ユーザー割り当てマネージド ID とカスタマーマネージド TDE で構成された Azure SQL Database 論理サーバーを作成する

2025-06-16

このハウツーガイドでは、透過的データ暗号化 (TDE) で構成された Azure SQL Database 論理サーバーを、顧客管理キー (CMK) を使用して作成する手順を説明します。その際、ユーザー割り当てマネージド ID を使用して Azure Key Vault にアクセスします。

注

Microsoft Entra ID の、旧称は Azure Active Directory（Azure AD）です。

前提条件

この攻略ガイドは、Azure SQL Database の TDE 保護機能として使用するために、Azure Key Vault のキーを既に作成し、キーをインポートしていることを前提としています。詳細については、BYOK をサポートする Transparent Data Encryption に関する記事を参照してください。
キーコンテナーで論理的な削除と消去保護が有効になっている必要があります
ユーザー割り当てマネージド ID を作成し、上記のキーコンテナーに必要な TDE アクセス許可 (取得、Wrap キーを折り返す、キーの折り返しを解除) を指定している必要があります。ユーザー割り当てマネージド ID の作成については、ユーザー割り当てマネージド ID を作成する方法に関するページを参照してください。
Azure PowerShell がインストールされ、実行されている必要があります。
[推奨ただし省略可能] まず TDE 保護機能のキー素材をハードウェアセキュリティモジュール (HSM) またはローカルキーストアで作成し、そのキー素材を Azure Key Vault にインポートします。詳しくは、ハードウェアセキュリティモジュール (HSM) と Key Vault の使用手順をご覧ください。

カスタマーマネージドキー (CMK) を使用して TDE で構成されたサーバーを作成する

次の手順では、割り当てられたユーザー割り当てマネージド ID を持つ Azure SQL Database の新しい論理サーバーと新しいデータベースを作成するプロセスの概要を説明します。ユーザー割り当てマネージド ID は、サーバー作成時に TDE のカスタマーマネージドキーを構成するために必要です。

Azure portal の [SQL デプロイオプションの選択] ページを参照します。
まだ Azure portal にサインインしていない場合は、求められたらサインインします。
[SQL データベース] で、 [リソースの種類] を [単一データベース] に設定し、 [作成] を選択します。
[SQL データベースの作成] フォームの [基本] タブにある [プロジェクトの詳細] で、目的の Azure [サブスクリプション] を選択します。
[リソースグループ] の [新規作成] を選択し、リソースグループの名前を入力し、 [OK] を選択します。
[データベース名] に「ContosoHR」と入力します。
[サーバー] で、 [新規作成] を選択し、 [新しいサーバー] フォームに次の値を入力します。
- [サーバー名] : 一意のサーバー名を入力します。サーバー名は、サブスクリプション内で一意ではなく、Azure のすべてのサーバーに対してグローバルに一意である必要があります。 mysqlserver135 などと入力すると、使用可能かどうかが Azure portal で確認できます。
- [サーバー管理者ログイン]: 管理者のログイン名を入力します (例: azureuser)。
- パスワード: パスワード要件を満たすパスワードを入力し、[パスワードの確認入力] フィールドにもう一度入力します。
- [場所] : ドロップダウンリストから場所を選択します
ページの下部にある [Next: Networking](次へ: ネットワーク) を選択します。
[ネットワーク] タブの [接続方法] で、 [パブリックエンドポイント] を選択します。
[ファイアウォール規則] で、 [現在のクライアント IP アドレスを追加する] を [はい] に設定します。 [Azure サービスおよびリソースにこのサーバーグループへのアクセスを許可する] を [いいえ] に設定したままにします。
ページの下部で [次へ: セキュリティ] を選択します。
[セキュリティ] タブの [サーバー ID] で、[ID の構成] を選択します。
[ID]ウィンドウで、[システム割り当てマネージド ID]に [オフ]を選択したら、[ユーザー割り当てマネージド ID] の[追加]を選択します。使用する [サブスクリプション] を選んでから、[ユーザー割り当てマネージド ID] で、選んだサブスクリプションから使用するユーザー割り当てマネージド ID を選びます。次に [追加] ボタンを選択します。
[プライマリ ID] で、前の手順で選択したのと同じユーザー割り当てマネージド ID を選択します。
[適用] を選択します
[セキュリティ] タブの [Transparent Data Encryption キー管理] で、サーバーまたはデータベースの透過的なデータ暗号化を構成するオプションがあります。
- サーバーレベルキーの場合: [Transparent Data Encryption を構成する] を選択します。 [カスタマーマネージドキー] を選ぶと、[キーの選択] を選択するオプションが表示されます。 [キーの変更] を選びます。 TDE に使用するカスタマーマネージドキーの目的のサブスクリプション、キーコンテナー、キー、バージョンを選択します。 [選択] ボタンを選択します。
- データベースレベルのキーの場合: [透過的なデータ暗号化の構成] を選択します。 [データベースレベルのカスタマーマネージドキー] を選択すると、データベース ID とカスタマーマネージドキーを構成するオプションが表示されます。手順 13 と同様に、[構成] を選択して、データベースのユーザー割り当てマネージド ID を構成します。 [キーの変更] を選択してカスタマーマネージドキーを構成します。 TDE に使用するカスタマーマネージドキーの目的のサブスクリプション、キーコンテナー、キー、バージョンを選択します。 [Transparent Data Encryption] メニューでキーの自動ローテーションを有効にするオプションもあります。 [選択] ボタンを選択します。
[適用] を選択します
ページの下部にある [確認と作成] を選択します
[確認と作成] ページで、確認後、 [作成] を選択します。

