Criar servidor configurado com a identidade gerenciada atribuída pelo usuário e CMK entre locatários para TDE

Artigo
10/31/2023

Aplica-se a: Banco de Dados SQL do Azure

Neste guia, abordaremos as etapas para criar um servidor lógico do SQL do Azure com transparent data encryption (TDE) e chaves gerenciadas pelo cliente (CMK), utilizando uma identidade gerenciada atribuída pelo usuário para acessar um Azure Key Vault que está em um locatário do Microsoft Entra que é diferente do locatário do servidor lógico. Para obter mais informações, confira Chaves gerenciadas pelo cliente entre locatários com transparent data encryption.

Observação

O Microsoft Entra ID era anteriormente conhecido como Azure Active Directory (Azure AD).

Pré-requisitos

Este guia pressupõe que você possui dois locatários do Microsoft Entra.
- O primeiro contém o recurso do banco de dados SQL do Azure, uma aplicação do Microsoft Entra multilocatário e uma identidade gerenciada atribuída pelo usuário.
- O segundo locatário abriga o Azure Key Vault.
Para obter instruções abrangentes sobre como configurar a CMK entre locatários e as permissões de RBAC necessárias para configurar as aplicações do Microsoft Entra e o Azure Key Vault, confira um dos seguintes guias:
- Configurar chaves gerenciadas pelo cliente entre locatários para uma nova conta de armazenamento
- Configurar chaves gerenciadas pelo cliente entre locatários em uma conta de armazenamento existente

Recursos necessários no primeiro locatário

Para a finalidade deste tutorial, vamos supor que o primeiro locatário pertence a um ISV (fornecedor de software independente) e o segundo locatário é de seu cliente. Para obter mais informações sobre esse cenário, confira Chaves gerenciadas pelo cliente entre locatários com criptografia de dados transparente.

Antes de podermos configurar a TDE para o banco de dados SQL do Azure com uma CMK entre locatários, precisamos ter uma aplicação do Microsoft Entra multilocatário configurada com uma identidade gerenciada atribuída pelo usuário atribuída como uma credencial de identidade federada para a aplicação. Siga um dos guias em Pré-requisitos.

No primeiro locatário em que você deseja criar o banco de dados SQL do Azure, crie e configure uma aplicação do Microsoft Entra multilocatário
Criar uma identidade gerenciada atribuída ao usuário
Configure a identidade gerenciada atribuída pelo usuário como uma credencial de identidade federada para o aplicativo multilocatário
Registre o nome do aplicativo e a ID do aplicativo. Isso pode ser encontrado no portal do Azure>Microsoft Entra ID>aplicações empresariais e pesquise a aplicação criada

Recursos necessários no segundo locatário

Observação

Os módulos Azure AD e MSOnline PowerShell estão preteridos desde 30 de março de 2024. Para saber mais, leia a atualização de preterição. Após essa data, o suporte a esses módulos se limitará à assistência à migração para o SDK do Microsoft Graph PowerShell e às correções de segurança. Os módulos preteridos continuarão funcionando até 30 de março de 2025.

Recomendamos migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (antigo Azure AD). Para perguntas comuns sobre migração, consulte as Perguntas Frequentes sobre Migração. Nota: as versões 1.0.x do MSOnline poderão sofrer interrupções após 30 de junho de 2024.

No segundo locatário em que reside o Azure Key Vault, crie uma entidade de serviço (aplicativo) usando a ID do aplicativo registrado do primeiro locatário. Aqui estão alguns exemplos de como registrar o aplicativo multilocatário. Substitua <TenantID> e <ApplicationID> pela ID do locatário do cliente do Microsoft Entra ID e pela ID da aplicação da aplicação multilocatário, respectivamente:
- PowerShell:
```
Connect-AzureAD -TenantID <TenantID>
New-AzADServicePrincipal  -ApplicationId <ApplicationID>
```
- A CLI do Azure:
```
az login --tenant <TenantID>
az ad sp create --id <ApplicationID>
```
Acesse o portal do Azure>Microsoft Entra ID>aplicações empresariais e pesquise a aplicação que acabou de ser criada.
Crie um Azure Key Vault caso não tenha uma e crie uma chave
Crie ou defina a política de acesso.
1. Selecione as permissões Obter, Encapsular Chave, Desencapsular Chave em Permissões de chave ao criar a política de acesso
2. Selecione o aplicativo multilocatário criado na primeira etapa na opção Entidade de segurança ao criar a política de acesso
Depois que a política de acesso e a chave tiverem sido criadas, recupere a chave do Key Vault e registre o Identificador de chave

Criar servidor configurado com TDE com CMK (chave gerenciada pelo cliente) entre locatários

Este guia explicará o processo de criação de um servidor lógico e um banco de dados no SQL do Azure com uma identidade gerenciada atribuída pelo usuário, além de como definir uma chave gerenciada pelo cliente entre locatários. A identidade gerenciada atribuída pelo usuário é uma obrigação para configurar uma chave gerenciada pelo cliente para criptografia de dados transparente durante a fase de criação do servidor.

Importante

O usuário ou aplicativo que usa APIs para criar servidores lógicos do SQL precisa das funções RBAC do Colaborador SQL Server e do Operador de Identidade Gerenciada ou superiores na assinatura.

Navegue até a página com a opção Selecionar implantação do SQL no portal do Azure.
Se você ainda não entrou no portal do Azure, entre quando solicitado.
Em Bancos de dados SQL, deixe Tipo de recurso definido como Banco de dados individual e selecione Criar.
Na guia Noções básicas do formulário Criar Banco de Dados SQL, em Detalhes do projeto, selecione a Assinatura do Azure desejada.
Para Grupo de recursos, selecione Criar, insira um nome para o grupo de recursos e selecione OK.
Para Nome do banco de dados, insira um nome de banco de dados. Por exemplo, ContosoHR.
Para Servidor, selecione Criar e preencha o formulário Novo servidor com os seguintes valores:
- Nome do servidor: insira um nome exclusivo para o servidor. Os nomes dos servidores devem ser globalmente exclusivos para todos os servidores no Azure, não apenas para uma assinatura. Insira algo como mysqlserver135 e o portal do Azure informará se o nome está ou não disponível.
- Logon do administrador do servidor: insira um nome de logon de administrador, por exemplo: azureuser.
- Senha: insira uma senha que atenda aos requisitos de senha e insira-a novamente no campo Confirmar senha.
- Localização: Selecione uma localização na lista suspensa
Selecione Avançar: Rede na parte inferior da página.
Na guia Rede, para Método de conectividade, selecione Ponto de extremidade público.
Para Regras de firewall, defina Adicionar endereço IP do cliente atual como Sim. Deixe Permitir que serviços e recursos do Azure acessem este servidor definido como Não. O restante das seleções nesta página pode ser deixado como padrão.
Selecione Próximo: Segurança na parte inferior da página.
Na guia “Segurança”, em Identidade, selecione Configurar identidades.
No menu Identidade, selecione Desativado para Identidade gerenciada atribuída pelo sistema e selecione Adicionar em Identidade gerenciada atribuída pelo usuário. Selecione a Assinatura desejada e, em Identidades gerenciadas atribuídas pelo usuário, selecione a identidade gerenciada atribuída pelo usuário desejada da assinatura selecionada. Selecione o botão Adicionar.
Em Identidade primária, selecione a mesma identidade gerenciada atribuída pelo usuário que foi selecionada na etapa anterior.
Para Identidade federada de cliente, selecione a opção Alterar identidade e pesquise o aplicativo multilocatário que você criou nos Pré-requisitos.

Observação

Se o aplicativo multilocatário não tiver sido adicionado à política de acesso do cofre de chaves com as permissões necessárias (Get, Wrap Key, Unwrap Key), usando este aplicativo para federação de identidade no portal do Azure mostrará um erro. Verifique se as permissões foram configuradas corretamente antes de configurar a identidade do cliente federado.
Selecione Aplicar.
Na guia Segurança, em Criptografia de dados transparente, selecione Configurar criptografia de dados transparente. Selecione Chave gerenciada pelo cliente e uma opção para Inserir um identificador de chave será exibida. Adicione o Identificador de chave obtido da chave no segundo locatário.
Selecione Aplicar.
Selecione Revisar + criar na parte inferior da página
Na página Examinar + criar, após examinar, selecione Criar.

Para saber como instalar versão atual da CLI do Azure, confira o artigo Instalar a CLI do Azure.

