Georeplikációs és biztonsági mentési visszaállítás konfigurálása transzparens adattitkosításhoz adatbázisszintű, ügyfél által felügyelt kulcsokkal

A következőre vonatkozik: Azure SQL Database

Megjegyzés:

Az Adatbázisszintű TDE CMK elérhető az Azure SQL Database-hez (minden SQL Database-kiadáshoz). Nem érhető el a felügyelt Azure SQL-példányokhoz, a helyszíni SQL Serverhez, az Azure-beli virtuális gépekhez és az Azure Synapse Analyticshez (dedikált SQL-készletekhez (korábban SQL DW)).

Ebben az útmutatóban végigvezetjük az Azure SQL Database georeplikációs és biztonsági mentési visszaállításának konfigurálásához szükséges lépéseket. Az Azure SQL Database transzparens adattitkosítással (TDE) és ügyfél által felügyelt kulcsokkal (CMK) van konfigurálva az adatbázis szintjén, és egy felhasználó által hozzárendelt felügyelt identitást használ az Azure Key Vault eléréséhez. Az Azure Key Vault és az Azure SQL logikai kiszolgálója is ugyanabban a Microsoft Entra-bérlőben található ebben az útmutatóban, de különböző bérlőkben is lehetnek.

Megjegyzés:

A Microsoft Entra ID az Azure Active Directory (Azure AD) új neve. Jelenleg frissítjük a dokumentációt.

Előfeltételek

• Az adatbázis szintjén konfiguráljon egy Azure SQL Database-t ügyfél által felügyelt kulcsokkal, amely a műveletek forrásadatbázisa. További információ: Transzparens adattitkosítás (TDE) ügyfél által felügyelt kulcsokkal az adatbázis szintjén.

Megjegyzés:

Ugyanez az útmutató alkalmazható az adatbázisszintű, ügyfél által felügyelt kulcsok konfigurálására egy másik bérlőben az összevont ügyfélazonosító paraméter hozzáadásával. További információ: Identitás- és kulcskezelés a TDE-hez adatbázisszintű, ügyfél által felügyelt kulcsokkal.

Fontos

Az adatbázis létrehozása vagy visszaállítása után az Azure Portal transzparens adattitkosítás menüjében az új adatbázis ugyanazokkal a beállításokkal jelenik meg, mint a forrásadatbázis, de lehet, hogy hiányoznak kulcsok. Minden olyan esetben, amikor új adatbázist hoz létre egy forrásadatbázisból, a céladatbázishoz megjelenített kulcsok száma az Azure Portal További adatbáziskulcsok listájában kisebb lehet, mint a forrásadatbázishoz megjelenített kulcsok száma. Ennek az az oka, hogy a megjelenített kulcsok száma a céladatbázis létrehozásához használt egyedi funkciókövetelményektől függ. Az újonnan létrehozott adatbázisokhoz elérhető összes kulcs listázásához használja az azure SQL Database adatbázisszintű ügyfél által felügyelt kulcsbeállításainak megtekintéséhez elérhető API-kat.

Azure SQL Database létrehozása adatbázisszintű, ügyfél által felügyelt kulcsokkal másodlagos vagy másolatként

Az alábbi utasítások vagy parancsok segítségével hozzon létre egy másodlagos replikát vagy másolási célt egy adatbázisszintű, ügyfél által felügyelt kulcsokkal konfigurált Azure SQL Database-adatbázishoz. Felhasználó által hozzárendelt felügyelt identitásra van szükség az ügyfél által felügyelt kulcs beállításához az adatbázis-létrehozási fázisban az transzparens adattitkosításhoz.

Portal

Adatbázispéldány létrehozása, amely adatbázisszintű, ügyfél által felügyelt kulcsokkal rendelkezik

Ha adatbázist szeretne létrehozni az Azure SQL Database-ben az adatbázisszintű, ügyfél által felügyelt kulcsokkal rendelkező másolatként, kövesse az alábbi lépéseket:

1. Lépjen az Azure Portalra , és keresse meg az adatbázisszintű, ügyfél által felügyelt kulcsokkal konfigurált Azure SQL Database-t. Lépjen az Adattitkosítás menü transzparens adattitkosítás lapjára, és ellenőrizze az adatbázis által használt aktuális kulcsok listáját.

   

2. Hozzon létre egy másolatot az adatbázisról az adatbázis Áttekintés menüjének Másolás parancsával.

   

3. Megjelenik az SQL Database létrehozása – Adatbázis másolása menü. Használjon másik kiszolgálót ehhez az adatbázishoz, de ugyanazokat a beállításokat, mint a másolni kívánt adatbázis. A transzparens adattitkosítás Kulcskezelés szakaszban válassza a Transzparens adattitkosítás konfigurálása lehetőséget.

   

4. Amikor megjelenik a transzparens adattitkosítás menü, tekintse át a másolási adatbázis CMK-beállításait. A beállításokat és kulcsokat ugyanazzal az identitással és a forrásadatbázisban használt kulcsokkal kell kitölteni.

5. Kattintson az Alkalmaz gombra a folytatáshoz, majd válassza a Véleményezés + létrehozás, majd a Létrehozás lehetőséget a másolási adatbázis létrehozásához.

Másodlagos replika létrehozása, amely adatbázisszintű ügyfél által felügyelt kulcsokkal rendelkezik

1. Lépjen az Azure Portalra , és keresse meg az adatbázisszintű, ügyfél által felügyelt kulcsokkal konfigurált Azure SQL Database-t. Keresse meg a transzparens adattitkosítás menüt, és ellenőrizze az adatbázis által használt aktuális kulcsok listáját.

   

2. Az adatbázis adatkezelési beállításai között válassza a Replikák lehetőséget. Válassza a Replika létrehozása lehetőséget az adatbázis másodlagos replikája létrehozásához.

   

3. Megjelenik az SQL Database létrehozása – Georeplika menü. Használjon másodlagos kiszolgálót ehhez az adatbázishoz, de ugyanazokat a beállításokat, mint a replikálni kívánt adatbázis. A transzparens adattitkosítás Kulcskezelés szakaszban válassza a Transzparens adattitkosítás konfigurálása lehetőséget.

   

4. Amikor megjelenik a transzparens adattitkosítás menü, tekintse át az adatbázisreplika CMK-beállításait. A beállításokat és kulcsokat ugyanazzal az identitással és az elsődleges adatbázisban használt kulcsokkal kell kitölteni.

5. Kattintson az Alkalmaz gombra a folytatáshoz, majd válassza a Véleményezés + létrehozás, majd a Létrehozás lehetőséget a másolási adatbázis létrehozásához.

Azure CLI

Az Azure CLI aktuális kiadásának telepítéséről további információt az Azure CLI telepítéséről szóló cikkben talál.

• Az elsődleges adatbázis által használt aktuális kulcsok listájának előzetes feltöltése a expand-keys paraméterrel currentkeys-filter.

  az sql db show --name $databaseName --resource-group $resourceGroup --server $serverName --expand-keys --keys-filter current
  

• Válassza ki a felhasználó által hozzárendelt felügyelt identitást (és összevont ügyfél-azonosítót, ha bérlőközi hozzáférést konfigurál).

• Hozzon létre egy új adatbázist másodlagosként, és adja meg a forrásadatbázisból és a fenti identitásból beszerzett kulcsok előre feltöltött listáját (és összevont ügyfél-azonosítót, ha bérlők közötti hozzáférést konfigurál).

  # Create a secondary replica with Active Geo Replication with the same name as the primary database
  
  az sql db replica create -g $resourceGroup -s $serverName -n $databaseName --partner-server $secondaryServer --partner-database $secondaryDatabase --partner-resource-group $secondaryResourceGroup -i --encryption-protector $encryptionProtector --user-assigned-identity-id $umi --keys $keys
  

  Fontos

  $keys a forrásadatbázisból lekért kulcsok szóközzel elválasztott listája.

• Az adatbázis másolatának létrehozásához az sql db-példány ugyanazokkal a paraméterekkel használható.

  # Create a copy of a database configured with database level customer-managed keys
  az sql db copy -g $resourceGroup -s $serverName -n $databaseName --dest-name $secondaryDatabase -i --encryption-protector $encryptionProtector --user-assigned-identity-id $umi --keys $keys
  

PowerShell

Az Az PowerShell-modul telepítési utasításait az Azure PowerShell telepítése című témakörben találja. Adott parancsmagokért lásd: AzureRM.Sql.

• Az elsődleges adatbázis által használt aktuális kulcsok listájának előzetes feltöltése a Get-AzSqlDatabase paranccsal és -KeysFilter "current" a -ExpandKeyList paraméterekkel. Zárja ki -KeysFilter , ha le szeretné kérni az összes kulcsot.

  $database = Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter "current"
  

• Válassza ki a felhasználó által hozzárendelt felügyelt identitást (és összevont ügyfél-azonosítót, ha bérlőközi hozzáférést konfigurál).

• Hozzon létre egy új adatbázist másodlagosként a New-AzSqlDatabaseSecondary paranccsal, és adja meg a forrásadatbázisból beszerzett kulcsok előre feltöltött listáját és a fenti identitást (és a bérlők közötti hozzáférés konfigurálásakor összevont ügyfél-azonosítót) az -KeyListAPI-hívásban a , -AssignIdentity, -EncryptionProtector-UserAssignedIdentityId, (és ha szükséges) -FederatedClientIdparaméterekkel.

  # Create a secondary replica with Active Geo Replication with the same name as the primary database
  $database = Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter "current"
  
  $database | New-AzSqlDatabaseSecondary -PartnerResourceGroupName <SecondaryResourceGroupName> -PartnerServerName <SecondaryServerName> -AllowConnections "All" -AssignIdentity -UserAssignedIdentityId <UserAssignedIdentityId> -EncryptionProtector <CustomerManagedKeyId> -FederatedClientId <FederatedClientId>
  -KeyList $database.Keys.Keys
  

• Az adatbázis másolatának létrehozásához a New-AzSqlDatabaseCopy ugyanazokkal a paraméterekkel használható.

# Create a copy of a database configured with database level customer-managed keys
$database = Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter "current"

New-AzSqlDatabaseCopy -CopyDatabaseName <CopyDatabaseName> -CopyResourceGroupName <CopyResourceGroupName> -CopyServerName <CopyServerName> -DatabaseName <DatabaseName> -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -AssignIdentity -UserAssignedIdentityId <UserAssignedIdentityId> -EncryptionProtector <CustomerManagedKeyId> -FederatedClientId <FederatedClientId>
-KeyList $database.Keys.Keys

ARM Template

Íme egy példa egy ARM-sablonra, amely létrehoz egy másodlagos replikát és egy felhasználó által hozzárendelt felügyelt identitással és ügyfél által felügyelt TDE-vel konfigurált Azure SQL Database másolatát az adatbázis szintjén.

További információkért és ARM-sablonokért tekintse meg az Azure SQL Database és a felügyelt SQL-példány Azure Resource Manager-sablonjait.

Egyéni üzembe helyezést használhat az Azure Portalon, és saját sablont készíthet a szerkesztőben. Ezután mentse a konfigurációt, miután beillesztette a példában.

• Az elsődleges adatbázis által használt aktuális kulcsok listájának előzetes feltöltése a következő REST API-kéréssel:

  GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}?api-version=2022-08-01-preview&$expand=keys($filter=pointInTime('current'))
  

• Válassza ki a felhasználó által hozzárendelt felügyelt identitást (és összevont ügyfél-azonosítót, ha bérlőközi hozzáférést konfigurál).

• Hozzon létre egy új adatbázist másodlagosként, és adja meg a forrásadatbázisból beszerzett kulcsok előre feltöltött listáját és a fenti identitást (és a bérlők közötti hozzáférés konfigurálásához összevont ügyfélazonosítót) az ARM-sablonban paraméterként keys_to_add .

