Configuración de la replicación geográfica y la restauración de copias de seguridad para el cifrado de datos transparente con claves administradas por el cliente en el nivel de base de datos

Se aplica a:Azure SQL Database

Nota:

TDE CMK de nivel de base de datos está disponible para Azure SQL Database (todas las ediciones de SQL Database). No está disponible para Azure SQL Managed Instance, instancias locales de SQL Server, VM de Azure y Azure Synapse Analytics (grupos de SQL dedicados [anteriormente SQL DW]).

En esta guía, se describen los pasos para configurar la replicación geográfica y la restauración de copias de seguridad en una instancia de Azure SQL Database. Azure SQL Database se configura con cifrado de datos transparente (TDE) y claves administradas por el cliente (CMK) en el nivel de base de datos, para lo cual se utiliza una identidad administrada asignada por el usuario para acceder a Azure Key Vault. Tanto Azure Key Vault como el servidor lógico para Azure SQL se encuentran en el mismo inquilino de Microsoft Entra de esta guía, pero pueden estar en otros inquilinos.

Nota:

Microsoft Entra ID era conocido anteriormente como Azure Active Directory (Azure AD).

Requisitos previos

• Tener una instancia de Azure SQL Database configurada con claves administradas por el cliente en el nivel de base de datos, que es la base de datos de origen para estas operaciones. Para más información, consulte Cifrado de datos transparente (TDE) con claves administradas por el cliente en el nivel de base de datos.

Nota

La misma guía se puede aplicar para configurar claves administradas por el cliente en el nivel de base de datos en un inquilino diferente mediante la inclusión del parámetro de id. de cliente federado. Para más información, consulte Administración de identidades y claves para TDE con claves administradas por el cliente en el nivel de base de datos.

Importante

Una vez creada o restaurada la base de datos, el menú Cifrado de datos transparente de Azure Portal mostrará la nueva base de datos con la misma configuración que la base de datos de origen, pero puede que falten claves. En todos los casos en los que se crea una nueva base de datos a partir de una base de datos de origen, el número de claves mostradas para una base de datos de destino en la lista de Azure Portal Claves de base de datos adicionales podría ser inferior que el número de claves que se muestran para una base de datos de origen. Esto se debe a que el número de claves mostradas depende de los requisitos de características individuales que se usan para crear una base de datos de destino. Para enumerar todas las claves disponibles para una base de datos recién creada, use las API disponibles en Visualización de la configuración de clave administrada por el cliente de nivel de base de datos en una instancia de Azure SQL Database.

Creación de una instancia de Azure SQL Database con claves administradas por el cliente en el nivel de base de datos como una secundaria o una copia

Use los siguientes comandos o instrucciones para crear una réplica secundaria o un destino de copia de una instancia de Azure SQL Database configurada con claves administradas por el cliente en el nivel de base de datos. Una identidad administrada asignada por el usuario es necesaria para configurar una clave administrada por el cliente para el cifrado de datos transparente durante la fase de creación de la base de datos.

Portal

Crear una copia de base de datos que tenga claves administradas por el cliente de nivel de base de datos

Para crear una base de datos en Azure SQL Database como copia con claves administradas por el cliente de nivel de base de datos, siga estos pasos:

1. Vaya a Azure Portal y vaya a Azure SQL Database configurado con claves administradas por el cliente de nivel de base de datos. Acceda a la pestaña Cifrado de datos transparente del menú Cifrado de datos y compruebe la lista de claves actuales que usa la base de datos.

   

2. Cree una copia de la base de datos seleccionando Copiar en el menú Información general de la base de datos.

   

3. Aparece el menú Crear base de datos SQL Database - Copiar base de datos. Use un servidor diferente para esta base de datos, pero la misma configuración que la base de datos que está intentando copiar. En la sección Administración de Clave de Cifrado de datos transparente, seleccione Configuración del cifrado de datos transparente.

   

4. Cuando aparezca el menú Cifrado de datos transparente, revise la configuración de CMK de esta copia de la base de datos. La configuración y las claves deben rellenarse con la misma identidad y claves que se usan en la base de datos de origen.

