directory（Azure AD）です。

前提条件

• この攻略ガイドは、Azure SQL Database の TDE 保護機能として使用するために、Azure Key Vault のキーを既に作成し、キーをインポートしていることを前提としています。 詳細については、BYOK をサポートする Transparent Data Encryption に関する記事を参照してください。
• キー コンテナーで論理的な削除と消去保護が有効になっている必要があります
• ユーザー割り当てマネージド ID を作成し、上記のキー コンテナーに必要な TDE アクセス許可 (取得、Wrap キーを折り返す、キーの折り返しを解除) を指定している必要があります。 ユーザー割り当てマネージド ID の作成については、ユーザー割り当てマネージド ID を作成する方法に関するページを参照してください。
• Azure PowerShell がインストールされ、実行されている必要があります。
• [推奨ただし省略可能] まず TDE 保護機能のキー素材をハードウェア セキュリティ モジュール (HSM) またはローカル キー ストアで作成し、そのキー素材を Azure Key Vault にインポートします。 詳しくは、ハードウェア セキュリティ モジュール (HSM) と Key Vault の使用手順をご覧ください。

カスタマー マネージド キー (CMK) を使用して TDE で構成されたサーバーを作成する

次の手順では、割り当てられたユーザー割り当てマネージド ID を持つ Azure SQL Database の新しい論理サーバーと新しいデータベースを作成するプロセスの概要を説明します。 ユーザー割り当てマネージド ID は、サーバー作成時に TDE のカスタマー マネージド キーを構成するために必要です。

ポータル

1. Azure portal の [SQL デプロイ オプションの選択] ページを参照します。

2. まだ Azure portal にサインインしていない場合は、求められたらサインインします。

3. [SQL データベース] で、 [リソースの種類] を [単一データベース] に設定し、 [作成] を選択します。

4. [SQL データベースの作成] フォームの [基本] タブにある [プロジェクトの詳細] で、目的の Azure [サブスクリプション] を選択します。

5. [リソース グループ] の [新規作成] を選択し、リソース グループの名前を入力し、 [OK] を選択します。

6. [データベース名] に「ContosoHR」と入力します。

7. [サーバー] で、 [新規作成] を選択し、 [新しいサーバー] フォームに次の値を入力します。

   • [サーバー名] : 一意のサーバー名を入力します。 サーバー名は、サブスクリプション内で一意ではなく、Azure のすべてのサーバーに対してグローバルに一意である必要があります。 mysqlserver135 などと入力すると、使用可能かどうかが Azure portal で確認できます。
   • [サーバー管理者ログイン]: 管理者のログイン名を入力します (例: azureuser)。
   • パスワード: パスワード要件を満たすパスワードを入力し、[パスワードの確認入力] フィールドにもう一度入力します。
   • [場所] : ドロップダウン リストから場所を選択します

8. ページの下部にある [Next: Networking](次へ: ネットワーク) を選択します。

9. [ネットワーク] タブの [接続方法] で、 [パブリック エンドポイント] を選択します。

10. [ファイアウォール規則] で、 [現在のクライアント IP アドレスを追加する] を [はい] に設定します。 [Azure サービスおよびリソースにこのサーバー グループへのアクセスを許可する] を [いいえ] に設定したままにします。

    

11. ページの下部で [次へ: セキュリティ] を選択します。

12. [セキュリティ] タブの [サーバー ID] で、[ID の構成] を選択します。

    

13. [ID]ウィンドウで、[システム割り当てマネージド ID]に [オフ]を選択したら、[ユーザー割り当てマネージド ID] の[追加]を選択します。 使用する [サブスクリプション] を選んでから、[ユーザー割り当てマネージド ID] で、選んだサブスクリプションから使用するユーザー割り当てマネージド ID を選びます。 次に [追加] ボタンを選択します。

    

    

14. [プライマリ ID] で、前の手順で選択したのと同じユーザー割り当てマネージド ID を選択します。

    

15. [適用] を選択します

16. [セキュリティ] タブの [Transparent Data Encryption キー管理] で、サーバーまたはデータベースの透過的なデータ暗号化を構成するオプションがあります。

    • サーバー レベル キーの場合: [Transparent Data Encryption を構成する] を選択します。 [カスタマー マネージド キー] を選ぶと、[キーの選択] を選択するオプションが表示されます。 [キーの変更] を選びます。 TDE に使用するカスタマー マネージド キーの目的のサブスクリプション、キー コンテナー、キー、バージョンを選択します。 [選択] ボタンを選択します。

    

    

    • データベース レベルのキーの場合: [透過的なデータ暗号化の構成] を選択します。 [データベース レベルのカスタマー マネージド キー] を選択すると、データベース ID とカスタマー マネージド キーを構成するオプションが表示されます。 手順 13 と同様に、[構成] を選択して、データベースのユーザー割り当てマネージド ID を構成します。 [キーの変更] を選択してカスタマー マネージド キーを構成します。 TDE に使用するカスタマー マネージド キーの目的のサブスクリプション、キー コンテナー、キー、バージョンを選択します。 [Transparent Data Encryption] メニューでキーの自動ローテーションを有効にするオプションもあります。 [選択] ボタンを選択します。

