Criar servidor configurado com identidade gerenciada atribuída pelo usuário e CMK entre locatários para TDE

Aplica-se a:Banco de Dados SQL do Azure

Neste guia, passaremos pelas etapas para criar um servidor lógico SQL do Azure com criptografia de dados transparente (TDE) e chaves gerenciadas pelo cliente (CMK), utilizando uma identidade gerenciada atribuída pelo usuário para acessar um Cofre de Chaves do Azure em um locatário do Microsoft Entra diferente do locatário do servidor lógico. Para obter mais informações, consulte Chaves gerenciadas pelo cliente entre locatários com criptografia de dados transparente.

Nota

Microsoft Entra ID é o novo nome para o Azure Ative Directory (Azure AD). Estamos atualizando a documentação neste momento.

Pré-requisitos

• Este guia pressupõe que você possua dois locatários do Microsoft Entra.
  • O primeiro contém o recurso do Banco de Dados SQL do Azure, um aplicativo Microsoft Entra multilocatário e uma identidade gerenciada atribuída pelo usuário.
  • O segundo locatário abriga o Cofre da Chave do Azure.
• Para obter instruções abrangentes sobre como configurar a CMK entre locatários e as permissões RBAC necessárias para configurar aplicativos Microsoft Entra e o Azure Key Vault, consulte um dos seguintes guias:
  • Configurar chaves gerenciadas pelo cliente entre locatários para uma nova conta de armazenamento
  • Configurar chaves gerenciadas pelo cliente entre locatários para uma conta de armazenamento existente

Recursos necessários no primeiro locatário

Para o propósito deste tutorial, assumiremos que o primeiro locatário pertence a um fornecedor independente de software (ISV) e o segundo locatário é de seu cliente. Para obter mais informações sobre esse cenário, consulte Chaves gerenciadas pelo cliente entre locatários com criptografia de dados transparente.

Antes de podermos configurar o TDE para o Banco de Dados SQL do Azure com uma CMK entre locatários, precisamos ter um aplicativo Microsoft Entra multilocatário configurado com uma identidade gerenciada atribuída pelo usuário atribuída como uma credencial de identidade federada para o aplicativo. Siga um dos guias nos Pré-requisitos.

1. No primeiro locatário onde você deseja criar o Banco de Dados SQL do Azure, crie e configure um aplicativo Microsoft Entra multilocatário

2. Criar uma identidade gerenciada atribuída pelo usuário

3. Configurar a identidade gerenciada atribuída pelo usuário como uma credencial de identidade federada para o aplicativo multilocatário

4. Registre o nome e a ID do aplicativo. Isso pode ser encontrado no portal>do Azure Microsoft Entra ID>Enterprise aplicativos e procurar o aplicativo criado

Recursos necessários no segundo locatário

1. No segundo locatário onde o Cofre da Chave do Azure reside, crie uma entidade de serviço (aplicativo) usando a ID do aplicativo registrado do primeiro locatário. Aqui estão alguns exemplos de como registrar o aplicativo multilocatário. Substitua <TenantID> e pela ID do locatário do cliente da ID do Microsoft Entra e <ApplicationID>pela ID do aplicativo multilocatário, respectivamente:

   • PowerShell:

     Connect-AzureAD -TenantID <TenantID>
     New-AzADServicePrincipal  -ApplicationId <ApplicationID>
     

   • A CLI do Azure:

     az login --tenant <TenantID>
     az ad sp create --id <ApplicationID>
     

2. Vá para os aplicativos Microsoft Entra ID>Enterprise do portal>do Azure e procure o aplicativo que acabou de ser criado.

3. Crie um Cofre da Chave do Azure se não tiver um e crie uma chave

4. Crie ou defina a política de acesso.

   1. Selecione as permissões Get, Wrap Key, Unwrap Key em Permissões de chave ao criar a política de acesso
   2. Selecione o aplicativo multilocatário criado na primeira etapa na opção Principal ao criar a política de acesso

   

5. Depois que a política de acesso e a chave tiverem sido criadas, recupere a chave do Cofre da Chave e registre o Identificador de Chave

Criar servidor configurado com TDE com chave gerenciada pelo cliente (CMK) entre locatários

Este guia orientará você pelo processo de criação de um servidor lógico e banco de dados no SQL do Azure com uma identidade gerenciada atribuída pelo usuário, bem como como definir uma chave gerenciada pelo cliente entre locatários. A identidade gerenciada atribuída pelo usuário é essencial para configurar uma chave gerenciada pelo cliente para criptografia de dados transparente durante a fase de criação do servidor.

Importante

O usuário ou aplicativo que usa APIs para criar servidores lógicos SQL precisa das funções RBAC de Colaborador do SQL Server e Operador de Identidade Gerenciada ou superior na assinatura.

Portal

1. Navegue até a página Selecionar opção de implantação SQL no portal do Azure.

2. Se você ainda não estiver conectado ao portal do Azure, entre quando solicitado.

3. Em Bancos de dados SQL, deixe Tipo de recurso definido como Banco de dados único e selecione Criar.

4. Na guia Noções básicas do formulário Criar Banco de Dados SQL, em Detalhes do projeto, selecione a Assinatura do Azure desejada.

5. Em Grupo de recursos, selecione Criar novo, insira um nome para o grupo de recursos e selecione OK.

6. Em Nome do banco de dados, insira um nome do banco de dados . Por exemplo, ContosoHR.

7. Em Servidor, selecione Criar novo e preencha o formulário Novo servidor com os seguintes valores:

   • Nome do servidor: insira um nome de servidor exclusivo. Os nomes de servidor devem ser globalmente exclusivos para todos os servidores no Azure, não apenas exclusivos dentro de uma assinatura. Insira algo como mysqlserver135, e o portal do Azure informará se ele está disponível ou não.
   • Login de administrador do servidor: insira um nome de login de administrador, por exemplo: azureuser.
   • Palavra-passe: introduza uma palavra-passe que cumpra os requisitos de palavra-passe e introduza-a novamente no campo Confirmar palavra-passe.
   • Localização: selecione um local na lista suspensa

8. Selecione Next: Networking na parte inferior da página.

9. Na guia Rede, para Método de conectividade, selecione Ponto de extremidade público.

10. Para regras de firewall, defina Adicionar endereço IP do cliente atual como Sim. Deixe Permitir que os serviços e recursos do Azure acessem este servidor definido como Não. O resto das seleções nesta página pode ser deixado como padrão.

    

11. Selecione Seguinte: Segurança na parte inferior da página.

12. Na guia Segurança, em Identidade, selecione Configurar Identidades.

    

13. No menu Identidade, selecione Desativado para Identidade gerenciada atribuída ao sistema e, em seguida, selecione Adicionar em Identidade gerenciada atribuída pelo usuário. Selecione a Assinatura desejada e, em Identidades gerenciadas atribuídas ao usuário, selecione a identidade gerenciada atribuída pelo usuário desejada na assinatura selecionada. Em seguida, selecione o botão Adicionar .

14. Em Identidade principal, selecione a mesma identidade gerenciada atribuída pelo usuário selecionada na etapa anterior.

    

15. Para Identidade de cliente federado, selecione a opção Alterar identidade e procure o aplicativo multilocatário que você criou nos Pré-requisitos.

    

    Nota

    Se o aplicativo multilocatário não tiver sido adicionado à política de acesso ao cofre de chaves com as permissões necessárias (Get, Wrap Key, Unwrap Key), usar esse aplicativo para federação de identidades no portal do Azure mostrará um erro. Certifique-se de que as permissões estão configuradas corretamente antes de configurar a identidade do cliente federado.

16. Selecione Aplicar

17. Na guia Segurança, em Criptografia de dados transparente, selecione Configurar criptografia de dados transparente. Selecione Chave gerenciada pelo cliente e uma opção para Inserir um identificador de chave será exibida. Adicione o Identificador de Chave obtido da chave no segundo locatário.

    

18. Selecione Aplicar

19. Selecione Rever + criar na parte inferior da página

20. Na página Rever + criar, depois de rever, selecione Criar.

A CLI do Azure

Para obter informações sobre como instalar a versão atual da CLI do Azure, consulte Instalar o artigo da CLI do Azure.

Crie um servidor configurado com identidade gerenciada atribuída pelo usuário e TDE gerenciada pelo cliente entre locatários usando o comando az sql server create . O identificador de chave do segundo locatário pode ser usado no key-id campo. A ID do aplicativo multilocatário pode ser usada no federated-client-id campo.

az sql server create \
    --name $serverName \
    --resource-group $resourceGroupName \
    --location $location  \
    --admin-user $adminlogin \
    --admin-password $password \
    --assign-identity \
    --identity-type $identitytype \
    --user-assigned-identity-id $identityid \
    --primary-user-assigned-identity-id $primaryidentityid \
    --key-id $keyid \
    --federated-client-id $federatedid
 

Crie um banco de dados com o comando az sql db create .

az sql db create \
    --resource-group $resourceGroupName \
    --server $serverName \
    --name mySampleDatabase \
    --sample-name AdventureWorksLT \
    --edition GeneralPurpose \
    --compute-model Serverless \
    --family Gen5 \
    --capacity 2

PowerShell

Crie um servidor configurado com identidade gerenciada atribuída pelo usuário e TDE gerenciada pelo cliente entre locatários usando o PowerShell.