Azure CLI の現在のリリースのインストールについては、Azure CLI のインストールに関する記事を参照してください。

az sql server create コマンドを使用して、ユーザー割り当てマネージド ID とカスタマーマネージド TDE で構成されたサーバーを作成します。

az sql server create \
    --name $serverName \
    --resource-group $resourceGroupName \
    --___location $___location  \
    --admin-user $adminlogin \
    --admin-password $password \
    --assign-identity \
    --identity-type $identitytype \
    --user-assigned-identity-id $identityid \
    --primary-user-assigned-identity-id $primaryidentityid \
    --key-id $keyid

az sql db create コマンドを使用してデータベースを作成します。

az sql db create \
    --resource-group $resourceGroupName \
    --server $serverName \
    --name mySampleDatabase \
    --sample-name AdventureWorksLT \
    --edition GeneralPurpose \
    --compute-model Serverless \
    --family Gen5 \
    --capacity 2

PowerShell を使用して、ユーザー割り当てマネージド ID とカスタマーマネージド TDE で構成されたサーバーを作成します。

Az PowerShell モジュールのインストール手順については、Azure PowerShell のインストールを参照してください。

New-AzSqlServer コマンドレットを使用します。

この例では次の値を置き換えます。

<ResourceGroupName>: Azure SQL 論理サーバーのリソースグループの名前
<Location>: サーバーの場所 (West US、Central US など)
<ServerName>: 一意の Azure SQL 論理サーバー名を使用します
<ServerAdminName>: SQL 管理者のログイン
<ServerAdminPassword>:SQL 管理者のパスワード
<IdentityType>: サーバーに割り当てる ID の種類。指定できる値は、「SystemAssigned」、「UserAssigned」、「SystemAssigned,UserAssigned」、および「なし」です
<UserAssignedIdentityId>: サーバーに割り当てるユーザー割り当てマネージド ID の一覧 (1 つ以上を指定できます)
<PrimaryUserAssignedIdentityId>: このサーバーのプライマリまたは既定として使用する必要があるユーザー割り当てマネージド ID
<CustomerManagedKeyId>: キー識別子であり、Key Vault のキーから取得できます。

ユーザー割り当てマネージド ID のリソース ID を取得するには、Azure portal でマネージド ID を検索します。マネージド ID を見つけて、[プロパティ] に移動します。 UMI リソース ID の例は、/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity> のようになります

# create a server with user-assigned managed identity and customer-managed TDE
$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    SqlAdministratorCredentials = (Get-Credential)
    SqlAdministratorLogin = "<ServerAdminName>"
    SqlAdministratorPassword = "<ServerAdminPassword>"
    AssignIdentity = $true
    IdentityType = "<IdentityType>"
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    PrimaryUserAssignedIdentityId = "<PrimaryUserAssignedIdentityId>"
    KeyId = "<CustomerManagedKeyId>"
}

New-AzSqlServer @params

ユーザー割り当てマネージド ID とカスタマーマネージド TDE を持つ Azure SQL 論理サーバーを作成する ARM テンプレートの例を次に示します。このテンプレートでは、サーバーの Microsoft Entra 管理者セットも追加され、 Azure SQL での Microsoft Entra 専用認証が有効になりますが、これはテンプレートの例から削除できます。

ARM テンプレートの詳細については、「Azure SQL データベース用 Azure Resource Manager テンプレート」を参照してください。

Azure portal のカスタムデプロイを使用し、エディターで独自のテンプレートを作成します。次に、例に貼り付けたら、構成を保存します。

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "String"
        },
        "___location": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity."
            }
        },
        "keyvault_url": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The key vault URI."
            }
        },
        "AdminLogin": {
            "minLength": 1,
            "type": "String"
        },
        "AdminLoginPassword": {
            "type": "SecureString"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "___location": "[parameters('___location')]",
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "administratorLogin": "[parameters('AdminLogin')]",
                "administratorLoginPassword": "[parameters('AdminLoginPassword')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "KeyId": "[parameters('keyvault_url')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

次のステップ

PowerShell と Azure CLI: Azure Key Vault のユーザー管理キーを使用して Transparent Data Encryption を有効にする

次の方法で共有

ユーザー割り当てマネージド ID とカスタマー マネージド TDE で構成された Azure SQL Database 論理サーバーを作成する

前提条件

カスタマー マネージド キー (CMK) を使用して TDE で構成されたサーバーを作成する

次のステップ

フィードバック

その他のリソース

ユーザー割り当てマネージド ID とカスタマーマネージド TDE で構成された Azure SQL Database 論理サーバーを作成する

カスタマーマネージドキー (CMK) を使用して TDE で構成されたサーバーを作成する