Руководство по импорту или экспорту базы данных с проверкой подлинности управляемого удостоверения для Azure SQL Database (предварительная версия)

Применимо к:Azure SQL Database

В этом руководстве показано, как импортировать и экспортировать Azure SQL Database BACPAC-файлы с проверкой подлинности управляемого удостоверения.

Проверка подлинности с использованием управляемой идентификации устраняет необходимость предоставления учетных данных администратора SQL и ключей учетной записи хранилища при выполнении запросов на импорт и экспорт.

Замечание

Импорт и экспорт BACPAC-файлов с проверкой подлинности управляемого удостоверения в настоящее время находится в предварительной версии.

Обзор

Импорт и экспорт базы данных Azure SQL с использованием проверки подлинности управляемого удостоверения помогают вам выполнить следующие задачи:

• Удалите пароли администратора SQL и ключи учетной записи хранения.
• Включить проверку подлинности только с использованием Microsoft Entra.
• Сокращение затрат на управление учетными данными и смену учетных данных.

Это важно

Импорт и экспорт — это операции с высоким уровнем привилегий. Предоставьте разрешения только доверенным субъектам.

Architecture

Аутентификация управляемых идентификационных данных для импорта и экспорта использует следующую архитектуру:

• Служба импорта и экспорта выполняется в управляемой корпорацией Майкрософт инфраструктуре.
• Назначаемое пользователем управляемое удостоверение, назначенное логическому серверу, используется для проверки подлинности.
• Azure RBAC управляет доступом к Azure Storage.

Поддерживаемые сценарии

Следующие сценарии поддерживаются аутентификацией с управляемым удостоверением:

• Импорт в новую базу данных.
• Импорт в существующую пустую базу данных.
• Экспорт из существующей базы данных.

Следующие сценарии не поддерживаются аутентификацией с использованием управляемого удостоверения.

• Операции импорта между клиентами.
• Управляемое удостоверение, назначенное только на уровне базы данных.

Предпосылки

• Подписка Azure.
• Логический сервер для Azure SQL Database.
• Учетная запись хранения Azure с контейнером BLOB-объектов.

Создайте управляемую идентичность, назначаемую пользователем

Создайте одну или несколько управляемых идентичностей.

Выберите из следующих моделей проверки подлинности:

• Одно удостоверение для доступа к SQL и Azure Storage.
• Отдельные учетные записи для доступа к SQL и хранилищу данных.

Использование отдельных удостоверений для упрощения управления разрешениями с минимальными привилегиями.

Чтобы создать управляемое удостоверение, можно использовать портал Azure, Azure CLI, Azure PowerShell, ARM шаблон или REST API.

Вам нужен идентификатор управляемого удостоверения, назначенного пользователем, для операций экспорта или импорта, а также для доступа к хранилищу данных. Идентификатор ресурса имеет формат:

/subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identityName>

Чтобы определить идентификатор ресурса для существующей управляемой идентификации, назначаемой пользователем в портале Azure, выполните следующие действия.

1. Перейдите к назначенным пользователем управляемым удостоверениям на портале Azure.
2. В разделе Параметры выберите Свойства.
3. В разделе Essentials скопируйте значение идентификатора , которое будет использоваться в последующих шагах.

Предоставление разрешений на хранение

Чтобы использовать проверку подлинности управляемого удостоверения для операций импорта и экспорта, управляемое удостоверение, назначенное пользователем, которое обращается к учетной записи хранения, должно иметь соответствующие разрешения RBAC в Azure для целевой учетной записи.

Предоставьте разрешения для пользовательской назначенной управляемой идентификации, которую вы планируете использовать для доступа к учетной записи службы хранения. Это может быть другое управляемое удостоверение, отличное от того, которое назначено логическому серверу, или оно может быть одинаковым, если вы хотите использовать одно удостоверение для доступа к SQL и хранилищу.

Замечание

Чтобы добавить назначения ролей или добавить соадминистратора, пользователь должен быть администратором подписки или администратором доступа пользователей.

Чтобы предоставить разрешения RBAC в Azure управляемому удостоверению для учетной записи хранения, выполните следующие действия.

