Tutoriel : Migrer des bases de données avec chiffrement transparent des données (TDE) activé (préversion) vers Azure SQL dans Azure Data Studio

  • Article

Pour sécuriser une base de données SQL Server, vous pouvez prendre des précautions telles que la conception d’un système sécurisé, le chiffrement des ressources confidentielles et la création d’un pare-feu. Toutefois, le vol physique de supports média tels que les lecteurs ou les bandes peut toujours compromettre les données.

Le chiffrement transparent des données fournit une solution à ce problème, avec le chiffrement/déchiffrement d’E/S en temps réel des données au repos (fichiers de données et fichiers journaux) à l’aide d’une clé de chiffrement de base de données symétrique sécurisée par un certificat. Pour plus d’informations sur la migration manuelle des certificats TDE, consultez Déplacer une base de données protégée par le chiffrement transparent des données vers un autre SQL Server.

Lorsque vous migrez une base de données protégée par le chiffrement transparent de données (TDE), le certificat (clé asymétrique) utilisé pour ouvrir la clé de chiffrement de la base de données doit également être déplacé avec la base de données source. Par conséquent, vous devez recréer le certificat de serveur dans la base de données master du SQL Server cible pour cette instance pour accéder aux fichiers de la base de données.

Vous pouvez utiliser l’extension de migration Azure SQL pour Azure Data Studio pour aider à migrer les bases de données avec chiffrement transparent des données (TDE) activé (préversion) d’une instance SQL Server locale vers Azure SQL.

Le processus de migration de bases de données avec chiffrement transparent des données (TDE) activé automatise des tâches manuelles telles que la sauvegarde des clés de certificat de base de données, la copie des fichiers de certificat à partir de l’instance SQL Server locale vers la cible Azure SQL, puis la reconfiguration du chiffrement transparent des données pour la base de données cible.

Important

  1. Actuellement, seules les cibles Azure SQL Managed Instance sont prises en charge.
  2. De plus, les sauvegardes chiffrées ne sont pas prises en charge.

Dans ce tutoriel, vous allez apprendre à migrer l’exemple AdventureWorksTDE de base de données chiffrée d’une instance locale de SQL Server vers une instance gérée Azure SQL.

  • Ouvrez l’Assistant Migration vers Azure SQL dans Azure Data Studio.
  • Exécuter une évaluation de vos bases de données SQL Server sources
  • Configurer la migration de vos certificats TDE
  • Connecter à la cible Azure SQL
  • Démarrer la migration de votre certificat TDE et suivre sa progression jusqu’à son achèvement

Prérequis

Avant de commencer le tutoriel :

  • Téléchargez et installez Azure Data Studio.

  • Installez l’extension de migration Azure SQL à partir de la place de marché Azure Data Studio.

  • Exécutez Azure Data Studio en tant qu’administrateur.

  • Disposer d’un compte Azure affecté à l’un des rôles intégrés suivants :

    • Contributeur pour l’instance gérée cible (et compte de stockage pour charger vos sauvegardes de fichiers de certificats TDE à partir d’un partage réseau SMB).
    • Rôle de lecteur pour les groupes de ressources Azure contenant l’instance gérée cible ou le compte de stockage Azure.
    • Rôle Propriétaire ou Contributeur pour l’abonnement Azure (obligatoire en cas de création d’un nouveau service DMS).
    • En guise d’alternative à l’utilisation de l’un des rôles intégrés ci-dessus, vous pouvez attribuer un rôle personnalisé. Pour plus d’informations, consultez Rôles personnalisés : Migrations en ligne de SQL Server vers SQL Managed Instance avec ADS.

  • Créez une instance cible d’Azure SQL Managed Instance.

  • Vérifiez que la connexion que vous utilisez pour vous connecter à la source SQL Server est membre du rôle serveur sysadmin.

  • La machine sur laquelle Azure Data Studio exécute la migration de base de données avec chiffrement transparent des données (TDE) activé doit avoir une connectivité aux sources et aux serveurs SQL cibles.

Ouvrez l’Assistant Migration vers Azure SQL dans Azure Data Studio.

Pour ouvrir l’Assistant Migrer vers Azure SQL :

  1. Dans Azure Data Studio, accédez à Connexions. Connectez-vous à votre instance locale SQL Server. Vous pouvez également vous connecter à SQL Server sur une machine virtuelle Azure.

  2. Cliquez avec le bouton droit sur la connexion au serveur, puis sélectionnez Gérer.

    Screenshot that shows a server connection and the Manage option in Azure Data Studio.

  3. Dans le menu du serveur sous Général, sélectionnez Migration Azure SQL.

    Screenshot that shows the Azure Data Studio server menu.

  4. Dans le tableau de bord de l’extension de migration Azure SQL, sélectionnez Migrer vers Azure SQL pour ouvrir l’Assistant Migration.

    Screenshot that shows the Migrate to Azure SQL wizard.

  5. Sur la première page de l’Assistant, démarrez une nouvelle session ou reprenez une session précédemment enregistrée.

Exécuter une évaluation de la base de données

  1. Dans Étape 1 : Bases de données à évaluer dans l’Assistant Migrer vers Azure SQL, sélectionnez les bases de données à évaluer. Ensuite, cliquez sur Suivant.

    Screenshot that shows selecting a database for assessment.

  2. Dans l’Étape 2 : Résultats de l’évaluation, effectuez les étapes suivantes :

    1. Dans Choisissez votre cible Azure SQL, sélectionnez Azure SQL Managed Instance.

      Screenshot that shows selecting the Azure SQL Managed Instance target.

    2. Sélectionnez Afficher/Sélectionner pour afficher les résultats de l’évaluation.

      Screenshot that shows view/select assessment results.

    3. Dans les résultats de l’évaluation, sélectionnez la base de données, puis passez en revue les résultats de l’évaluation. Dans cet exemple, vous pouvez voir que la base de données AdventureWorksTDE est protégée par le chiffrement transparent des données (TDE). L’évaluation recommande de migrer le certificat TDE avant de migrer la base de données source vers la cible de l’instance gérée.

      Screenshot that shows assessment findings report.

    4. Choisissez Sélectionner pour ouvrir le panneau de configuration de la migration TDE.

Configurer les paramètres de migration TDE

  1. Dans la section Base de données chiffrée sélectionnée, sélectionnez Exporter mes certificats et ma clé privée vers la cible.

    Screenshot that shows the TDE migration configuration.

    Important

    La section Zone d’informations décrit les autorisations requises pour exporter les certificats de clé de chiffrement.

    Vous devez vous assurer que le compte de service SQL Server dispose d’un accès en écriture au chemin d’accès de partage réseau que vous utiliserez pour sauvegarder les certificats de clé de chiffrement. En outre, l’utilisateur actuel doit disposer de privilèges d’administrateur sur l’ordinateur sur lequel ce chemin d’accès réseau existe.

  2. Entrez le chemin d’accès réseau.

    Screenshot that shows the TDE migration configuration for a network share.

    Ensuite cochez la case J’accorde mon consentement pour utiliser mes informations d’identification pour accéder aux certificats. Avec cette action, vous autorisez l’assistant de migration de la base de données à sauvegarder votre certificat de clé de chiffrement dans le partage réseau.

  3. Si vous ne souhaitez pas que l’assistant de migration vous aide à migrer les bases de données avec chiffrement transparent des données (TDE) activé : sélectionnez Je ne souhaite pas que Azure Data Studio exporte les certificats. pour ignorer cette étape.

    Screenshot that shows how to decline the TDE migration.

    Important

    Vous devez migrer les certificats avant de poursuivre la migration, sinon la migration échouera. Pour plus d’informations sur la migration manuelle des certificats TDE, consultez Déplacer une base de données protégée par le chiffrement transparent des données vers un autre SQL Server.

  4. Si vous souhaitez poursuivre la migration de la certification TDE, sélectionnez Appliquer.

    Screenshot that shows how to apply the TDE migration configuration.

    Le panneau de configuration de la migration TDE se ferme, mais vous pouvez sélectionner Modifier pour modifier la configuration de votre partage réseau à tout moment. Sélectionnez Suivant pour poursuivre le processus de migration.

    Screenshot that shows how to edit the TDE migration configuration.

Configurer les paramètres de migration

Dans l’Étape 3 : Cible Azure SQL dans l’assistant Migrer vers Azure SQL, procédez comme suit pour votre instance gérée cible :

  1. Sélectionnez votre compte Azure, votre abonnement Azure, la région ou l’emplacement Azure et le groupe de ressources qui contient l’instance gérée.

    Screenshot that shows Azure account details.

  2. Lorsque vous êtes prêt, sélectionnez Migrer les certificats pour démarrer la migration des certificats TDE.

Démarrer et surveiller la migration des certificats TDE

  1. À l’Étape 3 : État de la migration, le panneau Migration des certificats s’ouvre. Les détails de la progression de la migration des certificats TDE s’affichent à l’écran.

    Screenshot that shows how the TDE migration process starts.

  2. Une fois la migration TDE terminée (ou en cas de défaillances), la page affiche les mises à jour appropriées.

    Screenshot that shows how the TDE migration process continues.

  3. Si vous devez répéter la migration, sélectionnez Nouvelle tentative de migration.

    Screenshot that shows how to retry the TDE migration.

  4. Lorsque vous êtes prêt, sélectionnez Terminé pour poursuivre l’assistant de migration.

    Screenshot that shows how to complete the TDE migration.

  5. Vous pouvez surveiller le processus pour chaque certificat TDE en sélectionnant Migrer les certificats.

  6. Sélectionnez Suivant pour poursuivre l’assistant de migration jusqu’à ce que la migration de la base de données soit terminée.

    Screenshot that shows how to continue the database migration.

    Pour plus d’informations sur la migration de bases de données en ligne ou hors connexion vers des cibles Azure SQL Managed Instance, consultez les didacticiels pas à pas suivants :

Étapes post-migration

Votre instance gérée cible doit maintenant avoir les bases de données et leurs certificats respectifs migrés. Pour vérifier l’état actuel de la base de données récemment migrée, copiez et collez l’exemple suivant dans une nouvelle fenêtre de requête sur Azure Data Studio lors de la connexion à votre cible d’instance gérée. Ensuite, sélectionnez Exécuter.

USE master;
GO

SELECT db_name(database_id),
    key_algorithm,
    encryption_state_desc,
    encryption_scan_state_desc,
    percent_complete
FROM sys.dm_database_encryption_keys
WHERE database_id = DB_ID('Your database name');
GO

La requête retourne les informations sur la base de données, l’état du chiffrement et le pourcentage en attente d’achèvement. Dans ce cas, il est égal à zéro, car le certificat TDE est déjà terminé.

Screenshot that shows the results returned by the TDE query provided in this section.

Pour plus d’informations sur le chiffrement avec SQL Server, consultez Chiffrement transparent des données (TDE).

Limites

Le tableau suivant décrit l’état actuel de la prise en charge des migrations des bases de données avec chiffrement transparent des donnés (TDE) activé vers la cible Azure SQL :

Cible Support Statut
Azure SQL Database Non
Azure SQL Managed Instance Oui PRÉVERSION
SQL Server sur une machine virtuelle Azure Non

Contenu associé