5. Seleccione Aplicar para continuar y, a continuación, seleccione Revisar y crear y Crear para crear la base de datos de copia.

Crear una réplica secundaria que tenga claves administradas por el cliente de nivel de base de datos

1. Vaya a Azure Portal y vaya a Azure SQL Database configurado con claves administradas por el cliente de nivel de base de datos. Acceda al menú Cifrado de datos transparente y compruebe la lista de claves actuales que usa la base de datos.

   

2. En la configuración Administración de datos para la base de datos, seleccione Réplicas. Seleccione Crear réplica para crear una réplica secundaria de la base de datos.

   

3. Aparece el menú Crear SQL Database - Replica de geoárea. Use un servidor secundario para esta base de datos, pero la misma configuración que la base de datos que intenta replicar. En la sección Administración de Clave de Cifrado de datos transparente, seleccione Configuración del cifrado de datos transparente.

   

4. Cuando aparezca el menú Cifrado de datos transparente, revise la configuración de CMK de esta réplica de base de datos. La configuración y las claves deben rellenarse con la misma identidad y claves que se usan en la base de datos principal.

5. Seleccione Aplicar para continuar y, a continuación, seleccione Revisar y crear y Crear para crear la base de datos de copia.

CLI de Azure

Para obtener información sobre cómo instalar la versión actual de la CLI de Azure, vea Instalación de la CLI de Azure.

• Rellene previamente la lista de claves actuales que la base de datos principal usa mediante el parámetro expand-keys. Para ello, use current para keys-filter.

  az sql db show --name $databaseName --resource-group $resourceGroup --server $serverName --expand-keys --keys-filter current
  

• Seleccione la identidad administrada asignada por el usuario (y el id. de cliente federado si configura el acceso entre inquilinos).

• Cree una nueva base de datos como secundaria y proporcione la lista rellenada previamente de claves obtenidas de la base de datos de origen y la identidad anterior (y el id. de cliente federado si se configura el acceso entre inquilinos).

  # Create a secondary replica with Active Geo Replication with the same name as the primary database
  
  az sql db replica create -g $resourceGroup -s $serverName -n $databaseName --partner-server $secondaryServer --partner-database $secondaryDatabase --partner-resource-group $secondaryResourceGroup -i --encryption-protector $encryptionProtector --user-assigned-identity-id $umi --keys $keys
  

  Importante

  $keys es una lista de claves separadas por espacios recuperadas de la base de datos de origen.

• Para crear una copia de la base de datos, se puede usar az sql db copy con los mismos parámetros.

  # Create a copy of a database configured with database level customer-managed keys
  az sql db copy -g $resourceGroup -s $serverName -n $databaseName --dest-name $secondaryDatabase -i --encryption-protector $encryptionProtector --user-assigned-identity-id $umi --keys $keys
  

PowerShell

Para obtener instrucciones sobre la instalación del módulo Azure PowerShell, consulte Instalación de Azure PowerShell. Para los cmdlets concretos, consulte AzureRM.Sql.

• Rellene previamente la lista de claves actuales que la base de datos principal usa mediante el comando Get-AzSqlDatabase y los parámetros -ExpandKeyList y -KeysFilter "current". Excluya -KeysFilter si desea recuperar todas las claves.

  $database = Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter "current"
  

• Seleccione la identidad administrada asignada por el usuario (y el id. de cliente federado si configura el acceso entre inquilinos).

• Cree una base de datos como secundaria mediante el comando New-AzSqlDatabaseSecondary y proporcione la lista de claves rellenada previamente obtenidas de la base de datos de origen y la identidad anterior (y el id. de cliente federado si configura el acceso entre inquilinos) en la llamada API mediante los parámetros -KeyList, -AssignIdentity, -UserAssignedIdentityId, -EncryptionProtector (y si es necesario -FederatedClientId).

  # Create a secondary replica with Active Geo Replication with the same name as the primary database
  $database = Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter "current"
  
  $database | New-AzSqlDatabaseSecondary -PartnerResourceGroupName <SecondaryResourceGroupName> -PartnerServerName <SecondaryServerName> -AllowConnections "All" -AssignIdentity -UserAssignedIdentityId <UserAssignedIdentityId> -EncryptionProtector <CustomerManagedKeyId> -FederatedClientId <FederatedClientId>
  -KeyList $database.Keys.Keys
  

• Para crear una copia de la base de datos, se puede usar New-AzSqlDatabaseCopy con los mismos parámetros.