Para obter instruções de instalação do módulo Az PowerShell, consulte Instalar o Azure PowerShell. Para cmdlets específicos, consulte AzureRM.Sql.

Use o cmdlet New-AzSqlServer .

Substitua os seguintes valores no exemplo:

• <ResourceGroupName>: Nome do grupo de recursos para o seu servidor lógico SQL do Azure
• <Location>: Localização do servidor, como West US, ou Central US
• <ServerName>: Usar um nome de servidor lógico SQL exclusivo do Azure
• <ServerAdminName>: O login do Administrador SQL
• <ServerAdminPassword>: A senha do Administrador SQL
• <IdentityType>: Tipo de identidade a ser atribuída ao servidor. Os valores possíveis são SystemAssigned, UserAssignedSystemAssigned,UserAssigned e Nenhum
• <UserAssignedIdentityId>: A lista de identidades gerenciadas atribuídas pelo usuário a serem atribuídas ao servidor (pode ser uma ou várias)
• <PrimaryUserAssignedIdentityId>: A identidade gerenciada atribuída pelo usuário que deve ser usada como principal ou padrão neste servidor
• <CustomerManagedKeyId>: O identificador de chave do segundo inquilino Key Vault
• <FederatedClientId>: A ID do aplicativo multilocatário

Para obter sua ID de Recurso de identidade gerenciada atribuída pelo usuário, pesquise Identidades Gerenciadas no portal do Azure. Encontre sua identidade gerenciada e vá para Propriedades. Um exemplo do seu ID de recurso UMI se parece com/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>

# create a server with user-assigned managed identity and cross-tenant customer-managed TDE
$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    SqlAdministratorCredentials = (Get-Credential)
    SqlAdministratorLogin = "<ServerAdminName>"
    SqlAdministratorPassword = "<ServerAdminPassword>"
    AssignIdentity = $true
    IdentityType = "<IdentityType>"
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    PrimaryUserAssignedIdentityId = "<PrimaryUserAssignedIdentityId>"
    KeyId = "<CustomerManagedKeyId>"
    FederatedClientId = "<FederatedClientId>"
}

New-AzSqlServer @params

Modelo do ARM

Aqui está um exemplo de um modelo ARM que cria um servidor lógico SQL do Azure com uma identidade gerenciada atribuída pelo usuário e TDE gerenciada pelo cliente. Para uma CMK entre locatários, use o Identificador de Chave do Cofre da Chave do segundo locatário e a ID do Aplicativo do aplicativo multilocatário.

O modelo também adiciona um conjunto de administradores do Microsoft Entra para o servidor e habilita a autenticação somente do Microsoft Entra, mas isso pode ser removido do exemplo de modelo.

Para obter mais informações e modelos ARM, consulte Modelos do Azure Resource Manager para o Banco de Dados SQL do Azure & Instância Gerenciada SQL.

Use uma implantação personalizada no portal do Azure e crie seu próprio modelo no editor. Em seguida, salve a configuração depois de colar no exemplo.

Para obter sua ID de Recurso de identidade gerenciada atribuída pelo usuário, pesquise Identidades Gerenciadas no portal do Azure. Encontre sua identidade gerenciada e vá para Propriedades. Um exemplo do seu ID de recurso UMI se parece com /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "String"
        },
        "location": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity."
            }
        },
        "federated_clientid": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Application ID of the multi-tenant application."
            }
        },
        "keyvault_url": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The key vault URI."
            }
        },
        "AdminLogin": {
            "minLength": 1,
            "type": "String"
        },
        "AdminLoginPassword": {
            "type": "SecureString"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2022-05-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "administratorLogin": "[parameters('AdminLogin')]",
                "administratorLoginPassword": "[parameters('AdminLoginPassword')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "federatedClientId": "[parameters('federated_clientid')]",
                "KeyId": "[parameters('keyvault_url')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Próximos passos

• Introdução à integração do Azure Key Vault e suporte Bring Your Own Key para TDE: ative o TDE usando sua própria chave do Key Vault
• Chaves gerenciadas pelo cliente entre locatários com criptografia de dados transparente

Consulte também

• Criptografia de dados transparente (TDE) com chaves gerenciadas pelo cliente no nível do banco de dados
• Configure a replicação geográfica e a restauração de backup para criptografia de dados transparente com chaves gerenciadas pelo cliente no nível do banco de dados
• Gerenciamento de identidades e chaves para TDE com chaves gerenciadas pelo cliente no nível do banco de dados