Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se a:
Banco de Dados SQL do AzureAzure Synapse Analytics
A auditoria para o Banco de Dados SQL do Azure pode ser configurada para usar uma conta de armazenamento com dois métodos de autenticação:
- Identidade Gerenciada
- Chaves de acesso de armazenamento
A Identidade Gerenciada pode ser SMI (identidade gerenciada atribuída pelo sistema) ou UMI (identidade gerenciada atribuída pelo usuário).
Para configurar a gravação de logs de auditoria em uma conta de armazenamento, acesse o portal do Azure e selecione o recurso de servidor lógico para o Banco de Dados SQL do Azure. Selecione Armazenamento no menu Auditoria. Selecione a conta de armazenamento do Azure onde os logs serão salvos.
Por padrão, a identidade usada é a identidade do usuário primário atribuída ao servidor. Se não houver nenhuma identidade de usuário, o servidor criará uma identidade gerenciada atribuída pelo sistema e a usará para autenticação.
Selecione o período de retenção abrindo as propriedades Avançadas. Em seguida, selecione Salvar. Os logs anteriores ao período de retenção são excluídos.
Observação
Para configurar a auditoria baseada em identidade gerenciada no Azure Synapse Analytics, confira a seção Configurar a identidade gerenciada atribuída pelo sistema para auditorias do Azure Synapse Analytics mais adiante neste artigo.
Identidade gerenciada atribuída pelo usuário
A UMI oferece aos usuários flexibilidade para criar e manter a própria UMI para um determinado locatário. A UMI pode ser usada como identidades de servidor para o SQL do Azure. A UMI é gerenciada pelo usuário, em comparação com uma identidade gerenciada atribuída pelo sistema, cuja identidade é definida exclusivamente por servidor e atribuída pelo sistema.
Para obter mais informações sobre UMI, consulte Identidades gerenciadas no Microsoft Entra para Azure SQL.
Configurar a identidade gerenciada atribuída pelo usuário para auditoria do banco de dados SQL do Azure
Antes que a auditoria possa ser configurada para enviar logs para sua conta de armazenamento, a identidade gerenciada atribuída ao servidor precisa ter a atribuição de função Colaborador de Dados do Blob de Armazenamento . Essa atribuição será necessária se você estiver configurando a auditoria usando o PowerShell, a CLI do Azure, a API REST ou os modelos do ARM. A atribuição de função é feita automaticamente ao usar o portal do Azure para configurar a Auditoria, portanto, as etapas a seguir serão desnecessárias se você estiver configurando a Auditoria por meio do portal do Azure.
Acesse o portal do Azure.
Crie uma identidade gerenciada atribuída pelo usuário, se ainda não tiver uma. Para obter mais informações, confira criar uma identidade gerenciada atribuída pelo usuário.
Acesse sua conta de armazenamento que você deseja configurar para auditoria.
Selecione o menu Controle de Acesso (IAM).
Selecione Adicionar>Adicionar atribuição de função.
Na guia Função, procure e selecione o Colaborador de Dados do Blob de Armazenamento. Selecione Avançar.
Na guia Membros, selecione Identidade gerenciada na seção Atribuir acesso a e Selecionar membros. Você pode selecionar a Identidade gerenciada que foi criada para o servidor.
Selecione Examinar + atribuir.
Para obter mais informações, confira Atribuir funções do Azure usando o portal.
Use o seguinte para configurar a auditoria usando a identidade gerenciada atribuída pelo usuário:
Vá para o menu Identidade do servidor. Na seção Identidade gerenciada atribuída pelo usuário, Adicione a identidade gerenciada.
Em seguida, você pode selecionar a identidade gerenciada adicionada como a Identidade primária do seu servidor.
Acesse o menu Auditoria do servidor. Selecione Identidade Gerenciada como o Tipo de Autenticação de Armazenamento ao configurar o Armazenamento para seu servidor.
Observação
Quando a auditoria é configurada usando uma identidade gerenciada, copiar o banco de dados para um novo servidor ou criar uma réplica geográfica pode interromper o log de auditoria. Isso ocorre porque o novo servidor tem uma identidade gerenciada diferente, que pode não ter acesso à conta de armazenamento de auditoria. Verifique se a identidade do novo servidor recebe as permissões apropriadas para manter a continuidade da auditoria.
Configurar a identidade gerenciada atribuída pelo sistema para auditorias do Azure Synapse Analytics
Não é possível usar a autenticação baseada em UMI em uma conta de armazenamento para auditorias. Só é possível usar a SMI (identidade gerenciada atribuída pelo sistema) para o Azure Synapse Analytics. Para que a autenticação baseada em SMI funcione, a identidade gerenciada deve ter a função de Colaborador de Dados de Blob de Armazenamento nas Configurações de Controle de Acesso da conta de armazenamento. Essa função será adicionada automaticamente se o portal do Azure for usado para configurar a auditoria.
No portal do Azure para o Azure Synapse Analytics, não há nenhuma opção para escolher explicitamente a chave SAS ou a autenticação baseada em SMI, como é o caso do Banco de Dados SQL do Azure.
Se a conta de armazenamento estiver protegida por uma VNet ou por um firewall, a auditoria será configurada automaticamente usando a autenticação baseada em SMI.
Se a conta de armazenamento não estiver por trás de uma VNet ou firewall, a auditoria será configurada automaticamente usando a autenticação baseada em chave SAS. No entanto, a identidade gerenciada não poderá ser usada se a conta de armazenamento não estiver atrás de uma rede virtual ou firewall.
Para forçar o uso da autenticação baseada em SMI, independentemente de a conta de armazenamento estar ou não protegida por uma VNet ou um firewall, use a API REST ou o PowerShell da seguinte maneira:
No caso da API REST, omita o campo
StorageAccountAccessKeyexplicitamente no corpo da solicitação.Para saber mais, confira o seguinte:
No caso do PowerShell, transmita o parâmetro
UseIdentitycomotrue.Para saber mais, confira o seguinte: