Criar servidor configurado com identidade gerenciada atribuída pelo usuário e TDE gerenciada pelo cliente

Aplica-se a:Banco de Dados SQL do Azure

Este guia de instruções descreve as etapas para criar um servidor lógico no Azure configurado com criptografia de dados transparente (TDE) com chaves gerenciadas pelo cliente (CMK) usando uma identidade gerenciada atribuída pelo usuário para acessar o Cofre de Chaves do Azure.

Nota

Microsoft Entra ID é o novo nome para o Azure Ative Directory (Azure AD). Estamos atualizando a documentação neste momento.

Pré-requisitos

• Este guia de instruções pressupõe que você já criou um Cofre de Chaves do Azure e importou uma chave para ele para usar como protetor TDE para o Banco de Dados SQL do Azure. Para obter mais informações, consulte criptografia de dados transparente com suporte a BYOK.
• A proteção Soft-delete e Purge deve ser ativada no cofre de chaves
• Você deve ter criado uma identidade gerenciada atribuída pelo usuário e fornecido as permissões TDE necessárias (Get, Wrap Key, Unwrap Key) no cofre de chaves acima. Para criar uma identidade gerenciada atribuída pelo usuário, consulte Criar uma identidade gerenciada atribuída pelo usuário.
• Você deve ter o Azure PowerShell instalado e em execução.
• [Recomendado, mas opcional] Crie primeiro o material de chave para o protetor TDE em um módulo de segurança de hardware (HSM) ou armazenamento de chaves local e importe o material de chave para o Cofre de Chaves do Azure. Siga as instruções para usar um módulo de segurança de hardware (HSM) e o Cofre de Chaves para saber mais.

Criar servidor configurado com TDE com chave gerenciada pelo cliente (CMK)

As etapas a seguir descrevem o processo de criação de um novo servidor lógico do Banco de Dados SQL do Azure e um novo banco de dados com uma identidade gerenciada atribuída pelo usuário atribuída. A identidade gerenciada atribuída pelo usuário é necessária para configurar uma chave gerenciada pelo cliente para TDE no momento da criação do servidor.

Portal

1. Navegue até a página Selecionar opção de implantação SQL no portal do Azure.

2. Se você ainda não estiver conectado ao portal do Azure, entre quando solicitado.

3. Em Bancos de dados SQL, deixe Tipo de recurso definido como Banco de dados único e selecione Criar.

4. Na guia Noções básicas do formulário Criar Banco de Dados SQL, em Detalhes do projeto, selecione a Assinatura do Azure desejada.

5. Em Grupo de recursos, selecione Criar novo, insira um nome para o grupo de recursos e selecione OK.

6. Em Nome do banco de dados, digite ContosoHR.

7. Em Servidor, selecione Criar novo e preencha o formulário Novo servidor com os seguintes valores:

   • Nome do servidor: insira um nome de servidor exclusivo. Os nomes de servidor devem ser globalmente exclusivos para todos os servidores no Azure, não apenas exclusivos dentro de uma assinatura. Insira algo como mysqlserver135, e o portal do Azure informará se ele está disponível ou não.
   • Login de administrador do servidor: insira um nome de login de administrador, por exemplo: azureuser.
   • Palavra-passe: introduza uma palavra-passe que cumpra os requisitos de palavra-passe e introduza-a novamente no campo Confirmar palavra-passe.
   • Localização: selecione um local na lista suspensa

8. Selecione Next: Networking na parte inferior da página.

9. Na guia Rede, para Método de conectividade, selecione Ponto de extremidade público.

10. Para regras de firewall, defina Adicionar endereço IP do cliente atual como Sim. Deixe Permitir que os serviços e recursos do Azure acessem este servidor definido como Não.

    

11. Selecione Seguinte: Segurança na parte inferior da página.

12. Na guia Segurança, em Identidade do Servidor, selecione Configurar Identidades.

    

13. Na folha Identidade, selecione Desativado para Identidade gerenciada atribuída ao sistema e, em seguida, selecione Adicionar em Identidade gerenciada atribuída pelo usuário. Selecione a Assinatura desejada e, em Identidades gerenciadas atribuídas ao usuário, selecione a identidade gerenciada atribuída pelo usuário desejada na assinatura selecionada. Em seguida, selecione o botão Adicionar .

    

    

14. Em Identidade principal, selecione a mesma identidade gerenciada atribuída pelo usuário selecionada na etapa anterior.

    

15. Selecione Aplicar

16. Na guia Segurança, em Gerenciamento de Chaves de Criptografia de Dados Transparente, você tem a opção de configurar a criptografia de dados transparente para o servidor ou banco de dados.

    • Para Chave de nível de servidor: Selecione Configurar criptografia de dados transparente. Selecione Chave gerenciada pelo cliente e uma opção para selecionar Selecionar uma chave será exibida. Selecione Alterar chave. Selecione a Assinatura, o Cofre da chave, a Chave e a Versão desejados para a chave gerenciada pelo cliente a ser usada para TDE. Selecione o botão Selecionar.

    

    

    • Para Chave de nível de banco de dados: Selecione Configurar criptografia de dados transparente. Selecione Chave Gerenciada pelo Cliente no nível do banco de dados e uma opção para configurar a Identidade do Banco de Dados e a Chave Gerenciada pelo Cliente aparecerá. Selecione Configurar para configurar uma Identidade Gerenciada Atribuída pelo Usuário para o banco de dados, semelhante à etapa 13. Selecione Alterar chave para configurar uma chave gerenciada pelo cliente. Selecione a Assinatura, o Cofre da chave, a Chave e a Versão desejados para a chave gerenciada pelo cliente a ser usada para TDE. Você também tem a opção de ativar a chave de rotação automática no menu Criptografia de dados transparente. Selecione o botão Selecionar.

    

17. Selecione Aplicar

18. Selecione Rever + criar na parte inferior da página

19. Na página Rever + criar, depois de rever, selecione Criar.

A CLI do Azure

Para obter informações sobre como instalar a versão atual da CLI do Azure, consulte Instalar o artigo da CLI do Azure.

Crie um servidor configurado com identidade gerenciada atribuída pelo usuário e TDE gerenciado pelo cliente usando o comando az sql server create .

az sql server create \
    --name $serverName \
    --resource-group $resourceGroupName \
    --location $location  \
    --admin-user $adminlogin \
    --admin-password $password \
    --assign-identity \
    --identity-type $identitytype \
    --user-assigned-identity-id $identityid \
    --primary-user-assigned-identity-id $primaryidentityid \
    --key-id $keyid
 

Crie um banco de dados com o comando az sql db create .

az sql db create \
    --resource-group $resourceGroupName \
    --server $serverName \
    --name mySampleDatabase \
    --sample-name AdventureWorksLT \
    --edition GeneralPurpose \
    --compute-model Serverless \
    --family Gen5 \
    --capacity 2

PowerShell

Crie um servidor configurado com identidade gerenciada atribuída pelo usuário e TDE gerenciado pelo cliente usando o PowerShell.

Para obter instruções de instalação do módulo Az PowerShell, consulte Instalar o Azure PowerShell. Para cmdlets específicos, consulte AzureRM.Sql.

Use o cmdlet New-AzSqlServer .

Substitua os seguintes valores no exemplo:

• <ResourceGroupName>: Nome do grupo de recursos para o seu servidor lógico SQL do Azure
• <Location>: Localização do servidor, como West US, ou Central US
• <ServerName>: Usar um nome de servidor lógico SQL exclusivo do Azure
• <ServerAdminName>: O login do Administrador SQL
• <ServerAdminPassword>: A senha do Administrador SQL
• <IdentityType>: Tipo de identidade a ser atribuída ao servidor. Os valores possíveis são SystemAssigned, UserAssignedSystemAssigned,UserAssigned e Nenhum
• <UserAssignedIdentityId>: A lista de identidades gerenciadas atribuídas pelo usuário a serem atribuídas ao servidor (pode ser uma ou várias)
• <PrimaryUserAssignedIdentityId>: A identidade gerenciada atribuída pelo usuário que deve ser usada como principal ou padrão neste servidor
• <CustomerManagedKeyId>: Identificador de chave e pode ser recuperado da chave no Cofre da Chave

Para obter sua ID de Recurso de identidade gerenciada atribuída pelo usuário, pesquise Identidades Gerenciadas no portal do Azure. Encontre sua identidade gerenciada e vá para Propriedades. Um exemplo do seu ID de recurso UMI se parece com/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>

# create a server with user-assigned managed identity and customer-managed TDE
$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    SqlAdministratorCredentials = (Get-Credential)
    SqlAdministratorLogin = "<ServerAdminName>"
    SqlAdministratorPassword = "<ServerAdminPassword>"
    AssignIdentity = $true
    IdentityType = "<IdentityType>"
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    PrimaryUserAssignedIdentityId = "<PrimaryUserAssignedIdentityId>"
    KeyId = "<CustomerManagedKeyId>"
}

New-AzSqlServer @params

Modelo do ARM

Aqui está um exemplo de um modelo ARM que cria um servidor lógico no Azure com uma identidade gerenciada atribuída pelo usuário e TDE gerenciada pelo cliente. O modelo também adiciona um conjunto de administradores do Microsoft Entra para o servidor e habilita a autenticação somente do Microsoft Entra, mas isso pode ser removido do exemplo de modelo.

Para obter mais informações e modelos ARM, consulte Modelos do Azure Resource Manager para o Banco de Dados SQL do Azure & Instância Gerenciada SQL.

Use uma implantação personalizada no portal do Azure e crie seu próprio modelo no editor. Em seguida, salve a configuração depois de colar no exemplo.

Para obter sua ID de Recurso de identidade gerenciada atribuída pelo usuário, pesquise Identidades Gerenciadas no portal do Azure. Encontre sua identidade gerenciada e vá para Propriedades. Um exemplo do seu ID de recurso UMI se parece com /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "String"
        },
        "location": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity."
            }
        },
        "keyvault_url": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The key vault URI."
            }
        },
        "AdminLogin": {
            "minLength": 1,
            "type": "String"
        },
        "AdminLoginPassword": {
            "type": "SecureString"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "administratorLogin": "[parameters('AdminLogin')]",
                "administratorLoginPassword": "[parameters('AdminLoginPassword')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "KeyId": "[parameters('keyvault_url')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Próximos passos

• Introdução à integração do Azure Key Vault e suporte Bring Your Own Key para TDE: ative o TDE usando sua própria chave do Key Vault.