Crie um servidor configurado com uma identidade gerenciada atribuída pelo usuário e a TDE gerenciada pelo cliente entre locatários usando o comando az sql server create. O Identificador de chave do segundo locatário pode ser usado no campo key-id. A ID do aplicativo multilocatário pode ser usada no campo federated-client-id.

az sql server create \
    --name $serverName \
    --resource-group $resourceGroupName \
    --location $location  \
    --admin-user $adminlogin \
    --admin-password $password \
    --assign-identity \
    --identity-type $identitytype \
    --user-assigned-identity-id $identityid \
    --primary-user-assigned-identity-id $primaryidentityid \
    --key-id $keyid \
    --federated-client-id $federatedid

Crie um banco de dados com o comando az sql db create.

az sql db create \
    --resource-group $resourceGroupName \
    --server $serverName \
    --name mySampleDatabase \
    --sample-name AdventureWorksLT \
    --edition GeneralPurpose \
    --compute-model Serverless \
    --family Gen5 \
    --capacity 2

Crie um servidor configurado com uma identidade gerenciada atribuída pelo usuário e a TDE gerenciada pelo cliente entre locatários usando o PowerShell.

Para obter instruções de instalação do módulo Az do PowerShell, confira Instalar o Azure PowerShell. Para cmdlets específicos, confira AzureRM.Sql.

Use o cmdlet New-AzSqlServer.

Substitua os seguintes valores no exemplo:

<ResourceGroupName>: nome do grupo de recursos para o servidor lógico do SQL do Azure
<Location>: localização do servidor, como West US ou Central US
<ServerName>: use um nome exclusivo para o servidor lógico do SQL do Azure
<ServerAdminName>: logon do administrador de SQL
<ServerAdminPassword>: a senha do administrador de SQL
<IdentityType>: tipo de identidade a ser atribuída ao servidor. Os valores possíveis são SystemAssigned, UserAssigned, SystemAssigned,UserAssigned e Nenhum
<UserAssignedIdentityId>: a lista de identidades gerenciadas atribuídas pelo usuário a serem designadas ao servidor (uma ou várias)
<PrimaryUserAssignedIdentityId>: a identidade gerenciada atribuída pelo usuário que deve ser usada como primária ou padrão neste servidor
<CustomerManagedKeyId>: o Identificador de chave do Key Vault do segundo locatário
<FederatedClientId>: a ID do aplicativo multilocatário

Para obter a ID de recurso da identidade gerenciada atribuída pelo usuário, pesquise Identidades gerenciadas no portal do Azure. Encontre sua identidade gerenciada e acesse Propriedades. Um exemplo da ID de recurso da UMI é semelhante a /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>

# create a server with user-assigned managed identity and cross-tenant customer-managed TDE
$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    SqlAdministratorCredentials = (Get-Credential)
    SqlAdministratorLogin = "<ServerAdminName>"
    SqlAdministratorPassword = "<ServerAdminPassword>"
    AssignIdentity = $true
    IdentityType = "<IdentityType>"
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    PrimaryUserAssignedIdentityId = "<PrimaryUserAssignedIdentityId>"
    KeyId = "<CustomerManagedKeyId>"
    FederatedClientId = "<FederatedClientId>"
}

New-AzSqlServer @params

Veja a seguir um exemplo de um modelo do ARM que cria um servidor lógico de SQL do Azure com uma identidade gerenciada atribuída pelo usuário e a TDE gerenciada pelo cliente. Para uma CMK entre locatários, use o Identificador de chave do Key Vault do segundo locatário e a ID do Aplicativo multilocatário.

O modelo também adiciona um conjunto de administradores do Microsoft Entra para o servidor e habilita a autenticação somente do Microsoft Entra, mas isso pode ser removido do exemplo do modelo.

Para obter mais informações e modelos do ARM, confira Modelos do Azure Resource Manager para o Banco de Dados SQL do Azure e a Instância Gerenciada de SQL.

Use uma implantação personalizada no portal do Azure e crie um modelo próprio no editor. Em seguida, salve a configuração depois de colá-la no exemplo.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "String"
        },
        "location": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity."
            }
        },
        "federated_clientid": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Application ID of the multi-tenant application."
            }
        },
        "keyvault_url": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The key vault URI."
            }
        },
        "AdminLogin": {
            "minLength": 1,
            "type": "String"
        },
        "AdminLoginPassword": {
            "type": "SecureString"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2022-05-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "administratorLogin": "[parameters('AdminLogin')]",
                "administratorLoginPassword": "[parameters('AdminLoginPassword')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "federatedClientId": "[parameters('federated_clientid')]",
                "KeyId": "[parameters('keyvault_url')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Próximas etapas

Introdução à integração do Azure Key Vault e ao suporte de Bring Your Own Key para TDE: Ativar a TDE com sua própria chave do Key Vault
Chaves gerenciadas pelo cliente entre locatários com criptografia de dados transparente

Compartilhar via