Tutorial: Importación o exportación de una base de datos con autenticación de identidad administrada para Azure SQL Database (versión preliminar)

Applies to:Azure SQL Database

En este tutorial se muestra cómo importar y exportar Azure SQL Database archivos BACPAC con autenticación de identidad administrada.

La autenticación de identidad administrada elimina la necesidad de proporcionar credenciales de administrador de SQL y claves de cuenta de almacenamiento en solicitudes de importación y exportación.

Nota:

La importación y exportación de archivos BACPAC con autenticación de identidad administrada se encuentra actualmente en versión preliminar.

Visión general

La importación y exportación de Azure SQL Database con la autenticación de la identidad administrada le ayuda a lograr lo siguiente:

Elimine las contraseñas de administrador de SQL y las claves de cuenta de almacenamiento.
Aplique la autenticación exclusivamente de Microsoft Entra.
Reduzca la sobrecarga de administración y rotación de credenciales.

Importante

La importación y exportación son operaciones con privilegios elevados. Conceda permisos solo a principales de confianza.

Architecture

La autenticación de identidad administrada para la importación y exportación usa la siguiente arquitectura:

El servicio de importación y exportación se ejecuta en la infraestructura administrada por Microsoft.
Se usa una identidad administrada asignada por el usuario al servidor lógico para la autenticación.
Azure RBAC controla el acceso a Azure Storage.

Escenarios compatibles

Los siguientes escenarios son compatibles con la autenticación de identidad administrada:

Importar a una nueva base de datos.
Importar a una base de datos vacía existente.
Exportar desde una base de datos existente.

Los escenarios siguientes no son compatibles con la autenticación de identidad administrada:

Operaciones de importación entre clientes.
Identidad administrada asignada solo en el nivel de base de datos.

Prerrequisitos

Una suscripción Azure.
Un servidor logical para Azure SQL Database.
Una cuenta de almacenamiento Azure con un contenedor de blobs.

Creación de una identidad administrada asignada por el usuario

Cree una o varias identidades administradas.

Elija entre los siguientes modelos de autenticación:

Una identidad para el acceso a SQL y Azure Storage.
Identidades independientes para el acceso a SQL y almacenamiento.

Use identidades independientes para simplificar la administración de permisos con privilegios mínimos.

Para crear una identidad administrada, puede usar el portal Azure, el CLI de Azure, Azure PowerShell, una plantilla ARM o la API .

Necesita el ID de recurso de identidad administrada asignada por el usuario para operaciones de exportación o importación y para el acceso a la cuenta de almacenamiento. El id. de recurso tiene el formato siguiente:

/subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identityName>

Para determinar el identificador de recurso de una identidad administrada asignada por el usuario existente en el portal de Azure, siga estos pasos:

Vaya a identidades gestionadas asignadas por el usuario en el portal de Azure.
En Configuración, seleccione Propiedades.
En Essentials, copie el valor de ID que se usará en pasos posteriores.

Concesión de permisos de almacenamiento

Para usar la autenticación de identidad administrada para las operaciones de importación y exportación, la identidad administrada asignada por el usuario que accede a la cuenta de almacenamiento debe tener los permisos de RBAC Azure adecuados para la cuenta de destino.

Conceda permisos para la identidad administrada asignada por el usuario que pretende usar para el acceso a la cuenta de almacenamiento. Puede ser una identidad administrada diferente a la asignada al servidor lógico, o puede ser la misma identidad si desea usar una única identidad para el acceso a SQL y storage.

Nota:

Para agregar asignaciones de roles o agregar coadministradores, el usuario debe ser administrador de la suscripción o ser administrador de acceso de usuario.

Para conceder Azure permisos de RBAC para la cuenta de almacenamiento a la identidad administrada, siga estos pasos:

Seleccione asignaciones de roles de Azure para la identidad administrada asignada a usuario en el portal de Azure.
En el panel asignaciones de roles de Azure, seleccione + Agregar asignación de rol (versión preliminar) para abrir el panel Agregar asignación de rol (versión preliminar).
En la lista desplegable Ámbito , seleccione Almacenamiento.
En Suscripción, asegúrese de que tiene seleccionada la suscripción correcta.
En Recurso, seleccione la cuenta de almacenamiento que quiere usar para la operación de exportación o importación.
En Rol, busque el rol de blob de almacenamiento correspondiente para la operación:
- Para las operaciones de exportación, asigne el rol de colaborador de datos de Storage Blob.
- Para las operaciones de importación, asigne el rol Lector de datos de Storage Blob .
Seleccione Guardar para guardar la asignación de roles.

Asignación de la identidad administrada al servidor lógico

Asigne la identidad administrada asignada por el usuario que creó para el servidor lógico al servidor lógico.

Para asignar la identidad administrada al servidor lógico, siga estos pasos:

Abra su servidor lógico de Azure SQL Database en el portal de Azure.
En Seguridad, seleccione Identidad.
En la sección Identidad administrada asignada por el usuario, use el + Agregar para abrir el panel Seleccionar identidad administrada asignada por el usuario.
Busque la identidad administrada que creó en el paso anterior, selecciónela y, a continuación, seleccione Agregar para asignarla al servidor.
Asigne una identidad administrada asignada por el usuario como identidad principal.
Use el icono Guardar de la barra de navegación para guardar los cambios.

Configuración del administrador de Microsoft Entra

Para configurar el administrador de Microsoft Entra, siga estos pasos:

En el panel logical server for Azure SQL Database, en Settings, seleccione Microsoft Entra admin.
Seleccione Set admin para abrir el panel Microsoft Entra ID.
Busque la identidad administrada asignada por el usuario que creó, selecciónela y, después, use Select para establecerla como administrador de Microsoft Entra.
(Opcional) Use la casilla para habilitar el soporte solo para la autenticación de Microsoft Entra para este servidor para aplicar solo la autenticación de Microsoft Entra para el servidor lógico. Esta configuración bloquea toda la autenticación de SQL, por lo que solo las identidades administradas y otras entidades de seguridad de Microsoft Entra pueden acceder al servidor.
Use el icono Guardar de la barra de navegación para guardar los cambios.

Nota:

Si necesita conceder acceso de administrador de varios recursos al servidor lógico, considere la posibilidad de realizar un grupo de Microsoft Entra, asignar ese grupo como administrador y, a continuación, asignar la identidad administrada asignada por el usuario como miembro de ese grupo.

Exportación de una base de datos

Puede exportar una base de datos con autenticación de identidad administrada mediante el portal de Azure, el CLI de Azure, Azure PowerShell o la API REST.

Para exportar una base de datos con autenticación de identidad administrada desde el portal de Azure, siga estos pasos:

Vaya a su Azure SQL Database en el portal de Azure.
En el panel Información general , seleccione Exportar para abrir el panel Exportar base de datos .
Para acceder a la cuenta de almacenamiento con una identidad administrada, active la casilla Usar identidad administrada para la autenticación de almacenamiento y proporcione el identificador de recurso para la identidad administrada a la que se concedió acceso a la cuenta de almacenamiento.
En Tipo de autenticación, seleccione Identidad administrada.
El campo Identificador de recurso de identidad administrada de SQL debe rellenarse automáticamente con el identificador de recurso de la identidad administrada asignada por el usuario al servidor lógico. Si no es así, proporcione el identificador de recurso para la identidad administrada asignada por el usuario que guardó al crear la identidad administrada.

Para exportar una base de datos con autenticación de identidad administrada, use el cmdlet New-AzSqlDatabaseExport con el parámetro .

