Tutorial: Importar ou exportar uma base de dados com autenticação de identidade gerida para Azure SQL Database (pré-visualização)

Aplica-se a: Azure SQL Database

Este tutorial mostra como importar e exportar ficheiros Azure SQL Database BACPAC com autenticação de identidade gerida.

A autenticação de identidade gerida elimina a necessidade de fornecer credenciais de administrador SQL e chaves de conta de armazenamento nos pedidos de importação e exportação.

Observação

A importação e exportação de ficheiros BACPAC com autenticação de identidade gerida está atualmente em pré-visualização.

Descrição geral

A importação e exportação do Azure SQL Database com autenticação de identidade gerida ajuda-o a realizar o seguinte:

• Elimine palavras-passe de administrador SQL e chaves de conta de armazenamento.
• Aplicar autenticação exclusiva da Microsoft Entra.
• Reduza a gestão de credenciais e os custos de rotação.

Importante

Importação e exportação são operações de alto privilégio. Conceda permissões apenas a diretores de confiança.

Arquitetura

A autenticação de identidade gerida para importação e exportação utiliza a seguinte arquitetura:

• O serviço de importação e exportação corre numa infraestrutura gerida pela Microsoft.
• Uma identidade gerida atribuída pelo utilizador, atribuída ao servidor lógico, é usada para autenticação.
• O Azure RBAC controla o acesso ao Azure Storage.

Cenários suportados

Os seguintes cenários são suportados com autenticação de identidade gerida:

• Importar para uma nova base de dados.
• Importar para uma base de dados vazia existente.
• Exportar a partir de uma base de dados existente.

Os seguintes cenários não são suportados com autenticação de identidade gerida:

• Operações de importação entre inquilinos.
• Identidade gerida atribuída apenas no nível da base de dados.

Pré-requisitos

• Uma subscrição do Azure.
• Um servidor lógico para Azure SQL Database.
• Uma conta de armazenamento Azure com um contentor de blobs.

Criar uma identidade gerenciada atribuída pelo usuário

Crie uma ou mais identidades geridas.

Escolha entre os seguintes modelos de autenticação:

• Uma identidade para acesso SQL e Azure Storage.
• Identidades separadas para acesso SQL e armazenamento.

Use identidades separadas para simplificar a gestão de permissões com privilégios mínimos.

Para criar uma identidade gerida, pode usar o portal Azure, o Azure CLI, Azure PowerShell, um modelo ARM, ou a API REST.

Precisa do ID de recurso de identidade gerida atribuído pelo utilizador para operações de exportação ou importação, e para o acesso à conta de armazenamento. O ID do recurso está no formato:

/subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identityName>

Para determinar o ID de recurso para uma identidade gerida atribuída pelo utilizador existente no portal Azure, siga estes passos:

1. Aceda às suas identidades geridas atribuídas pelo utilizador no portal Azure.
2. Em Definições, selecione Propriedades.
3. Em Essenciais, copie o valor do ID para utilização em etapas posteriores.

Conceder permissões de armazenamento

Para usar autenticação de identidade gerida para operações de importação e exportação, a identidade gerida atribuída pelo utilizador que acede à conta de armazenamento deve ter as permissões RBAC do Azure apropriadas para a conta alvo.

Conceda permissões para a identidade gerida atribuída pelo utilizador que pretende usar para o acesso à conta de armazenamento. Isto pode ser uma identidade gerida diferente da atribuída ao servidor lógico, ou pode ser a mesma identidade se quiser usar uma única identidade tanto para acesso SQL como ao armazenamento.

Observação

Para adicionar atribuições de funções ou co-administradores, o utilizador deve ser administrador da subscrição ou Administrador de Acesso ao Utilizador.

Para conceder permissões Azure RBAC para a conta de armazenamento à identidade gerida, siga estes passos:

1. Selecione atribuições de funções do Azure para a sua identidade gerida atribuída ao utilizador no portal Azure.
2. No painel Atribuições de funções do Azure, selecione + Adicionar atribuição de funções (Pré-visualização) para abrir o painel Adicionar atribuição de funções (Pré-visualização).
3. Na lista suspensa Escopo, selecione Armazenamento.
4. Em Subscrição, certifique-se de que a subscrição correta está selecionada.
5. Em Recurso, selecione a conta de armazenamento que pretende usar para a sua operação de exportação ou importação.
6. Em Função, procure a função de Armazenamento Blob relevante para a operação:
   • Para operações de exportação, atribuir o papel Contribuidor de Dados de Armazenamento Blob.
   • Para operações de importação, atribui o papel de Leitor de Dados do Blob de Armazenamento .
7. Selecione Guardar para guardar a atribuição de funções.

Atribuir a identidade gerida ao servidor lógico

Atribui a identidade gerida atribuída pelo utilizador que criaste para o servidor lógico ao servidor lógico.

Para atribuir a identidade gerida ao servidor lógico, siga estes passos:

1. Abre o teu servidor logical para Azure SQL Database no portal Azure.
2. Em Segurança, selecione Identidade.
3. Na secção Identidade Gerida Atribuída pelo Utilizador, use + Adicionar para abrir o painel Selecionar Identidade Gerida Atribuída pelo Utilizador.
4. Procura a identidade gerida que criaste no passo anterior, seleciona-a e depois seleciona Adicionar para a atribuir ao servidor.
5. Atribuir uma identidade gerida atribuída pelo utilizador como identidade principal.
6. Use o ícone de Guardar na barra de navegação para guardar as alterações.

Configurar administrador do Microsoft Entra

Para configurar o administrador do Microsoft Entra, siga estes passos:

1. No painel do servidor lógico para o Azure SQL Database, em Definições, selecione Microsoft Entra admin.
2. Selecione Set admin para abrir o painel Microsoft Entra ID.
3. Procura a identidade gerida atribuída pelo utilizador que criaste, seleciona-a e depois usa Select para a definir como administrador Microsoft Entra.
4. (Opcional) Use a caixa de seleção para ativar Suporte apenas Microsoft Entra autenticação para este servidor para aplicar apenas Microsoft Entra autenticação para o servidor lógico. Esta configuração bloqueia toda a autenticação SQL, pelo que apenas identidades geridas e outros principais da Microsoft Entra podem aceder ao servidor.
5. Use o ícone de Guardar na barra de navegação para guardar as alterações.

Observação

Se precisares de conceder acesso de administrador a múltiplos recursos ao servidor lógico, considera criar um grupo Microsoft Entra, atribuir esse grupo como administrador e depois atribuir a identidade gerida atribuída pelo utilizador como membro desse grupo.

Exportar uma base de dados

Pode exportar uma base de dados com autenticação de identidade gerida usando o portal Azure, a Azure CLI, Azure PowerShell ou a API REST.

Portal do Azure

Para exportar uma base de dados com autenticação de identidade gerida a partir do portal Azure, siga estes passos:

1. Vai ao teu Azure SQL Database no portal do Azure.
2. No painel de Visão Geral , selecione Exportar para abrir o painel de Exportação da base de dados .
3. Para aceder à conta de armazenamento com uma identidade gerida, assinale a opção Usar identidade gerida para autenticação de armazenamento e depois forneça o ID de Recurso para a identidade gerida que foi concedida a acesso à conta de armazenamento.
4. Para o tipo de Autenticação, selecione Identidade Gerida.
5. O campo ID de Recurso de Identidade Gerida SQL deve preencher automaticamente o ID de Recursos para a identidade gerida atribuída pelo utilizador atribuída ao servidor lógico. Se não o fizer, fornece o ID de Recurso para a identidade gerida atribuída pelo utilizador que guardaste quando criaste a identidade gerida.

Azure PowerShell

Para exportar uma base de dados com autenticação de identidade gerida, use o cmdlet New-AzSqlDatabaseExport com o -AuthenticationType "ManagedIdentity" parâmetro.

O exemplo seguinte demonstra como exportar uma base de dados com autenticação de identidade gerida utilizando uma identidade gerida separada para acesso ao armazenamento:

$serverName = "<server name>" 
$databaseName = "<database name>" 
$resourceGroupName = "<resource group name>"
$storageUri = "https://<storageaccount>.blob.core.windows.net/<container name>/<filename>.bacpac" 
$managedIdentitySqlResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>" 
$managedIdentityStorageResourceId = “/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>”

New-AzSqlDatabaseExport -DatabaseName $databaseName -ServerName $serverName -ResourceGroupName $resourceGroupName -StorageKeyType "ManagedIdentity" -StorageKey $managedIdentityStorageResourceId -StorageUri $storageUri -AdministratorLogin $managedIdentitySqlResourceId -AuthenticationType "ManagedIdentity" 

O exemplo seguinte demonstra como exportar uma base de dados com autenticação de identidade gerida, utilizando a mesma identidade gerida tanto para acesso SQL como para armazenamento:

$serverName = "<server name>" 
$databaseName = "<database name>" 
$resourceGroupName = "<resource group name>"
$storageUri = "https://<storageaccount>.blob.core.windows.net/<container name>/<filename>.bacpac" 
$managedIdentitySqlResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>"
 
New-AzSqlDatabaseExport -DatabaseName $databaseName -ServerName $serverName -ResourceGroupName $resourceGroupName -StorageKeyType "ManagedIdentity" -StorageKey $managedIdentitySqlResourceId -StorageUri $storageUri -AdministratorLogin $managedIdentitySqlResourceId -AuthenticationType "ManagedIdentity" 

Azure CLI

Para exportar uma base de dados com autenticação de identidade gerida, use o comando az sql db export com o --authentication-type "ManagedIdentity" parâmetro.

O exemplo seguinte demonstra como exportar uma base de dados com autenticação de identidade gerida utilizando uma identidade gerida separada para acesso ao armazenamento:

$serverName = "<server name>" 
$databaseName = "<database name>" 
$resourceGroupName = "<resource group name>"
$storageUri = "https://<storageaccount>.blob.core.windows.net/<container name>/<filename>.bacpac" 
$managedIdentitySqlResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>" 
$managedIdentityStorageResourceId = “/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>”
 

az sql db export -s $serverName -n $databaseName -g $resourceGroupName --auth-type ManagedIdentity -u $managedIdentitySqlResourceId --storage-key-type ManagedIdentity --storage-key $managedIdentityStorageResourceId --storage-uri $storageUri

O exemplo seguinte demonstra como exportar uma base de dados com autenticação de identidade gerida, utilizando a mesma identidade gerida tanto para acesso SQL como para armazenamento:

$serverName = "<server name>" 
$databaseName = "<database name>" 
$resourceGroupName = "<resource group name>"
$storageUri = "https://<storageaccount>.blob.core.windows.net/<container name>/<filename>.bacpac" 
$managedIdentitySqlResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>" 
 

az sql db export -s $serverName -n $databaseName -g $resourceGroupName --auth-type ManagedIdentity -u $managedIdentitySqlResourceId --storage-key-type ManagedIdentity --storage-key $managedIdentitySqlResourceId --storage-uri $storageUri

API REST

Para exportar uma base de dados com autenticação de identidade gerida, utilize a API REST Databases - Export.

POST https://management.azure.com/subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.Sql/servers/<serverName>/databases/<databaseName>/export?api-version=2023-08-01

{
	"authenticationType": "ManagedIdentity",
	"administratorLogin": "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<sqlIdentityName>",
	"storageKeyType": "ManagedIdentity",
	"storageKey": "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<storageIdentityName>",
	"storageUri": "https://<storageAccount>.blob.core.windows.net/<container>/<fileName>.bacpac"
}

Importar uma base de dados

Pode importar uma base de dados com autenticação de identidade gerida usando o portal Azure, a Azure CLI, Azure PowerShell ou a API REST.

Pode importar uma base de dados como uma nova base de dados ou para uma base de dados vazia existente.

Portal do Azure

Para importar uma base de dados com autenticação de identidade gerida a partir do portal Azure, siga estes passos:

1. Vai ao teu servidor lógico para o Azure SQL Database no portal do Azure.
2. No painel de Visão Geral , selecione Importar para abrir o painel Importar base de dados .
3. Para aceder à conta de armazenamento com uma identidade gerida, assinale a opção Usar identidade gerida para autenticação de armazenamento e depois forneça o ID de Recurso para a identidade gerida que foi concedida a acesso à conta de armazenamento.
4. Em nome da base de dados, forneça o nome da base de dados alvo.
5. Para o tipo de Autenticação, selecione Identidade Gerida.
6. O campo ID de Recurso de Identidade Gerida SQL deve ser automaticamente preenchido com o ID de Recurso da identidade gerida atribuída pelo utilizador ao servidor lógico. Se não o fizer, fornece o ID de Recurso para a identidade gerida atribuída pelo utilizador que guardaste quando criaste a identidade gerida.

Azure PowerShell

Para importar uma base de dados com autenticação de identidade gerida, use o cmdlet New-AzSqlDatabaseImport com o -AuthenticationType "ManagedIdentity" parâmetro.

O exemplo seguinte demonstra como importar uma base de dados com autenticação de identidade gerida utilizando uma identidade gerida separada para acesso ao armazenamento:

$serverName = "<server name>" 
$databaseName = "<database name>" 
$resourceGroupName = "<resource group name>"
$storageUri = "https://<storageaccount>.blob.core.windows.net/<container name>/<filename>.bacpac" 
$managedIdentitySqlResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>" 
$managedIdentityStorageResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>"

New-AzSqlDatabaseImport -DatabaseName $databaseName -ServerName $serverName -ResourceGroupName $resourceGroupName -StorageKeyType "ManagedIdentity" -StorageKey $managedIdentityStorageResourceId -StorageUri $storageUri -AdministratorLogin $managedIdentitySqlResourceId -AuthenticationType "ManagedIdentity" 

O exemplo seguinte demonstra como importar uma base de dados com autenticação de identidade gerida, utilizando a mesma identidade gerida tanto para acesso SQL como de armazenamento:

$serverName = "<server name>" 
$databaseName = "<database name>" 
$resourceGroupName = "<resource group name>"
$storageUri = "https://<storageaccount>.blob.core.windows.net/<container name>/<filename>.bacpac" 
$managedIdentitySqlResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>"
 
New-AzSqlDatabaseImport -DatabaseName $databaseName -ServerName $serverName -ResourceGroupName $resourceGroupName -StorageKeyType "ManagedIdentity" -StorageKey $managedIdentitySqlResourceId -StorageUri $storageUri -AdministratorLogin $managedIdentitySqlResourceId -AuthenticationType "ManagedIdentity" 

Azure CLI

Para importar uma base de dados com autenticação de identidade gerida, use o comando az sql db import com o parâmetro --auth-type ManagedIdentity.

O exemplo seguinte demonstra como importar uma base de dados com autenticação de identidade gerida utilizando uma identidade gerida separada para acesso ao armazenamento:

$serverName = "<server name>" 
$databaseName = "<database name>" 
$resourceGroupName = "<resource group name>"
$storageUri = "https://<storageaccount>.blob.core.windows.net/<container name>/<filename>.bacpac" 
$managedIdentitySqlResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>" 
$managedIdentityStorageResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>”
 

az sql db import -s $serverName -n $databaseName -g $resourceGroupName --auth-type ManagedIdentity -u $managedIdentitySqlResourceId --storage-key-type ManagedIdentity --storage-key $managedIdentityStorageResourceId --storage-uri $storageUri

O exemplo seguinte demonstra como importar uma base de dados com autenticação de identidade gerida, utilizando a mesma identidade gerida tanto para acesso SQL como de armazenamento:

$serverName = "<server name>" 
$databaseName = "<database name>" 
$resourceGroupName = "<resource group name>"
$storageUri = "https://<storageaccount>.blob.core.windows.net/<container name>/<filename>.bacpac" 
$managedIdentitySqlResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>" 
 

az sql db import -s $serverName -n $databaseName -g $resourceGroupName --auth-type ManagedIdentity -u $managedIdentitySqlResourceId --storage-key-type ManagedIdentity --storage-key $managedIdentitySqlResourceId --storage-uri $storageUri

API REST

Para importar uma base de dados com autenticação de identidade gerida, utilize a API Database - Import REST.

POST https://management.azure.com/subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.Sql/servers/<serverName>/databases/<databaseName>/import?api-version=2023-08-01

{
	"authenticationType": "ManagedIdentity",
	"administratorLogin": "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<sqlIdentityName>",
	"storageKeyType": "ManagedIdentity",
	"storageKey": "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<storageIdentityName>",
	"storageUri": "https://<storageAccount>.blob.core.windows.net/<container>/<fileName>.bacpac",
	"databaseName": "<targetDatabaseName>",
	"edition": "GeneralPurpose",
	"serviceObjectiveName": "GP_Gen5_2"
}

Resolver problemas comuns

Os seguintes problemas comuns podem ocorrer quando utiliza autenticação de identidade gerida para importação e exportação. Experimente os passos de resolução de problemas para cada problema:

• Incompatibilidade de locatário: Verifique se o servidor lógico, a identidade gerida atribuída pelo utilizador e a conta de armazenamento estão no mesmo locatário do Microsoft Entra.
• Identidade gerida não configurada como administrador Microsoft Entra: Defina a identidade gerida atribuída pelo utilizador como administrador Microsoft Entra ao nível do servidor no servidor lógico.
• Falhas na autorização de armazenamento: Confirme que o Leitor de Dados de Blob de Armazenamento (importação) ou o Contribuidor de Dados de Blob de Armazenamento (exportação) foram concedidos no âmbito correto de Armazenamento.
• Falhas de autorização de operação: Confirme que o usuário tem permissão Azure RBAC para submeter operações de importação ou exportação no escopo SQL alvo.
• A autorização com chave partilhada está desativada: Ao selecionar uma conta de armazenamento no portal de Azure durante operações de importação ou exportação, o portal utiliza as credenciais do utilizador iniciado e depende da autorização baseada em chave partilhada. Quando a autorização de chave partilhada está desativada para a conta de armazenamento, a importação e exportação do portal Azure não está disponível. Use a Azure CLI, PowerShell ou API REST para operações de importação e exportação quando o acesso à chave partilhada estiver desativado.
• Conta de armazenamento não disponível no menu suspenso de seleção de contas: Ao usar o portal Azure para operações de importação ou exportação, apenas as contas de armazenamento a que o utilizador iniciado tem acesso são mostradas no menu suspenso de seleção de conta de armazenamento. Se não vir a sua conta de armazenamento no menu suspenso, certifique-se de que o utilizador com sessão iniciada tem pelo menos acesso à função Leitor na conta de armazenamento.

Permissões

O utilizador que submete o pedido de importação ou exportação deve ter as permissões RBAC do Azure necessárias para executar as operações de importação ou exportação no âmbito alvo (base de dados, servidor, grupo de recursos ou subscrição).

Os seguintes papéis incorporados comuns têm as permissões necessárias:

• Colaborador do Banco de Dados SQL
• Contributor
• Proprietário

Também pode usar uma função personalizada que inclua as seguintes permissões necessárias para Microsoft.Sql ações de importação e exportação:

• Microsoft.Sql/servers/databases/export/action (POST)
• Microsoft.Sql/servers/databases/import/action (POST)
• Microsoft.Sql/servers/import/action (POST)
• Microsoft.Sql/servers/databases/extensions/write (PUT)

Limitações

Considere as seguintes limitações ao utilizar autenticação de identidade gerida para operações de importação e exportação:

• Operações entre locatários não são suportadas.
• Identidades geridas ao nível da base de dados não são suportadas para operações de importação e exportação.
• Durante a pré-visualização, algumas experiências no portal Azure podem ser limitadas.
• Identidades geridas atribuídas pelo sistema não são suportadas.
• Importar e exportar para uma conta de armazenamento que tenha desativado o acesso a chaves partilhadas não é suportado ao usar o portal Azure. Para importar ou exportar a partir de uma conta de armazenamento com acesso à chave partilhada desativado, use a Azure CLI, PowerShell ou API REST.

Conteúdo relacionado

• Importar um ficheiro BACPAC para uma base de dados em Azure SQL Database
• Exportar para um ficheiro BACPAC
• Importar ou exportar usando um link privado