Tworzenie usługi Azure SQL Managed Instance przy użyciu tożsamości zarządzanej przypisanej przez użytkownika

Dotyczy:Azure SQL Managed Instance

• Azure SQL Database
• Wystąpienie zarządzane Azure SQL

W tym przewodniku z instrukcjami opisano kroki tworzenia wystąpienia zarządzanego Azure SQL z tożsamością zarządzaną przypisaną przez użytkownika z poziomu identyfikatora Microsoft Entra ID (dawniej Azure Active Directory). Aby uzyskać więcej informacji na temat korzyści z używania tożsamości zarządzanej przypisanej przez użytkownika dla tożsamości serwera w usłudze Azure SQL Database, zobacz Tożsamość zarządzana przypisana przez użytkownika w usłudze Microsoft Entra for Azure SQL.

Uwaga

Microsoft Entra ID był wcześniej znany jako Azure Active Directory (Azure AD).

Wymagania wstępne

• Aby aprowizować wystąpienie zarządzane SQL przy użyciu tożsamości zarządzanej przypisanej przez użytkownika, wymagana jest rola Współautor wystąpienia zarządzanego SQL (lub rola z większymi uprawnieniami) wraz z rolą RBAC platformy Azure zawierającą następującą akcję:
  • Microsoft.ManagedIdentity/userAssignedIdentities/*/assign/action — na przykład operator tożsamości zarządzanej ma tę akcję.
• Utwórz tożsamość zarządzaną przypisaną przez użytkownika i przypisz jej niezbędne uprawnienia do tożsamości serwera lub wystąpienia zarządzanego. Aby uzyskać więcej informacji, zobacz Zarządzanie tożsamościami zarządzanymi przypisanymi przez użytkownika i uprawnieniami tożsamości zarządzanej przypisanej przez użytkownika dla usługi Azure SQL.
• Moduł Az.Sql w wersji 3.4 lub nowszej jest wymagany w przypadku korzystania z programu PowerShell dla tożsamości zarządzanych przypisanych przez użytkownika.
• Interfejs wiersza polecenia platformy Azure w wersji 2.26.0 lub nowszej jest wymagany do korzystania z interfejsu wiersza polecenia platformy Azure z tożsamościami zarządzanymi przypisanymi przez użytkownika.
• Aby uzyskać listę ograniczeń i znanych problemów z używaniem tożsamości zarządzanej przypisanej przez użytkownika, zobacz Tożsamość zarządzana przypisana przez użytkownika w usłudze Microsoft Entra for Azure SQL

Portal

1. Przejdź do strony Wybierz wdrożenie SQL w witrynie Azure Portal.

2. Jeśli jeszcze nie zalogowano się do witryny Azure Portal, zaloguj się po wyświetleniu monitu.

3. W obszarze Wystąpienia zarządzane SQL pozostaw opcję Typ zasobu ustawiony na Pojedyncze wystąpienie, a następnie wybierz pozycję Utwórz.

4. Wypełnij obowiązkowe informacje wymagane na karcie Podstawy , aby uzyskać szczegóły projektu i szczegóły wystąpienia zarządzanego. Jest to minimalny zestaw informacji wymaganych do aprowizacji wystąpienia zarządzanego SQL.

   

   Aby uzyskać więcej informacji na temat opcji konfiguracji, zobacz Szybki start: tworzenie wystąpienia zarządzanego Azure SQL.

5. W obszarze Uwierzytelnianie wybierz preferowany model uwierzytelniania. Jeśli chcesz skonfigurować uwierzytelnianie tylko firmy Microsoft, zapoznaj się z przewodnikiem.

6. Następnie przejdź przez konfigurację karty Sieć lub pozostaw ustawienia domyślne.

7. Na karcie Zabezpieczenia w obszarze Tożsamość wybierz pozycję Konfiguruj tożsamości.

   

8. W okienku Tożsamość w obszarze Tożsamość przypisana przez użytkownika wybierz pozycję Dodaj. Wybierz żądaną subskrypcję , a następnie w obszarze Tożsamości zarządzane przypisane przez użytkownika wybierz odpowiednią tożsamość zarządzaną przypisaną przez użytkownika z wybranej subskrypcji. Następnie wybierz przycisk Wybierz .

