Auditoria usando a identidade gerenciada

  • Artigo

Aplica-se a: Banco de Dados SQL do Azure Azure Synapse Analytics

A auditoria para o Banco de Dados SQL do Azure pode ser configurada para usar uma conta de armazenamento com dois métodos de autenticação:

  • Identidade Gerenciada
  • Chaves de acesso de armazenamento

A Identidade Gerenciada pode ser SMI (identidade gerenciada atribuída pelo sistema) ou UMI (identidade gerenciada atribuída pelo usuário).

Para configurar a gravação de logs de auditoria em uma conta de armazenamento, acesse o portal do Azure e selecione o recurso de servidor lógico para o Banco de Dados SQL do Azure. Selecione Armazenamento no menu Auditoria. Selecione a conta de armazenamento do Azure onde os logs serão salvos.

Por padrão, a identidade usada é a identidade do usuário primário atribuída ao servidor. Se não houver nenhuma identidade de usuário, o servidor criará uma identidade gerenciada atribuída pelo sistema e a usará para autenticação.

Captura de tela do menu Auditoria no portal do Azure e da seleção de Identidade Gerenciada como o Tipo de Autenticação de Armazenamento.

Selecione o período de retenção abrindo as propriedades Avançadas. Em seguida, selecione Salvar. Os logs anteriores ao período de retenção são excluídos.

Observação

Para configurar a auditoria baseada em identidade gerenciada no Azure Synapse Analytics, confira a seção Configurar a identidade gerenciada atribuída pelo sistema para auditorias do Azure Synapse Analytics mais adiante neste artigo.

Identidade gerenciada atribuída pelo usuário

A UMI oferece aos usuários flexibilidade para criar e manter a própria UMI para um determinado locatário. A UMI pode ser usada como identidades de servidor para o SQL do Azure. A UMI é gerenciada pelo usuário, em comparação com uma identidade gerenciada atribuída pelo sistema, cuja identidade é definida exclusivamente por servidor e atribuída pelo sistema.

Para saber mais sobre a UMI, confira Identidades gerenciadas no Microsoft Entra ID para SQL do Azure.

Configurar a identidade gerenciada atribuída pelo usuário para auditoria do banco de dados SQL do Azure

Antes que a auditoria possa ser configurada para enviar logs para sua conta de armazenamento, a identidade gerenciada atribuída ao servidor precisa ter a atribuição de função Colaborador de Dados do Blob de Armazenamento . Essa atribuição será necessária se você estiver configurando a auditoria usando o PowerShell, a CLI do Azure, a API REST ou os modelos do ARM. A atribuição de função é feita automaticamente usando o portal do Azure para configurar a Auditoria. Portanto, as etapas abaixo serão desnecessárias se você estiver configurando a Auditoria por meio do portal do Azure.

  1. Acesse o portal do Azure.

  2. Crie uma identidade gerenciada atribuída pelo usuário, se ainda não tiver uma. Para obter mais informações, confira criar uma identidade gerenciada atribuída pelo usuário.

  3. Acesse sua conta de armazenamento que você deseja configurar para auditoria.

  4. Selecione o menu Controle de Acesso (IAM).

  5. Selecione Adicionar>Adicionar atribuição de função.

  6. Na guia Função, procure e selecione o Colaborador de Dados do Blob de Armazenamento. Selecione Avançar.

  7. Na guia Membros, selecione Identidade gerenciada na seção Atribuir acesso a e Selecionar membros. Você pode selecionar a Identidade gerenciada que foi criada para o servidor.

  8. Selecione Examinar + atribuir.

    Captura de tela da atribuição do Colaborador de Dados do Blob de Armazenamento à Identidade Gerenciada no portal do Azure.

Para obter mais informações, confira Atribuir funções do Azure usando o portal.

Use o seguinte para configurar a auditoria usando a identidade gerenciada atribuída pelo usuário:

  1. Vá para o menu Identidade do servidor. Na seção Identidade gerenciada atribuída pelo usuário, Adicione a identidade gerenciada.

  2. Em seguida, você pode selecionar a identidade gerenciada adicionada como a Identidade primária do seu servidor.

    Captura de tela do menu Identidade no portal do Azure e da seleção da identidade primária.

  3. Acesse o menu Auditoria do servidor. Selecione Identidade Gerenciada como o Tipo de Autenticação de Armazenamento ao configurar o Armazenamento para seu servidor.

Configurar a identidade gerenciada atribuída pelo sistema para auditorias do Azure Synapse Analytics

Não é possível usar a autenticação baseada em UMI em uma conta de armazenamento para auditorias. Só é possível usar a SMI (identidade gerenciada atribuída pelo sistema) para o Azure Synapse Analytics. Para que a autenticação baseada em SMI funcione, a identidade gerenciada deve ter a função de Colaborador de Dados de Blob de Armazenamento nas Configurações de Controle de Acesso da conta de armazenamento. Essa função será adicionada automaticamente se o portal do Azure for usado para configurar a auditoria.

No portal do Azure para o Azure Synapse Analytics, não há nenhuma opção para escolher explicitamente a chave SAS ou a autenticação baseada em SMI, como é o caso do Banco de Dados SQL do Azure.

  • Se a conta de armazenamento estiver protegida por uma VNet ou por um firewall, a auditoria será configurada automaticamente usando a autenticação baseada em SMI.

  • Se a conta de armazenamento não estiver por trás de uma VNet ou firewall, a auditoria será configurada automaticamente usando a autenticação baseada em chave SAS. No entanto, a identidade gerenciada não poderá ser usada se a conta de armazenamento não estiver atrás de uma rede virtual ou firewall.

Para forçar o uso da autenticação baseada em SMI, independentemente de a conta de armazenamento estar ou não protegida por uma VNet ou um firewall, use a API REST ou o PowerShell da seguinte maneira:

Próximas etapas