Crea un server configurato con un'identità gestita assegnata dall'utente e una CMK cross-tenant per il TDE.

Si applica a:database SQL di Azure

In questa guida verranno illustrati i passaggi per creare un server logico di Azure SQL con Transparent Data Encryption (TDE) e chiavi gestite dal cliente usando un'identità gestita assegnata dall'utente per accedere a un Azure Key Vault in un tenant Microsoft Entra diverso rispetto al tenant del server logico. Per altre informazioni, vedere Chiavi gestite dal cliente multi-tenant con Transparent Data Encryption.

Nota

Microsoft Entra ID era noto in precedenza come Azure Active Directory (Azure AD).

Prerequisiti

• Questa guida presuppone che si disponga di due account tenant di Microsoft Entra.
  • Il primo contiene la risorsa del database SQL di Azure, un'applicazione Microsoft Entra multi-tenant e un'identità gestita assegnata dall'utente.
  • Il secondo tenant ospita Azure Key Vault.
• Per istruzioni dettagliate sulla configurazione di CMK tra tenant e le autorizzazioni RBAC necessarie per configurare le applicazioni Microsoft Entra e Azure Key Vault, consultare una delle seguenti guide:
  • Configurare chiavi gestite dal cliente tra tenant per un nuovo account di archiviazione
  • Configurare le chiavi gestite dal cliente in modalità inter-tenant per un account di archiviazione già esistente

Risorse necessarie nel primo tenant

Ai fini di questa esercitazione, si presuppone che il primo tenant appartenga a un fornitore di software indipendente (ISV) e che il secondo tenant provenga dal client. Per ulteriori informazioni su questo scenario, vedere Chiavi gestite dal cliente inter-tenant con cifratura dei dati trasparente (Transparent Data Encryption).

Prima di poter configurare TDE per il database SQL di Azure con un CMK cross-tenant, è necessario disporre di un'applicazione Microsoft Entra multi-tenant configurata con un'identità gestita assegnata all'utente assegnata come credenziale di identità federata per l'applicazione. Seguire una delle guide riportate in Prerequisiti.

1. Nel primo tenant in cui desideri creare il database SQL di Azure, crea e configura un'applicazione Microsoft Entra multi-tenant

2. Creare un'identità gestita assegnata dall'utente

3. Configurare l'identità gestita assegnata dall'utente come credenziali di identità federata per l'applicazione multi-tenant

4. Registrare il nome dell'applicazione e l'ID applicazione. Questo è disponibile in portale di Azure>Microsoft Entra ID>Applicazioni Enterprise e cercare l'applicazione creata

Risorse necessarie nel secondo tenant

Nota

I moduli Azure AD e MSOnline PowerShell sono deprecati a partire dal 30 marzo 2024. Per maggiori informazioni, consultare l'aggiornamento sulla disattivazione. Dopo questa data, il supporto per questi moduli è limitato all'assistenza alla migrazione a Microsoft Graph PowerShell SDK e alle correzioni di sicurezza. I moduli deprecati continueranno a funzionare fino al 30 marzo 2025.

È consigliabile eseguire la migrazione a Microsoft Graph PowerShell per interagire con Microsoft Entra ID (in precedenza Azure AD). Per domande comuni sulla migrazione, consultare le Domande frequenti sulla migrazione. Nota: le versioni 1.0.x di MSOnline potrebbero subire interruzioni dopo il 30 giugno 2024.

1. Nel secondo tenant in cui risiede Azure Key Vault, creare un principal di servizio (applicazione) usando l'ID applicazione dell'applicazione registrata del primo tenant. Ecco alcuni esempi di come registrare l'applicazione multi-tenant. Sostituire <TenantID> e <ApplicationID> rispettivamente con l'ID tenant client da Microsoft Entra ID e ID applicazione dall'applicazione multi-tenant:

   • PowerShell:

     Connect-AzureAD -TenantID <TenantID>
     New-AzADServicePrincipal  -ApplicationId <ApplicationID>
     

   • L’interfaccia della riga di comando di Azure:

     az login --tenant <TenantID>
     az ad sp create --id <ApplicationID>
     

2. Passare al portale di Azure>Microsoft Entra ID>applicazioni Enterprise e cercare l'applicazione appena creata.

3. Creare un Azure Key Vault se non ne hai uno, e creare una chiave

4. Creare o impostare i criteri di accesso.

   1. Selezionare le autorizzazioni Get, Wrap Key, Unwrap Key in Autorizzazioni chiave durante la creazione dei criteri di accesso
   2. Selezionare l'applicazione multi-tenant creata nel primo passaggio dell'opzione principale durante la creazione dei criteri di accesso

   

5. Dopo aver creato i criteri di accesso e la chiave, recuperare la chiave da Key Vault e registrare l'Identificatore della chiave

Creare un server configurato con TDE con chiave gestita dal cliente (CMK) tra tenant diversi

Questa guida illustra il processo di creazione di un server logico e di un database in Azure SQL con un'identità gestita assegnata dall'utente, nonché come impostare una chiave gestita dal cliente tra tenant. L'identità gestita assegnata dall'utente è un must per configurare una chiave gestita dal cliente per Transparent Data Encryption durante la fase di creazione del server.

