Creare un’Istanza gestita di SQL di Azure con un'identità gestita assegnata dall'utente

1. Accedere alla pagina di opzione Selezionare la distribuzione SQL nel portale di Azure.

2. Se non lo si è già fatto, eseguire l’accesso al portale di Azure quando richiesto.

3. In Istanze gestite di SQL, lasciare Tipo di risorsa impostato su Istanza singola e selezionare Crea.

4. Compilare le informazioni obbligatorie nella scheda Dati principali per Dettagli del progetto e Dettagli istanza gestita. Contiene un set minimo di informazioni necessarie per effettuare il provisioning di un'istanza gestita di SQL.

   

   Per altre informazioni sulle opzioni di configurazione, vedere Avvio rapido: creare un’Istanza gestita di SQL di Azure.

5. In Autenticazione selezionare un modello di autenticazione preferito. Se si vuole configurare l'autenticazione solo per Microsoft Entra, vedere la guida.

6. Passare quindi alla configurazione della scheda Rete o lasciare le impostazioni predefinite.

7. Nella scheda Sicurezza, in Identità, selezionare Configura identità.

   

8. Nel riquadro Identità, in Identità gestita assegnata dall'utente, selezionare Aggiungi. Selezionare la Sottoscrizione desiderata e quindi in Identità gestite assegnate dall'utente selezionare l'identità gestita assegnata dall'utente desiderata dalla sottoscrizione selezionata. Selezionare quindi il pulsante Seleziona.

   

   

9. In Identità primaria, selezionare la stessa identità gestita assegnata dall'utente selezionata nel passaggio precedente.

   

   Nota

   Se l'identità gestita assegnata dal sistema è l'identità primaria, il campo Identità primaria deve essere vuoto.

10. Selezionare Applica.

11. Per le altre impostazioni, non modificare i valori predefiniti. Per altre informazioni su altre schede e impostazioni, seguire la guida nell'articolo Avvio rapido: creare un’Istanza gestita di SQL di Azure.

12. Dopo aver completato la configurazione delle impostazioni, selezionare Rivedi e crea per continuare. Selezionare Crea per avviare il provisioning dell'istanza gestita.

Il comando dell'interfaccia della riga di comando az sql mi create di Azure viene usato per effettuare il provisioning di una nuova Istanza gestita di SQL di Azure. Il comando seguente eseguirà il provisioning di un'istanza gestita con un'identità gestita assegnata dall'utente e abiliterà anche l'autenticazione solo Microsoft Entra.

L'account di accesso SQL Amministrazione dell'istanza gestita verrà creato automaticamente e la password verrà impostata su una password casuale. Poiché la connettività di autenticazione SQL è disabilitata con questo provisioning, l'account di accesso di SQL Amministrazione non verrà usato.

L'amministratore di Microsoft Entra sarà l'account impostato per <AzureADAccount> e può essere usato per gestire l'istanza al termine del provisioning.

Nell'esempio seguente, sostituire questi valori:

• <subscriptionId>: è possibile trovare l'ID sottoscrizione nel portale di Azure
• <ResourceGroupName>: il nome del gruppo di risorse per l'istanza gestita. Il gruppo di risorse deve includere anche la rete virtuale e la subnet create
• <managedIdentity>: l’identità gestita assegnata dall'utente. Può essere usata anche come identità primaria.
• <primaryIdentity>: l'identità primaria da usare come identità dell'istanza
• <AzureADAccount>: può essere un utente o un gruppo di Microsoft Entra. Ad esempio, DummyLogin
• <AzureADAccountSID>: ID oggetto Microsoft Entra per l'utente
• <managedinstancename>: denominare l'istanza gestita da creare
• Il parametro subnet deve essere aggiornato con <subscriptionId>, <ResourceGroupName>, <VNetName>, e <SubnetName>.

# Define variables for resources
subscriptionId="<subscriptionId>"
resourceGroupName="<ResourceGroupName>"
managedIdentity="<managedIdentity>"
primaryIdentity="<primaryIdentity>"
AzureADAccount="<AzureADAccount>"
AzureADAccountSID="<AzureADAccountSID>"
VNetName="<VNetName>"
SubnetName="<SubnetName>"
managedinstancename="<managedinstancename>"

# Create a managed instance with a user-assigned managed identity
az sql mi create \
  --assign-identity \
  --identity-type UserAssigned \
  --user-assigned-identity-id "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$managedIdentity" \
  --primary-user-assigned-identity-id "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$primaryIdentity" \
  --enable-ad-only-auth \
  --external-admin-principal-type User \
  --external-admin-name $AzureADAccount \
  --external-admin-sid $AzureADAccountSID \
  -g $resourceGroupName \
  -n $managedinstancename \
  --subnet "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Network/virtualNetworks/$VNetName/subnets/$SubnetName"

Per ulteriori informazioni, vedi az sql mi create.

Il comando New-AzSqlInstance di PowerShell viene usato per effettuare il provisioning di una nuova Istanza gestita di SQL di Azure. Il comando seguente eseguirà il provisioning di un'istanza gestita con un'identità gestita assegnata dall'utente e abiliterà anche l'autenticazione solo Microsoft Entra.

L'account di accesso SQL Amministrazione dell'istanza gestita verrà creato automaticamente e la password verrà impostata su una password casuale. Poiché la connettività di autenticazione SQL è disabilitata con questo provisioning, l'account di accesso di SQL Amministrazione non verrà usato.

L'amministratore di Microsoft Entra sarà l'account impostato per <AzureADAccount> e può essere usato per gestire l'istanza al termine del provisioning.

Nell'esempio, sostituire i valori seguenti:

• <managedinstancename>: denominare l'istanza gestita che si vuole creare
• <ResourceGroupName>: il nome del gruppo di risorse per l'istanza gestita. Il gruppo di risorse deve includere anche la rete virtuale e la subnet create
• <subscriptionId>: è possibile trovare l'ID sottoscrizione nel portale di Azure
• <managedIdentity>: l’identità gestita assegnata dall'utente. Può essere usata anche come identità primaria.
• <primaryIdentity>: l'identità primaria da usare come identità dell'istanza
• <Location>: posizione dell'istanza gestita, ad esempio West US o Central US
• <AzureADAccount>: può essere un utente o un gruppo di Microsoft Entra. Ad esempio, DummyLogin
• Il parametro SubnetId deve essere aggiornato con <subscriptionId>, <ResourceGroupName>, <VNetName>, e <SubnetName>.

$instanceName = @{
    Name = "<managedinstancename>"
    ResourceGroupName = "<ResourceGroupName>"
    AssignIdentity = $true
    IdentityType = "UserAssigned"
    UserAssignedIdentityId = "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>"
    PrimaryUserAssignedIdentityId = "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<primaryIdentity>"
    ExternalAdminName = "<AzureADAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
    Location = "<Location>"
    SubnetId = "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>"
    LicenseType = "LicenseIncluded"
    StorageSizeInGB = 1024
    VCore = 16
    Edition = "GeneralPurpose"
    ComputeGeneration = "Gen5"
}

New-AzSqlInstance @instanceName

Per altre informazioni, vedere New-AzSqlInstance.

L’API REST Istanza gestita di SQL - Creare o aggiornare può essere usata per creare un'istanza gestita con un'identità gestita assegnata dall'utente.

Lo script seguente effettua il provisioning di un'istanza gestita con un'identità gestita assegnata dall'utente, imposta l'amministratore di Microsoft Entra come <AzureADAccount> e abilita l'autenticazione solo per Microsoft Entra. Verrà creato automaticamente anche l'account di accesso SQL Amministrazione dell'istanza e la password verrà impostata su una password casuale. Poiché la connettività di autenticazione SQL è disabilitata con questo provisioning, l'account di accesso SQL Amministrazione non verrà usato.

L'amministratore di Microsoft Entra, <AzureADAccount>, può essere usato per gestire l'istanza al termine del provisioning.

Nell'esempio, sostituire i valori seguenti:

• <tenantId>: è possibile trovarlo andando sul portale di Azure e passando alla risorsa Microsoft Entra ID. Nel riquadro Panoramica dovrebbe essere visualizzato il valore di ID tenant
• <subscriptionId>: l'ID sottoscrizione, reperibile nel portale di Azure
• <instanceName>: usare un nome univoco di istanza gestita
• <ResourceGroupName>: il nome del gruppo di risorse per il server logico
• <AzureADAccount>: può essere un utente o un gruppo di Microsoft Entra. Ad esempio, DummyLogin
• <Location>: posizione del server, ad esempio westus2, o centralus
• <objectId>: è possibile trovarlo andando sul portale di Azure e passando alla risorsa Microsoft Entra ID. Nel riquadro Utente cercare l'utente Microsoft Entra e trovare il relativo ID oggetto
• Il parametro subnetId deve essere aggiornato con <ResourceGroupName>, Subscription ID, <VNetName> e<SubnetName>

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$instanceName = "<instanceName>"
$resourceGroupName = "<ResourceGroupName>"
$scopes ="https://management.core.windows.net/.default"

Login-AzAccount -tenantId $tenantId

# Login as an Azure AD user with permission to provision a managed instance

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes $scopes

$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

$body = '{
"name": "<instanceName>", "type": "Microsoft.Sql/managedInstances", "identity": {"type" : "UserAssigned", "UserAssignedIdentities" : {"/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>" : {}}},"location": "<Location>", "sku": {"name": "GP_Gen5", "tier": "GeneralPurpose", "family":"Gen5","capacity": 8},
"properties": { "PrimaryUserAssignedIdentityId":"/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<primaryIdentity>","administrators":{ "login":"<AzureADAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true },
"subnetId": "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>",
"licenseType": "LicenseIncluded", "vCores": 8, "storageSizeInGB": 2048, "collation": "SQL_Latin1_General_CP1_CI_AS", "proxyOverride": "Proxy", "timezoneId": "UTC", "privateEndpointConnections": [], "storageAccountType": "GRS", "zoneRedundant": false 
  }
}'

# To provision the instance, execute the `PUT` command

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Per controllare i risultati, eseguire il comando GET:

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method GET -Headers $authHeader  | Format-List

Per effettuare il provisioning di una nuova rete virtuale, una subnet e una nuova istanza gestita configurata con un amministratore di Microsoft Entra, un'identità gestita assegnata dall'utente e l'autenticazione solo Microsoft Entra, usare il modello seguente.

Utilizzare una distribuzione personalizzata nel portale di Azure e creare un modello personalizzato nell'editor. Salva quindi la configurazione dopo aver incollato l'esempio.

Per ottenere l'ID della risorsa dell'identità gestita assegnata dall'utente, cercare Identità gestite nel portale di Azure. Trovare l'identità gestita e passare a Proprietà. Ad esempio, l'ID della risorsa UMI sarà simile a /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "managedInstanceName": {
            "type": "String",
            "metadata": {
                "description": "Enter managed instance name."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL managed instance."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity, in the form of /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>."
            }
        },
        "location": {
            "defaultValue": "[resourceGroup().location]",
            "type": "String",
            "metadata": {
                "description": "Enter location. If you leave this field blank resource group location would be used."
            }
        },
        "virtualNetworkName": {
            "type": "String",
            "defaultValue": "SQLMI-VNET",
            "metadata": {
                "description": "Enter virtual network name. If you leave this field blank name will be created by the template."
            }
        },
        "addressPrefix": {
            "defaultValue": "10.0.0.0/16",
            "type": "String",
            "metadata": {
                "description": "Enter virtual network address prefix."
            }
        },
        "subnetName": {
            "type": "String",
            "defaultValue": "ManagedInstances",
            "metadata": {
                "description": "Enter subnet name. If you leave this field blank name will be created by the template."
            }
        },
        "subnetPrefix": {
            "defaultValue": "10.0.0.0/24",
            "type": "String",
            "metadata": {
                "description": "Enter subnet address prefix."
            }
        },
        "skuName": {
            "defaultValue": "GP_Gen5",
            "allowedValues": [
                "GP_Gen5",
                "BC_Gen5"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter sku name."
            }
        },
        "vCores": {
            "defaultValue": 16,
            "allowedValues": [
                8,
                16,
                24,
                32,
                40,
                64,
                80
            ],
            "type": "Int",
            "metadata": {
                "description": "Enter number of vCores."
            }
        },
        "storageSizeInGB": {
            "defaultValue": 256,
            "minValue": 32,
            "maxValue": 8192,
            "type": "Int",
            "metadata": {
                "description": "Enter storage size."
            }
        },
        "licenseType": {
            "defaultValue": "LicenseIncluded",
            "allowedValues": [
                "BasePrice",
                "LicenseIncluded"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter license type."
            }
        }
    },
    "variables": {
        "networkSecurityGroupName": "[concat('SQLMI-', parameters('managedInstanceName'), '-NSG')]",
        "routeTableName": "[concat('SQLMI-', parameters('managedInstanceName'), '-Route-Table')]"
    },
    "resources": [
        {
            "type": "Microsoft.Network/networkSecurityGroups",
            "apiVersion": "2020-06-01",
            "name": "[variables('networkSecurityGroupName')]",
            "location": "[parameters('location')]",
            "properties": {
                "securityRules": [
                    {
                        "name": "allow_tds_inbound",
                        "properties": {
                            "description": "Allow access to data",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "1433",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1000,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "allow_redirect_inbound",
                        "properties": {
                            "description": "Allow inbound redirect traffic to Managed Instance inside the virtual network",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "11000-11999",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1100,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_inbound",
                        "properties": {
                            "description": "Deny all other inbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_outbound",
                        "properties": {
                            "description": "Deny all other outbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Outbound"
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Network/routeTables",
            "apiVersion": "2020-06-01",
            "name": "[variables('routeTableName')]",
            "location": "[parameters('location')]",
            "properties": {
                "disableBgpRoutePropagation": false
            }
        },
        {
            "type": "Microsoft.Network/virtualNetworks",
            "apiVersion": "2020-06-01",
            "name": "[parameters('virtualNetworkName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[variables('routeTableName')]",
                "[variables('networkSecurityGroupName')]"
            ],
            "properties": {
                "addressSpace": {
                    "addressPrefixes": [
                        "[parameters('addressPrefix')]"
                    ]
                },
                "subnets": [
                    {
                        "name": "[parameters('subnetName')]",
                        "properties": {
                            "addressPrefix": "[parameters('subnetPrefix')]",
                            "routeTable": {
                                "id": "[resourceId('Microsoft.Network/routeTables', variables('routeTableName'))]"
                            },
                            "networkSecurityGroup": {
                                "id": "[resourceId('Microsoft.Network/networkSecurityGroups', variables('networkSecurityGroupName'))]"
                            },
                            "delegations": [
                                {
                                    "name": "miDelegation",
                                    "properties": {
                                        "serviceName": "Microsoft.Sql/managedInstances"
                                    }
                                }
                            ]
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Sql/managedInstances",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('managedInstanceName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[parameters('virtualNetworkName')]"
            ],
            "sku": {
                "name": "[parameters('skuName')]"
            },
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "subnetId": "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('virtualNetworkName'), parameters('subnetName'))]",
                "storageSizeInGB": "[parameters('storageSizeInGB')]",
                "vCores": "[parameters('vCores')]",
                "licenseType": "[parameters('licenseType')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}