Tworzenie usługi Azure SQL Managed Instance przy użyciu tożsamości zarządzanej przypisanej przez użytkownika

1. Przejdź do strony Wybierz wdrożenie SQL w witrynie Azure Portal.

2. Jeśli jeszcze nie zalogowano się do witryny Azure Portal, zaloguj się po wyświetleniu monitu.

3. W obszarze Wystąpienia zarządzane SQL pozostaw opcję Typ zasobu ustawiony na Pojedyncze wystąpienie, a następnie wybierz pozycję Utwórz.

4. Wypełnij obowiązkowe informacje wymagane na karcie Podstawy , aby uzyskać szczegóły projektu i szczegóły wystąpienia zarządzanego. Jest to minimalny zestaw informacji wymaganych do aprowizacji wystąpienia zarządzanego SQL.

   

   Aby uzyskać więcej informacji na temat opcji konfiguracji, zobacz Szybki start: tworzenie wystąpienia zarządzanego Azure SQL.

5. W obszarze Uwierzytelnianie wybierz preferowany model uwierzytelniania. Jeśli chcesz skonfigurować uwierzytelnianie tylko firmy Microsoft, zapoznaj się z przewodnikiem.

6. Następnie przejdź przez konfigurację karty Sieć lub pozostaw ustawienia domyślne.

7. Na karcie Zabezpieczenia w obszarze Tożsamość wybierz pozycję Konfiguruj tożsamości.

   

8. W okienku Tożsamość w obszarze Tożsamość przypisana przez użytkownika wybierz pozycję Dodaj. Wybierz żądaną subskrypcję , a następnie w obszarze Tożsamości zarządzane przypisane przez użytkownika wybierz odpowiednią tożsamość zarządzaną przypisaną przez użytkownika z wybranej subskrypcji. Następnie wybierz przycisk Wybierz .

   

   

9. W obszarze Tożsamość podstawowa wybierz tę samą tożsamość zarządzaną przypisaną przez użytkownika wybraną w poprzednim kroku.

   

   Uwaga

   Jeśli tożsamość zarządzana przypisana przez system jest tożsamością podstawową, pole Tożsamość podstawowa musi być puste.

10. Wybierz Zastosuj

11. Możesz pozostawić pozostałe ustawienia domyślne. Aby uzyskać więcej informacji na temat innych kart i ustawień, postępuj zgodnie z przewodnikiem w artykule Szybki start: tworzenie usługi Azure SQL Managed Instance.

12. Po zakończeniu konfigurowania ustawień wybierz pozycję Przejrzyj i utwórz , aby kontynuować. Wybierz pozycję Utwórz , aby rozpocząć aprowizowanie wystąpienia zarządzanego.

Polecenie interfejsu wiersza polecenia az sql mi create platformy Azure służy do aprowizowania nowego wystąpienia zarządzanego Azure SQL. Poniższe polecenie spowoduje aprowizację wystąpienia zarządzanego przy użyciu tożsamości zarządzanej przypisanej przez użytkownika, a także włączy uwierzytelnianie tylko firmy Microsoft.

Identyfikator logowania administratora SQL wystąpienia zarządzanego zostanie automatycznie utworzony, a hasło zostanie ustawione na losowe hasło. Ponieważ łączność z uwierzytelnianiem SQL jest wyłączona przy użyciu tej aprowizacji, logowanie administratora SQL nie będzie używane.

Administrator firmy Microsoft Entra będzie kontem ustawionym dla <AzureADAccount>programu i może służyć do zarządzania wystąpieniem po zakończeniu aprowizacji.

Zastąp następujące wartości w przykładzie:

• <subscriptionId>: Identyfikator subskrypcji można znaleźć w witrynie Azure Portal
• <ResourceGroupName>: nazwa grupy zasobów dla wystąpienia zarządzanego. Grupa zasobów powinna również zawierać sieć wirtualną i utworzoną podsieć
• <managedIdentity>: tożsamość zarządzana przypisana przez użytkownika. Może być również używana jako tożsamość podstawowa.
• <primaryIdentity>: tożsamość podstawowa, której chcesz użyć jako tożsamości wystąpienia
• <AzureADAccount>: może być użytkownikiem lub grupą firmy Microsoft Entra. Na przykład DummyLogin
• <AzureADAccountSID>: Identyfikator obiektu Entra firmy Microsoft dla użytkownika
• <managedinstancename>: nadaj nazwę wystąpieniu zarządzanemu, które chcesz utworzyć
• Parametr subnet musi zostać zaktualizowany przy użyciu parametru <subscriptionId>, , <ResourceGroupName><VNetName>i <SubnetName>.

