Criar um servidor configurado com a identidade gerenciada atribuída pelo usuário e a TDE gerenciada pelo cliente

Aplica-se a: Banco de Dados SQL do Azure

Este guia de instruções descreve as etapas para criar um servidor lógico no Azure configurado com Transparent Data Encryption (TDE) e chaves gerenciadas pelo cliente (CMKs) usando uma identidade gerenciada atribuída pelo usuário para acessar o Azure Key Vault.

Observação

O Microsoft Entra ID era anteriormente conhecido como Azure Active Directory (Azure AD).

Pré-requisitos

• Este guia de instruções pressupõe que você já criou um Azure Key Vault e importou uma chave para ele a fim de usá-lo como o protetor da TDE no Banco de Dados SQL do Azure. Para saber mais, confira Criptografia de dados transparente com suporte a BYOK.
• A exclusão temporária e a proteção contra limpeza precisam estar habilitadas no cofre de chaves
• É necessário criar uma identidade gerenciada atribuída pelo usuário e fornecer a ela as permissões de TDE necessárias (Get, Wrap Key e Unwrap Key) no cofre de chaves acima. Para criar uma identidade gerenciada atribuída pelo usuário, confira Criar uma identidade gerenciada atribuída pelo usuário.
• É necessário ter o Azure PowerShell instalado e funcionando.
• [Recomendado, mas opcional] Crie o material da chave para o protetor de TDE em um HSM (Módulo de Segurança de Hardware) ou o armazenamento de chaves local primeiro e importe o material da chave para o Azure Key Vault. Siga as instruções para usar um HSM (Módulo de Segurança de Hardware) e Key Vault para saber mais.

Criar um servidor configurado com a TDE e a CMK (chave gerenciada pelo cliente)

As etapas a seguir descrevem o processo de criação de um novo servidor lógico do Banco de Dados SQL do Azure e de um novo banco de dados com uma identidade gerenciada atribuída pelo usuário designada. A identidade gerenciada atribuída pelo usuário é necessária para configurar uma chave gerenciada pelo cliente para a TDE no momento da criação do servidor.

Portal

1. Navegue até a página com a opção Selecionar implantação do SQL no portal do Azure.

2. Se você ainda não entrou no portal do Azure, entre quando solicitado.

3. Em Bancos de dados SQL, deixe Tipo de recurso definido como Banco de dados individual e selecione Criar.

4. Na guia Noções básicas do formulário Criar Banco de Dados SQL, em Detalhes do projeto, selecione a Assinatura do Azure desejada.

5. Para Grupo de recursos, selecione Criar, insira um nome para o grupo de recursos e selecione OK.

6. Para Nome do banco de dados, insira ContosoHR.

7. Para Servidor, selecione Criar e preencha o formulário Novo servidor com os seguintes valores:

   • Nome do servidor: insira um nome exclusivo para o servidor. Os nomes dos servidores devem ser globalmente exclusivos para todos os servidores no Azure, não apenas para uma assinatura. Insira algo como mysqlserver135 e o portal do Azure informará se o nome está ou não disponível.
   • Logon do administrador do servidor: insira um nome de logon de administrador, por exemplo: azureuser.
   • Senha: insira uma senha que atenda aos requisitos de senha e insira-a novamente no campo Confirmar senha.
   • Localização: Selecione uma localização na lista suspensa

8. Selecione Avançar: Rede na parte inferior da página.

9. Na guia Rede, para Método de conectividade, selecione Ponto de extremidade público.

10. Para Regras de firewall, defina Adicionar endereço IP do cliente atual como Sim. Deixe Permitir que serviços e recursos do Azure acessem este servidor definido como Não.

    

11. Selecione Próximo: Segurança na parte inferior da página.

12. Na guia Segurança, em Identidade do servidor, selecione Configurar identidades.

    

13. No painel Identidade, selecione Desativado para Identidade gerenciada atribuída pelo sistema e selecione Adicionar em Identidade gerenciada atribuída pelo usuário. Selecione a Assinatura desejada e, em Identidades gerenciadas atribuídas pelo usuário, selecione a identidade gerenciada atribuída pelo usuário desejada da assinatura selecionada. Selecione o botão Adicionar.

    

    

14. Em Identidade primária, selecione a mesma identidade gerenciada atribuída pelo usuário que foi selecionada na etapa anterior.

    

15. Selecione Aplicar.

16. Na guia Segurança, em Gerenciamento de chave de Transparent Data Encryption, você tem a opção de configurar a Transparent Data Encryption para o servidor ou banco de dados.

    • Para Chave no nível de servidor: selecione Configurar Transparent Data Encryption. Selecione Chave gerenciada pelo cliente e será exibida a opção Selecionar uma chave. Selecione Alterar chave. Selecione a Assinatura, o Cofre de chaves, a Chave e a Versão desejadas para a chave gerenciada pelo cliente que será usada para a TDE. Escolha o botão Selecionar.