    

17. [適用] を選択します

18. ページの下部にある [確認と作成] を選択します

19. [確認と作成] ページで、確認後、 [作成] を選択します。

Azure CLI

Azure CLI の現在のリリースのインストールについては、Azure CLI のインストールに関する記事を参照してください。

az sql server create コマンドを使用して、ユーザー割り当てマネージド ID とカスタマー マネージド TDE で構成されたサーバーを作成します。

az sql server create \
    --name $serverName \
    --resource-group $resourceGroupName \
    --location $location  \
    --admin-user $adminlogin \
    --admin-password $password \
    --assign-identity \
    --identity-type $identitytype \
    --user-assigned-identity-id $identityid \
    --primary-user-assigned-identity-id $primaryidentityid \
    --key-id $keyid
 

az sql db create コマンドを使用してデータベースを作成します。

az sql db create \
    --resource-group $resourceGroupName \
    --server $serverName \
    --name mySampleDatabase \
    --sample-name AdventureWorksLT \
    --edition GeneralPurpose \
    --compute-model Serverless \
    --family Gen5 \
    --capacity 2

PowerShell

PowerShell を使用して、ユーザー割り当てマネージド ID とカスタマー マネージド TDE で構成されたサーバーを作成します。

Az PowerShell モジュールのインストール手順については、Azure PowerShell のインストールを参照してください。 具体的なコマンドレットについては、「AzureRM.Sql」を参照してください。

New-AzSqlServer コマンドレットを使用します。

この例では次の値を置き換えます。

• <ResourceGroupName>: Azure SQL 論理サーバーのリソース グループの名前
• <Location>: サーバーの場所 (West US、Central US など)
• <ServerName>: 一意の Azure SQL 論理サーバー名を使用します
• <ServerAdminName>: SQL 管理者のログイン
• <ServerAdminPassword>:SQL 管理者のパスワード
• <IdentityType>: サーバーに割り当てる ID の種類。 指定できる値は、「SystemAssigned」、「UserAssigned」、「SystemAssigned,UserAssigned」、および「なし」です
• <UserAssignedIdentityId>: サーバーに割り当てるユーザー割り当てマネージド ID の一覧 (1 つ以上を指定できます)
• <PrimaryUserAssignedIdentityId>: このサーバーのプライマリまたは既定として使用する必要があるユーザー割り当てマネージド ID
• <CustomerManagedKeyId>: キー識別子であり、Key Vault のキーから取得できます。

ユーザー割り当てマネージド ID のリソース ID を取得するには、Azure portal でマネージド ID を検索します。 マネージド ID を見つけて、[プロパティ] に移動します。 UMI リソース ID の例は、/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity> のようになります

# create a server with user-assigned managed identity and customer-managed TDE
$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    SqlAdministratorCredentials = (Get-Credential)
    SqlAdministratorLogin = "<ServerAdminName>"
    SqlAdministratorPassword = "<ServerAdminPassword>"
    AssignIdentity = $true
    IdentityType = "<IdentityType>"
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    PrimaryUserAssignedIdentityId = "<PrimaryUserAssignedIdentityId>"
    KeyId = "<CustomerManagedKeyId>"
}

New-AzSqlServer @params

ARM テンプレート

ユーザー割り当てマネージド ID とカスタマー マネージド TDE を持つ Azure SQL 論理サーバーを作成する ARM テンプレートの例を次に示します。 このテンプレートはサーバーの Microsoft Entra 管理者セットも追加し、Microsoft Entra のみの認証を有効にしますが、これはテンプレートの例から削除できます。

ARM テンプレートの詳細については、「Azure SQL Database および SQL Managed Instance 用 Azure Resource Manager テンプレート」を参照してください。

Azure portal のカスタム デプロイを使用し、エディターで独自のテンプレートを作成します。 次に、例に貼り付けたら、構成を保存します。

ユーザー割り当てマネージド ID のリソース ID を取得するには、Azure portal でマネージド ID を検索します。 マネージド ID を見つけて、[プロパティ] に移動します。 UMI リソース ID の例は、/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity> のようになります。

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "String"
        },
        "location": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity."
            }
        },
        "keyvault_url": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The key vault URI."
            }
        },
        "AdminLogin": {
            "minLength": 1,
            "type": "String"
        },
        "AdminLoginPassword": {
            "type": "SecureString"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "administratorLogin": "[parameters('AdminLogin')]",
                "administratorLoginPassword": "[parameters('AdminLoginPassword')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "KeyId": "[parameters('keyvault_url')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

次のステップ

• TDE のために Azure Key Vault の統合と Bring Your Own Key サポートの使用を開始する: Key Vault の独自のキーを使用して TDE を有効にする。