# Define variables for resources
subscriptionId="<subscriptionId>"
resourceGroupName="<ResourceGroupName>"
managedIdentity="<managedIdentity>"
primaryIdentity="<primaryIdentity>"
AzureADAccount="<AzureADAccount>"
AzureADAccountSID="<AzureADAccountSID>"
VNetName="<VNetName>"
SubnetName="<SubnetName>"
managedinstancename="<managedinstancename>"

# Create a managed instance with a user-assigned managed identity
az sql mi create \
  --assign-identity \
  --identity-type UserAssigned \
  --user-assigned-identity-id "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$managedIdentity" \
  --primary-user-assigned-identity-id "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$primaryIdentity" \
  --enable-ad-only-auth \
  --external-admin-principal-type User \
  --external-admin-name $AzureADAccount \
  --external-admin-sid $AzureADAccountSID \
  -g $resourceGroupName \
  -n $managedinstancename \
  --subnet "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Network/virtualNetworks/$VNetName/subnets/$SubnetName"

Aby uzyskać więcej informacji, zobacz az sql mi create.

Polecenie New-AzSqlInstance programu PowerShell służy do aprowizowania nowego wystąpienia zarządzanego Azure SQL. Poniższe polecenie spowoduje aprowizację wystąpienia zarządzanego przy użyciu tożsamości zarządzanej przypisanej przez użytkownika, a także włączy uwierzytelnianie tylko firmy Microsoft.

Identyfikator logowania administratora SQL wystąpienia zarządzanego zostanie automatycznie utworzony, a hasło zostanie ustawione na losowe hasło. Ponieważ łączność z uwierzytelnianiem SQL jest wyłączona przy użyciu tej aprowizacji, logowanie administratora SQL nie będzie używane.

Administrator firmy Microsoft Entra będzie kontem ustawionym dla <AzureADAccount>programu i może służyć do zarządzania wystąpieniem po zakończeniu aprowizacji.

Zastąp następujące wartości w przykładzie:

• <managedinstancename>: nadaj nazwę wystąpieniu zarządzanemu, które chcesz utworzyć
• <ResourceGroupName>: nazwa grupy zasobów dla wystąpienia zarządzanego. Grupa zasobów powinna również zawierać sieć wirtualną i utworzoną podsieć
• <subscriptionId>: Identyfikator subskrypcji można znaleźć w witrynie Azure Portal
• <managedIdentity>: tożsamość zarządzana przypisana przez użytkownika. Może być również używana jako tożsamość podstawowa.
• <primaryIdentity>: tożsamość podstawowa, której chcesz użyć jako tożsamości wystąpienia
• <Location>: Lokalizacja wystąpienia zarządzanego, na przykład West US, lub Central US
• <AzureADAccount>: może być użytkownikiem lub grupą firmy Microsoft Entra. Na przykład DummyLogin
• Parametr SubnetId musi zostać zaktualizowany przy użyciu parametru <subscriptionId>, , <ResourceGroupName><VNetName>i <SubnetName>.

$instanceName = @{
    Name = "<managedinstancename>"
    ResourceGroupName = "<ResourceGroupName>"
    AssignIdentity = $true
    IdentityType = "UserAssigned"
    UserAssignedIdentityId = "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>"
    PrimaryUserAssignedIdentityId = "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<primaryIdentity>"
    ExternalAdminName = "<AzureADAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
    Location = "<Location>"
    SubnetId = "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>"
    LicenseType = "LicenseIncluded"
    StorageSizeInGB = 1024
    VCore = 16
    Edition = "GeneralPurpose"
    ComputeGeneration = "Gen5"
}

New-AzSqlInstance @instanceName

Aby uzyskać więcej informacji, zobacz New-AzSqlInstance.

Wystąpienia zarządzane SQL — tworzenie lub aktualizowanie interfejsu API REST można użyć do utworzenia wystąpienia zarządzanego z tożsamością zarządzaną przypisaną przez użytkownika.