   

   

9. W obszarze Tożsamość podstawowa wybierz tę samą tożsamość zarządzaną przypisaną przez użytkownika wybraną w poprzednim kroku.

   

   Uwaga

   Jeśli tożsamość zarządzana przypisana przez system jest tożsamością podstawową, pole Tożsamość podstawowa musi być puste.

10. Wybierz Zastosuj

11. Możesz pozostawić pozostałe ustawienia domyślne. Aby uzyskać więcej informacji na temat innych kart i ustawień, postępuj zgodnie z przewodnikiem w artykule Szybki start: tworzenie usługi Azure SQL Managed Instance.

12. Po zakończeniu konfigurowania ustawień wybierz pozycję Przejrzyj i utwórz , aby kontynuować. Wybierz pozycję Utwórz , aby rozpocząć aprowizowanie wystąpienia zarządzanego.

Interfejs wiersza polecenia platformy Azure

Polecenie interfejsu wiersza polecenia az sql mi create platformy Azure służy do aprowizowania nowego wystąpienia zarządzanego Azure SQL. Poniższe polecenie spowoduje aprowizację wystąpienia zarządzanego przy użyciu tożsamości zarządzanej przypisanej przez użytkownika, a także włączy uwierzytelnianie tylko firmy Microsoft.

Uwaga

Skrypt wymaga utworzenia sieci wirtualnej i podsieci jako wymagania wstępne.

Identyfikator logowania usługi SQL Administracja istratora wystąpienia zarządzanego zostanie automatycznie utworzony, a hasło zostanie ustawione na losowe hasło. Ponieważ łączność z uwierzytelnianiem SQL jest wyłączona przy użyciu tej aprowizacji, logowanie Administracja istratora SQL nie będzie używane.

Administrator firmy Microsoft Entra będzie kontem ustawionym dla <AzureADAccount>programu i może służyć do zarządzania wystąpieniem po zakończeniu aprowizacji.

Zastąp następujące wartości w przykładzie:

• <subscriptionId>: Identyfikator subskrypcji można znaleźć w witrynie Azure Portal
• <ResourceGroupName>: nazwa grupy zasobów dla wystąpienia zarządzanego. Grupa zasobów powinna również zawierać sieć wirtualną i utworzoną podsieć
• <managedIdentity>: tożsamość zarządzana przypisana przez użytkownika. Może być również używana jako tożsamość podstawowa.
• <primaryIdentity>: tożsamość podstawowa, której chcesz użyć jako tożsamości wystąpienia
• <AzureADAccount>: może być użytkownikiem lub grupą firmy Microsoft Entra. Na przykład DummyLogin
• <AzureADAccountSID>: Identyfikator obiektu Entra firmy Microsoft dla użytkownika
• <managedinstancename>: nadaj nazwę wystąpieniu zarządzanemu, które chcesz utworzyć
• Parametr subnet musi zostać zaktualizowany przy użyciu parametru <subscriptionId>, , <ResourceGroupName><VNetName>i <SubnetName>.

# Define variables for resources
subscriptionId="<subscriptionId>"
resourceGroupName="<ResourceGroupName>"
managedIdentity="<managedIdentity>"
primaryIdentity="<primaryIdentity>"
AzureADAccount="<AzureADAccount>"
AzureADAccountSID="<AzureADAccountSID>"
VNetName="<VNetName>"
SubnetName="<SubnetName>"
managedinstancename="<managedinstancename>"

# Create a managed instance with a user-assigned managed identity
az sql mi create \
  --assign-identity \
  --identity-type UserAssigned \
  --user-assigned-identity-id "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$managedIdentity" \
  --primary-user-assigned-identity-id "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$primaryIdentity" \
  --enable-ad-only-auth \
  --external-admin-principal-type User \
  --external-admin-name $AzureADAccount \
  --external-admin-sid $AzureADAccountSID \
  -g $resourceGroupName \
  -n $managedinstancename \
  --subnet "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Network/virtualNetworks/$VNetName/subnets/$SubnetName"

Aby uzyskać więcej informacji, zobacz az sql mi create.

Uwaga

Powyższy przykład aprowizuje wystąpienie zarządzane tylko z tożsamością zarządzaną przypisaną przez użytkownika. Można ustawić wartość --identity-type na UserAssigned,SystemAssigned wartość , jeśli chcesz, aby oba typy tożsamości zarządzanych zostały utworzone za pomocą wystąpienia.

Program PowerShell

Polecenie New-AzSqlInstance programu PowerShell służy do aprowizowania nowego wystąpienia zarządzanego Azure SQL. Poniższe polecenie spowoduje aprowizację wystąpienia zarządzanego przy użyciu tożsamości zarządzanej przypisanej przez użytkownika, a także włączy uwierzytelnianie tylko firmy Microsoft.

Uwaga

Skrypt wymaga utworzenia sieci wirtualnej i podsieci jako wymagania wstępne.

Identyfikator logowania usługi SQL Administracja istratora wystąpienia zarządzanego zostanie automatycznie utworzony, a hasło zostanie ustawione na losowe hasło. Ponieważ łączność z uwierzytelnianiem SQL jest wyłączona przy użyciu tej aprowizacji, logowanie Administracja istratora SQL nie będzie używane.

Administrator firmy Microsoft Entra będzie kontem ustawionym dla <AzureADAccount>programu i może służyć do zarządzania wystąpieniem po zakończeniu aprowizacji.

Zastąp następujące wartości w przykładzie:

• <managedinstancename>: nadaj nazwę wystąpieniu zarządzanemu, które chcesz utworzyć
• <ResourceGroupName>: nazwa grupy zasobów dla wystąpienia zarządzanego. Grupa zasobów powinna również zawierać sieć wirtualną i utworzoną podsieć
• <subscriptionId>: Identyfikator subskrypcji można znaleźć w witrynie Azure Portal
• <managedIdentity>: tożsamość zarządzana przypisana przez użytkownika. Może być również używana jako tożsamość podstawowa.
• <primaryIdentity>: tożsamość podstawowa, której chcesz użyć jako tożsamości wystąpienia
• <Location>: Lokalizacja wystąpienia zarządzanego, na przykład West US, lub Central US
• <AzureADAccount>: może być użytkownikiem lub grupą firmy Microsoft Entra. Na przykład DummyLogin
• Parametr SubnetId musi zostać zaktualizowany przy użyciu parametru <subscriptionId>, , <ResourceGroupName><VNetName>i <SubnetName>.

$instanceName = @{
    Name = "<managedinstancename>"
    ResourceGroupName = "<ResourceGroupName>"
    AssignIdentity = $true
    IdentityType = "UserAssigned"
    UserAssignedIdentityId = "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>"
    PrimaryUserAssignedIdentityId = "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<primaryIdentity>"
    ExternalAdminName = "<AzureADAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
    Location = "<Location>"
    SubnetId = "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>"
    LicenseType = "LicenseIncluded"
    StorageSizeInGB = 1024
    VCore = 16
    Edition = "GeneralPurpose"
    ComputeGeneration = "Gen5"
}

New-AzSqlInstance @instanceName

Aby uzyskać więcej informacji, zobacz New-AzSqlInstance.

Uwaga

Powyższy przykład aprowizuje wystąpienie zarządzane tylko z tożsamością zarządzaną przypisaną przez użytkownika. Można ustawić wartość , aby ustawić -IdentityType"UserAssigned,SystemAssigned" wartość na wartość , jeśli chcesz, aby oba typy tożsamości zarządzanych zostały utworzone za pomocą wystąpienia.

Interfejs API REST

Wystąpienia zarządzane SQL — tworzenie lub aktualizowanie interfejsu API REST można użyć do utworzenia wystąpienia zarządzanego z tożsamością zarządzaną przypisaną przez użytkownika.

Uwaga

Skrypt wymaga utworzenia sieci wirtualnej i podsieci jako wymagania wstępne.

Poniższy skrypt przeprowadzi aprowizację wystąpienia zarządzanego przy użyciu tożsamości zarządzanej przypisanej przez użytkownika, ustawi administratora usługi Microsoft Entra jako <AzureADAccount>i włączy uwierzytelnianie tylko w usłudze Microsoft Entra. Nazwa logowania Administracja istratora sql wystąpienia zostanie również utworzona automatycznie, a hasło zostanie ustawione na losowe hasło. Ponieważ łączność z uwierzytelnianiem SQL jest wyłączona z tą aprowizowaniem, logowanie Administracja istratora SQL nie będzie używane.

