【正しい順序】

1. ステップ 1: Key Vault に Soft Delete + Purge Protection 有効化
2. ステップ 2: Key Vault に Asymmetric キー作成
3. ステップ 3: SQL Server に Managed Identity 割当 + Key Vault Access Policy 設定
4. ステップ 4: az sql server tde-key で TDE Protector を Key Vault Key に設定

【各ステップの理由】

• ステップ 1 Key Vault に Soft Delete + Purge Protection 有効化: Key Vault の誤削除 / Purge を防ぎ TDE キー消失でデータ消失リスクを排除する必須前提です。
• ステップ 2 Key Vault に Asymmetric キー作成: RSA 2048 / 3072 / 4096 等の Asymmetric キーを作成し TDE Protector として使用するキーを準備します。
• ステップ 3 SQL Server に Managed Identity 割当 + Key Vault Access Policy 設定: SQL Server の System / User Managed Identity を有効化し Key Vault Access Policy で Get / Wrap Key / Unwrap Key 権限を付与します。
• ステップ 4 az sql server tde-key で TDE Protector を Key Vault Key に設定: az sql server tde-key set で TDE Protector を Key Vault Key URL に切替えます。

【誤った順序の問題点】

• Key Vault キー作成 → Soft Delete: Soft Delete なしで キー作成すると 誤削除リスクが残り推奨設計に反します。
• TDE Protector 設定 → Managed Identity: Managed Identity が Key Vault にアクセスできないと TDE Protector 設定が失敗します。

【参考】

TDE BYOK setup