Az Adatbázisszintű TDE CMK elérhető az Azure SQL Database-hez (minden SQL Database-kiadáshoz). Nem érhető el a felügyelt Azure SQL-példányokhoz, a helyszíni SQL Serverhez, az Azure-beli virtuális gépekhez és az Azure Synapse Analyticshez (dedikált SQL-készletekhez (korábban SQL DW)).
Az adatbázis létrehozása vagy visszaállítása után az Azure Portal transzparens adattitkosítás menüjében az új adatbázis ugyanazokkal a beállításokkal jelenik meg, mint a forrásadatbázis, de lehet, hogy hiányoznak kulcsok. Minden olyan esetben, amikor új adatbázist hoz létre egy forrásadatbázisból, a céladatbázishoz megjelenített kulcsok száma az Azure Portal További adatbáziskulcsok listájában kisebb lehet, mint a forrásadatbázishoz megjelenített kulcsok száma. Ennek az az oka, hogy a megjelenített kulcsok száma a céladatbázis létrehozásához használt egyedi funkciókövetelményektől függ. Az újonnan létrehozott adatbázisokhoz elérhető összes kulcs listázásához használja az azure SQL Database adatbázisszintű ügyfél által felügyelt kulcsbeállításainak megtekintéséhez elérhető API-kat.
Azure SQL Database létrehozása adatbázisszintű, ügyfél által felügyelt kulcsokkal másodlagos vagy másolatként
Az alábbi utasítások vagy parancsok segítségével hozzon létre egy másodlagos replikát vagy másolási célt egy adatbázisszintű, ügyfél által felügyelt kulcsokkal konfigurált Azure SQL Database-adatbázishoz. Felhasználó által hozzárendelt felügyelt identitásra van szükség az ügyfél által felügyelt kulcs beállításához az adatbázis-létrehozási fázisban az transzparens adattitkosításhoz.
Adatbázispéldány létrehozása, amely adatbázisszintű, ügyfél által felügyelt kulcsokkal rendelkezik
Ha adatbázist szeretne létrehozni az Azure SQL Database-ben az adatbázisszintű, ügyfél által felügyelt kulcsokkal rendelkező másolatként, kövesse az alábbi lépéseket:
Lépjen az Azure Portalra , és keresse meg az adatbázisszintű, ügyfél által felügyelt kulcsokkal konfigurált Azure SQL Database-t. Lépjen az Adattitkosítás menü transzparens adattitkosítás lapjára, és ellenőrizze az adatbázis által használt aktuális kulcsok listáját.
Hozzon létre egy másolatot az adatbázisról az adatbázis Áttekintés menüjének Másolás parancsával.
Megjelenik az SQL Database létrehozása – Adatbázis másolása menü. Használjon másik kiszolgálót ehhez az adatbázishoz, de ugyanazokat a beállításokat, mint a másolni kívánt adatbázis. A transzparens adattitkosítás Kulcskezelés szakaszban válassza a Transzparens adattitkosítás konfigurálása lehetőséget.
Amikor megjelenik a transzparens adattitkosítás menü, tekintse át a másolási adatbázis CMK-beállításait. A beállításokat és kulcsokat ugyanazzal az identitással és a forrásadatbázisban használt kulcsokkal kell kitölteni.
Kattintson az Alkalmaz gombra a folytatáshoz, majd válassza a Véleményezés + létrehozás, majd a Létrehozás lehetőséget a másolási adatbázis létrehozásához.
Másodlagos replika létrehozása, amely adatbázisszintű ügyfél által felügyelt kulcsokkal rendelkezik
Lépjen az Azure Portalra , és keresse meg az adatbázisszintű, ügyfél által felügyelt kulcsokkal konfigurált Azure SQL Database-t. Keresse meg a transzparens adattitkosítás menüt, és ellenőrizze az adatbázis által használt aktuális kulcsok listáját.
Az adatbázis adatkezelési beállításai között válassza a Replikák lehetőséget. Válassza a Replika létrehozása lehetőséget az adatbázis másodlagos replikája létrehozásához.
Megjelenik az SQL Database létrehozása – Georeplika menü. Használjon másodlagos kiszolgálót ehhez az adatbázishoz, de ugyanazokat a beállításokat, mint a replikálni kívánt adatbázis. A transzparens adattitkosítás Kulcskezelés szakaszban válassza a Transzparens adattitkosítás konfigurálása lehetőséget.
Amikor megjelenik a transzparens adattitkosítás menü, tekintse át az adatbázisreplika CMK-beállításait. A beállításokat és kulcsokat ugyanazzal az identitással és az elsődleges adatbázisban használt kulcsokkal kell kitölteni.
Kattintson az Alkalmaz gombra a folytatáshoz, majd válassza a Véleményezés + létrehozás, majd a Létrehozás lehetőséget a másolási adatbázis létrehozásához.
Az elsődleges adatbázis által használt aktuális kulcsok listájának előzetes feltöltése a expand-keys paraméterrel currentkeys-filter.
az sql db show --name $databaseName --resource-group $resourceGroup --server $serverName --expand-keys --keys-filter current
Válassza ki a felhasználó által hozzárendelt felügyelt identitást (és összevont ügyfél-azonosítót, ha bérlőközi hozzáférést konfigurál).
Hozzon létre egy új adatbázist másodlagosként, és adja meg a forrásadatbázisból és a fenti identitásból beszerzett kulcsok előre feltöltött listáját (és összevont ügyfél-azonosítót, ha bérlők közötti hozzáférést konfigurál).
# Create a secondary replica with Active Geo Replication with the same name as the primary database
az sql db replica create -g $resourceGroup -s $serverName -n $databaseName --partner-server $secondaryServer --partner-database $secondaryDatabase --partner-resource-group $secondaryResourceGroup -i --encryption-protector $encryptionProtector --user-assigned-identity-id $umi --keys $keys
Fontos
$keys a forrásadatbázisból lekért kulcsok szóközzel elválasztott listája.
Az adatbázis másolatának létrehozásához az sql db-példány ugyanazokkal a paraméterekkel használható.
# Create a copy of a database configured with database level customer-managed keys
az sql db copy -g $resourceGroup -s $serverName -n $databaseName --dest-name $secondaryDatabase -i --encryption-protector $encryptionProtector --user-assigned-identity-id $umi --keys $keys
Az elsődleges adatbázis által használt aktuális kulcsok listájának előzetes feltöltése a Get-AzSqlDatabase paranccsal és -KeysFilter "current" a -ExpandKeyList paraméterekkel. Zárja ki -KeysFilter , ha le szeretné kérni az összes kulcsot.
Válassza ki a felhasználó által hozzárendelt felügyelt identitást (és összevont ügyfél-azonosítót, ha bérlőközi hozzáférést konfigurál).
Hozzon létre egy új adatbázist másodlagosként a New-AzSqlDatabaseSecondary paranccsal, és adja meg a forrásadatbázisból beszerzett kulcsok előre feltöltött listáját és a fenti identitást (és a bérlők közötti hozzáférés konfigurálásakor összevont ügyfél-azonosítót) az -KeyListAPI-hívásban a , -AssignIdentity, -EncryptionProtector-UserAssignedIdentityId, (és ha szükséges) -FederatedClientIdparaméterekkel.
# Create a secondary replica with Active Geo Replication with the same name as the primary database
$database = Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter "current"
$database | New-AzSqlDatabaseSecondary -PartnerResourceGroupName <SecondaryResourceGroupName> -PartnerServerName <SecondaryServerName> -AllowConnections "All" -AssignIdentity -UserAssignedIdentityId <UserAssignedIdentityId> -EncryptionProtector <CustomerManagedKeyId> -FederatedClientId <FederatedClientId>
-KeyList $database.Keys.Keys
Íme egy példa egy ARM-sablonra, amely létrehoz egy másodlagos replikát és egy felhasználó által hozzárendelt felügyelt identitással és ügyfél által felügyelt TDE-vel konfigurált Azure SQL Database másolatát az adatbázis szintjén.