  {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
      "server_name": {
        "type": "String"
      },
      "database_name": {
        "type": "String"
      },
      "user_assigned_identity": {
        "type": "String"
      },
      "encryption_protector": {
        "type": "String"
      },
      "location": {
        "type": "String"
      },
      "source_database_id": {
        "type": "String"
      },
      "keys_to_add": {
        "type": "Object"
      }
    },
    "variables": {},
    "resources": [
      {
        "type": "Microsoft.Sql/servers/databases",
        "apiVersion": "2022-08-01-preview",
        "name": "[concat(parameters('server_name'), concat('/',parameters('database_name')))]",
        "location": "[parameters('location')]",
        "sku": {
          "name": "Basic",
          "tier": "Basic",
          "capacity": 5
        },
        "identity": {
          "type": "UserAssigned",
          "userAssignedIdentities": {
            "[parameters('user_assigned_identity')]": {}
          }
        },
        "properties": {
          "collation": "SQL_Latin1_General_CP1_CI_AS",
          "maxSizeBytes": 104857600,
          "catalogCollation": "SQL_Latin1_General_CP1_CI_AS",
          "zoneRedundant": false,
          "readScale": "Disabled",
          "requestedBackupStorageRedundancy": "Geo",
          "maintenanceConfigurationId": "/subscriptions/e1775f9f-xxxx-xxxx-xxxx-xxxxxxxxxxxx/providers/Microsoft.Maintenance/publicMaintenanceConfigurations/SQL_Default",
          "isLedgerOn": false,
          "encryptionProtector": "[parameters('encryption_protector')]",
          "keys": "[parameters('keys_to_add')]",
          "createMode": "Secondary",
          "sourceDatabaseId": "[parameters('source_database_id')]"
        }
      }
    ]
  }
  

  Példa a paraméterre és keys_to_add a encryption_protector következőre:

      "keys_to_add": {
        "value": {
          "https://yourvault.vault.azure.net/keys/yourkey1/fd021f84a0d94d43b8ef33154bca0000": {},
          "https://yourvault.vault.azure.net/keys/yourkey2/fd021f84a0d94d43b8ef33154bca0000": {}
        }
      },
      "encryption_protector": {
        "value": "https://yourvault.vault.azure.net/keys/yourkey2/fd021f84a0d94d43b8ef33154bca0000"
      }
  

• Az adatbázis másolatának létrehozásához az alábbi sablon használható ugyanazokkal a paraméterekkel.

  {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
      "server_name": {
        "type": "String"
      },
      "database_name": {
        "type": "String"
      },
      "user_assigned_identity": {
        "type": "String"
      },
      "encryption_protector": {
        "type": "String"
      },
      "location": {
        "type": "String"
      },
      "source_database_id": {
        "type": "String"
      },
      "keys_to_add": {
        "type": "Object"
      }
    },
    "variables": {},
    "resources": [
      {
        "type": "Microsoft.Sql/servers/databases",
        "apiVersion": "2022-08-01-preview",
        "name": "[concat(parameters('server_name'), concat('/',parameters('database_name')))]",
        "location": "[parameters('location')]",
        "sku": {
          "name": "Basic",
          "tier": "Basic",
          "capacity": 5
        },
        "identity": {
          "type": "UserAssigned",
          "userAssignedIdentities": {
            "[parameters('user_assigned_identity')]": {}
          }
        },
        "properties": {
          "collation": "SQL_Latin1_General_CP1_CI_AS",
          "maxSizeBytes": 104857600,
          "catalogCollation": "SQL_Latin1_General_CP1_CI_AS",
          "zoneRedundant": false,
          "readScale": "Disabled",
          "requestedBackupStorageRedundancy": "Geo",
          "maintenanceConfigurationId": "/subscriptions/e1775f9f-xxxx-xxxx-xxxx-xxxxxxxxxxxx/providers/Microsoft.Maintenance/publicMaintenanceConfigurations/SQL_Default",
          "isLedgerOn": false,
          "encryptionProtector": "[parameters('encryption_protector')]",
          "keys": "[parameters('keys_to_add')]",
          "createMode": "Copy",
          "sourceDatabaseId": "[parameters('source_database_id')]"
        }
      }
    ]
  }
  

Azure SQL Database visszaállítása adatbázisszintű, ügyfél által felügyelt kulcsokkal

Ez a szakasz végigvezeti az adatbázisszintű, ügyfél által felügyelt kulcsokkal konfigurált Azure SQL Database visszaállításának lépésein. Felhasználó által hozzárendelt felügyelt identitásra van szükség az ügyfél által felügyelt kulcs beállításához az adatbázis-létrehozási fázisban az transzparens adattitkosításhoz.

Időponthoz kötött visszaállítás

Az alábbi szakasz bemutatja, hogyan állítható vissza egy ügyfél által felügyelt kulcsokkal konfigurált adatbázis az adatbázis szintjén egy adott időpontra. Ha többet szeretne megtudni az SQL Database biztonsági mentési helyreállításáról, olvassa el az ADATBÁZIS helyreállítása az SQL Database-ben című témakört.

Portal

1. Lépjen az Azure Portalra , és keresse meg a visszaállítani kívánt, adatbázisszintű, ügyfél által felügyelt kulcsokkal konfigurált Azure SQL Database-t.

2. Az adatbázis adott időpontra való visszaállításához válassza a Visszaállítás lehetőséget az adatbázis Áttekintés menüjében.

   

3. Megjelenik az SQL Database létrehozása – Adatbázis visszaállítása menü. Adja meg a szükséges forrás- és adatbázisadatokat. A transzparens adattitkosítás Kulcskezelés szakaszban válassza a Transzparens adattitkosítás konfigurálása lehetőséget.

   

4. Amikor megjelenik a transzparens adattitkosítás menü, tekintse át az adatbázis CMK-beállításait. A beállításokat és kulcsokat ugyanazzal az identitással és kulcsokkal kell feltölteni, amelyeket a visszaállítani kívánt adatbázisban használ.

5. Kattintson az Alkalmaz gombra a folytatáshoz, majd válassza a Véleményezés + létrehozás, majd a Létrehozás lehetőséget a másolási adatbázis létrehozásához.

Azure CLI

Az Azure CLI aktuális kiadásának telepítéséről további információt az Azure CLI telepítéséről szóló cikkben talál.

• Az elsődleges adatbázis által használt kulcsok listájának előzetes feltöltése a expand-keys paraméterrel és a visszaállítási ponttal a következő időpontban keys-filter: .

  az sql db show --name $databaseName --resource-group $resourceGroup --server $serverName --expand-keys --keys-filter $timestamp
  

• Válassza ki a felhasználó által hozzárendelt felügyelt identitást (és összevont ügyfél-azonosítót, ha bérlőközi hozzáférést konfigurál).

• Hozzon létre egy új adatbázist visszaállítási célként, és adja meg a forrásadatbázisból és a fenti identitásból beszerzett kulcsok előre feltöltött listáját (és összevont ügyfél-azonosítót, ha bérlők közötti hozzáférést konfigurál).

  # Create a restored database
  az sql db restore --dest-name $destName --name $databaseName --resource-group $resourceGroup --server $serverName --subscription $subscriptionId --time $timestamp -i --encryption-protector $encryptionProtector --user-assigned-identity-id $umi --keys $keys
  

  Fontos

  $keys a forrásadatbázisból lekért kulcsok szóközzel elválasztott listája.

PowerShell

Az Az PowerShell-modul telepítési utasításait az Azure PowerShell telepítése című témakörben találja. Adott parancsmagokért lásd: AzureRM.Sql.

• Az elsődleges adatbázis által használt kulcsok listájának előzetes feltöltése a Get-AzSqlDatabase paranccsal és -KeysFilter "2023-01-01" a -ExpandKeyList paraméterekkel (2023-01-01 ez egy példa arra az időpontra, amikor vissza szeretné állítani az adatbázist). Zárja ki -KeysFilter , ha le szeretné kérni az összes kulcsot.

  $database = Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter <Timestamp>
  

• Válassza ki a felhasználó által hozzárendelt felügyelt identitást (és összevont ügyfél-azonosítót, ha bérlőközi hozzáférést konfigurál).

• Használja a Restore-AzSqlDatabase parancsot a -FromPointInTimeBackup paraméterrel, és adja meg a fenti lépésekből beszerzett kulcsok előre feltöltött listáját, valamint a fenti identitást (és a bérlők közötti hozzáférés konfigurálásakor összevont ügyfél-azonosítót) az API-hívásban a -KeyList, -AssignIdentity, -UserAssignedIdentityId-EncryptionProtector , (és ha szükséges) -FederatedClientIdparaméterekkel.

  $database = Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter <Timestamp>
  
  # Create a restored database
  Restore-AzSqlDatabase -FromPointInTimeBackup -PointInTime <Timestamp> -ResourceId '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}' -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -TargetDatabaseName <TargetDatabaseName> -KeyList $database.Keys.Keys -EncryptionProtector <EncryptionProtector> -UserAssignedIdentityId <UserAssignedIdentityId> -AssignIdentity
  

Elvetett adatbázis-visszaállítás

Az alábbi szakasz bemutatja, hogyan állítható vissza egy olyan törölt adatbázis, amely ügyfél által felügyelt kulcsokkal lett konfigurálva az adatbázis szintjén. Ha többet szeretne megtudni az SQL Database biztonsági mentési helyreállításáról, olvassa el az ADATBÁZIS helyreállítása az SQL Database-ben című témakört.

Portal

1. Lépjen az Azure Portalra , és keresse meg a visszaállítani kívánt törölt adatbázis logikai kiszolgálóját. Az Adatkezelés területen válassza a Törölt adatbázisok lehetőséget.

   

2. Válassza ki a visszaállítani kívánt törölt adatbázist.

3. Megjelenik az SQL Database létrehozása – Adatbázis visszaállítása menü. Adja meg a szükséges forrás- és adatbázisadatokat. A transzparens adattitkosítás Kulcskezelés szakaszban válassza a Transzparens adattitkosítás konfigurálása lehetőséget.

   

4. Amikor megjelenik a transzparens adattitkosítás menü, konfigurálja a felhasználó által hozzárendelt felügyelt identitás, ügyfél által felügyelt kulcs és további adatbáziskulcsok szakaszt az adatbázishoz.

5. Kattintson az Alkalmaz gombra a folytatáshoz, majd válassza a Véleményezés + létrehozás, majd a Létrehozás lehetőséget a másolási adatbázis létrehozásához.

Azure CLI

Az Azure CLI aktuális kiadásának telepítéséről további információt az Azure CLI telepítéséről szóló cikkben talál.

• A paraméterrel expand-keys előre feltöltheti az elvetett adatbázis által használt kulcsok listáját. Javasoljuk, hogy adja át a forrásadatbázis által használt összes kulcsot. A visszaállítást a törléskor megadott kulcsokkal is megkísérelheti a keys-filter paraméter használatával.

  az sql db show-deleted --name $databaseName --resource-group $resourceGroup --server $serverName --restorable-dropped-database-id "databaseName,133201549661600000" --expand-keys
  

  Fontos

  restorable-dropped-database-id lekérhető az összes visszaállítható elvetett adatbázis listázásával a kiszolgálón, és a formátuma databaseName,deletedTimestamp.

• Válassza ki a felhasználó által hozzárendelt felügyelt identitást (és összevont ügyfél-azonosítót, ha bérlőközi hozzáférést konfigurál).

• Hozzon létre egy új adatbázist visszaállítási célként, és adja meg a törölt forrásadatbázisból és a fenti identitásból beszerzett kulcsok előre feltöltött listáját (és összevont ügyfél-azonosítót, ha bérlők közötti hozzáférést konfigurál).

  # Create a restored database
  az sql db restore --dest-name $destName --name $databaseName --resource-group $resourceGroup --server $serverName --subscription $subscriptionId --time $timestamp -i --encryption-protector $encryptionProtector --user-assigned-identity-id $umi --keys $keys --deleted-time "2023-02-06T11:02:46.160000+00:00"
  

  Fontos

  $keys a forrásadatbázisból lekért kulcsok szóközzel elválasztott listája.

PowerShell

Az Az PowerShell-modul telepítési utasításait az Azure PowerShell telepítése című témakörben találja. Adott parancsmagokért lásd: AzureRM.Sql.

• Az elsődleges adatbázis által használt kulcsok listájának előzetes feltöltése a Get-AzSqlDeletedDatabaseBackup paranccsal és a -ExpandKeyList paraméterrel. Javasoljuk, hogy adja át a forrásadatbázis által használt összes kulcsot. A visszaállítást a törléskor megadott kulcsokkal is megkísérelheti a -KeysFilter paraméter használatával.

  $database = Get-AzSqlDeletedDatabaseBackup -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseId "dbName,133201549661600000" -ExpandKeyList -DeletionDate "2/6/2023" -DatabaseName <databaseName>
  

  Fontos

  DatabaseId lekérhető az összes visszaállítható elvetett adatbázis listázásával a kiszolgálón, és a formátuma databaseName,deletedTimestamp.

• Válassza ki a felhasználó által hozzárendelt felügyelt identitást (és összevont ügyfél-azonosítót, ha bérlőközi hozzáférést konfigurál).

• Használja a Restore-AzSqlDatabase parancsot a -FromDeletedDatabaseBackup paraméterrel, és adja meg a fenti lépésekből beszerzett kulcsok előre feltöltött listáját, valamint a fenti identitást (és a bérlők közötti hozzáférés konfigurálásakor összevont ügyfél-azonosítót) az API-hívásban a -KeyList, -AssignIdentity, -UserAssignedIdentityId-EncryptionProtector , (és ha szükséges) -FederatedClientIdparaméterekkel.

  $database = Get-AzSqlDeletedDatabaseBackup -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseId "dbName,133201549661600000" -ExpandKeyList -DeletionDate <DeletionDate> -DatabaseName <databaseName>
  
  # Create a restored database
  Restore-AzSqlDatabase -FromDeletedDatabaseBackup -DeletionDate <Timestamp> -ResourceId '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/restorableDroppedDatabases/{databaseName}' -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -TargetDatabaseName <TargetDatabaseName> -KeyList $database.Keys.Keys -EncryptionProtector <EncryptionProtector> -UserAssignedIdentityId <UserAssignedIdentityId> -AssignIdentity
  

Georeduktúra visszaállítása

Az alábbi szakasz bemutatja, hogyan állítható vissza az adatbázis georeplikált biztonsági másolata, amely ügyfél által felügyelt kulcsokkal van konfigurálva az adatbázis szintjén. Ha többet szeretne megtudni az SQL Database biztonsági mentési helyreállításáról, olvassa el az ADATBÁZIS helyreállítása az SQL Database-ben című témakört.

Portal

1. Lépjen az Azure Portalra , és keresse meg azt a logikai kiszolgálót, ahol vissza szeretné állítani az adatbázist.

2. Az Áttekintés menüben válassza az Adatbázis létrehozása lehetőséget.

3. Megjelenik az SQL Database létrehozása menü. Töltse ki az új adatbázis alapszintű és hálózatkezelési lapjait. A További beállítások területen válassza a Meglévő adatok használata szakasz Biztonsági mentése elemét, majd válasszon egy georeplikált biztonsági másolatot.

   

4. Lépjen a Biztonság lapra. A transzparens adattitkosítás Kulcskezelés szakaszban válassza a Transzparens adattitkosítás konfigurálása lehetőséget.

5. Amikor megjelenik a transzparens adattitkosítás menü, válassza az Adatbázisszintű ügyfél által felügyelt kulcs (CMK) lehetőséget. A felhasználó által hozzárendelt felügyelt identitásnak, az ügyfél által felügyelt kulcsnak és a további adatbáziskulcsnak meg kell egyeznie a visszaállítani kívánt forrásadatbázissal. Győződjön meg arról, hogy a felhasználó által hozzárendelt felügyelt identitás hozzáfér a biztonsági másolatban használt ügyfél által felügyelt kulcsot tartalmazó kulcstartóhoz.

6. A folytatáshoz válassza az Alkalmaz elemet, majd a Felülvizsgálat + létrehozás, majd a Létrehozás lehetőséget a biztonsági mentési adatbázis létrehozásához.

Azure CLI

Az Azure CLI aktuális kiadásának telepítéséről további információt az Azure CLI telepítéséről szóló cikkben talál.

• A paraméterrel előre feltöltheti az adatbázis geo backupja által használt kulcsok listáját az adatbázis szintjén, ügyfél által felügyelt kulcsokkal konfigurálva expand-keys .

  az sql db geo-backup --database-name $databaseName --g $resourceGroup --server $serverName  --expand-keys
  

• Válassza ki a felhasználó által hozzárendelt felügyelt identitást (és összevont ügyfél-azonosítót, ha bérlőközi hozzáférést konfigurál).