En el ejemplo siguiente se muestra cómo exportar una base de datos con autenticación de identidad administrada mientras se usa una identidad administrada independiente para el acceso al almacenamiento:

$serverName = "<server name>" 
$databaseName = "<database name>" 
$resourceGroupName = "<resource group name>"
$storageUri = "https://<storageaccount>.blob.core.windows.net/<container name>/<filename>.bacpac" 
$managedIdentitySqlResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>" 
$managedIdentityStorageResourceId = “/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>”

New-AzSqlDatabaseExport -DatabaseName $databaseName -ServerName $serverName -ResourceGroupName $resourceGroupName -StorageKeyType "ManagedIdentity" -StorageKey $managedIdentityStorageResourceId -StorageUri $storageUri -AdministratorLogin $managedIdentitySqlResourceId -AuthenticationType "ManagedIdentity"

En el ejemplo siguiente se muestra cómo exportar una base de datos con autenticación de identidad administrada mientras se usa la misma identidad administrada para el acceso de SQL y de almacenamiento:

$serverName = "<server name>" 
$databaseName = "<database name>" 
$resourceGroupName = "<resource group name>"
$storageUri = "https://<storageaccount>.blob.core.windows.net/<container name>/<filename>.bacpac" 
$managedIdentitySqlResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>"
 
New-AzSqlDatabaseExport -DatabaseName $databaseName -ServerName $serverName -ResourceGroupName $resourceGroupName -StorageKeyType "ManagedIdentity" -StorageKey $managedIdentitySqlResourceId -StorageUri $storageUri -AdministratorLogin $managedIdentitySqlResourceId -AuthenticationType "ManagedIdentity"

Para exportar una base de datos con autenticación de identidad administrada, use el comando az sql db export con el parámetro .

$serverName = "<server name>" 
$databaseName = "<database name>" 
$resourceGroupName = "<resource group name>"
$storageUri = "https://<storageaccount>.blob.core.windows.net/<container name>/<filename>.bacpac" 
$managedIdentitySqlResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>" 
$managedIdentityStorageResourceId = “/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>”
 

az sql db export -s $serverName -n $databaseName -g $resourceGroupName --auth-type ManagedIdentity -u $managedIdentitySqlResourceId --storage-key-type ManagedIdentity --storage-key $managedIdentityStorageResourceId --storage-uri $storageUri

$serverName = "<server name>" 
$databaseName = "<database name>" 
$resourceGroupName = "<resource group name>"
$storageUri = "https://<storageaccount>.blob.core.windows.net/<container name>/<filename>.bacpac" 
$managedIdentitySqlResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>" 
 

az sql db export -s $serverName -n $databaseName -g $resourceGroupName --auth-type ManagedIdentity -u $managedIdentitySqlResourceId --storage-key-type ManagedIdentity --storage-key $managedIdentitySqlResourceId --storage-uri $storageUri

Para exportar una base de datos con autenticación de identidad administrada, use la API REST Databases - Export.

POST https://management.azure.com/subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.Sql/servers/<serverName>/databases/<databaseName>/export?api-version=2023-08-01

{
	"authenticationType": "ManagedIdentity",
	"administratorLogin": "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<sqlIdentityName>",
	"storageKeyType": "ManagedIdentity",
	"storageKey": "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<storageIdentityName>",
	"storageUri": "https://<storageAccount>.blob.core.windows.net/<container>/<fileName>.bacpac"
}

Importar una base de datos

Puede importar una base de datos con autenticación de identidad administrada mediante el portal de Azure, el CLI de Azure, Azure PowerShell o la API REST.

Puede importar una base de datos como una base de datos nueva o a una base de datos vacía existente.

Para importar una base de datos con autenticación de identidad administrada desde el portal de Azure, siga estos pasos:

Vaya al servidor lógico para Azure SQL Database en el portal de Azure.
En el panel Información general , seleccione Importar para abrir el panel Importar base de datos .
Para acceder a la cuenta de almacenamiento con una identidad administrada, active la casilla Usar identidad administrada para la autenticación de almacenamiento y proporcione el identificador de recurso para la identidad administrada a la que se concedió acceso a la cuenta de almacenamiento.
En Nombre de la base de datos, proporcione el nombre de la base de datos de destino.
En Tipo de autenticación, seleccione Identidad administrada.
El campo Identificador de recurso de identidad administrada de SQL debe rellenarse automáticamente con el identificador de recurso de la identidad administrada asignada por el usuario al servidor lógico. Si no es así, proporcione el identificador de recurso para la identidad administrada asignada por el usuario que guardó al crear la identidad administrada.