Administrator <AzureADAccount> firmy Microsoft Entra może służyć do zarządzania wystąpieniem po zakończeniu aprowizacji.

Zastąp następujące wartości w przykładzie:

• <tenantId>: Można go znaleźć, przechodząc do witryny Azure Portal i przechodząc do zasobu Identyfikator entra firmy Microsoft. W okienku Przegląd powinien zostać wyświetlony identyfikator dzierżawy
• <subscriptionId>: Identyfikator subskrypcji można znaleźć w witrynie Azure Portal
• <instanceName>: Użyj unikatowej nazwy wystąpienia zarządzanego
• <ResourceGroupName>: nazwa grupy zasobów dla serwera logicznego
• <AzureADAccount>: może być użytkownikiem lub grupą firmy Microsoft Entra. Na przykład DummyLogin
• <Location>: Lokalizacja serwera, na przykład westus2, lub centralus
• <objectId>: Można go znaleźć, przechodząc do witryny Azure Portal i przechodząc do zasobu Identyfikator entra firmy Microsoft. W okienku Użytkownik wyszukaj użytkownika Microsoft Entra i znajdź identyfikator obiektu
• Parametr subnetId musi zostać zaktualizowany przy użyciu parametru <ResourceGroupName>Subscription ID, , <VNetName>i<SubnetName>

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$instanceName = "<instanceName>"
$resourceGroupName = "<ResourceGroupName>"
$scopes ="https://management.core.windows.net/.default"

Login-AzAccount -tenantId $tenantId

# Login as an Azure AD user with permission to provision a managed instance

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes $scopes

$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

$body = '{
"name": "<instanceName>", "type": "Microsoft.Sql/managedInstances", "identity": {"type" : "UserAssigned", "UserAssignedIdentities" : {"/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>" : {}}},"location": "<Location>", "sku": {"name": "GP_Gen5", "tier": "GeneralPurpose", "family":"Gen5","capacity": 8},
"properties": { "PrimaryUserAssignedIdentityId":"/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<primaryIdentity>","administrators":{ "login":"<AzureADAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true },
"subnetId": "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>",
"licenseType": "LicenseIncluded", "vCores": 8, "storageSizeInGB": 2048, "collation": "SQL_Latin1_General_CP1_CI_AS", "proxyOverride": "Proxy", "timezoneId": "UTC", "privateEndpointConnections": [], "storageAccountType": "GRS", "zoneRedundant": false 
  }
}'

# To provision the instance, execute the `PUT` command

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Aby sprawdzić wyniki, wykonaj GET polecenie:

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method GET -Headers $authHeader  | Format-List

Szablon ARM

Aby aprowizować nową sieć wirtualną, podsieć i nowe wystąpienie zarządzane skonfigurowane przy użyciu administratora firmy Microsoft Entra, tożsamości zarządzanej przypisanej przez użytkownika i uwierzytelniania tylko firmy Microsoft, użyj następującego szablonu.

Użyj wdrożenia niestandardowego w witrynie Azure Portal i utwórz własny szablon w edytorze. Następnie zapisz konfigurację po wklejeniu w przykładzie.