Poniższy skrypt przeprowadzi aprowizację wystąpienia zarządzanego przy użyciu tożsamości zarządzanej przypisanej przez użytkownika, ustawi administratora usługi Microsoft Entra jako <AzureADAccount>i włączy uwierzytelnianie tylko w usłudze Microsoft Entra. Nazwa logowania administratora SQL wystąpienia zostanie również utworzona automatycznie, a hasło zostanie ustawione na losowe hasło. Ponieważ łączność z uwierzytelnianiem SQL jest wyłączona z tą aprowizowaniem, logowanie administratora SQL nie będzie używane.

Administrator <AzureADAccount> firmy Microsoft Entra może służyć do zarządzania wystąpieniem po zakończeniu aprowizacji.

Zastąp następujące wartości w przykładzie:

• <tenantId>: Można go znaleźć, przechodząc do witryny Azure Portal i przechodząc do zasobu Identyfikator entra firmy Microsoft. W okienku Przegląd powinien zostać wyświetlony identyfikator dzierżawy
• <subscriptionId>: Identyfikator subskrypcji można znaleźć w witrynie Azure Portal
• <instanceName>: Użyj unikatowej nazwy wystąpienia zarządzanego
• <ResourceGroupName>: nazwa grupy zasobów dla serwera logicznego
• <AzureADAccount>: może być użytkownikiem lub grupą firmy Microsoft Entra. Na przykład DummyLogin
• <Location>: Lokalizacja serwera, na przykład westus2, lub centralus
• <objectId>: Można go znaleźć, przechodząc do witryny Azure Portal i przechodząc do zasobu Identyfikator entra firmy Microsoft. W okienku Użytkownik wyszukaj użytkownika Microsoft Entra i znajdź identyfikator obiektu
• Parametr subnetId musi zostać zaktualizowany przy użyciu parametru <ResourceGroupName>Subscription ID, , <VNetName>i<SubnetName>

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$instanceName = "<instanceName>"
$resourceGroupName = "<ResourceGroupName>"
$scopes ="https://management.core.windows.net/.default"

Login-AzAccount -tenantId $tenantId

# Login as an Azure AD user with permission to provision a managed instance

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes $scopes

$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

$body = '{
"name": "<instanceName>", "type": "Microsoft.Sql/managedInstances", "identity": {"type" : "UserAssigned", "UserAssignedIdentities" : {"/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>" : {}}},"location": "<Location>", "sku": {"name": "GP_Gen5", "tier": "GeneralPurpose", "family":"Gen5","capacity": 8},
"properties": { "PrimaryUserAssignedIdentityId":"/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<primaryIdentity>","administrators":{ "login":"<AzureADAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true },
"subnetId": "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>",
"licenseType": "LicenseIncluded", "vCores": 8, "storageSizeInGB": 2048, "collation": "SQL_Latin1_General_CP1_CI_AS", "proxyOverride": "Proxy", "timezoneId": "UTC", "privateEndpointConnections": [], "storageAccountType": "GRS", "zoneRedundant": false 
  }
}'

# To provision the instance, execute the `PUT` command

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Aby sprawdzić wyniki, wykonaj GET polecenie:

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method GET -Headers $authHeader  | Format-List

Aby aprowizować nową sieć wirtualną, podsieć i nowe wystąpienie zarządzane skonfigurowane przy użyciu administratora firmy Microsoft Entra, tożsamości zarządzanej przypisanej przez użytkownika i uwierzytelniania tylko firmy Microsoft, użyj następującego szablonu.

Użyj wdrożenia niestandardowego w witrynie Azure Portal i utwórz własny szablon w edytorze. Następnie zapisz konfigurację po wklejeniu w przykładzie.

