Créer un serveur logique Azure SQL Database configuré avec une identité managée affectée par l’utilisateur et un TDE géré par le client

S'applique à :Azure SQL Database

Ce guide pratique décrit les étapes de création d’un serveur logique Azure SQL Database configuré avec chiffrement transparent des données (TDE) avec des clés gérées par le client (CMK) à l’aide d’une identité managée affectée par l’utilisateur pour accéder à Azure Key Vault.

Note

Microsoft Entra ID était précédemment connu sous le nom d'Azure Active Directory (Azure AD).

Prerequisites

Ce guide suppose que vous avez déjà créé une instance Azure Key Vault et que vous avez importé une clé dans celle-ci afin de l’utiliser comme protecteur TDE pour Azure SQL Database. Pour plus d’informations, consultez Transparent Data Encryption avec prise en charge de BYOK.
La protection par suppression réversible et la protection contre la suppression définitive doivent être activées dans le coffre de clés.
Vous devez avoir créé une identité managée affectée par l’utilisateur et lui avoir fourni les autorisations TDE requises (Get, Wrap Key, Unwrap Key) dans le coffre de clés ci-dessus. Pour créer une identité managée affectée par l’utilisateur, consultez Créer une identité managée affectée par l’utilisateur.
Azure PowerShell doit être installé et en cours d’exécution.
[Recommandé mais facultatif] Créez tout d’abord le matériel de clé pour le protecteur TDE dans un module de sécurité matériel (HSM) ou le magasin de clés local, puis importez le matériel de clé dans Azure Key Vault. Suivez le instructions sur l’utilisation d’un module de sécurité matériel (HSM) et Key Vault pour en savoir plus.

Créer un serveur configuré avec TDE avec une clé gérée par le client (CMK)

Les étapes suivantes décrivent le processus de création d’un serveur logique Azure SQL Database et d’une nouvelle base de données avec une identité managée affectée par l’utilisateur. L’identité managée affectée par l’utilisateur est requise pour configurer une clé gérée par le client pour TDE au moment de la création du serveur.

Accédez à Azure SQL Hub à aka.ms/azuresqlhub.
Dans le volet d’Azure SQL Database, sélectionnez Afficher les options.
Dans la fenêtre d’options d’Azure SQL Database , sélectionnez Créer une base de données SQL.
Sous l’onglet De base du formulaire Créer une base de données SQL, sous Détails du projet, sélectionnez l’Abonnement Azure souhaité.
Pour Groupe de ressources, sélectionnez Créer, entrez un nom pour votre groupe de ressources, puis sélectionnez OK.
Pour Nom de la base de données, entrez ContosoHR.
Pour Serveur, sélectionnez Créer, puis remplissez le formulaire Nouveau serveur avec les valeurs suivantes :
- Nom du serveur : entrez un nom de serveur unique. Les noms de serveur doivent être uniques au niveau mondial pour tous les serveurs Azure, et pas seulement au sein d'un abonnement. Entrez une valeur comme mysqlserver135 et le portail Azure vous indiquera si elle est disponible ou non.
- Nom de connexion d’administrateur serveur : entrez le nom de connexion de l’administrateur, par exemple : azureuser.
- Mot de passe : entrez un mot de passe qui répond aux exigences de mot de passe, puis réentrez-le dans le champ Confirmer le mot de passe.
- Emplacement : sélectionnez un emplacement dans la liste déroulante
Sélectionnez Suivant : Mise en réseau pour passer à l’étape suivante.
Sous l’onglet Réseau, pour Méthode de connectivité, sélectionnez Point de terminaison public.
Pour Règles de pare-feu, affectez la valeur Oui à Ajouter l’adresse IP actuelle du client. Laissez Autoriser les services et les ressources Azure à accéder à ce serveur avec la valeur Non.
Sélectionnez Suivant : Sécurité pour passer à l’étape suivante.
Sous l’onglet Sécurité, accédez à Identité du serveur et sélectionnez Configurer les identités.
Dans le volet Identité, sélectionnez Désactivé pour Identité managée affectée par le système, puis sélectionnez Ajouter sous Identité managée affectée par l’utilisateur. Sélectionnez l’Abonnement souhaité puis, sous Identités managées affectées par l’utilisateur, sélectionnez l’identité managée affectée par l’utilisateur souhaitée dans l’abonnement sélectionné. Sélectionnez ensuite le bouton Ajouter.
Sous Identité principale, sélectionnez la même identité managée affectée par l’utilisateur que celle de l’étape précédente.
Sélectionnez Appliquer.
Sous l’onglet Sécurité , sous Gestion transparente des clés de chiffrement des données, vous avez la possibilité de configurer le chiffrement transparent des données pour le serveur ou la base de données.
- Pour la clé de niveau serveur : sélectionnez Configurer le chiffrement transparent des données. Sélectionnez Clé gérée par le client et une option permettant de Sélectionner une clé s’affiche. Sélectionnez Changer la clé. Sélectionnez les valeurs de votre choix pour Abonnement, Coffre de clés, Clé et Version pour la clé gérée par le client à utiliser pour le TDE. Sélectionnez le bouton Sélectionner.
- Pour la clé de niveau base de données : sélectionnez Configurer le chiffrement transparent des données. Sélectionnez Clé gérée par le client au niveau de la base de données. Une option permettant de configurer l’identité de base de données et la clé gérée par le client s’affiche. Sélectionnez Configurer pour configurer une identité managée affectée par l’utilisateur pour la base de données, comme à l’étape 13. Sélectionnez Changer la clé pour configurer une clé gérée par le client. Sélectionnez les valeurs de votre choix pour Abonnement, Coffre de clés, Clé et Version pour la clé gérée par le client à utiliser pour le TDE. Vous avez également la possibilité d’activer la rotation automatique de la clé dans le menu Transparent Data Encryption. Sélectionnez le bouton Sélectionner.
Sélectionnez Appliquer.
Sélectionnez Suivant: Paramètres supplémentaires.
Sélectionnez Suivant : Balises.
Envisagez d'utiliser les balises Azure. Par exemple, la balise « Owner » ou « CreatedBy » pour identifier qui a créé la ressource et la balise Environnement pour identifier si cette ressource est en production, développement, etc. Pour plus d’informations, consultez Développer votre stratégie de nommage et d’étiquetage pour les ressources Azure.
Sélectionnez Vérifier + créer.
Dans la page Vérifier + créer, après vérification, sélectionnez Créer.

Pour plus d’informations sur l’installation de la version actuelle d’Azure CLI, consultez Installer Azure CLI.

Créez un serveur configuré avec l’identité managée affectée par l’utilisateur et un TDE géré par le client à l’aide de la commande az sql server create.

az sql server create \
    --name $serverName \
    --resource-group $resourceGroupName \
    --location $location  \
    --admin-user $adminlogin \
    --admin-password $password \
    --assign-identity \
    --identity-type $identitytype \
    --user-assigned-identity-id $identityid \
    --primary-user-assigned-identity-id $primaryidentityid \
    --key-id $keyid

Créez une base de données avec la commande az sql db create.

az sql db create \
    --resource-group $resourceGroupName \
    --server $serverName \
    --name mySampleDatabase \
    --sample-name AdventureWorksLT \
    --edition GeneralPurpose \
    --compute-model Serverless \
    --family Gen5 \
    --capacity 2

Créez un serveur configuré avec l’identité managée affectée par l’utilisateur et le TDE géré par le client avec PowerShell.

Pour des instructions d’installation du module Az PowerShell, consultez Installer Azure PowerShell.

Utilisez la cmdlet New-AzSqlServer.

Remplacez les valeurs suivantes dans l’exemple :

<ResourceGroupName> : nom du groupe de ressources pour votre serveur logique Azure SQL
<Location> : emplacement du serveur, tel que West US ou Central US
<ServerName> : utilisez un nom de serveur logique Azure SQL unique
<ServerAdminName> : identifiant de l’administrateur SQL
<ServerAdminPassword> : mot de passe de l’administrateur SQL
<IdentityType> : type d’identité à attribuer au serveur. Les valeurs possibles sont SystemAssigned, UserAssigned, SystemAssigned,UserAssigned et None
<UserAssignedIdentityId> : liste des identités managées affectées par l’utilisateur devant être affectées au serveur (une ou plusieurs)
<PrimaryUserAssignedIdentityId> : identité managée affectée par l’utilisateur qui doit être utilisée comme valeur principale ou par défaut sur ce serveur
<CustomerManagedKeyId>: Identificateur de clé et peut être récupéré à partir de la clé dans Azure Key Vault

Pour obtenir votre ID de ressource d’identité managée affectée par l’utilisateur, recherchez Identités managées dans le portail Azure. Recherchez votre identité managée, puis accédez à Propriétés. Un exemple de votre ID de ressource UMI va se présenter comme ceci : /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>

# create a server with user-assigned managed identity and customer-managed TDE
$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    SqlAdministratorCredentials = (Get-Credential)
    SqlAdministratorLogin = "<ServerAdminName>"
    SqlAdministratorPassword = "<ServerAdminPassword>"
    AssignIdentity = $true
    IdentityType = "<IdentityType>"
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    PrimaryUserAssignedIdentityId = "<PrimaryUserAssignedIdentityId>"
    KeyId = "<CustomerManagedKeyId>"
}

New-AzSqlServer @params

Voici un exemple de modèle ARM qui crée un serveur logique dans Azure avec une identité managée affectée par l’utilisateur et un TDE géré par le client. Le modèle ajoute également un ensemble d’administrateurs Microsoft Entra pour le serveur et active l’authentification Microsoft Entra uniquement avec Azure SQL, mais cela peut être supprimé de l’exemple de modèle.

Pour en savoir plus, ainsi que sur les modèles ARM, consultez Modèles Azure Resource Manager pour Azure SQL Database.

Utilisez un déploiement personnalisé dans le portail Azure et créez votre propre modèle dans l’éditeur. Ensuite, enregistrez la configuration une fois que vous avez collé l’exemple.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "String"
        },
        "location": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity."
            }
        },
        "keyvault_url": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Azure Key Vault URI."
            }
        },
        "AdminLogin": {
            "minLength": 1,
            "type": "String"
        },
        "AdminLoginPassword": {
            "type": "SecureString"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "administratorLogin": "[parameters('AdminLogin')]",
                "administratorLoginPassword": "[parameters('AdminLoginPassword')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "KeyId": "[parameters('keyvault_url')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Étape suivante

PowerShell et Azure CLI : Activer Transparent Data Encryption avec une clé gérée par le client provenant d’Azure Key Vault

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2025-08-25