1. Выберите назначения ролей Azure для вашего управляемого удостоверения, назначаемого пользователем в портале Azure.
2. На панели назначений ролей Azure выберите + Добавить назначение ролей (предварительная версия), чтобы открыть панель Добавить назначение ролей (предварительная версия).
3. В раскрывающемся списке "Область" выберите хранилище.
4. В разделе "Подписка" убедитесь, что выбрана правильная подписка.
5. В разделе "Ресурс" выберите учетную запись хранения, которую вы планируете использовать для операции экспорта или импорта.
6. В разделе "Роль" найдите соответствующую роль BLOB-объекта хранилища для вашей операции:
   • Для операций экспорта назначьте роль Storage Blob Data Contributor.
   • Для операций импорта назначьте роль Storage Blob Data Reader.
7. Нажмите кнопку "Сохранить", чтобы сохранить назначение роли.

Назначьте управляемое удостоверение логическому серверу

Назначьте назначаемое пользователем управляемое удостоверение, созданное для логического сервера логическому серверу.

Чтобы назначить управляемое удостоверение логическому серверу, выполните следующие действия.

1. Откройте ваш логический сервер для Azure SQL Database в портале Azure.
2. В разделе "Безопасность" выберите "Удостоверение".
3. В разделе "Назначаемое пользователем управляемое удостоверение " используйте +Добавить , чтобы открыть панель "Выбор назначаемого пользователем управляемого удостоверения ".
4. Найдите управляемое удостоверение, созданное на предыдущем шаге, выберите его, а затем нажмите кнопку "Добавить ", чтобы назначить его серверу.
5. Назначьте назначенное пользователем управляемое удостоверение в качестве основного удостоверения.
6. Используйте значок "Сохранить " на панели навигации, чтобы сохранить изменения.

Настройка администратора Microsoft Entra

Чтобы настроить администратора Microsoft Entra, выполните следующие действия.

1. На логическом сервере Azure SQL Database в разделе Settings выберите Microsoft Entra admin.
2. Выберите Set admin, чтобы открыть панель Microsoft Entra ID.
3. Найдите созданное управляемое удостоверение, назначаемое пользователем, выберите его, а затем используйте Select, чтобы задать его в качестве администратора Microsoft Entra.
4. (Необязательно) Установите флажок, чтобы активировать поддержку только проверки подлинности Microsoft Entra для этого сервера и обеспечить применение проверки подлинности Microsoft Entra для логического сервера. Этот параметр блокирует всю аутентификацию SQL, поэтому к серверу могут обращаться только управляемые удостоверения и другие основные сущности Microsoft Entra.
5. Используйте значок "Сохранить " на панели навигации, чтобы сохранить изменения.

Замечание

Если вам нужно предоставить доступ администратора нескольких ресурсов к логическому серверу, рассмотрите возможность создания группы Microsoft Entra, назначьте эту группу в качестве администратора, а затем назначьте управляемое удостоверение, назначаемое пользователем, в качестве члена этой группы.

Экспорт базы данных

Базу данных с проверкой подлинности управляемого удостоверения можно экспортировать с помощью портала Azure, Azure CLI, Azure PowerShell или REST API.

Azure

Чтобы экспортировать базу данных с аутентификацией с использованием управляемого удостоверения в портале Azure, выполните следующие шаги.

1. Перейдите к Azure SQL Database на портале Azure.
2. В области "Обзор" выберите "Экспорт ", чтобы открыть панель "Экспорт базы данных ".
3. Чтобы получить доступ к учетной записи хранения с помощью управляемого удостоверения, установите флажок "Использовать управляемое удостоверение для проверки подлинности хранилища ", а затем укажите идентификатор ресурса для управляемого удостоверения, которому предоставлен доступ к учетной записи хранения.
4. Для типа проверки подлинности выберите "Управляемое удостоверение".
5. Поле идентификатора ресурса управляемого удостоверения SQL должно автоматически заполняться идентификатором ресурса, назначенным управляемому удостоверению пользователя на логическом сервере. Если это не так, укажите идентификатор ресурса для управляемого удостоверения, назначаемого пользователем, сохраненного при создании управляемого удостоверения.

Azure PowerShell

Чтобы экспортировать базу данных с проверкой подлинности управляемого удостоверения, используйте командлет New-AzSqlDatabaseExport с параметром -AuthenticationType "ManagedIdentity" .