# Create a copy of a database configured with database level customer-managed keys
$database = Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter "current"

New-AzSqlDatabaseCopy -CopyDatabaseName <CopyDatabaseName> -CopyResourceGroupName <CopyResourceGroupName> -CopyServerName <CopyServerName> -DatabaseName <DatabaseName> -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -AssignIdentity -UserAssignedIdentityId <UserAssignedIdentityId> -EncryptionProtector <CustomerManagedKeyId> -FederatedClientId <FederatedClientId>
-KeyList $database.Keys.Keys

Plantilla de ARM

Este es un ejemplo de una plantilla de ARM que crea una réplica secundaria y una copia de una instancia de Azure SQL Database configurada con una identidad administrada asignada por el usuario y un TDE administrado por el cliente en el nivel de base de datos.

Para más información y las plantillas de ARM, consulte Plantillas de Azure Resource Manager para Azure SQL Database y SQL Managed Instance.

Use una implementación personalizada en Azure Portal y cree su propia plantilla en el editor. A continuación, guarde la configuración una vez pegada en el ejemplo.

• Rellene previamente la lista de claves actuales que la base de datos principal usa mediante la siguiente solicitud de API REST:

  GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}?api-version=2022-08-01-preview&$expand=keys($filter=pointInTime('current'))
  

• Seleccione la identidad administrada asignada por el usuario (y el id. de cliente federado si configura el acceso entre inquilinos).

• Cree una nueva base de datos como secundaria y proporcione la lista rellenada previamente de claves obtenidas de la base de datos de origen y la identidad anterior (y el id. de cliente federado si se configura el acceso entre inquilinos) en la plantilla de ARM como el parámetro keys_to_add.

  {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
      "server_name": {
        "type": "String"
      },
      "database_name": {
        "type": "String"
      },
      "user_assigned_identity": {
        "type": "String"
      },
      "encryption_protector": {
        "type": "String"
      },
      "location": {
        "type": "String"
      },
      "source_database_id": {
        "type": "String"
      },
      "keys_to_add": {
        "type": "Object"
      }
    },
    "variables": {},
    "resources": [
      {
        "type": "Microsoft.Sql/servers/databases",
        "apiVersion": "2022-08-01-preview",
        "name": "[concat(parameters('server_name'), concat('/',parameters('database_name')))]",
        "location": "[parameters('location')]",
        "sku": {
          "name": "Basic",
          "tier": "Basic",
          "capacity": 5
        },
        "identity": {
          "type": "UserAssigned",
          "userAssignedIdentities": {
            "[parameters('user_assigned_identity')]": {}
          }
        },
        "properties": {
          "collation": "SQL_Latin1_General_CP1_CI_AS",
          "maxSizeBytes": 104857600,
          "catalogCollation": "SQL_Latin1_General_CP1_CI_AS",
          "zoneRedundant": false,
          "readScale": "Disabled",
          "requestedBackupStorageRedundancy": "Geo",
          "maintenanceConfigurationId": "/subscriptions/e1775f9f-xxxx-xxxx-xxxx-xxxxxxxxxxxx/providers/Microsoft.Maintenance/publicMaintenanceConfigurations/SQL_Default",
          "isLedgerOn": false,
          "encryptionProtector": "[parameters('encryption_protector')]",
          "keys": "[parameters('keys_to_add')]",
          "createMode": "Secondary",
          "sourceDatabaseId": "[parameters('source_database_id')]"
        }
      }
    ]
  }
  

  Ejemplo de los parámetros encryption_protector y keys_to_add:

      "keys_to_add": {
        "value": {
          "https://yourvault.vault.azure.net/keys/yourkey1/fd021f84a0d94d43b8ef33154bca0000": {},
          "https://yourvault.vault.azure.net/keys/yourkey2/fd021f84a0d94d43b8ef33154bca0000": {}
        }
      },
      "encryption_protector": {
        "value": "https://yourvault.vault.azure.net/keys/yourkey2/fd021f84a0d94d43b8ef33154bca0000"
      }
  

• Para crear una copia de la base de datos, se puede usar la plantilla siguiente con los mismos parámetros.

