ユーザー割り当てマネージド ID とカスタマー マネージド TDE で構成されたサーバーを作成する
適用対象: Azure SQL データベース
この使い方ガイドでは、ユーザー割り当てマネージド ID を使用して Azure Key Vault にアクセスし、カスタマー マネージド キー (CMK) による Transparent Data Encryption (TDE) が構成された論理サーバーを Azure に作成する手順の概要を説明します。
Note
Microsoft Entra ID の、旧称は Azure Active Directory(Azure AD)です。
前提条件
- この攻略ガイドは、Azure SQL Database の TDE 保護機能として使用するために、Azure Key Vault のキーを既に作成し、キーをインポートしていることを前提としています。 詳細については、BYOK をサポートする Transparent Data Encryption に関する記事を参照してください。
- キー コンテナーで論理的な削除と消去保護が有効になっている必要があります
- ユーザー割り当てマネージド ID を作成し、上記のキー コンテナーに必要な TDE アクセス許可 (取得、Wrap キーを折り返す、キーの折り返しを解除) を指定している必要があります。 ユーザー割り当てマネージド ID の作成については、ユーザー割り当てマネージド ID を作成する方法に関するページを参照してください。
- Azure PowerShell がインストールされ、実行されている必要があります。
- [推奨ただし省略可能] まず TDE 保護機能のキー素材をハードウェア セキュリティ モジュール (HSM) またはローカル キー ストアで作成し、そのキー素材を Azure Key Vault にインポートします。 詳しくは、ハードウェア セキュリティ モジュール (HSM) と Key Vault の使用手順をご覧ください。
カスタマー マネージド キー (CMK) を使用して TDE で構成されたサーバーを作成する
次の手順では、割り当てられたユーザー割り当てマネージド ID を持つ Azure SQL Database の新しい論理サーバーと新しいデータベースを作成するプロセスの概要を説明します。 ユーザー割り当てマネージド ID は、サーバー作成時に TDE のカスタマー マネージド キーを構成するために必要です。
Azure portal の [SQL デプロイ オプションの選択] ページを参照します。
まだ Azure portal にサインインしていない場合は、求められたらサインインします。
[SQL データベース] で、 [リソースの種類] を [単一データベース] に設定し、 [作成] を選択します。
[SQL データベースの作成] フォームの [基本] タブにある [プロジェクトの詳細] で、目的の Azure [サブスクリプション] を選択します。
[リソース グループ] の [新規作成] を選択し、リソース グループの名前を入力し、 [OK] を選択します。
[データベース名] に「
ContosoHR
」と入力します。[サーバー] で、 [新規作成] を選択し、 [新しいサーバー] フォームに次の値を入力します。
- [サーバー名] : 一意のサーバー名を入力します。 サーバー名は、サブスクリプション内で一意ではなく、Azure のすべてのサーバーに対してグローバルに一意である必要があります。
mysqlserver135
などと入力すると、使用可能かどうかが Azure portal で確認できます。 - [サーバー管理者ログイン]: 管理者のログイン名を入力します (例:
azureuser
)。 - パスワード: パスワード要件を満たすパスワードを入力し、[パスワードの確認入力] フィールドにもう一度入力します。
- [場所] : ドロップダウン リストから場所を選択します
- [サーバー名] : 一意のサーバー名を入力します。 サーバー名は、サブスクリプション内で一意ではなく、Azure のすべてのサーバーに対してグローバルに一意である必要があります。
ページの下部にある [Next: Networking](次へ: ネットワーク) を選択します。
[ネットワーク] タブの [接続方法] で、 [パブリック エンドポイント] を選択します。
[ファイアウォール規則] で、 [現在のクライアント IP アドレスを追加する] を [はい] に設定します。 [Azure サービスおよびリソースにこのサーバー グループへのアクセスを許可する] を [いいえ] に設定したままにします。
ページの下部で [次へ: セキュリティ] を選択します。
[セキュリティ] タブの [サーバー ID] で、[ID の構成] を選択します。
[ID]ウィンドウで、[システム割り当てマネージド ID]に [オフ]を選択したら、[ユーザー割り当てマネージド ID] の[追加]を選択します。 使用する [サブスクリプション] を選んでから、[ユーザー割り当てマネージド ID] で、選んだサブスクリプションから使用するユーザー割り当てマネージド ID を選びます。 次に [追加] ボタンを選択します。
[プライマリ ID] で、前の手順で選択したのと同じユーザー割り当てマネージド ID を選択します。
[適用] を選択します
[セキュリティ] タブの [Transparent Data Encryption キー管理] で、サーバーまたはデータベースの透過的なデータ暗号化を構成するオプションがあります。
- サーバー レベル キーの場合: [Transparent Data Encryption を構成する] を選択します。 [カスタマー マネージド キー] を選ぶと、[キーの選択] を選択するオプションが表示されます。 [キーの変更] を選びます。 TDE に使用するカスタマー マネージド キーの目的のサブスクリプション、キー コンテナー、キー、バージョンを選択します。 [選択] ボタンを選択します。
- データベース レベルのキーの場合: [透過的なデータ暗号化の構成] を選択します。 [データベース レベルのカスタマー マネージド キー] を選択すると、データベース ID とカスタマー マネージド キーを構成するオプションが表示されます。 手順 13 と同様に、[構成] を選択して、データベースのユーザー割り当てマネージド ID を構成します。 [キーの変更] を選択してカスタマー マネージド キーを構成します。 TDE に使用するカスタマー マネージド キーの目的のサブスクリプション、キー コンテナー、キー、バージョンを選択します。 [Transparent Data Encryption] メニューでキーの自動ローテーションを有効にするオプションもあります。 [選択] ボタンを選択します。
[適用] を選択します
ページの下部にある [確認と作成] を選択します
[確認と作成] ページで、確認後、 [作成] を選択します。
次のステップ
- TDE のために Azure Key Vault の統合と Bring Your Own Key サポートの使用を開始する: Key Vault の独自のキーを使用して TDE を有効にする。