Criar servidor lógico do Banco de Dados SQL do Azure configurado com identidade gerenciada atribuída pelo usuário e CMK entre locatários para TDE

Aplica-se a: do Banco de Dados SQL do Azure

Neste guia, passaremos pelas etapas para criar um servidor lógico no Banco de Dados SQL do Azure com criptografia de dados transparente (TDE) e chaves gerenciadas pelo cliente (CMK), utilizando uma identidade gerenciada atribuída pelo usuário para acessar um Cofre de Chaves do Azure em um locatário do Microsoft Entra diferente do locatário do servidor lógico. Para obter mais informações, consulte chaves gerenciadas pelo cliente entre locatários com criptografia de dados transparente.

Observação

Microsoft Entra ID era anteriormente conhecido como Azure Ative Directory (Azure AD).

Pré-requisitos

Este guia pressupõe que possuis dois inquilinos do Microsoft Entra.
- O primeiro contém o recurso Banco de Dados SQL do Azure, um aplicativo Microsoft Entra multilocatário e uma identidade gerenciada atribuída pelo usuário.
- O segundo locatário abriga o Cofre de Chaves do Azure.
Para obter instruções abrangentes sobre como configurar a CMK entre locatários e as permissões RBAC necessárias para configurar aplicativos Microsoft Entra e o Azure Key Vault, consulte um dos seguintes guias:
- Configurar chaves gerenciadas pelo cliente entre locatários para uma nova conta de armazenamento
- Configurar chaves geridas pelo cliente entre diferentes inquilinos para uma conta de armazenamento existente

Recursos necessários para o primeiro inquilino

Para o propósito deste tutorial, assumiremos que o primeiro locatário pertence a um fornecedor independente de software (ISV) e o segundo locatário é de seu cliente. Para obter mais informações sobre esse cenário, consulte chaves gerenciadas pelo cliente entre locatários com criptografia de dados transparente.

Antes de podermos configurar o TDE para a Base de Dados SQL do Azure com uma CMK entre locatários, precisamos ter uma aplicação Microsoft Entra multilocatária configurada com uma identidade gerida atribuída pelo utilizador, atribuída como uma credencial de identidade federada para a aplicação. Siga um dos guias na secção de Pré-requisitos.

No primeiro locatário onde você deseja criar o Banco de Dados SQL do Azure, criar e configurar um aplicativo Microsoft Entra multilocatário
Criar uma identidade gerenciada atribuída pelo usuário
Configurar a identidade gerida atribuída ao usuário como uma credencial de identidade federada para a aplicação multilocatário
Registre o nome e a ID do aplicativo. Isto está disponível no portal do Azure>Microsoft Entra ID>aplicações empresariais e procurar pela aplicação criada

Recursos necessários no segundo locatário

Observação

Os módulos Azure AD e MSOnline PowerShell foram preteridos a partir de 30 de março de 2024. Para saber mais, leia a atualização sobre a descontinuação de . Após essa data, o suporte para esses módulos é limitado à assistência de migração para o SDK do Microsoft Graph PowerShell e correções de segurança. Os módulos preteridos continuarão a funcionar até 30 de março de 2025.

Recomendamos migrar para do Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (anteriormente Azure AD). Para perguntas comuns sobre migração, consulte as Perguntas frequentes sobre migração de . Nota: Versões 1.0.x do MSOnline podem sofrer interrupções após 30 de junho de 2024.

No segundo locatário onde o Azure Key Vault reside, criar um principal de serviço (aplicação) usando a ID da aplicação registrada do primeiro locatário. Aqui estão alguns exemplos de como registar a aplicação multicliente. Substitua <TenantID> e <ApplicationID> pelo ID do Locatário do Cliente da ID do Microsoft Entra e pelo ID do Aplicativo do aplicativo multilocatário, respectivamente.
- PowerShell:
```
Connect-AzureAD -TenantID <TenantID>
New-AzADServicePrincipal  -ApplicationId <ApplicationID>
```
- A CLI do Azure:
```
az login --tenant <TenantID>
az ad sp create --id <ApplicationID>
```
Vá para o portal do Azure>Microsoft Entra ID>aplicativos Enterprise e procure o aplicativo que acabou de ser criado.
Crie um Cofre de Chaves do Azure se não tiver um e crie uma chave
Crie ou defina a política de acesso.
1. Selecione as permissões Get, Wrap Key, Unwrap Key em Key permissions ao criar a política de acesso
2. Selecione a aplicação multi-inquilino criada no primeiro passo na opção Principal ao criar a política de acesso.
Depois que a política de acesso e a chave tiverem sido criadas, recupere a chave do Cofre de Chaves do Azure e registre o Identificador de Chave

Criar servidor configurado com TDE e chave gerida pelo cliente para uso entre locatários (CMK)

Este guia orientará você pelo processo de criação de um servidor lógico e banco de dados no SQL do Azure com uma identidade gerenciada atribuída pelo usuário, bem como como definir uma chave gerenciada pelo cliente entre locatários. A identidade gerenciada atribuída pelo usuário é essencial para configurar uma chave gerenciada pelo cliente para criptografia de dados transparente durante a fase de criação do servidor.