В следующем примере показано, как экспортировать базу данных с проверкой подлинности управляемого удостоверения при использовании отдельного управляемого удостоверения для доступа к хранилищу:

$serverName = "<server name>" 
$databaseName = "<database name>" 
$resourceGroupName = "<resource group name>"
$storageUri = "https://<storageaccount>.blob.core.windows.net/<container name>/<filename>.bacpac" 
$managedIdentitySqlResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>" 
$managedIdentityStorageResourceId = “/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>”

New-AzSqlDatabaseExport -DatabaseName $databaseName -ServerName $serverName -ResourceGroupName $resourceGroupName -StorageKeyType "ManagedIdentity" -StorageKey $managedIdentityStorageResourceId -StorageUri $storageUri -AdministratorLogin $managedIdentitySqlResourceId -AuthenticationType "ManagedIdentity" 

В следующем примере демонстрируется, как экспортировать базу данных, используя проверку подлинности с помощью управляемого удостоверения, при этом одно и то же удостоверение применяется для доступа как к SQL, так и к хранилищу.

$serverName = "<server name>" 
$databaseName = "<database name>" 
$resourceGroupName = "<resource group name>"
$storageUri = "https://<storageaccount>.blob.core.windows.net/<container name>/<filename>.bacpac" 
$managedIdentitySqlResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>"
 
New-AzSqlDatabaseExport -DatabaseName $databaseName -ServerName $serverName -ResourceGroupName $resourceGroupName -StorageKeyType "ManagedIdentity" -StorageKey $managedIdentitySqlResourceId -StorageUri $storageUri -AdministratorLogin $managedIdentitySqlResourceId -AuthenticationType "ManagedIdentity" 

Azure CLI

Чтобы экспортировать базу данных с проверкой подлинности удостоверения, управляемого системой, используйте команду az sql db export с параметром --authentication-type "ManagedIdentity".

В следующем примере показано, как экспортировать базу данных с проверкой подлинности управляемого удостоверения при использовании отдельного управляемого удостоверения для доступа к хранилищу:

$serverName = "<server name>" 
$databaseName = "<database name>" 
$resourceGroupName = "<resource group name>"
$storageUri = "https://<storageaccount>.blob.core.windows.net/<container name>/<filename>.bacpac" 
$managedIdentitySqlResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>" 
$managedIdentityStorageResourceId = “/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>”
 

az sql db export -s $serverName -n $databaseName -g $resourceGroupName --auth-type ManagedIdentity -u $managedIdentitySqlResourceId --storage-key-type ManagedIdentity --storage-key $managedIdentityStorageResourceId --storage-uri $storageUri

В следующем примере демонстрируется, как экспортировать базу данных, используя проверку подлинности с помощью управляемого удостоверения, при этом одно и то же удостоверение применяется для доступа как к SQL, так и к хранилищу.

$serverName = "<server name>" 
$databaseName = "<database name>" 
$resourceGroupName = "<resource group name>"
$storageUri = "https://<storageaccount>.blob.core.windows.net/<container name>/<filename>.bacpac" 
$managedIdentitySqlResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>" 
 

az sql db export -s $serverName -n $databaseName -g $resourceGroupName --auth-type ManagedIdentity -u $managedIdentitySqlResourceId --storage-key-type ManagedIdentity --storage-key $managedIdentitySqlResourceId --storage-uri $storageUri

REST API

Чтобы экспортировать базу данных с использованием аутентификации управляемой идентификации, воспользуйтесь Databases - Export REST API.

POST https://management.azure.com/subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.Sql/servers/<serverName>/databases/<databaseName>/export?api-version=2023-08-01

{
	"authenticationType": "ManagedIdentity",
	"administratorLogin": "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<sqlIdentityName>",
	"storageKeyType": "ManagedIdentity",
	"storageKey": "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<storageIdentityName>",
	"storageUri": "https://<storageAccount>.blob.core.windows.net/<container>/<fileName>.bacpac"
}

Импорт базы данных

Базу данных можно импортировать с аутентификацией с использованием управляемого удостоверения с помощью портала Azure, Azure CLI, Azure PowerShell или REST API.

Вы можете импортировать базу данных в качестве новой базы данных или в существующую пустую базу данных.

Azure

Чтобы импортировать базу данных с проверкой подлинности управляемого удостоверения на портале Azure, выполните следующие действия.