• Hozzon létre egy új adatbázist georedukciós célként, és adja meg a törölt forrásadatbázisból és a fenti identitásból beszerzett kulcsok előre feltöltött listáját (és összevont ügyfél-azonosítót, ha bérlők közötti hozzáférést konfigurál).

  # Create a geo restored database
  az sql db geo-backup restore --geo-backup-id "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/recoverableDatabases/{databaseName}" --dest-database $destName --resource-group $resourceGroup --dest-server $destServerName -i --encryption-protector $encryptionProtector --user-assigned-identity-id $umi --keys $keys
  

  Fontos

  $keys a forrásadatbázisból lekért kulcsok szóközzel elválasztott listája.

PowerShell

Az Az PowerShell-modul telepítési utasításait az Azure PowerShell telepítése című témakörben találja. Adott parancsmagokért lásd: AzureRM.Sql.

• Az elsődleges adatbázis által használt kulcsok listájának előzetes feltöltése a Get-AzSqlDatabaseGeoBackup paranccsal és az -ExpandKeyList összes kulcs lekéréséhez.

  $database = Get-AzSqlDatabaseGeoBackup -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <databaseName> -ExpandKeyList
  

  Fontos

  DatabaseId lekérhető az összes visszaállítható elvetett adatbázis listázásával a kiszolgálón, és a formátuma databaseName,deletedTimestamp.

• Válassza ki a felhasználó által hozzárendelt felügyelt identitást (és összevont ügyfél-azonosítót, ha bérlőközi hozzáférést konfigurál).

• Használja a Restore-AzSqlDatabase parancsot a -FromGeoBackup paraméterrel, és adja meg a fenti lépésekből beszerzett kulcsok előre feltöltött listáját, valamint a fenti identitást (és a bérlők közötti hozzáférés konfigurálásakor összevont ügyfél-azonosítót) az API-hívásban a -KeyList, -AssignIdentity, -UserAssignedIdentityId-EncryptionProtector , (és ha szükséges) -FederatedClientIdparaméterekkel.

  $database = Get-AzSqlDatabaseGeoBackup -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <databaseName> -ExpandKeyList
  
  # Create a restored database
  Restore-AzSqlDatabase -FromGeoBackup -ResourceId "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/recoverableDatabases/{databaseName}" -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -TargetDatabaseName <TargetDatabaseName> -KeyList $database.Keys.Keys -EncryptionProtector <EncryptionProtector> -UserAssignedIdentityId <UserAssignedIdentityId> -AssignIdentity
  

Fontos

A hosszú távú adatmegőrzési (LTR) biztonsági másolatok nem tartalmazzák a biztonsági mentés által használt kulcsok listáját. Az LTR biztonsági mentésének visszaállításához a forrásadatbázis által használt összes kulcsot át kell adni az LTR visszaállítási célnak.

Megjegyzés:

Az Adatbázisszintű, ügyfél által felügyelt kulcsokkal rendelkező Azure SQL Database létrehozása másodlagos vagy másolási szakaszban kiemelt ARM-sablonra hivatkozva a paraméter módosításával visszaállíthatja az createMode adatbázist egy ARM-sablonnal.

Automatikus kulcsforgatási lehetőség másolt vagy visszaállított adatbázisokhoz

Az újonnan másolt vagy visszaállított adatbázisok konfigurálhatók úgy, hogy automatikusan elforgatják a transzparens adattitkosításhoz használt ügyfél által kezelt kulcsot. Az Automatikus kulcsváltás az Azure Portalon vagy API-k használatával történő engedélyezéséről további információt az automatikus kulcsváltás az adatbázis szintjén című témakörben talál.

További lépések

Tekintse meg a következő dokumentációt a különböző adatbázisszintű CMK-műveletekről:

• Transzparens adattitkosítás (TDE) ügyfél által felügyelt kulcsokkal az adatbázis szintjén

• Identitás- és kulcskezelés a TDE-hez adatbázisszintű, ügyfél által felügyelt kulcsokkal