Importante

Per creare server logici SQL utilizzando le API, l'utente o l'applicazione necessita dei ruoli RBAC di Contributore SQL Server e Operatore di identità gestita o superiori nella sottoscrizione.

Portale

1. Accedere alla pagina di opzione Selezionare la distribuzione SQL nel portale di Azure.

2. Se non lo si è già fatto, eseguire l’accesso al portale di Azure quando richiesto.

3. In Database SQL lasciare l'opzione Tipo di risorsa impostata su Database singolo e selezionare Crea.

4. Nella scheda Dati principali del modulo Crea database SQL, in Dettagli del progetto, selezionare la Sottoscrizione Azure desiderata.

5. In Gruppo di risorse selezionare Crea nuovo, immettere un nome per il gruppo di risorse e quindi fare clic su OK.

6. PerNome database, inserire un nome per il database. Ad esempio: ContosoHR.

7. In Server, selezionare Crea nuovo e compilare il modulo per il nuovo server con i valori seguenti:

   • Nome del server: immettere un nome del server univoco. I nomi di tutti i server di Azure devono essere univoci a livello globale, non solo univoci all'interno di una sottoscrizione. Immettere un valore simile a mysqlserver135, e il portale di Azure invierà informazioni se è disponibile o meno.
   • Accesso amministratore del server: immettere un nome di accesso amministratore, ad esempio: azureuser.
   • Password: immettere una password che soddisfi i requisiti, quindi immetterla di nuovo nel campo Conferma password.
   • Posizione: selezionare una posizione dall'elenco a discesa

8. Selezionare Avanti: Rete nella parte inferiore della pagina.

9. Nella scheda Rete selezionare Endpoint pubblico in Metodo di connettività.

10. In Regole del firewall impostare Aggiungi indirizzo IP client corrente su Sì. Lasciare l'opzione Consenti alle risorse e ai servizi di Azure di accedere a questo server impostata su No. Le altre selezioni di questa pagina possono essere lasciate come predefinite.

    

11. Selezionare Avanti: Sicurezza nella parte inferiore della pagina.

12. Nella scheda Sicurezza, in Identità, selezionare Configura identità.

    

13. Nel menu Identità selezionare No per Identità assegnata dal sistema e quindi selezionare Aggiungi in Identità gestita assegnata dall'utente. Selezionare la sottoscrizione desiderata e quindi in Identità gestite assegnate dall'utente selezionare l'identità gestita assegnata dall'utente desiderata dalla sottoscrizione selezionata. Selezionare quindi il pulsante Aggiungi.

14. In Identità primaria, selezionare la stessa identità gestita assegnata dall'utente selezionata nel passaggio precedente.

    

15. Per 'identità client federata, selezionare l'opzione Modifica identità e cercare l'applicazione multi-tenant creata nel Prerequisiti.

    

    Nota

    Se l'applicazione multi-tenant non è stata aggiunta ai criteri di accesso dell'insieme di credenziali con le autorizzazioni necessarie (Get, Wrap Key, Unwrap Key), verrà visualizzato un errore se si utilizza questa applicazione per la federazione dell'identità nel portale di Azure. Assicurarsi che le autorizzazioni siano configurate correttamente prima di configurare l'identità client federata.

16. Selezionare Applica.

17. Nella scheda Sicurezza, in Transparent Data Encryption, selezionare Configura Transparent Data Encryption. Selezionare Chiave gestita dal cliente e verrà visualizzata un'opzione immettere un identificatore chiave. Aggiungere l'identificatore chiave ottenuto dalla chiave nel secondo tenant.

    

18. Selezionare Applica.

19. Selezionare Rivedi e crea nella parte inferiore della pagina

20. Nella pagina Rivedi e crea, dopo aver rivisto le impostazioni, selezionare Crea.

L’interfaccia della riga di comando di Azure

Per informazioni sull'installazione della versione attuale dell’interfaccia della riga di comando di Azure, consultare l’articolo Installare l’interfaccia della riga di comando di Azure.

Creare un server configurato con identità gestita assegnata dall'utente e TDE multi-tenant gestito dal cliente usando il comando az sql server create. L'identificatore di chiave del secondo tenant può essere usato nel campo key-id. Il ID applicazione dell'applicazione multi-tenant può essere usato nel campo federated-client-id.

az sql server create \
    --name $serverName \
    --resource-group $resourceGroupName \
    --location $location  \
    --admin-user $adminlogin \
    --admin-password $password \
    --assign-identity \
    --identity-type $identitytype \
    --user-assigned-identity-id $identityid \
    --primary-user-assigned-identity-id $primaryidentityid \
    --key-id $keyid \
    --federated-client-id $federatedid
 

Creare un database con il comando az sql db create.

az sql db create \
    --resource-group $resourceGroupName \
    --server $serverName \
    --name mySampleDatabase \
    --sample-name AdventureWorksLT \
    --edition GeneralPurpose \
    --compute-model Serverless \
    --family Gen5 \
    --capacity 2

PowerShell

Creare un server configurato con identità gestita assegnata dall'utente e TDE multi-tenant gestito dal cliente usando PowerShell.

Per istruzioni sull'installazione del modulo Az PowerShell, vedere Installare Azure PowerShell.

Usare il cmdlet New-AzSqlServer.

Nell'esempio seguente, sostituire questi valori:

• <ResourceGroupName>: nome del gruppo di risorse per il server logico SQL di Azure
• <Location>: posizione del server, ad esempio West US, o Central US
• <ServerName>: usare un nome univoco del server logico SQL di Azure
• <ServerAdminName>: Login amministratore SQL
• <ServerAdminPassword>: Password amministratore SQL
• <IdentityType>: Tipo di identità da assegnare al server. I valori possibili sono SystemAssigned, UserAssigned, SystemAssigned,UserAssigned e Nessuna
• <UserAssignedIdentityId>: elenco di identità gestite assegnate dall'utente da assegnare al server (può essere uno o più)
• <PrimaryUserAssignedIdentityId>: identità gestita assegnata dall'utente che deve essere usata come primaria o predefinita in questo server
• <CustomerManagedKeyId>: identificatore di chiave dall'archivio chiavi del secondo tenant
• <FederatedClientId>: ID applicazione dell'applicazione multi-tenant

Per ottenere l'ID risorsa dell'identità gestita assegnata dall'utente, cercare Identità gestite nel portale di Azure. Trova la tua identità gestita e vai a Proprietà. Un esempio del tuo ID risorsa UMI potrebbe essere simile a /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>

# create a server with user-assigned managed identity and cross-tenant customer-managed TDE
$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    SqlAdministratorCredentials = (Get-Credential)
    SqlAdministratorLogin = "<ServerAdminName>"
    SqlAdministratorPassword = "<ServerAdminPassword>"
    AssignIdentity = $true
    IdentityType = "<IdentityType>"
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    PrimaryUserAssignedIdentityId = "<PrimaryUserAssignedIdentityId>"
    KeyId = "<CustomerManagedKeyId>"
    FederatedClientId = "<FederatedClientId>"
}

New-AzSqlServer @params

Modello ARM

Di seguito è riportato un esempio di modello di ARM che crea un server logico Azure SQL con un'identità gestita assegnata dall'utente e un TDE gestito dal cliente. Per una chiave gestita dal cliente multi-tenant, usare il identificatore di chiave dal secondo insieme di credenziali delle chiavi del tenant e l'ID applicazione dall'applicazione multi-tenant.

Il modello aggiunge anche un set di amministratori di Microsoft Entra per il server e abilita l’autenticazione solo Microsoft Entra, ma questo può essere rimosso dall'esempio di modello.

Per ulteriori informazioni e modelli ARM, consultare Modelli di Resource Manager Azure per database SQL di Azure e Istanza gestita SQL.

Usa una distribuzione personalizzata nel portale di Azure e crea un modello personalizzato nell'editor. Salva quindi la configurazione dopo aver incollato l'esempio.

Per ottenere l'ID risorsa dell'identità gestita assegnata dall'utente, cercare Identità gestite nel portale di Azure. Trova la tua identità gestita e vai su Proprietà. Un esempio di ID risorsa UMI è simile a /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "String"
        },
        "location": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity."
            }
        },
        "federated_clientid": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Application ID of the multi-tenant application."
            }
        },
        "keyvault_url": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The key vault URI."
            }
        },
        "AdminLogin": {
            "minLength": 1,
            "type": "String"
        },
        "AdminLoginPassword": {
            "type": "SecureString"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2022-05-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "administratorLogin": "[parameters('AdminLogin')]",
                "administratorLoginPassword": "[parameters('AdminLoginPassword')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "federatedClientId": "[parameters('federated_clientid')]",
                "KeyId": "[parameters('keyvault_url')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Passaggi successivi

• Introduzione all’integrazione con Azure Key Vault e al supporto Bring Your Own Key (Porta la Tua Chiave) per TDE: Attivare TDE utilizzando la propria chiave da Azure Key Vault
• Chiavi gestite dal cliente tra tenant con Transparent Data Encryption

Vedi anche

• Transparent Data Encryption con chiave gestita dal cliente a livello di database
• Configurare la replica geografica e il ripristino del backup per Transparent Data Encryption con chiavi gestite dal cliente a livello di database
• Gestione delle identità e delle chiavi per TDE con chiavi gestite dal cliente a livello di database