  {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
      "server_name": {
        "type": "String"
      },
      "database_name": {
        "type": "String"
      },
      "user_assigned_identity": {
        "type": "String"
      },
      "encryption_protector": {
        "type": "String"
      },
      "location": {
        "type": "String"
      },
      "source_database_id": {
        "type": "String"
      },
      "keys_to_add": {
        "type": "Object"
      }
    },
    "variables": {},
    "resources": [
      {
        "type": "Microsoft.Sql/servers/databases",
        "apiVersion": "2022-08-01-preview",
        "name": "[concat(parameters('server_name'), concat('/',parameters('database_name')))]",
        "location": "[parameters('location')]",
        "sku": {
          "name": "Basic",
          "tier": "Basic",
          "capacity": 5
        },
        "identity": {
          "type": "UserAssigned",
          "userAssignedIdentities": {
            "[parameters('user_assigned_identity')]": {}
          }
        },
        "properties": {
          "collation": "SQL_Latin1_General_CP1_CI_AS",
          "maxSizeBytes": 104857600,
          "catalogCollation": "SQL_Latin1_General_CP1_CI_AS",
          "zoneRedundant": false,
          "readScale": "Disabled",
          "requestedBackupStorageRedundancy": "Geo",
          "maintenanceConfigurationId": "/subscriptions/e1775f9f-xxxx-xxxx-xxxx-xxxxxxxxxxxx/providers/Microsoft.Maintenance/publicMaintenanceConfigurations/SQL_Default",
          "isLedgerOn": false,
          "encryptionProtector": "[parameters('encryption_protector')]",
          "keys": "[parameters('keys_to_add')]",
          "createMode": "Copy",
          "sourceDatabaseId": "[parameters('source_database_id')]"
        }
      }
    ]
  }
  

Restauración de una base de datos Azure SQL con claves administradas por el cliente en el nivel de base de datos

En esta sección se describen los pasos para restaurar una instancia de Azure SQL Database configurada con claves administradas por el cliente en el nivel de base de datos. Una identidad administrada asignada por el usuario es necesaria para configurar una clave administrada por el cliente para el cifrado de datos transparente durante la fase de creación de la base de datos.

Restauración a un momento dado

En la sección siguiente se describe cómo restaurar una base de datos configurada con claves administradas por el cliente en el nivel de base de datos a un momento dado. Para obtener más información sobre la recuperación de copia de seguridad de SQL Database, consulte Recuperación de una base de datos de SQL Database.

Portal

1. Vaya a Azure Portal y vaya a Azure SQL Database configurado con claves administradas por el cliente de nivel de base de datos que desea restaurar.

2. Para restaurar la base de datos a un momento dado, seleccione Restaurar en el menú Información general de la base de datos.

   

3. Aparece el menú Crear SQL Database - Restaurar base de datos. Rellene los detalles de origen y base de datos necesarios. En la sección Administración de Clave de Cifrado de datos transparente, seleccione Configuración del cifrado de datos transparente.

   

4. Cuando aparezca el menú Cifrado de datos transparente, revise la configuración de CMK de la base de datos. La configuración y las claves deben rellenarse con la misma identidad y claves que se usan en la base de datos que está intentando restaurar.

5. Seleccione Aplicar para continuar y, a continuación, seleccione Revisar y crear y Crear para crear la base de datos de copia.

CLI de Azure

Para obtener información sobre cómo instalar la versión actual de la CLI de Azure, vea Instalación de la CLI de Azure.

• Rellene previamente la lista de claves que la base de datos principal usa mediante el parámetro expand-keys con el momento dado de restauración como keys-filter.

  az sql db show --name $databaseName --resource-group $resourceGroup --server $serverName --expand-keys --keys-filter $timestamp
  

• Seleccione la identidad administrada asignada por el usuario (y el id. de cliente federado si configura el acceso entre inquilinos).

• Cree una nueva base de datos como destino de restauración y proporcione la lista rellenada previamente de claves obtenidas de la base de datos de origen y la identidad anterior (y el id. de cliente federado si se configura el acceso entre inquilinos).

  # Create a restored database
  az sql db restore --dest-name $destName --name $databaseName --resource-group $resourceGroup --server $serverName --subscription $subscriptionId --time $timestamp -i --encryption-protector $encryptionProtector --user-assigned-identity-id $umi --keys $keys
  

  Importante

  $keys es una lista de claves separadas por espacios recuperadas de la base de datos de origen.

PowerShell

Para obtener instrucciones sobre la instalación del módulo Azure PowerShell, consulte Instalación de Azure PowerShell. Para los cmdlets concretos, consulte AzureRM.Sql.

• Rellene previamente la lista de claves que la base de datos principal usa mediante el comando Get-AzSqlDatabase y los parámetros -ExpandKeyList y -KeysFilter "2023-01-01" (2023-01-01 es un ejemplo del momento dado al que desea restaurar la base de datos). Excluya -KeysFilter si desea recuperar todas las claves.

  $database = Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter <Timestamp>
  

• Seleccione la identidad administrada asignada por el usuario (y el id. de cliente federado si configura el acceso entre inquilinos).

• Use el comando Restore-AzSqlDatabase con el parámetro -FromPointInTimeBackup y proporcione la lista de claves rellenada previamente obtenidas de los pasos anteriores y la identidad anterior (y el id. de cliente federado si configura el acceso entre inquilinos) en la llamada API mediante los parámetros -KeyList, -AssignIdentity, -UserAssignedIdentityId, -EncryptionProtector (y, si es necesario, -FederatedClientId).

  $database = Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter <Timestamp>
  
  # Create a restored database
  Restore-AzSqlDatabase -FromPointInTimeBackup -PointInTime <Timestamp> -ResourceId '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}' -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -TargetDatabaseName <TargetDatabaseName> -KeyList $database.Keys.Keys -EncryptionProtector <EncryptionProtector> -UserAssignedIdentityId <UserAssignedIdentityId> -AssignIdentity
  

Restauración de bases de datos eliminadas

En la sección siguiente se describe cómo restaurar una base de datos eliminada que se configuró con claves administradas por el cliente en el nivel de base de datos. Para obtener más información sobre la recuperación de copia de seguridad de SQL Database, consulte Recuperación de una base de datos de SQL Database.

Portal

1. Vaya a Azure Portal y vaya al servidor lógico de la base de datos eliminada que desea restaurar. En Administración de datos, seleccione Bases de datos eliminadas.

   

2. Seleccione la base de datos eliminada que desea restaurar.

3. Aparece el menú Crear SQL Database: Restaurar base de datos. Rellene los detalles de origen y base de datos necesarios. En la sección Administración de Clave de Cifrado de datos transparente, seleccione Configuración del cifrado de datos transparente.

   

4. Cuando aparezca el menú Cifrado de datos transparente, configure las secciones Identidad administrada asignada por el usuario, Clave administrada por el cliente y Claves de base de datos adicionales para la base de datos.

5. Seleccione Aplicar para continuar y, a continuación, seleccione Revisar y crear y Crear para crear la base de datos de copia.

CLI de Azure

Para obtener información sobre cómo instalar la versión actual de la CLI de Azure, vea Instalación de la CLI de Azure.

• Rellene previamente la lista de claves usadas por la base de datos eliminada mediante el parámetro expand-keys. Se recomienda pasar todas las claves que la base de datos de origen estaba usando. También puede intentar una restauración con las claves proporcionadas en el momento de la eliminación mediante el parámetro keys-filter.

  az sql db show-deleted --name $databaseName --resource-group $resourceGroup --server $serverName --restorable-dropped-database-id "databaseName,133201549661600000" --expand-keys
  

  Importante

  restorable-dropped-database-id se puede recuperar enumerando todas las bases de datos eliminadas restaurables en el servidor y tiene el formato databaseName,deletedTimestamp.

• Seleccione la identidad administrada asignada por el usuario (y el id. de cliente federado si configura el acceso entre inquilinos).

• Cree una nueva base de datos como destino de restauración y proporcione la lista rellenada previamente de claves obtenidas de la base de datos de origen eliminada y la identidad anterior (y el id. de cliente federado si se configura el acceso entre inquilinos).

  # Create a restored database
  az sql db restore --dest-name $destName --name $databaseName --resource-group $resourceGroup --server $serverName --subscription $subscriptionId --time $timestamp -i --encryption-protector $encryptionProtector --user-assigned-identity-id $umi --keys $keys --deleted-time "2023-02-06T11:02:46.160000+00:00"
  

  Importante

  $keys es una lista de claves separadas por espacios recuperadas de la base de datos de origen.

PowerShell

Para obtener instrucciones sobre la instalación del módulo Azure PowerShell, consulte Instalación de Azure PowerShell. Para los cmdlets concretos, consulte AzureRM.Sql.

• Rellene previamente la lista de claves que la base de datos principal usa mediante el comando Get-AzSqlDeletedDatabaseBackup y el parámetro -ExpandKeyList. Se recomienda pasar todas las claves que la base de datos de origen estaba usando. También puede intentar una restauración con las claves proporcionadas en el momento de la eliminación mediante el parámetro -KeysFilter.

  $database = Get-AzSqlDeletedDatabaseBackup -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseId "dbName,133201549661600000" -ExpandKeyList -DeletionDate "2/6/2023" -DatabaseName <databaseName>
  

  Importante

  DatabaseId se puede recuperar enumerando todas las bases de datos eliminadas restaurables en el servidor y tiene el formato databaseName,deletedTimestamp.

• Seleccione la identidad administrada asignada por el usuario (y el id. de cliente federado si configura el acceso entre inquilinos).

• Use el comando Restore-AzSqlDatabase con el parámetro -FromDeletedDatabaseBackup y proporcione la lista de claves rellenada previamente obtenidas de los pasos anteriores y la identidad anterior (y el id. de cliente federado si configura el acceso entre inquilinos) en la llamada API mediante los parámetros -KeyList, -AssignIdentity, -UserAssignedIdentityId, -EncryptionProtector (y, si es necesario, -FederatedClientId).

  $database = Get-AzSqlDeletedDatabaseBackup -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseId "dbName,133201549661600000" -ExpandKeyList -DeletionDate <DeletionDate> -DatabaseName <databaseName>
  
  # Create a restored database
  Restore-AzSqlDatabase -FromDeletedDatabaseBackup -DeletionDate <Timestamp> -ResourceId '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/restorableDroppedDatabases/{databaseName}' -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -TargetDatabaseName <TargetDatabaseName> -KeyList $database.Keys.Keys -EncryptionProtector <EncryptionProtector> -UserAssignedIdentityId <UserAssignedIdentityId> -AssignIdentity
  

Restauración geográfica

En la sección siguiente se describe cómo restaurar una copia de seguridad replicada geográficamente configurada con claves administradas por el cliente en el nivel de base de datos. Para obtener más información sobre la recuperación de copia de seguridad de SQL Database, consulte Recuperación de una base de datos de SQL Database.

Portal

1. Vaya a Azure Portal y vaya al servidor lógico donde desea restaurar la base de datos.

2. En el menú Información general, seleccione Crear base de datos.

3. Aparecerá el menú Crear base de datos SQL. Rellene las pestañas Básico y Redes de la nueva base de datos. En Configuración adicional, seleccione Backup para la sección Usar datos existentes y seleccione un Backup con replicación geográfica.

   

4. Vaya a la pestaña Seguridad. En la sección Administración de claves de cifrado de datos transparente, seleccione Configurar cifrado de datos transparente.

5. Cuando aparezca el menú Cifrado de datos transparente, seleccione Clave administrada por el cliente (CMK) de nivel de base de datos. La identidad administrada asignada por el usuario, la clave administrada por el cliente y las claves de base de datos adicionales deben coincidir con la base de datos de origen que desea restaurar. Asegúrese de que la identidad administrada asignada por el usuario tiene acceso al almacén de claves que contiene la clave administrada por el cliente que se usó en la copia de seguridad.

6. Seleccione Aplicar para continuar y, a continuación, seleccione Revisar y crear y Crear para crear la base de datos de copia de seguridad.

CLI de Azure

Para obtener información sobre cómo instalar la versión actual de la CLI de Azure, vea Instalación de la CLI de Azure.

• Rellene previamente la lista de claves que la copia de seguridad geográfica de la base de datos usa configurada con claves administradas por el cliente en el nivel de base de datos mediante el parámetro expand-keys.

  az sql db geo-backup --database-name $databaseName --g $resourceGroup --server $serverName  --expand-keys
  

• Seleccione la identidad administrada asignada por el usuario (y el id. de cliente federado si configura el acceso entre inquilinos).

• Cree una nueva base de datos como destino de restauración geográfico y proporcione la lista rellenada previamente de claves obtenidas de la base de datos de origen eliminada y la identidad anterior (y el id. de cliente federado si se configura el acceso entre inquilinos).

  # Create a geo restored database
  az sql db geo-backup restore --geo-backup-id "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/recoverableDatabases/{databaseName}" --dest-database $destName --resource-group $resourceGroup --dest-server $destServerName -i --encryption-protector $encryptionProtector --user-assigned-identity-id $umi --keys $keys
  

  Importante

  $keys es una lista de claves separadas por espacios recuperadas de la base de datos de origen.

PowerShell

Para obtener instrucciones sobre la instalación del módulo Azure PowerShell, consulte Instalación de Azure PowerShell. Para los cmdlets concretos, consulte AzureRM.Sql.

• Rellene previamente la lista de claves que la base de datos principal usa mediante el comando Get-AzSqlDatabaseGeoBackup y -ExpandKeyList para recuperar todas las claves.

  $database = Get-AzSqlDatabaseGeoBackup -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <databaseName> -ExpandKeyList
  

  Importante

  DatabaseId se puede recuperar enumerando todas las bases de datos eliminadas restaurables en el servidor y tiene el formato databaseName,deletedTimestamp.

• Seleccione la identidad administrada asignada por el usuario (y el id. de cliente federado si configura el acceso entre inquilinos).

• Use el comando Restore-AzSqlDatabase con el parámetro -FromGeoBackup y proporcione la lista de claves rellenada previamente obtenidas de los pasos anteriores y la identidad anterior (y el id. de cliente federado si configura el acceso entre inquilinos) en la llamada API mediante los parámetros -KeyList, -AssignIdentity, -UserAssignedIdentityId, -EncryptionProtector (y, si es necesario, -FederatedClientId).

  $database = Get-AzSqlDatabaseGeoBackup -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <databaseName> -ExpandKeyList
  
  # Create a restored database
  Restore-AzSqlDatabase -FromGeoBackup -ResourceId "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/recoverableDatabases/{databaseName}" -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -TargetDatabaseName <TargetDatabaseName> -KeyList $database.Keys.Keys -EncryptionProtector <EncryptionProtector> -UserAssignedIdentityId <UserAssignedIdentityId> -AssignIdentity
  

Importante

Las copias de seguridad de retención a largo plazo (LTR) no proporcionan la lista de claves usadas por la copia de seguridad. Para restaurar una copia de seguridad LTR, todas las claves usadas por la base de datos de origen se deben pasar al destino de restauración LTR.

Nota

Se puede hacer referencia a la plantilla de ARM resaltada en la sección Creación de una instancia de Azure SQL Database con claves administradas por el cliente en el nivel de base de datos como una secundaria o una copia para restaurar la base de datos con una plantilla de ARM cambiando el parámetro createMode.

Opción de rotación automática de claves para bases de datos copiadas o restauradas

Las bases de datos recién copiadas o restauradas se pueden configurar para rotar automáticamente la clave administrada por el cliente que se usa para el cifrado de datos transparente. Para obtener información sobre cómo habilitar la rotación automática de claves en Azure Portal o mediante API, vea Rotación automática de claves en el nivel de base de datos.

Pasos siguientes

Consulte la siguiente documentación sobre varias operaciones de CMK en el nivel de base de datos:

• Cifrado de datos transparente (TDE) con claves administradas por el cliente en el nivel de base de datos

• Administración de identidades y claves para TDE con claves administradas por el cliente en el nivel de base de datos