Para importar una base de datos con autenticación de identidad administrada, use el cmdlet New-AzSqlDatabaseImport con el parámetro .

En el ejemplo siguiente se muestra cómo importar una base de datos con autenticación de identidad administrada mientras se usa una identidad administrada independiente para el acceso al almacenamiento:

$serverName = "<server name>" 
$databaseName = "<database name>" 
$resourceGroupName = "<resource group name>"
$storageUri = "https://<storageaccount>.blob.core.windows.net/<container name>/<filename>.bacpac" 
$managedIdentitySqlResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>" 
$managedIdentityStorageResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>"

New-AzSqlDatabaseImport -DatabaseName $databaseName -ServerName $serverName -ResourceGroupName $resourceGroupName -StorageKeyType "ManagedIdentity" -StorageKey $managedIdentityStorageResourceId -StorageUri $storageUri -AdministratorLogin $managedIdentitySqlResourceId -AuthenticationType "ManagedIdentity"

En el ejemplo siguiente se muestra cómo importar una base de datos con autenticación de identidad administrada mientras se usa la misma identidad administrada para el acceso de SQL y de almacenamiento:

$serverName = "<server name>" 
$databaseName = "<database name>" 
$resourceGroupName = "<resource group name>"
$storageUri = "https://<storageaccount>.blob.core.windows.net/<container name>/<filename>.bacpac" 
$managedIdentitySqlResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>"
 
New-AzSqlDatabaseImport -DatabaseName $databaseName -ServerName $serverName -ResourceGroupName $resourceGroupName -StorageKeyType "ManagedIdentity" -StorageKey $managedIdentitySqlResourceId -StorageUri $storageUri -AdministratorLogin $managedIdentitySqlResourceId -AuthenticationType "ManagedIdentity"

Para importar una base de datos con autenticación de identidad administrada, use el comando az sql db import con el parámetro .

$serverName = "<server name>" 
$databaseName = "<database name>" 
$resourceGroupName = "<resource group name>"
$storageUri = "https://<storageaccount>.blob.core.windows.net/<container name>/<filename>.bacpac" 
$managedIdentitySqlResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>" 
$managedIdentityStorageResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>”
 

az sql db import -s $serverName -n $databaseName -g $resourceGroupName --auth-type ManagedIdentity -u $managedIdentitySqlResourceId --storage-key-type ManagedIdentity --storage-key $managedIdentityStorageResourceId --storage-uri $storageUri

$serverName = "<server name>" 
$databaseName = "<database name>" 
$resourceGroupName = "<resource group name>"
$storageUri = "https://<storageaccount>.blob.core.windows.net/<container name>/<filename>.bacpac" 
$managedIdentitySqlResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>" 
 

az sql db import -s $serverName -n $databaseName -g $resourceGroupName --auth-type ManagedIdentity -u $managedIdentitySqlResourceId --storage-key-type ManagedIdentity --storage-key $managedIdentitySqlResourceId --storage-uri $storageUri

Para importar una base de datos con autenticación de identidad administrada, use la API REST Databases - Import.

POST https://management.azure.com/subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.Sql/servers/<serverName>/databases/<databaseName>/import?api-version=2023-08-01

{
	"authenticationType": "ManagedIdentity",
	"administratorLogin": "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<sqlIdentityName>",
	"storageKeyType": "ManagedIdentity",
	"storageKey": "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<storageIdentityName>",
	"storageUri": "https://<storageAccount>.blob.core.windows.net/<container>/<fileName>.bacpac",
	"databaseName": "<targetDatabaseName>",
	"edition": "GeneralPurpose",
	"serviceObjectiveName": "GP_Gen5_2"
}

Solucionar problemas comunes

Los siguientes problemas comunes pueden producirse al usar la autenticación de identidad administrada para importar y exportar. Pruebe los pasos de solución de problemas para cada problema:

Desajuste de inquilinos: Compruebe que el servidor lógico, la identidad administrada asignada por el usuario y la cuenta de almacenamiento estén en el mismo directorio de Microsoft Entra.
Identidad administrada no configurada como administrador de Microsoft Entra: Establezca la identidad administrada asignada a usuario como administrador de Microsoft Entra a nivel de servidor en el servidor lógico.
Errores de autorización de almacenamiento: confirme que el Storage Blob Data Reader (importación) o el Storage Blob Data Contributor (exportación) se hayan otorgado en el ámbito de almacenamiento correcto.
Errores de autorización de operación: Confirme que el usuario tiene permiso de Azure RBAC para enviar operaciones de importación o exportación en el ámbito SQL objetivo.
Autorización con clave compartida está deshabilitada: Al seleccionar una cuenta de almacenamiento en el portal de Azure durante las operaciones de importación o exportación, el portal usa las credenciales del usuario iniciado y se basa en una clave compartida. Cuando la autorización de clave compartida está deshabilitada para la cuenta de almacenamiento, la importación y exportación desde el portal de Azure no está disponible. Use el CLI de Azure, PowerShell o la API REST para las operaciones de importación y exportación cuando se deshabilite el acceso a claves compartidas.
Cuenta de almacenamiento no disponible en la lista desplegable de selección de cuentas: al usar el portal de Azure para las operaciones de importación o exportación, solo se muestran las cuentas de almacenamiento a las que tiene acceso el usuario que ha iniciado sesión en la lista desplegable de selección de la cuenta de almacenamiento. Si no ve la cuenta de almacenamiento en la lista desplegable, asegúrese de que el usuario que ha iniciado sesión tenga al menos acceso de rol lector a la cuenta de almacenamiento.

Permissions

El usuario que envía la solicitud de importación o exportación debe tener los permisos necesarios Azure RBAC para ejecutar las operaciones de importación o exportación en el ámbito de destino (base de datos, servidor, grupo de recursos o suscripción).

Los siguientes roles integrados comunes tienen los permisos necesarios:

Colaborador de Base de datos de SQL
Colaborador
Propietario

También puede usar un rol personalizado que incluya los siguientes permisos necesarios para las acciones de importación y exportación:

Microsoft.Sql/servers/databases/export/action (POST)
Microsoft.Sql/servers/databases/import/action (POST)
Microsoft.Sql/servers/import/action (POST)
Microsoft.Sql/servers/databases/extensions/write (PUT)

Limitaciones

Tenga en cuenta las siguientes limitaciones al usar la autenticación de identidad administrada para las operaciones de importación y exportación:

No se admiten operaciones entre inquilinos.
Las identidades administradas de nivel de base de datos no se admiten para las operaciones de importación y exportación.
Durante la versión preliminar, algunas experiencias del portal de Azure pueden estar limitadas.
No se admiten identidades administradas asignadas por el sistema.
La importación y exportación desde una cuenta de almacenamiento que ha deshabilitado el acceso a claves compartidas no se admite al usar el portal de Azure. Para importar o exportar desde una cuenta de almacenamiento con acceso de clave compartida deshabilitada, use la API de REST, PowerShell o CLI de Azure.

Importar un archivo BACPAC a una base de datos en Azure SQL Database
Exportación a un archivo BACPAC
Importación o exportación mediante un vínculo privado

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2026-03-06

Compartir a través de

Tutorial: Importación o exportación de una base de datos con autenticación de identidad administrada para Azure SQL Database (versión preliminar)

Visión general

Architecture

Escenarios compatibles

Prerrequisitos

Creación de una identidad administrada asignada por el usuario

Concesión de permisos de almacenamiento

Asignación de la identidad administrada al servidor lógico

Configuración del administrador de Microsoft Entra

Exportación de una base de datos

Importar una base de datos

Solucionar problemas comunes

Permissions

Limitaciones

Contenido relacionado

Comentarios

Recursos adicionales