Aby uzyskać identyfikator zasobu tożsamości zarządzanej przypisanej przez użytkownika, wyszukaj pozycję Tożsamości zarządzane w witrynie Azure Portal. Znajdź tożsamość zarządzaną i przejdź do pozycji Właściwości. Przykład identyfikatora zasobu interfejsu użytkownika będzie wyglądać następująco: /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "managedInstanceName": {
            "type": "String",
            "metadata": {
                "description": "Enter managed instance name."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL managed instance."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity, in the form of /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>."
            }
        },
        "location": {
            "defaultValue": "[resourceGroup().location]",
            "type": "String",
            "metadata": {
                "description": "Enter location. If you leave this field blank resource group location would be used."
            }
        },
        "virtualNetworkName": {
            "type": "String",
            "defaultValue": "SQLMI-VNET",
            "metadata": {
                "description": "Enter virtual network name. If you leave this field blank name will be created by the template."
            }
        },
        "addressPrefix": {
            "defaultValue": "10.0.0.0/16",
            "type": "String",
            "metadata": {
                "description": "Enter virtual network address prefix."
            }
        },
        "subnetName": {
            "type": "String",
            "defaultValue": "ManagedInstances",
            "metadata": {
                "description": "Enter subnet name. If you leave this field blank name will be created by the template."
            }
        },
        "subnetPrefix": {
            "defaultValue": "10.0.0.0/24",
            "type": "String",
            "metadata": {
                "description": "Enter subnet address prefix."
            }
        },
        "skuName": {
            "defaultValue": "GP_Gen5",
            "allowedValues": [
                "GP_Gen5",
                "BC_Gen5"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter sku name."
            }
        },
        "vCores": {
            "defaultValue": 16,
            "allowedValues": [
                8,
                16,
                24,
                32,
                40,
                64,
                80
            ],
            "type": "Int",
            "metadata": {
                "description": "Enter number of vCores."
            }
        },
        "storageSizeInGB": {
            "defaultValue": 256,
            "minValue": 32,
            "maxValue": 8192,
            "type": "Int",
            "metadata": {
                "description": "Enter storage size."
            }
        },
        "licenseType": {
            "defaultValue": "LicenseIncluded",
            "allowedValues": [
                "BasePrice",
                "LicenseIncluded"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter license type."
            }
        }
    },
    "variables": {
        "networkSecurityGroupName": "[concat('SQLMI-', parameters('managedInstanceName'), '-NSG')]",
        "routeTableName": "[concat('SQLMI-', parameters('managedInstanceName'), '-Route-Table')]"
    },
    "resources": [
        {
            "type": "Microsoft.Network/networkSecurityGroups",
            "apiVersion": "2020-06-01",
            "name": "[variables('networkSecurityGroupName')]",
            "location": "[parameters('location')]",
            "properties": {
                "securityRules": [
                    {
                        "name": "allow_tds_inbound",
                        "properties": {
                            "description": "Allow access to data",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "1433",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1000,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "allow_redirect_inbound",
                        "properties": {
                            "description": "Allow inbound redirect traffic to Managed Instance inside the virtual network",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "11000-11999",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1100,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_inbound",
                        "properties": {
                            "description": "Deny all other inbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_outbound",
                        "properties": {
                            "description": "Deny all other outbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Outbound"
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Network/routeTables",
            "apiVersion": "2020-06-01",
            "name": "[variables('routeTableName')]",
            "location": "[parameters('location')]",
            "properties": {
                "disableBgpRoutePropagation": false
            }
        },
        {
            "type": "Microsoft.Network/virtualNetworks",
            "apiVersion": "2020-06-01",
            "name": "[parameters('virtualNetworkName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[variables('routeTableName')]",
                "[variables('networkSecurityGroupName')]"
            ],
            "properties": {
                "addressSpace": {
                    "addressPrefixes": [
                        "[parameters('addressPrefix')]"
                    ]
                },
                "subnets": [
                    {
                        "name": "[parameters('subnetName')]",
                        "properties": {
                            "addressPrefix": "[parameters('subnetPrefix')]",
                            "routeTable": {
                                "id": "[resourceId('Microsoft.Network/routeTables', variables('routeTableName'))]"
                            },
                            "networkSecurityGroup": {
                                "id": "[resourceId('Microsoft.Network/networkSecurityGroups', variables('networkSecurityGroupName'))]"
                            },
                            "delegations": [
                                {
                                    "name": "miDelegation",
                                    "properties": {
                                        "serviceName": "Microsoft.Sql/managedInstances"
                                    }
                                }
                            ]
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Sql/managedInstances",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('managedInstanceName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[parameters('virtualNetworkName')]"
            ],
            "sku": {
                "name": "[parameters('skuName')]"
            },
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "subnetId": "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('virtualNetworkName'), parameters('subnetName'))]",
                "storageSizeInGB": "[parameters('storageSizeInGB')]",
                "vCores": "[parameters('vCores')]",
                "licenseType": "[parameters('licenseType')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Powiązana zawartość

• Tożsamość zarządzana przypisana przez użytkownika w usłudze Microsoft Entra ID dla usługi Azure SQL