    

    

    • Para Chave no nível de banco de dados: selecione Configurar Transparent Data Encryption. Selecione Chave gerenciada pelo cliente no nível de banco de dados e uma opção para configurar a identidade do banco de dados e a chave gerenciada pelo cliente será exibida. Selecione Configurar para configurar uma Identidade gerenciada atribuída pelo usuário para o banco de dados, semelhante à etapa 13. Selecione Alterar chave para configurar uma chave gerenciada pelo cliente. Selecione a Assinatura, o Cofre de chaves, a Chave e a Versão desejadas para a chave gerenciada pelo cliente que será usada para a TDE. Você também tem a opção de habilitar a chave de rotação automática no menu Transparent Data Encryption. Escolha o botão Selecionar.

    

17. Selecione Aplicar.

18. Selecione Revisar + criar na parte inferior da página

19. Na página Examinar + criar, após examinar, selecione Criar.

A CLI do Azure

Para saber como instalar versão atual da CLI do Azure, confira o artigo Instalar a CLI do Azure.

Crie um servidor configurado com uma identidade gerenciada atribuída pelo usuário e a TDE gerenciada pelo cliente usando o comando az sql server create.

az sql server create \
    --name $serverName \
    --resource-group $resourceGroupName \
    --location $location  \
    --admin-user $adminlogin \
    --admin-password $password \
    --assign-identity \
    --identity-type $identitytype \
    --user-assigned-identity-id $identityid \
    --primary-user-assigned-identity-id $primaryidentityid \
    --key-id $keyid
 

Crie um banco de dados com o comando az sql db create.

az sql db create \
    --resource-group $resourceGroupName \
    --server $serverName \
    --name mySampleDatabase \
    --sample-name AdventureWorksLT \
    --edition GeneralPurpose \
    --compute-model Serverless \
    --family Gen5 \
    --capacity 2

PowerShell

Crie um servidor configurado com uma identidade gerenciada atribuída pelo usuário e a TDE gerenciada pelo cliente usando o PowerShell.

Para obter instruções de instalação do módulo Az do PowerShell, confira Instalar o Azure PowerShell. Para cmdlets específicos, confira AzureRM.Sql.

Use o cmdlet New-AzSqlServer.

Substitua os seguintes valores no exemplo:

• <ResourceGroupName>: nome do grupo de recursos para o servidor lógico do SQL do Azure
• <Location>: localização do servidor, como West US ou Central US
• <ServerName>: use um nome exclusivo para o servidor lógico do SQL do Azure
• <ServerAdminName>: logon do administrador de SQL
• <ServerAdminPassword>: a senha do administrador de SQL
• <IdentityType>: tipo de identidade a ser atribuída ao servidor. Os valores possíveis são SystemAssigned, UserAssigned, SystemAssigned,UserAssigned e Nenhum
• <UserAssignedIdentityId>: a lista de identidades gerenciadas atribuídas pelo usuário a serem designadas ao servidor (uma ou várias)
• <PrimaryUserAssignedIdentityId>: a identidade gerenciada atribuída pelo usuário que deve ser usada como primária ou padrão neste servidor
• <CustomerManagedKeyId>: Identificador de chave e pode ser recuperado da chave no Key Vault

Para obter a ID de recurso da identidade gerenciada atribuída pelo usuário, pesquise Identidades gerenciadas no portal do Azure. Encontre sua identidade gerenciada e acesse Propriedades. Um exemplo da ID de recurso da UMI é semelhante a /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>

# create a server with user-assigned managed identity and customer-managed TDE
$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    SqlAdministratorCredentials = (Get-Credential)
    SqlAdministratorLogin = "<ServerAdminName>"
    SqlAdministratorPassword = "<ServerAdminPassword>"
    AssignIdentity = $true
    IdentityType = "<IdentityType>"
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    PrimaryUserAssignedIdentityId = "<PrimaryUserAssignedIdentityId>"
    KeyId = "<CustomerManagedKeyId>"
}

New-AzSqlServer @params

Modelo do ARM

Veja a seguir um exemplo de um modelo do ARM que cria um servidor lógico no Azure com uma identidade gerenciada atribuída pelo usuário e uma TDE gerenciada pelo cliente. O modelo também adiciona um conjunto de administradores do Microsoft Entra para o servidor e habilita a autenticação somente do Microsoft Entra, mas isso pode ser removido do exemplo do modelo.

Para obter mais informações e modelos do ARM, confira Modelos do Azure Resource Manager para o Banco de Dados SQL do Azure e a Instância Gerenciada de SQL.

Use uma implantação personalizada no portal do Azure e crie um modelo próprio no editor. Em seguida, salve a configuração depois de colá-la no exemplo.

Para obter a ID de recurso da identidade gerenciada atribuída pelo usuário, pesquise Identidades gerenciadas no portal do Azure. Encontre sua identidade gerenciada e acesse Propriedades. Um exemplo da ID de recurso da UMI é semelhante a /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "String"
        },
        "location": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity."
            }
        },
        "keyvault_url": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The key vault URI."
            }
        },
        "AdminLogin": {
            "minLength": 1,
            "type": "String"
        },
        "AdminLoginPassword": {
            "type": "SecureString"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "administratorLogin": "[parameters('AdminLogin')]",
                "administratorLoginPassword": "[parameters('AdminLoginPassword')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "KeyId": "[parameters('keyvault_url')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Próximas etapas

• Introdução à integração do Azure Key Vault e ao suporte de Bring Your Own Key para TDE: Ativar a TDE com sua própria chave do Key Vault.