Egyéni üzembe helyezést használhat az Azure Portalon, és saját sablont készíthet a szerkesztőben. Ezután mentse a konfigurációt, miután beillesztette a példában.
Az elsődleges adatbázis által használt aktuális kulcsok listájának előzetes feltöltése a következő REST API-kéréssel:
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}?api-version=2022-08-01-preview&$expand=keys($filter=pointInTime('current'))
Válassza ki a felhasználó által hozzárendelt felügyelt identitást (és összevont ügyfél-azonosítót, ha bérlőközi hozzáférést konfigurál).
Hozzon létre egy új adatbázist másodlagosként, és adja meg a forrásadatbázisból beszerzett kulcsok előre feltöltött listáját és a fenti identitást (és a bérlők közötti hozzáférés konfigurálásához összevont ügyfélazonosítót) az ARM-sablonban paraméterként keys_to_add .
Azure SQL Database visszaállítása adatbázisszintű, ügyfél által felügyelt kulcsokkal
Ez a szakasz végigvezeti az adatbázisszintű, ügyfél által felügyelt kulcsokkal konfigurált Azure SQL Database visszaállításának lépésein. Felhasználó által hozzárendelt felügyelt identitásra van szükség az ügyfél által felügyelt kulcs beállításához az adatbázis-létrehozási fázisban az transzparens adattitkosításhoz.
Időponthoz kötött visszaállítás
Az alábbi szakasz bemutatja, hogyan állítható vissza egy ügyfél által felügyelt kulcsokkal konfigurált adatbázis az adatbázis szintjén egy adott időpontra. Ha többet szeretne megtudni az SQL Database biztonsági mentési helyreállításáról, olvassa el az ADATBÁZIS helyreállítása az SQL Database-ben című témakört.
Lépjen az Azure Portalra , és keresse meg a visszaállítani kívánt, adatbázisszintű, ügyfél által felügyelt kulcsokkal konfigurált Azure SQL Database-t.
Az adatbázis adott időpontra való visszaállításához válassza a Visszaállítás lehetőséget az adatbázis Áttekintés menüjében.
Megjelenik az SQL Database létrehozása – Adatbázis visszaállítása menü. Adja meg a szükséges forrás- és adatbázisadatokat. A transzparens adattitkosítás Kulcskezelés szakaszban válassza a Transzparens adattitkosítás konfigurálása lehetőséget.
Amikor megjelenik a transzparens adattitkosítás menü, tekintse át az adatbázis CMK-beállításait. A beállításokat és kulcsokat ugyanazzal az identitással és kulcsokkal kell feltölteni, amelyeket a visszaállítani kívánt adatbázisban használ.
Kattintson az Alkalmaz gombra a folytatáshoz, majd válassza a Véleményezés + létrehozás, majd a Létrehozás lehetőséget a másolási adatbázis létrehozásához.
Az elsődleges adatbázis által használt kulcsok listájának előzetes feltöltése a expand-keys paraméterrel és a visszaállítási ponttal a következő időpontban keys-filter: .
az sql db show --name $databaseName --resource-group $resourceGroup --server $serverName --expand-keys --keys-filter $timestamp
Válassza ki a felhasználó által hozzárendelt felügyelt identitást (és összevont ügyfél-azonosítót, ha bérlőközi hozzáférést konfigurál).
Hozzon létre egy új adatbázist visszaállítási célként, és adja meg a forrásadatbázisból és a fenti identitásból beszerzett kulcsok előre feltöltött listáját (és összevont ügyfél-azonosítót, ha bérlők közötti hozzáférést konfigurál).
# Create a restored database
az sql db restore --dest-name $destName --name $databaseName --resource-group $resourceGroup --server $serverName --subscription $subscriptionId --time $timestamp -i --encryption-protector $encryptionProtector --user-assigned-identity-id $umi --keys $keys
Fontos
$keys a forrásadatbázisból lekért kulcsok szóközzel elválasztott listája.
Az alábbi szakasz bemutatja, hogyan állítható vissza egy olyan törölt adatbázis, amely ügyfél által felügyelt kulcsokkal lett konfigurálva az adatbázis szintjén. Ha többet szeretne megtudni az SQL Database biztonsági mentési helyreállításáról, olvassa el az ADATBÁZIS helyreállítása az SQL Database-ben című témakört.
Lépjen az Azure Portalra , és keresse meg a visszaállítani kívánt törölt adatbázis logikai kiszolgálóját. Az Adatkezelés területen válassza a Törölt adatbázisok lehetőséget.
Válassza ki a visszaállítani kívánt törölt adatbázist.
Megjelenik az SQL Database létrehozása – Adatbázis visszaállítása menü. Adja meg a szükséges forrás- és adatbázisadatokat. A transzparens adattitkosítás Kulcskezelés szakaszban válassza a Transzparens adattitkosítás konfigurálása lehetőséget.
Amikor megjelenik a transzparens adattitkosítás menü, konfigurálja a felhasználó által hozzárendelt felügyelt identitás, ügyfél által felügyelt kulcs és további adatbáziskulcsok szakaszt az adatbázishoz.
Kattintson az Alkalmaz gombra a folytatáshoz, majd válassza a Véleményezés + létrehozás, majd a Létrehozás lehetőséget a másolási adatbázis létrehozásához.
A paraméterrel expand-keys előre feltöltheti az elvetett adatbázis által használt kulcsok listáját. Javasoljuk, hogy adja át a forrásadatbázis által használt összes kulcsot. A visszaállítást a törléskor megadott kulcsokkal is megkísérelheti a keys-filter paraméter használatával.
az sql db show-deleted --name $databaseName --resource-group $resourceGroup --server $serverName --restorable-dropped-database-id "databaseName,133201549661600000" --expand-keys
Fontos
restorable-dropped-database-id lekérhető az összes visszaállítható elvetett adatbázis listázásával a kiszolgálón, és a formátuma databaseName,deletedTimestamp.
Válassza ki a felhasználó által hozzárendelt felügyelt identitást (és összevont ügyfél-azonosítót, ha bérlőközi hozzáférést konfigurál).
Hozzon létre egy új adatbázist visszaállítási célként, és adja meg a törölt forrásadatbázisból és a fenti identitásból beszerzett kulcsok előre feltöltött listáját (és összevont ügyfél-azonosítót, ha bérlők közötti hozzáférést konfigurál).
# Create a restored database
az sql db restore --dest-name $destName --name $databaseName --resource-group $resourceGroup --server $serverName --subscription $subscriptionId --time $timestamp -i --encryption-protector $encryptionProtector --user-assigned-identity-id $umi --keys $keys --deleted-time "2023-02-06T11:02:46.160000+00:00"
Fontos
$keys a forrásadatbázisból lekért kulcsok szóközzel elválasztott listája.
Az elsődleges adatbázis által használt kulcsok listájának előzetes feltöltése a Get-AzSqlDeletedDatabaseBackup paranccsal és a -ExpandKeyList paraméterrel. Javasoljuk, hogy adja át a forrásadatbázis által használt összes kulcsot. A visszaállítást a törléskor megadott kulcsokkal is megkísérelheti a -KeysFilter paraméter használatával.
Az alábbi szakasz bemutatja, hogyan állítható vissza az adatbázis georeplikált biztonsági másolata, amely ügyfél által felügyelt kulcsokkal van konfigurálva az adatbázis szintjén. Ha többet szeretne megtudni az SQL Database biztonsági mentési helyreállításáról, olvassa el az ADATBÁZIS helyreállítása az SQL Database-ben című témakört.
Lépjen az Azure Portalra , és keresse meg azt a logikai kiszolgálót, ahol vissza szeretné állítani az adatbázist.
Az Áttekintés menüben válassza az Adatbázis létrehozása lehetőséget.
Megjelenik az SQL Database létrehozása menü. Töltse ki az új adatbázis alapszintű és hálózatkezelési lapjait. A További beállítások területen válassza a Meglévő adatok használata szakasz Biztonsági mentése elemét, majd válasszon egy georeplikált biztonsági másolatot.
Lépjen a Biztonság lapra. A transzparens adattitkosítás Kulcskezelés szakaszban válassza a Transzparens adattitkosítás konfigurálása lehetőséget.
Amikor megjelenik a transzparens adattitkosítás menü, válassza az Adatbázisszintű ügyfél által felügyelt kulcs (CMK) lehetőséget. A felhasználó által hozzárendelt felügyelt identitásnak, az ügyfél által felügyelt kulcsnak és a további adatbáziskulcsnak meg kell egyeznie a visszaállítani kívánt forrásadatbázissal. Győződjön meg arról, hogy a felhasználó által hozzárendelt felügyelt identitás hozzáfér a biztonsági másolatban használt ügyfél által felügyelt kulcsot tartalmazó kulcstartóhoz.
A folytatáshoz válassza az Alkalmaz elemet, majd a Felülvizsgálat + létrehozás, majd a Létrehozás lehetőséget a biztonsági mentési adatbázis létrehozásához.
A paraméterrel előre feltöltheti az adatbázis geo backupja által használt kulcsok listáját az adatbázis szintjén, ügyfél által felügyelt kulcsokkal konfigurálva expand-keys .
az sql db geo-backup --database-name $databaseName --g $resourceGroup --server $serverName --expand-keys
Válassza ki a felhasználó által hozzárendelt felügyelt identitást (és összevont ügyfél-azonosítót, ha bérlőközi hozzáférést konfigurál).
Hozzon létre egy új adatbázist georedukciós célként, és adja meg a törölt forrásadatbázisból és a fenti identitásból beszerzett kulcsok előre feltöltött listáját (és összevont ügyfél-azonosítót, ha bérlők közötti hozzáférést konfigurál).
# Create a geo restored database
az sql db geo-backup restore --geo-backup-id "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/recoverableDatabases/{databaseName}" --dest-database $destName --resource-group $resourceGroup --dest-server $destServerName -i --encryption-protector $encryptionProtector --user-assigned-identity-id $umi --keys $keys
Fontos
$keys a forrásadatbázisból lekért kulcsok szóközzel elválasztott listája.
A hosszú távú adatmegőrzési (LTR) biztonsági másolatok nem tartalmazzák a biztonsági mentés által használt kulcsok listáját. Az LTR biztonsági mentésének visszaállításához a forrásadatbázis által használt összes kulcsot át kell adni az LTR visszaállítási célnak.
Megjegyzés:
Az Adatbázisszintű, ügyfél által felügyelt kulcsokkal rendelkező Azure SQL Database létrehozása másodlagos vagy másolási szakaszban kiemelt ARM-sablonra hivatkozva a paraméter módosításával visszaállíthatja az createMode adatbázist egy ARM-sablonnal.
Automatikus kulcsforgatási lehetőség másolt vagy visszaállított adatbázisokhoz
Az újonnan másolt vagy visszaállított adatbázisok konfigurálhatók úgy, hogy automatikusan elforgatják a transzparens adattitkosításhoz használt ügyfél által kezelt kulcsot. Az Automatikus kulcsváltás az Azure Portalon vagy API-k használatával történő engedélyezéséről további információt az automatikus kulcsváltás az adatbázis szintjén című témakörben talál.
További lépések
Tekintse meg a következő dokumentációt a különböző adatbázisszintű CMK-műveletekről: