创建配置了用户分配的托管标识和客户托管的 TDE 的服务器

1. 浏览到 Azure 门户中的选择 SQL 部署选项页。

2. 如果你尚未登录到 Azure 门户，请按提示登录。

3. 在“SQL 数据库”下将“资源类型”设置保留为“单一数据库”，然后选择“创建” 。

4. 在“创建 SQL 数据库”窗体的“基本信息”选项卡上的“项目详细信息”下，选择所需的 Azure订阅 。

5. 对于“资源组”，请选择“新建”，输入资源组的名称，然后选择“确定” 。

6. 对于“数据库名称”，请输入 ContosoHR。

7. 对于“服务器”，选择“新建”，并使用以下值填写“新服务器”窗体 ：

   • 服务器名称：输入唯一的服务器名称。 对于 Azure 中的所有服务器，服务器名称必须全局唯一，而不只是在订阅中唯一。 输入类似 mysqlserver135 的值，Azure 门户将告知你的输入内容是否可用。
   • 服务器管理员登录名：输入管理员登录名，例如：azureuser。
   • 密码：输入符合密码要求的密码，然后在“确认密码”字段中再次输入该密码。
   • 位置：从下拉列表中选择一个位置

8. 在完成时选择“下一步:网络”。

9. 在“网络”选项卡上，对于“连接方法”，选择“公共终结点” 。

10. 对于“防火墙规则”，将“添加当前客户端 IP 地址”设置为“是” 。 将“允许 Azure 服务和资源访问此服务器”设置保留为“否” 。

    

11. 在页面底部选择“下一步: 安全”。

12. 在“安全”选项卡的“服务器标识”下，选择“配置标识”。

    

13. 在“标识”窗格上，为“系统分配的托管标识”选择“关闭”，然后在“用户分配的托管标识”下选择“添加”。 选择所需的订阅，然后在“用户分配的托管标识”下，从所选订阅中选择所需的用户分配的托管标识。 然后选择“添加”按钮。

    

    

14. 在“主标识”下面，选择在上一步中选择的相同用户分配的托管标识。

    

15. 选择“应用”

16. 在“安全”选项卡上的“透明数据加密密钥管理”下，可以选择为服务器或数据库配置透明数据加密。

    • 对于“服务器级密钥”：选择“配置透明数据加密”。 选择“客户管理的密钥”，此时会显示“选择密钥”的选项。 选择“更改密钥”。 为要用于 TDE 的客户管理的密钥选择所需的“订阅”、“密钥保管库”、“密钥”和“版本”。 选择“选择”按钮 。

    

    

    • 对于“数据库级密钥”：选择“配置透明数据加密”。 选择“数据库级别的客户管理密钥”，此时会显示一个配置“数据库标识”和“客户管理密钥”的选项。 选择“配置”，为数据库配置“用户分配的托管标识”，类似于步骤 13。 选择“更改密钥”以配置“客户管理的密钥”。 为要用于 TDE 的客户管理的密钥选择所需的“订阅”、“密钥保管库”、“密钥”和“版本”。 还可以选择在“透明数据加密”菜单中启用“自动轮换密钥”。 选择“选择”按钮 。

    

17. 选择“应用”

18. 在页面底部选择“查看 + 创建”

19. 在“查看 + 创建”页上，查看后选择“创建”。

有关安装当前版本的 Azure CLI 的信息，请参阅安装 Azure CLI 一文。

使用 az sql server create 命令创建配置有用户分配的托管标识和客户托管的 TDE 的服务器。

az sql server create \
    --name $serverName \
    --resource-group $resourceGroupName \
    --location $location  \
    --admin-user $adminlogin \
    --admin-password $password \
    --assign-identity \
    --identity-type $identitytype \
    --user-assigned-identity-id $identityid \
    --primary-user-assigned-identity-id $primaryidentityid \
    --key-id $keyid
 

使用 az sql db create 命令创建数据库。

az sql db create \
    --resource-group $resourceGroupName \
    --server $serverName \
    --name mySampleDatabase \
    --sample-name AdventureWorksLT \
    --edition GeneralPurpose \
    --compute-model Serverless \
    --family Gen5 \
    --capacity 2

使用 PowerShell 创建配置了用户分配的托管标识和客户托管的 TDE 的服务器。

有关 Az PowerShell 模块安装说明，请参阅安装 Azure PowerShell。 若要了解具体的 cmdlet，请参阅 AzureRM.Sql。

使用 New-AzSqlServer cmdlet。

替换示例中的以下值：

• <ResourceGroupName>：Azure SQL 逻辑服务器的资源组名称
• <Location>：服务器的位置，例如 China East 2 或 China North 2
• <ServerName>：使用唯一的 Azure SQL 逻辑服务器名称
• <ServerAdminName>：SQL 管理员登录名
• <ServerAdminPassword>：SQL 管理员密码
• <IdentityType>：要分配给服务器的身份类型。 可能的值为 SystemAssigned、UserAssigned、SystemAssigned,UserAssigned 和 None
• <UserAssignedIdentityId>：要分配给服务器的用户分配的托管标识列表（可以是一个或多个）
• <PrimaryUserAssignedIdentityId>：用户分配的托管标识，应用作此服务器上的主要标识或默认标识
• <CustomerManagedKeyId>：密钥标识符，可以从密钥保管库中的密钥中检索

若要获取用户分配的托管标识资源 ID，请在 Azure 门户中搜索托管标识。 找到你的托管标识，然后转到“属性”。 你的 UMI 资源 ID 示例如 /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity> 所示

# create a server with user-assigned managed identity and customer-managed TDE
$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    SqlAdministratorCredentials = (Get-Credential)
    SqlAdministratorLogin = "<ServerAdminName>"
    SqlAdministratorPassword = "<ServerAdminPassword>"
    AssignIdentity = $true
    IdentityType = "<IdentityType>"
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    PrimaryUserAssignedIdentityId = "<PrimaryUserAssignedIdentityId>"
    KeyId = "<CustomerManagedKeyId>"
}

New-AzSqlServer @params

下面是一个 ARM 模板示例，该模板使用用户分配的托管标识和客户管理的 TDE 在 Azure 中创建一个逻辑服务器。 该模板还为服务器添加了 Microsoft Entra 管理员集，并启用了仅限 Microsoft Entra 身份验证，但这可以从模板示例中删除。

有关 ARM 模板的详细信息，请参阅 Azure SQL 数据库和 SQL 托管实例的 Azure 资源管理器模板。

使用 Azure 门户中的自定义部署，在编辑器中生成自己的模板。 接下来，粘贴到示例中后保存配置。

若要获取用户分配的托管标识资源 ID，请在 Azure 门户中搜索托管标识。 找到你的托管标识，然后转到“属性”。 你的 UMI 资源 ID 示例如 /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity> 所示。

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "String"
        },
        "location": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity."
            }
        },
        "keyvault_url": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The key vault URI."
            }
        },
        "AdminLogin": {
            "minLength": 1,
            "type": "String"
        },
        "AdminLoginPassword": {
            "type": "SecureString"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "administratorLogin": "[parameters('AdminLogin')]",
                "administratorLoginPassword": "[parameters('AdminLoginPassword')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "KeyId": "[parameters('keyvault_url')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}