Aby uzyskać identyfikator zasobu tożsamości zarządzanej przypisanej przez użytkownika, wyszukaj pozycję Tożsamości zarządzane w witrynie Azure Portal. Znajdź tożsamość zarządzaną i przejdź do pozycji Właściwości. Przykład identyfikatora zasobu interfejsu użytkownika będzie wyglądać następująco: /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "managedInstanceName": {
            "type": "String",
            "metadata": {
                "description": "Enter managed instance name."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL managed instance."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity, in the form of /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>."
            }
        },
        "location": {
            "defaultValue": "[resourceGroup().location]",
            "type": "String",
            "metadata": {
                "description": "Enter location. If you leave this field blank resource group location would be used."
            }
        },
        "virtualNetworkName": {
            "type": "String",
            "defaultValue": "SQLMI-VNET",
            "metadata": {
                "description": "Enter virtual network name. If you leave this field blank name will be created by the template."
            }
        },
        "addressPrefix": {
            "defaultValue": "10.0.0.0/16",
            "type": "String",
            "metadata": {
                "description": "Enter virtual network address prefix."
            }
        },
        "subnetName": {
            "type": "String",
            "defaultValue": "ManagedInstances",
            "metadata": {
                "description": "Enter subnet name. If you leave this field blank name will be created by the template."
            }
        },
        "subnetPrefix": {
            "defaultValue": "10.0.0.0/24",
            "type": "String",
            "metadata": {
                "description": "Enter subnet address prefix."
            }
        },
        "skuName": {
            "defaultValue": "GP_Gen5",
            "allowedValues": [
                "GP_Gen5",
                "BC_Gen5"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter sku name."
            }
        },
        "vCores": {
            "defaultValue": 16,
            "allowedValues": [
                8,
                16,
                24,
                32,
                40,
                64,
                80
            ],
            "type": "Int",
            "metadata": {
                "description": "Enter number of vCores."
            }
        },
        "storageSizeInGB": {
            "defaultValue": 256,
            "minValue": 32,
            "maxValue": 8192,
            "type": "Int",
            "metadata": {
                "description": "Enter storage size."
            }
        },
        "licenseType": {
            "defaultValue": "LicenseIncluded",
            "allowedValues": [
                "BasePrice",
                "LicenseIncluded"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter license type."
            }
        }
    },
    "variables": {
        "networkSecurityGroupName": "[concat('SQLMI-', parameters('managedInstanceName'), '-NSG')]",
        "routeTableName": "[concat('SQLMI-', parameters('managedInstanceName'), '-Route-Table')]"
    },
    "resources": [
        {
            "type": "Microsoft.Network/networkSecurityGroups",
            "apiVersion": "2020-06-01",
            "name": "[variables('networkSecurityGroupName')]",
            "location": "[parameters('location')]",
            "properties": {
                "securityRules": [
                    {
                        "name": "allow_tds_inbound",
                        "properties": {
                            "description": "Allow access to data",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "1433",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1000,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "allow_redirect_inbound",
                        "properties": {
                            "description": "Allow inbound redirect traffic to Managed Instance inside the virtual network",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "11000-11999",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1100,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_inbound",
                        "properties": {
                            "description": "Deny all other inbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_outbound",
                        "properties": {
                            "description": "Deny all other outbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Outbound"
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Network/routeTables",
            "apiVersion": "2020-06-01",
            "name": "[variables('routeTableName')]",
            "location": "[parameters('location')]",
            "properties": {
                "disableBgpRoutePropagation": false
            }
        },
        {
            "type": "Microsoft.Network/virtualNetworks",
            "apiVersion": "2020-06-01",
            "name": "[parameters('virtualNetworkName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[variables('routeTableName')]",
                "[variables('networkSecurityGroupName')]"
            ],
            "properties": {
                "addressSpace": {
                    "addressPrefixes": [
                        "[parameters('addressPrefix')]"
                    ]
                },
                "subnets": [
                    {
                        "name": "[parameters('subnetName')]",
                        "properties": {
                            "addressPrefix": "[parameters('subnetPrefix')]",
                            "routeTable": {
                                "id": "[resourceId('Microsoft.Network/routeTables', variables('routeTableName'))]"
                            },
                            "networkSecurityGroup": {
                                "id": "[resourceId('Microsoft.Network/networkSecurityGroups', variables('networkSecurityGroupName'))]"
                            },
                            "delegations": [
                                {
                                    "name": "miDelegation",
                                    "properties": {
                                        "serviceName": "Microsoft.Sql/managedInstances"
                                    }
                                }
                            ]
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Sql/managedInstances",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('managedInstanceName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[parameters('virtualNetworkName')]"
            ],
            "sku": {
                "name": "[parameters('skuName')]"
            },
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "subnetId": "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('virtualNetworkName'), parameters('subnetName'))]",
                "storageSizeInGB": "[parameters('storageSizeInGB')]",
                "vCores": "[parameters('vCores')]",
                "licenseType": "[parameters('licenseType')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}