Importante

O utilizador ou a aplicação que usa APIs para criar servidores lógicos SQL precisa dos cargos de Colaborador do SQL Server e de Operador de Identidade Gerida , ou superiores na assinatura.

Vá para o hub SQL do Azure em aka.ms/azuresqlhub.
No painel do Banco de Dados SQL do Azure, selecione Mostrar opções.
Na janela de opções do Banco de Dados SQL do Azure , selecione Criar Banco de Dados SQL.
Na guia Noções básicas do formulário Criar Banco de Dados SQL, em Detalhes do projeto , selecione a Assinatura do Azure desejada.
Para o grupo de recursos , selecione Criar novo, introduza um nome para o seu grupo de recursos e selecione OK.
Para Nome do banco de dados insira um nome de banco de dados. Por exemplo, ContosoHR.
Para o servidor , selecione Criar novoe preencha o formulário Novo servidor com os seguintes valores:
- Nome do servidor: Insira um nome de servidor exclusivo. Os nomes de servidor devem ser globalmente exclusivos para todos os servidores no Azure, não apenas exclusivos dentro de uma assinatura. Insira algo como mysqlserver135e o portal do Azure informará se ele está disponível ou não.
- Login do administrador do servidor: Insira um nome de login de administrador, por exemplo: azureuser.
- Palavra-passe: Introduza uma palavra-passe que cumpra os requisitos de segurança e introduza-a novamente no campo Confirmar palavra-passe.
- Localização: Selecione um local na lista suspensa
Selecione Next: Networking para passar para a próxima etapa.
Na guia Rede , para o método de conectividade, selecione endpoint público.
Para regras de Firewall, configure Adicionar endereço IP do cliente atual para Sim. Deixe Permitir que os serviços e recursos do Azure acessem este servidor definido como Sem. O resto das seleções nesta página pode ser deixado como padrão.
Selecione Avançar: Segurança para passar para a próxima etapa.
Na aba Segurança, sob Identidade, selecione Configurar Identidades.
No menu Identidade, selecione Desativar para Identidade gerida atribuída ao sistema e, em seguida, selecione Adicionar em Identidade gerida atribuída ao utilizador. Selecione a Subscrição pretendida e, em seguida, na Identidades geridas atribuídas pelo utilizador, selecione a identidade gerida atribuída pelo utilizador a partir da subscrição selecionada. Em seguida, selecione o botão Adicionar.
Em identidade principal, selecione a mesma identidade gerida atribuída ao utilizador selecionada na etapa anterior.
Para Federated client identity, selecione a opção Alterar identidade e procure a aplicação multilocatário que criou nos Pré-requisitos.

Observação

Se o aplicativo multilocatário não tiver sido adicionado à política de acesso ao cofre de chaves com as permissões necessárias (Get, Wrap Key, Unwrap Key), usar este aplicativo para federação de identidades no portal do Azure mostrará um erro. Certifique-se de que as permissões estão configuradas corretamente antes de configurar a identidade do cliente federado.
Selecione Aplicar.
Na guia Segurança, em Gerenciamento transparente de chaves de criptografia de dados, você pode configurar uma chave no nível do servidor ou uma chave no nível do banco de dados. O padrão para uma chave de nível de servidor é uma chave gerenciada por serviço. Selecione Configurar criptografia de dados transparente se quiser configurar uma chave gerenciada pelo cliente para o servidor.
Na página Criptografia de dados transparente , selecione Chave gerenciada pelo cliente e uma opção para Inserir um identificador de chave será exibida. Adicione o Identificador de Chave obtido a partir da chave no segundo locatário.

Para obter informações sobre como configurar uma chave no nível do banco de dados, consulte Gerenciamento de identidades e chaves para TDE com chaves gerenciadas pelo cliente no nível do banco de dados.
Selecione Aplicar.
Selecione Seguinte: Configurações adicionais.
Selecione Next: Tags.
Considere usar tags do Azure. Por exemplo, a tag "Owner" ou "CreatedBy" para identificar quem criou o recurso e a tag Environment para identificar se esse recurso está em Produção, Desenvolvimento, etc. Para obter mais informações, consulte Desenvolver sua estratégia de nomenclatura e marcação para recursos do Azure.
Selecione Verificar + criar.
Na página Rever e criar, depois de rever, selecione Criar.

Para obter informações sobre como instalar a versão atual da CLI do Azure, consulte o artigo Instalar a CLI do Azure.

Crie um servidor configurado com identidade gerida atribuída pelo utilizador e TDE gerida pelo cliente multi-inquilino usando o comando az sql server create. O Identificador de Chave do segundo locatário pode ser usado no campo key-id. O ID do Aplicativo da aplicação multilocatária pode ser usado no campo federated-client-id.

az sql server create \
    --name $serverName \
    --resource-group $resourceGroupName \
    --location $location  \
    --admin-user $adminlogin \
    --admin-password $password \
    --assign-identity \
    --identity-type $identitytype \
    --user-assigned-identity-id $identityid \
    --primary-user-assigned-identity-id $primaryidentityid \
    --key-id $keyid \
    --federated-client-id $federatedid

Crie um banco de dados com o comando az sql db create.

az sql db create \
    --resource-group $resourceGroupName \
    --server $serverName \
    --name mySampleDatabase \
    --sample-name AdventureWorksLT \
    --edition GeneralPurpose \
    --compute-model Serverless \
    --family Gen5 \
    --capacity 2

Crie um servidor configurado com identidade gerida atribuída pelo utilizador e TDE gerida pelo cliente em multilocação usando o PowerShell.

Para obter instruções de instalação do módulo Az PowerShell, consulte Instalar o Azure PowerShell.

Utilize o cmdlet New-AzSqlServer.

Substitua os seguintes valores no exemplo:

<ResourceGroupName>: Nome do grupo de recursos para seu servidor lógico SQL do Azure
<Location>: Localização do servidor, como West US, ou Central US
<ServerName>: Usar um nome de servidor lógico SQL exclusivo do Azure
<ServerAdminName>: O logon do administrador SQL
<ServerAdminPassword>: A senha do administrador SQL
<IdentityType>: Tipo de identidade a ser atribuída ao servidor. Os valores possíveis são SystemAssigned, UserAssigned, SystemAssigned,UserAssigned e Nenhum
<UserAssignedIdentityId>: A lista de identidades gerenciadas atribuídas pelo usuário a serem atribuídas ao servidor (pode ser uma ou várias)
<PrimaryUserAssignedIdentityId>: A identidade gerenciada atribuída pelo usuário que deve ser usada como principal ou padrão neste servidor
<CustomerManagedKeyId>: O identificador de chave do segundo tenant Azure Key Vault
<FederatedClientId>: A ID do aplicativo da aplicação multilocatária

Para obter a sua identidade atribuída gerida pelo usuário ID de Recurso, pesquise por as Identidades Gerenciadas no portal do Azure. Encontre sua identidade gerenciada e vá para Propriedades. Um exemplo do ID de Recurso UMI parece-se com /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>

# create a server with user-assigned managed identity and cross-tenant customer-managed TDE
$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    SqlAdministratorCredentials = (Get-Credential)
    SqlAdministratorLogin = "<ServerAdminName>"
    SqlAdministratorPassword = "<ServerAdminPassword>"
    AssignIdentity = $true
    IdentityType = "<IdentityType>"
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    PrimaryUserAssignedIdentityId = "<PrimaryUserAssignedIdentityId>"
    KeyId = "<CustomerManagedKeyId>"
    FederatedClientId = "<FederatedClientId>"
}

New-AzSqlServer @params

Aqui está um exemplo de um modelo ARM que cria um servidor lógico SQL do Azure com uma identidade gerenciada atribuída pelo usuário e TDE gerenciada pelo cliente. Para uma CMK entre locatários, use o Identificador de Chave do Cofre de Chaves do Azure do segundo locatário e o Identificador de Aplicação da aplicação multitenant.

O modelo também adiciona um conjunto de administradores do Microsoft Entra para o servidor e habilita a autenticação somente do Microsoft Entra com o Azure SQL, mas isso pode ser removido do exemplo de modelo.

Para obter mais informações e modelos ARM, consulte Modelos do Azure Resource Manager para o Banco de Dados SQL do Azure.

Use uma implementação personalizada no portal do Azuree construa o seu próprio modelo no editor. Em seguida, Guardar a configuração depois de a colar no exemplo.

Para obter a sua identidade atribuída gerida pelo usuário ID de Recurso, pesquise por as Identidades Gerenciadas no portal do Azure. Encontre sua identidade gerenciada e vá para Propriedades. Um exemplo do seu ID de Recurso UMI parece-se com /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "String"
        },
        "location": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity."
            }
        },
        "federated_clientid": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Application ID of the multi-tenant application."
            }
        },
        "keyvault_url": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The key vault URI."
            }
        },
        "AdminLogin": {
            "minLength": 1,
            "type": "String"
        },
        "AdminLoginPassword": {
            "type": "SecureString"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2022-05-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "administratorLogin": "[parameters('AdminLogin')]",
                "administratorLoginPassword": "[parameters('AdminLoginPassword')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "federatedClientId": "[parameters('federated_clientid')]",
                "KeyId": "[parameters('keyvault_url')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Feedback

Esta página foi útil?

Last updated on 2025-09-18