1. Перейдите на ваш логический сервер для Azure SQL Database на портале Azure.
2. В области обзора выберите "Импорт" , чтобы открыть область "Импорт базы данных ".
3. Чтобы получить доступ к учетной записи хранения с помощью управляемого удостоверения, установите флажок "Использовать управляемое удостоверение для проверки подлинности хранилища ", а затем укажите идентификатор ресурса для управляемого удостоверения, которому предоставлен доступ к учетной записи хранения.
4. В разделе "Имя базы данных" укажите имя целевой базы данных.
5. Для типа проверки подлинности выберите "Управляемое удостоверение".
6. Поле идентификатора ресурса управляемого удостоверения SQL должно автоматически заполняться идентификатором ресурса для управляемого удостоверения, назначенного пользователем на логическом сервере. Если это не так, укажите идентификатор ресурса для пользовательского управляемого удостоверения, сохраненного при создании управляемого удостоверения.

Azure PowerShell

Чтобы импортировать базу данных с аутентификацией с управляемой идентификацией, используйте командлет New-AzSqlDatabaseImport с параметром -AuthenticationType "ManagedIdentity".

В следующем примере показано, как импортировать базу данных с проверкой подлинности управляемого удостоверения при использовании отдельного управляемого удостоверения для доступа к хранилищу:

$serverName = "<server name>" 
$databaseName = "<database name>" 
$resourceGroupName = "<resource group name>"
$storageUri = "https://<storageaccount>.blob.core.windows.net/<container name>/<filename>.bacpac" 
$managedIdentitySqlResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>" 
$managedIdentityStorageResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>"

New-AzSqlDatabaseImport -DatabaseName $databaseName -ServerName $serverName -ResourceGroupName $resourceGroupName -StorageKeyType "ManagedIdentity" -StorageKey $managedIdentityStorageResourceId -StorageUri $storageUri -AdministratorLogin $managedIdentitySqlResourceId -AuthenticationType "ManagedIdentity" 

В следующем примере показано, как импортировать базу данных с проверкой подлинности управляемого удостоверения при использовании одного управляемого удостоверения для доступа к SQL и хранилищу:

$serverName = "<server name>" 
$databaseName = "<database name>" 
$resourceGroupName = "<resource group name>"
$storageUri = "https://<storageaccount>.blob.core.windows.net/<container name>/<filename>.bacpac" 
$managedIdentitySqlResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>"
 
New-AzSqlDatabaseImport -DatabaseName $databaseName -ServerName $serverName -ResourceGroupName $resourceGroupName -StorageKeyType "ManagedIdentity" -StorageKey $managedIdentitySqlResourceId -StorageUri $storageUri -AdministratorLogin $managedIdentitySqlResourceId -AuthenticationType "ManagedIdentity" 

Azure CLI

Чтобы импортировать базу данных с использованием аутентификации управляемого удостоверения, используйте команду az sql db import с параметром --auth-type ManagedIdentity.

В следующем примере показано, как импортировать базу данных с проверкой подлинности управляемого удостоверения при использовании отдельного управляемого удостоверения для доступа к хранилищу:

$serverName = "<server name>" 
$databaseName = "<database name>" 
$resourceGroupName = "<resource group name>"
$storageUri = "https://<storageaccount>.blob.core.windows.net/<container name>/<filename>.bacpac" 
$managedIdentitySqlResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>" 
$managedIdentityStorageResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>”
 

az sql db import -s $serverName -n $databaseName -g $resourceGroupName --auth-type ManagedIdentity -u $managedIdentitySqlResourceId --storage-key-type ManagedIdentity --storage-key $managedIdentityStorageResourceId --storage-uri $storageUri

В следующем примере показано, как импортировать базу данных с проверкой подлинности управляемого удостоверения при использовании одного управляемого удостоверения для доступа к SQL и хранилищу:

$serverName = "<server name>" 
$databaseName = "<database name>" 
$resourceGroupName = "<resource group name>"
$storageUri = "https://<storageaccount>.blob.core.windows.net/<container name>/<filename>.bacpac" 
$managedIdentitySqlResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>" 
 

az sql db import -s $serverName -n $databaseName -g $resourceGroupName --auth-type ManagedIdentity -u $managedIdentitySqlResourceId --storage-key-type ManagedIdentity --storage-key $managedIdentitySqlResourceId --storage-uri $storageUri

REST API

Чтобы импортировать базы данных с проверкой подлинности управляемого удостоверения, используйте Databases - Import REST API.

POST https://management.azure.com/subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.Sql/servers/<serverName>/databases/<databaseName>/import?api-version=2023-08-01

{
	"authenticationType": "ManagedIdentity",
	"administratorLogin": "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<sqlIdentityName>",
	"storageKeyType": "ManagedIdentity",
	"storageKey": "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<storageIdentityName>",
	"storageUri": "https://<storageAccount>.blob.core.windows.net/<container>/<fileName>.bacpac",
	"databaseName": "<targetDatabaseName>",
	"edition": "GeneralPurpose",
	"serviceObjectiveName": "GP_Gen5_2"
}

Устранение распространенных неполадок

Следующие распространенные проблемы могут возникнуть при использовании аутентификации управляемой идентичности для импорта и экспорта. Выполните действия по устранению неполадок для каждой проблемы:

• Несоответствие арендатора . Убедитесь, что логический сервер, управляемое пользователем удостоверение и учетная запись хранения находятся в одном клиенте Microsoft Entra.
• Управляемое удостоверение не настроено как администратор Microsoft Entra. Задайте назначенное пользователем управляемое удостоверение в качестве администратора Microsoft Entra на уровне сервера на логическом сервере.
• Сбои авторизации хранилища. Убедитесь, что Storage Blob Data Reader (импорт) или Storage Blob Data Contributor (экспорт) предоставляется на правильном уровне доступа хранилища.
• Сбои авторизации операций: Убедитесь, что у пользователя есть разрешение Azure RBAC на отправку операций импорта или экспорта на целевой SQL области.
• Авторизация с общим ключом отключена. При выборе учетной записи хранения на портале Azure во время операций импорта или экспорта портал использует учетные данные пользователя, вошедшего в систему, и полагается на авторизацию на основе общего ключа. Если авторизация общего ключа отключена для учетной записи хранения, импорт и экспорт с портала Azure недоступна. Используйте Azure CLI, PowerShell или REST API для операций импорта и экспорта при отключении доступа к общему ключу.
• Учетная запись хранилища недоступна в раскрывающемся списке выбора учетной записи. При использовании портала Azure для операций импорта или экспорта в раскрывающемся списке выбора учетной записи хранилища отображаются только учетные записи, к которым у вошедшего пользователя есть доступ. Если учетная запись хранения данных не отображается в раскрывающемся списке, убедитесь, что пользователь, выполнивший вход, имеет по крайней мере роль Читатель к учетной записи для хранения данных.

Permissions

Пользователь, отправивший запрос на импорт или экспорт, должен иметь необходимые Azure разрешения RBAC для выполнения операций импорта или экспорта в целевой области (база данных, сервер, группа ресурсов или подписка).

У следующих распространенных встроенных ролей есть необходимые разрешения:

• Соавтор базы данных SQL
• Contributor
• Owner

Вы также можете использовать настраиваемую роль, которая содержит следующие разрешения, требуемые для действий импорта и экспорта Microsoft.Sql:

• Microsoft.Sql/servers/databases/export/action (POST)
• Microsoft.Sql/servers/databases/import/action (POST)
• Microsoft.Sql/servers/import/action (POST)
• Microsoft.Sql/servers/databases/extensions/write (PUT)

Ограничения

При использовании проверки подлинности управляемого удостоверения для операций импорта и экспорта следует учитывать следующие ограничения.

• Операции между клиентами не поддерживаются.
• Управляемые удостоверения на уровне базы данных не поддерживаются для операций импорта и экспорта.
• Во время предварительной версии некоторые возможности портала Azure могут быть ограничены.
• Управляемые удостоверения с автоматическим назначением системой не поддерживаются.
• Импорт в учетную запись хранения и экспорт из нее, когда отключен доступ по общему ключу, не поддерживаются при использовании портала Azure. Для импорта в или экспорта из учетной записи хранения с отключенным доступом к общему ключу используйте Azure CLI, PowerShell или REST API.

Связанный контент

• Import BACPAC-файл в базу данных в Azure SQL Database
• Экспорт в BACPAC-файл
• Импорт или экспорт с помощью приватного канала