Membuat cadangan terenkripsi

Berlaku untuk:SQL Server

Artikel ini menjelaskan langkah-langkah yang diperlukan untuk membuat cadangan terenkripsi menggunakan Transact-SQL. Untuk contoh menggunakan SQL Server Management Studio, lihat Membuat Pencadangan Database Lengkap.

Perhatian

Untuk memulihkan database terenkripsi, Anda memerlukan akses ke sertifikat atau kunci asimetris yang digunakan untuk mengenkripsi database tersebut. Tanpa sertifikat atau kunci asimetris, Anda tidak dapat memulihkan database tersebut. Simpan sertifikat yang digunakan untuk mengenkripsi kunci enkripsi database selama Anda perlu menyimpan cadangan. Untuk informasi selengkapnya, lihat Sertifikat SQL Server dan Kunci Asimetris.

Prasyarat

• Penyimpanan untuk cadangan terenkripsi. Bergantung pada opsi mana yang Anda pilih, salah satu dari:

  • Disk lokal atau ke penyimpanan dengan ruang yang memadai untuk membuat cadangan database.
  • Akun Azure Storage dan kontainer. Untuk informasi selengkapnya, lihat Membuat akun penyimpanan.

• Kunci master database (DMK) untuk master database, dan sertifikat atau kunci asimetris pada instans SQL Server. Untuk persyaratan dan izin enkripsi, lihat Enkripsi cadangan.

Membuat kunci master database (DMK)

Pilih kata sandi untuk mengenkripsi salinan DMK yang akan disimpan dalam database. Koneksi ke Mesin Database, mulai jendela kueri baru, salin dan tempel contoh berikut, dan pilih Jalankan.

Ganti <master key password> dengan kata sandi yang kuat, dan pastikan Anda menyimpan salinan DMK dan kata sandi di lokasi yang aman.

USE master;
GO

CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<master key password>';
GO

Membuat sertifikat cadangan

Buat sertifikat cadangan di master database. Salin dan tempel contoh berikut ke dalam jendela kueri dan pilih Jalankan.

Use master;
GO

CREATE CERTIFICATE MyTestDBBackupEncryptCert
    WITH SUBJECT = 'MyTestDB Backup Encryption Certificate';
GO

Mencadangkan database dengan enkripsi

Ada dua opsi utama untuk membuat cadangan terenkripsi:

• Mencadangkan ke disk
• Mencadangkan ke Azure Storage

Mencadangkan ke disk

Gunakan langkah-langkah berikut untuk membuat cadangan database terenkripsi ke disk lokal. Contoh ini menggunakan database pengguna yang disebut MyTestDB.

Tentukan algoritma enkripsi dan sertifikat yang akan digunakan. Salin dan tempel contoh berikut ke dalam jendela kueri dan pilih Jalankan.

Ganti <path_to_local_backup> ke jalur lokal tempat SQL Server memiliki izin untuk menulis. Misalnya, jalur ini mungkin .D:\SQLBackup

BACKUP DATABASE [MyTestDB]
TO DISK = N'<path_to_local_backup>\MyTestDB.bak'
WITH
COMPRESSION,
ENCRYPTION (
    ALGORITHM = AES_256,
    SERVER CERTIFICATE = MyTestDBBackupEncryptCert
),
STATS = 10;
GO

Untuk contoh mengenkripsi cadangan yang dilindungi oleh Extensible Key Management (EKM), lihat Extensible Key Management Using Azure Key Vault (SQL Server).

Mencadangkan ke Azure Storage

Jika Anda membuat cadangan ke penyimpanan Azure menggunakan opsi Cadangan SQL Server ke URL , langkah-langkah enkripsinya sama, tetapi Anda harus menggunakan URL sebagai tujuan dan Kredensial SQL untuk mengautentikasi ke penyimpanan Azure. Jika Anda ingin mengonfigurasi cadangan terkelola SQL Server ke Microsoft Azure dengan opsi enkripsi, lihat Mengaktifkan pencadangan terkelola SQL Server ke Azure.

Membuat kredensial SQL Server

Untuk membuat kredensial SQL Server, sambungkan ke Mesin Database, buka jendela kueri baru, dan salin dan tempel contoh berikut dan pilih Jalankan.

Ganti <mystorageaccount> dengan nama akun penyimpanan yang Anda tentukan saat membuat akun penyimpanan, dan <storage account access key> dengan Kunci Akses Primer atau Sekunder untuk akun penyimpanan.

CREATE CREDENTIAL mycredential
WITH IDENTITY = '<mystorageaccount>',
SECRET = '<storage account access key>';

Mencadangkan database

Tentukan algoritma enkripsi dan sertifikat yang akan digunakan. Salin dan tempel contoh berikut ke dalam jendela kueri dan pilih Jalankan.

Dalam contoh ini, mycredential adalah nama kredensial yang dibuat sebelumnya, <mystorageaccountname> adalah nama akun penyimpanan Anda, dan <mycontainername> merupakan nama kontainer penyimpanan Anda.

BACKUP DATABASE AdventureWorks2022
TO URL = 'https://<mystorageaccountname>.blob.core.windows.net/<mycontainername>/AdventureWorks2022.bak'
WITH CREDENTIAL = 'mycredential',
COMPRESSION,
ENCRYPTION (
    ALGORITHM = AES_256,
    SERVER CERTIFICATE = MyTestDBBackupEncryptCert
),
STATS = 10;
GO

Konten terkait

• Memulihkan Pencadangan Database Menggunakan SQL Server Management Directory
• Hierarki Enkripsi
• Gambaran umum pencadangan (SQL Server)