Compartir a través de


Configuración de la replicación geográfica y la restauración de copias de seguridad para el cifrado de datos transparente con claves administradas por el cliente en el nivel de base de datos

Se aplica a: Azure SQL Database

Nota:

TDE CMK de nivel de base de datos está disponible para Azure SQL Database (todas las ediciones de SQL Database). No está disponible para Azure SQL Managed Instance, instancias locales de SQL Server, VM de Azure y Azure Synapse Analytics (grupos de SQL dedicados [anteriormente SQL DW]).

En esta guía, se describen los pasos para configurar la replicación geográfica y la restauración de copias de seguridad en una instancia de Azure SQL Database. Azure SQL Database se configura con cifrado de datos transparente (TDE) y claves administradas por el cliente (CMK) en el nivel de base de datos, para lo cual se utiliza una identidad administrada asignada por el usuario para acceder a Azure Key Vault. Tanto Azure Key Vault como el servidor lógico para Azure SQL se encuentran en el mismo inquilino de Microsoft Entra de esta guía, pero pueden estar en otros inquilinos.

Nota:

Microsoft Entra ID era conocido anteriormente como Azure Active Directory (Azure AD).

Requisitos previos

Nota

La misma guía se puede aplicar para configurar claves administradas por el cliente en el nivel de base de datos en un inquilino diferente mediante la inclusión del parámetro de id. de cliente federado. Para más información, consulte Administración de identidades y claves para TDE con claves administradas por el cliente en el nivel de base de datos.

Importante

Una vez creada o restaurada la base de datos, el menú Cifrado de datos transparente de Azure Portal mostrará la nueva base de datos con la misma configuración que la base de datos de origen, pero puede que falten claves. En todos los casos en los que se crea una nueva base de datos a partir de una base de datos de origen, el número de claves mostradas para una base de datos de destino en la lista de Azure Portal Claves de base de datos adicionales podría ser inferior que el número de claves que se muestran para una base de datos de origen. Esto se debe a que el número de claves mostradas depende de los requisitos de características individuales que se usan para crear una base de datos de destino. Para enumerar todas las claves disponibles para una base de datos recién creada, use las API disponibles en Visualización de la configuración de clave administrada por el cliente de nivel de base de datos en una instancia de Azure SQL Database.

Creación de una instancia de Azure SQL Database con claves administradas por el cliente en el nivel de base de datos como una secundaria o una copia

Use los siguientes comandos o instrucciones para crear una réplica secundaria o un destino de copia de una instancia de Azure SQL Database configurada con claves administradas por el cliente en el nivel de base de datos. Una identidad administrada asignada por el usuario es necesaria para configurar una clave administrada por el cliente para el cifrado de datos transparente durante la fase de creación de la base de datos.

Crear una copia de base de datos que tenga claves administradas por el cliente de nivel de base de datos

Para crear una base de datos en Azure SQL Database como copia con claves administradas por el cliente de nivel de base de datos, siga estos pasos:

  1. Vaya a Azure Portal y vaya a Azure SQL Database configurado con claves administradas por el cliente de nivel de base de datos. Acceda a la pestaña Cifrado de datos transparente del menú Cifrado de datos y compruebe la lista de claves actuales que usa la base de datos.

    Captura de pantalla del menú de cifrado de datos transparente de Azure Portal para una base de datos.

  2. Cree una copia de la base de datos seleccionando Copiar en el menú Información general de la base de datos.

    Captura de pantalla del menú de copia de base de datos de Azure Portal.

  3. Aparece el menú Crear SQL Database: Copiar base de datos. Use un servidor diferente para esta base de datos, pero la misma configuración que la base de datos que está intentando copiar. En la sección Administración de claves de cifrado de datos transparente, seleccione Configuración del cifrado de datos transparente.

    Captura de pantalla del menú de copia de base de datos de Azure Portal con la sección de administración de claves de cifrado de datos transparente expandida.

  4. Cuando aparezca el menú Cifrado de datos transparente, revise la configuración de la clave administrada por el cliente para esta base de datos de copia. La configuración y las claves deben rellenarse con la misma identidad y claves que se usan en la base de datos de origen.

  5. Seleccione Aplicar para continuar y, a continuación, seleccione Revisar y crear y Crear para crear la base de datos de copia.

Crear una réplica secundaria que tenga claves administradas por el cliente de nivel de base de datos

  1. Vaya a Azure Portal y vaya a Azure SQL Database configurado con claves administradas por el cliente de nivel de base de datos. Acceda al menú Cifrado de datos transparente y compruebe la lista de claves actuales que usa la base de datos.

    Captura de pantalla del menú de cifrado de datos transparente de Azure Portal para una base de datos.

  2. En Configuración de administración de datos de la base de datos, seleccione Réplicas. Seleccione Crear réplica para crear una réplica secundaria de la base de datos.

    Captura de pantalla del menú de réplica de base de datos de Azure Portal.

  3. Aparece el menú Crear SQL Database: replicación geográfica. Use un servidor secundario para esta base de datos, pero la misma configuración que la base de datos que intenta replicar. En la sección Administración de claves de cifrado de datos transparente, seleccione Configuración del cifrado de datos transparente.

    Captura de pantalla del menú de réplica de base de datos de Azure Portal con la sección de administración de claves de cifrado de datos transparente expandida.

  4. Cuando aparezca el menú Cifrado de datos transparente, revise la configuración de la clave administrada por el cliente para esta réplica de base de datos. La configuración y las claves deben rellenarse con la misma identidad y claves que se usan en la base de datos principal.

  5. Seleccione Aplicar para continuar y, a continuación, seleccione Revisar y crear y Crear para crear la base de datos de copia.

Restauración de una base de datos Azure SQL con claves administradas por el cliente en el nivel de base de datos

En esta sección se describen los pasos para restaurar una instancia de Azure SQL Database configurada con claves administradas por el cliente en el nivel de base de datos. Una identidad administrada asignada por el usuario es necesaria para configurar una clave administrada por el cliente para el cifrado de datos transparente durante la fase de creación de la base de datos.

Restauración a un momento dado

En la sección siguiente se describe cómo restaurar una base de datos configurada con claves administradas por el cliente en el nivel de base de datos a un momento dado. Para obtener más información sobre la recuperación de copia de seguridad de SQL Database, consulte Recuperación de una base de datos de SQL Database.

  1. Vaya a Azure Portal y vaya a Azure SQL Database configurado con claves administradas por el cliente de nivel de base de datos que desea restaurar.

  2. Para restaurar la base de datos a un momento dado, seleccione Restaurar en el menú Información general de la base de datos.

    Captura de pantalla del menú de copia de base de datos de Azure Portal.

  3. Aparece el menú Crear SQL Database: Restaurar base de datos. Rellene los detalles de origen y base de datos necesarios. En la sección Administración de claves de cifrado de datos transparente, seleccione Configuración del cifrado de datos transparente.

    Captura de pantalla del menú de restauración de base de datos de Azure Portal con la sección de administración de claves de cifrado de datos transparente expandida.

  4. Cuando aparezca el menú Cifrado de datos transparente, revise la configuración de la clave administrada por el cliente para esta base de datos. La configuración y las claves deben rellenarse con la misma identidad y claves que se usan en la base de datos que está intentando restaurar.

  5. Seleccione Aplicar para continuar y, a continuación, seleccione Revisar y crear y Crear para crear la base de datos de copia.

Restauración de bases de datos eliminadas

En la sección siguiente se describe cómo restaurar una base de datos eliminada que se configuró con claves administradas por el cliente en el nivel de base de datos. Para obtener más información sobre la recuperación de copia de seguridad de SQL Database, consulte Recuperación de una base de datos de SQL Database.

  1. Vaya a Azure Portal y vaya al servidor lógico de la base de datos eliminada que desea restaurar. En Administración de datos, seleccione Bases de datos eliminadas.

    Captura de pantalla del menú de bases de datos eliminadas de Azure Portal.

  2. Seleccione la base de datos eliminada que desea restaurar.

  3. Aparece el menú Crear SQL Database: Restaurar base de datos. Rellene los detalles de origen y base de datos necesarios. En la sección Administración de claves de cifrado de datos transparente, seleccione Configuración del cifrado de datos transparente.

    Captura de pantalla del menú de restauración de base de datos de Azure Portal con la sección de administración de claves de cifrado de datos transparente expandida.

  4. Cuando aparezca el menú Cifrado de datos transparente, configure la sección Identidad administrada asignada por el usuario, Clave administrada por el cliente y Claves de base de datos adicionales para la base de datos.

  5. Seleccione Aplicar para continuar y, a continuación, seleccione Revisar y crear y Crear para crear la base de datos de copia.

Restauración geográfica

En la sección siguiente se describe cómo restaurar una copia de seguridad replicada geográficamente configurada con claves administradas por el cliente en el nivel de base de datos. Para obtener más información sobre la recuperación de copia de seguridad de SQL Database, consulte Recuperación de una base de datos de SQL Database.

  1. Vaya a Azure Portal y vaya al servidor lógico donde desea restaurar la base de datos.

  2. En el menú Información general, seleccione Crear base de datos.

  3. Aparecerá el menú Crear base de datos SQL. Rellene las pestañas Básico y Redes de la nueva base de datos. En Configuración adicional, seleccione Copia de seguridad para la sección Usar datos existentes y seleccione una copia de seguridad con replicación geográfica.

    Captura de pantalla del menú de creación de bases de datos de Azure Portal seleccionando una copia de seguridad para la base de datos.

  4. Vaya a la pestaña Seguridad. En la sección Administración de claves de cifrado de datos transparente, seleccione Configuración del cifrado de datos transparente.

  5. Cuando aparezca el menú Cifrado de datos transparente, seleccione Clave administrada por el cliente (CMK) de nivel de base de datos. La identidad administrada asignada por el usuario, la clave administrada por el cliente y las claves de base de datos adicionales deben coincidir con la base de datos de origen que desea restaurar. Asegúrese de que la identidad administrada asignada por el usuario tiene acceso al almacén de claves que contiene la clave administrada por el cliente que se usó en la copia de seguridad.

  6. Seleccione Aplicar para continuar y, a continuación, seleccione Revisar y crear y Crear para crear la base de datos de copia de seguridad.

Importante

Las copias de seguridad de retención a largo plazo (LTR) no proporcionan la lista de claves usadas por la copia de seguridad. Para restaurar una copia de seguridad LTR, todas las claves usadas por la base de datos de origen se deben pasar al destino de restauración LTR.

Nota

Se puede hacer referencia a la plantilla de ARM resaltada en la sección Creación de una instancia de Azure SQL Database con claves administradas por el cliente en el nivel de base de datos como una secundaria o una copia para restaurar la base de datos con una plantilla de ARM cambiando el parámetro createMode.

Opción de rotación automática de claves para bases de datos copiadas o restauradas

Las bases de datos recién copiadas o restauradas se pueden configurar para rotar automáticamente la clave administrada por el cliente que se usa para el cifrado de datos transparente. Para obtener información sobre cómo habilitar la rotación automática de claves en Azure Portal o mediante API, vea Rotación automática de claves en el nivel de base de datos.

Pasos siguientes

Consulte la siguiente documentación sobre varias operaciones de CMK en el nivel de base de datos: