Configurare la replica geografica e il ripristino del backup per Transparent Data Encryption con chiavi gestite dal cliente a livello di database

Si applica a:database SQL di Azure

Nota

CmK TDE a livello di database è disponibile per database SQL di Azure (tutte le edizioni database SQL). Non è disponibile per Istanza gestita di SQL di Azure, SQL Server locale, macchine virtuali di Azure e Azure Synapse Analytics (pool SQL dedicati (in precedenza SQL Data Warehouse)).

In questa guida vengono illustrati i passaggi per configurare la replica geografica e il ripristino del backup in un database SQL di Azure. Il database SQL di Azure è configurato con Transparent Data Encryption (TDE) e chiavi gestite dal cliente a livello di database, usando un'identità gestita assegnata dall'utente per accedere ad Azure Key Vault. Sia Azure Key Vault che il server logico per Azure SQL si trovano nello stesso tenant di Microsoft Entra per questa guida, ma possono trovarsi in tenant diversi.

Nota

Microsoft Entra ID era precedentemente noto come Azure Active Directory (Azure AD).

Prerequisiti

• Disporre di un database SQL di Azure configurato con chiavi gestite dal cliente a livello di database, ovvero il database di origine per queste operazioni. Per altre informazioni, vedere Transparent Data Encryption (TDE) con chiavi gestite dal cliente a livello di database.

Nota

La stessa guida può essere applicata per configurare le chiavi gestite dal cliente a livello di database in un tenant diverso includendo il parametro ID client federato. Per altre informazioni, vedere Gestione delle identità e delle chiavi per TDE con chiavi gestite dal cliente a livello di database.

Importante

Dopo aver creato o ripristinato il database, il menu Transparent Data Encryption nel portale di Azure mostrerà il nuovo database con le stesse impostazioni del database di origine, ma potrebbe non avere chiavi. In tutti i casi in cui viene creato un nuovo database da un database di origine, il numero di chiavi visualizzate per un database di destinazione nell'elenco portale di Azure Chiavi di database aggiuntive potrebbe essere inferiore al numero di chiavi visualizzate per un database di origine. Questo perché il numero di chiavi visualizzate dipende dai singoli requisiti di funzionalità usati per creare un database di destinazione. Per elencare tutte le chiavi disponibili per un database appena creato, usare le API disponibili in Visualizzare le impostazioni della chiave gestita dal cliente a livello di database in un database SQL di Azure.

Creare un database SQL di Azure con chiavi gestite dal cliente a livello di database come secondario o copia

Usare le istruzioni o i comandi seguenti per creare una replica secondaria o copiare una destinazione di una database SQL di Azure configurata con chiavi gestite dal cliente a livello di database. È necessaria un'identità gestita assegnata dall'utente per configurare una chiave gestita dal cliente per Transparent Data Encryption durante la fase di creazione del database.

Portale

Creare una copia del database con chiavi gestite dal cliente a livello di database

Per creare un database in database SQL di Azure come copia con chiavi gestite dal cliente a livello di database, seguire questa procedura:

1. Passare alla portale di Azure e passare alla database SQL di Azure configurata con chiavi gestite dal cliente a livello di database. Accedere alla scheda Transparent Data Encryption del menu Crittografia dati e selezionare l'elenco delle chiavi correnti in uso dal database.

   

2. Creare una copia del database selezionando Copia dal menu Panoramica del database.

   

3. Viene visualizzato il menu Crea database SQL - Copia database. Usare un server diverso per questo database, ma le stesse impostazioni del database che si sta tentando di copiare. Nella sezione Transparent Data Encryption Key Management (Gestione chiavi Transparent Data Encryption) selezionare Configure Transparent Data Encryption (Configura Transparent Data Encryption).

   

4. Quando viene visualizzato il menu Transparent Data Encryption , esaminare le impostazioni cmk per questo database di copia. Le impostazioni e le chiavi devono essere popolate con la stessa identità e le stesse chiavi usate nel database di origine.

5. Selezionare Applica per continuare, quindi selezionare Rivedi e crea e Crea per creare il database di copia.

Creare una replica secondaria con chiavi gestite dal cliente a livello di database

1. Passare alla portale di Azure e passare alla database SQL di Azure configurata con chiavi gestite dal cliente a livello di database. Accedere al menu Transparent Data Encryption e controllare l'elenco delle chiavi correnti in uso dal database.

   

2. In Impostazioni di gestione dei dati per il database selezionare Repliche. Selezionare Crea replica per creare una replica secondaria del database.

   

3. Viene visualizzato il menu Crea database SQL - Replica geografica. Usare un server secondario per questo database, ma le stesse impostazioni del database che si sta tentando di replicare. Nella sezione Transparent Data Encryption Key Management (Gestione chiavi Transparent Data Encryption) selezionare Configure Transparent Data Encryption (Configura Transparent Data Encryption).

   

4. Quando viene visualizzato il menu Transparent Data Encryption , esaminare le impostazioni cmk per questa replica di database. Le impostazioni e le chiavi devono essere popolate con la stessa identità e le stesse chiavi usate nel database primario.

5. Selezionare Applica per continuare, quindi selezionare Rivedi e crea e Crea per creare il database di copia.

Interfaccia della riga di comando di Azure

Per informazioni sull'installazione della versione corrente dell'interfaccia della riga di comando di Azure, vedere Installare l'interfaccia della riga di comando di Azure .

• Prepopolare l'elenco delle chiavi correnti in uso dal database primario usando il expand-keys parametro con current come keys-filter.

  az sql db show --name $databaseName --resource-group $resourceGroup --server $serverName --expand-keys --keys-filter current
  

• Selezionare l'identità gestita assegnata dall'utente e l'ID client federato se si configura l'accesso tra tenant.

• Creare un nuovo database come secondario e fornire l'elenco prepopolato di chiavi ottenute dal database di origine e l'identità precedente (e l'ID client federato se si configura l'accesso tra tenant).

  # Create a secondary replica with Active Geo Replication with the same name as the primary database
  
  az sql db replica create -g $resourceGroup -s $serverName -n $databaseName --partner-server $secondaryServer --partner-database $secondaryDatabase --partner-resource-group $secondaryResourceGroup -i --encryption-protector $encryptionProtector --user-assigned-identity-id $umi --keys $keys
  

  Importante

  $keys è un elenco separato di spazi di chiavi recuperate dal database di origine.

• Per creare una copia del database, è possibile usare az sql db copy con gli stessi parametri.

  # Create a copy of a database configured with database level customer-managed keys
  az sql db copy -g $resourceGroup -s $serverName -n $databaseName --dest-name $secondaryDatabase -i --encryption-protector $encryptionProtector --user-assigned-identity-id $umi --keys $keys
  

PowerShell

Per istruzioni sull'installazione del modulo Az PowerShell, vedere Installare Azure PowerShell. Per cmdlet specifici, vedere AzureRM.Sql.

• Prepopolare l'elenco delle chiavi correnti in uso dal database primario usando il comando Get-AzSqlDatabase e i -ExpandKeyList parametri e -KeysFilter "current" . Escludere -KeysFilter se si desidera recuperare tutte le chiavi.

  $database = Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter "current"
  

• Selezionare l'identità gestita assegnata dall'utente e l'ID client federato se si configura l'accesso tra tenant.

• Creare un nuovo database come secondario usando il comando New-AzSqlDatabaseSecondary e fornire l'elenco prepopolato di chiavi ottenute dal database di origine e l'identità precedente (e l'ID client federato se si configura l'accesso tra tenant) nella chiamata API usando i -KeyListparametri , -AssignIdentity, -UserAssignedIdentityId( -EncryptionProtector e, se necessario, -FederatedClientId) .

  # Create a secondary replica with Active Geo Replication with the same name as the primary database
  $database = Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter "current"
  
  $database | New-AzSqlDatabaseSecondary -PartnerResourceGroupName <SecondaryResourceGroupName> -PartnerServerName <SecondaryServerName> -AllowConnections "All" -AssignIdentity -UserAssignedIdentityId <UserAssignedIdentityId> -EncryptionProtector <CustomerManagedKeyId> -FederatedClientId <FederatedClientId>
  -KeyList $database.Keys.Keys
  

• Per creare una copia del database, è possibile usare New-AzSqlDatabaseCopy con gli stessi parametri.

# Create a copy of a database configured with database level customer-managed keys
$database = Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter "current"

New-AzSqlDatabaseCopy -CopyDatabaseName <CopyDatabaseName> -CopyResourceGroupName <CopyResourceGroupName> -CopyServerName <CopyServerName> -DatabaseName <DatabaseName> -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -AssignIdentity -UserAssignedIdentityId <UserAssignedIdentityId> -EncryptionProtector <CustomerManagedKeyId> -FederatedClientId <FederatedClientId>
-KeyList $database.Keys.Keys

Modello ARM

Ecco un esempio di modello di Resource Manager che crea una replica secondaria e una copia di un database SQL di Azure configurato con un'identità gestita assegnata dall'utente e TDE gestito dal cliente a livello di database.

Per altre informazioni e modelli di Resource Manager, vedere Modelli di Azure Resource Manager per database SQL di Azure e Istanza gestita di SQL.

Usa una distribuzione personalizzata nel portale di Azure e crea un modello personalizzato nell'editor. Salva quindi la configurazione dopo aver incollato l'esempio.

• Prepopolare l'elenco delle chiavi correnti in uso dal database primario usando la richiesta dell'API REST seguente:

  GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}?api-version=2022-08-01-preview&$expand=keys($filter=pointInTime('current'))
  

• Selezionare l'identità gestita assegnata dall'utente e l'ID client federato se si configura l'accesso tra tenant.

• Creare un nuovo database come secondario e fornire l'elenco prepopolato di chiavi ottenute dal database di origine e l'identità precedente (e l'ID client federato se si configura l'accesso tra tenant) nel modello di Resource Manager come keys_to_add parametro.

  {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
      "server_name": {
        "type": "String"
      },
      "database_name": {
        "type": "String"
      },
      "user_assigned_identity": {
        "type": "String"
      },
      "encryption_protector": {
        "type": "String"
      },
      "location": {
        "type": "String"
      },
      "source_database_id": {
        "type": "String"
      },
      "keys_to_add": {
        "type": "Object"
      }
    },
    "variables": {},
    "resources": [
      {
        "type": "Microsoft.Sql/servers/databases",
        "apiVersion": "2022-08-01-preview",
        "name": "[concat(parameters('server_name'), concat('/',parameters('database_name')))]",
        "location": "[parameters('location')]",
        "sku": {
          "name": "Basic",
          "tier": "Basic",
          "capacity": 5
        },
        "identity": {
          "type": "UserAssigned",
          "userAssignedIdentities": {
            "[parameters('user_assigned_identity')]": {}
          }
        },
        "properties": {
          "collation": "SQL_Latin1_General_CP1_CI_AS",
          "maxSizeBytes": 104857600,
          "catalogCollation": "SQL_Latin1_General_CP1_CI_AS",
          "zoneRedundant": false,
          "readScale": "Disabled",
          "requestedBackupStorageRedundancy": "Geo",
          "maintenanceConfigurationId": "/subscriptions/e1775f9f-xxxx-xxxx-xxxx-xxxxxxxxxxxx/providers/Microsoft.Maintenance/publicMaintenanceConfigurations/SQL_Default",
          "isLedgerOn": false,
          "encryptionProtector": "[parameters('encryption_protector')]",
          "keys": "[parameters('keys_to_add')]",
          "createMode": "Secondary",
          "sourceDatabaseId": "[parameters('source_database_id')]"
        }
      }
    ]
  }
  

  Un esempio del encryption_protector parametro e keys_to_add è:

      "keys_to_add": {
        "value": {
          "https://yourvault.vault.azure.net/keys/yourkey1/fd021f84a0d94d43b8ef33154bca0000": {},
          "https://yourvault.vault.azure.net/keys/yourkey2/fd021f84a0d94d43b8ef33154bca0000": {}
        }
      },
      "encryption_protector": {
        "value": "https://yourvault.vault.azure.net/keys/yourkey2/fd021f84a0d94d43b8ef33154bca0000"
      }
  

• Per creare una copia del database, è possibile usare il modello seguente con gli stessi parametri.

  {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
      "server_name": {
        "type": "String"
      },
      "database_name": {
        "type": "String"
      },
      "user_assigned_identity": {
        "type": "String"
      },
      "encryption_protector": {
        "type": "String"
      },
      "location": {
        "type": "String"
      },
      "source_database_id": {
        "type": "String"
      },
      "keys_to_add": {
        "type": "Object"
      }
    },
    "variables": {},
    "resources": [
      {
        "type": "Microsoft.Sql/servers/databases",
        "apiVersion": "2022-08-01-preview",
        "name": "[concat(parameters('server_name'), concat('/',parameters('database_name')))]",
        "location": "[parameters('location')]",
        "sku": {
          "name": "Basic",
          "tier": "Basic",
          "capacity": 5
        },
        "identity": {
          "type": "UserAssigned",
          "userAssignedIdentities": {
            "[parameters('user_assigned_identity')]": {}
          }
        },
        "properties": {
          "collation": "SQL_Latin1_General_CP1_CI_AS",
          "maxSizeBytes": 104857600,
          "catalogCollation": "SQL_Latin1_General_CP1_CI_AS",
          "zoneRedundant": false,
          "readScale": "Disabled",
          "requestedBackupStorageRedundancy": "Geo",
          "maintenanceConfigurationId": "/subscriptions/e1775f9f-xxxx-xxxx-xxxx-xxxxxxxxxxxx/providers/Microsoft.Maintenance/publicMaintenanceConfigurations/SQL_Default",
          "isLedgerOn": false,
          "encryptionProtector": "[parameters('encryption_protector')]",
          "keys": "[parameters('keys_to_add')]",
          "createMode": "Copy",
          "sourceDatabaseId": "[parameters('source_database_id')]"
        }
      }
    ]
  }
  

Ripristinare un database SQL di Azure con chiavi gestite dal cliente a livello di database

Questa sezione illustra i passaggi per ripristinare un database SQL di Azure configurato con chiavi gestite dal cliente a livello di database. È necessaria un'identità gestita assegnata dall'utente per configurare una chiave gestita dal cliente per Transparent Data Encryption durante la fase di creazione del database.

Ripristino temporizzato

La sezione seguente descrive come ripristinare un database configurato con chiavi gestite dal cliente a livello di database a un determinato punto nel tempo. Per altre informazioni sul ripristino di backup per database SQL, vedere Ripristinare un database in database SQL.

Portale

1. Passare alla portale di Azure e passare alla database SQL di Azure configurata con chiavi gestite dal cliente a livello di database da ripristinare.

2. Per ripristinare il database a un punto nel tempo, selezionare Ripristina dal menu Panoramica del database.

   

3. Viene visualizzato il menu Crea database SQL - Ripristina database. Immettere i dettagli dell'origine e del database necessari. Nella sezione Transparent Data Encryption Key Management (Gestione chiavi Transparent Data Encryption) selezionare Configure Transparent Data Encryption (Configura Transparent Data Encryption).

   

4. Quando viene visualizzato il menu Transparent Data Encryption , esaminare le impostazioni cmk per il database. Le impostazioni e le chiavi devono essere popolate con la stessa identità e le stesse chiavi usate nel database che si sta tentando di ripristinare.

5. Selezionare Applica per continuare, quindi selezionare Rivedi e crea e Crea per creare il database di copia.

Interfaccia della riga di comando di Azure

Per informazioni sull'installazione della versione corrente dell'interfaccia della riga di comando di Azure, vedere Installare l'interfaccia della riga di comando di Azure .

• Prepopolare l'elenco di chiavi usate dal database primario usando il parametro con il expand-keys punto di ripristino nel tempo come keys-filter.

  az sql db show --name $databaseName --resource-group $resourceGroup --server $serverName --expand-keys --keys-filter $timestamp
  

• Selezionare l'identità gestita assegnata dall'utente e l'ID client federato se si configura l'accesso tra tenant.

• Creare un nuovo database come destinazione di ripristino e fornire l'elenco prepopolato di chiavi ottenute dal database di origine e l'identità precedente (e l'ID client federato se si configura l'accesso tra tenant).

  # Create a restored database
  az sql db restore --dest-name $destName --name $databaseName --resource-group $resourceGroup --server $serverName --subscription $subscriptionId --time $timestamp -i --encryption-protector $encryptionProtector --user-assigned-identity-id $umi --keys $keys
  

  Importante

  $keys è un elenco separato di spazi di chiavi recuperate dal database di origine.

PowerShell

Per istruzioni sull'installazione del modulo Az PowerShell, vedere Installare Azure PowerShell. Per cmdlet specifici, vedere AzureRM.Sql.

• Prepopolare l'elenco di chiavi usate dal database primario usando il comando Get-AzSqlDatabase e i -ExpandKeyList parametri e -KeysFilter "2023-01-01" (2023-01-01 è un esempio del momento in cui si vuole ripristinare il database). Escludere -KeysFilter se si desidera recuperare tutte le chiavi.

  $database = Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter <Timestamp>
  

• Selezionare l'identità gestita assegnata dall'utente e l'ID client federato se si configura l'accesso tra tenant.

• Usare il comando Restore-AzSqlDatabase con il -FromPointInTimeBackup parametro e specificare l'elenco prepopolato di chiavi ottenute dai passaggi precedenti e l'identità precedente (e l'ID client federato se si configura l'accesso tra tenant) nella chiamata API usando i -KeyListparametri , -AssignIdentity, -UserAssignedIdentityId( -EncryptionProtector e, se necessario, -FederatedClientId) .

  $database = Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter <Timestamp>
  
  # Create a restored database
  Restore-AzSqlDatabase -FromPointInTimeBackup -PointInTime <Timestamp> -ResourceId '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}' -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -TargetDatabaseName <TargetDatabaseName> -KeyList $database.Keys.Keys -EncryptionProtector <EncryptionProtector> -UserAssignedIdentityId <UserAssignedIdentityId> -AssignIdentity
  

Ripristino del database eliminato

La sezione seguente descrive come ripristinare un database eliminato configurato con chiavi gestite dal cliente a livello di database. Per altre informazioni sul ripristino di backup per database SQL, vedere Ripristinare un database in database SQL.

Portale

1. Passare al portale di Azure e passare al server logico per il database eliminato da ripristinare. In Gestione dati selezionare Database eliminati.

   

2. Selezionare il database eliminato che si vuole ripristinare.

3. Viene visualizzato il menu Crea database SQL - Ripristina database. Immettere i dettagli dell'origine e del database necessari. Nella sezione Transparent Data Encryption Key Management (Gestione chiavi Transparent Data Encryption) selezionare Configure Transparent Data Encryption (Configura Transparent Data Encryption).

   

4. Quando viene visualizzato il menu Transparent Data Encryption , configurare la sezione Identità gestita assegnata dall'utente, Chiave gestita dal cliente e Chiavi di database aggiuntive per il database.

5. Selezionare Applica per continuare, quindi selezionare Rivedi e crea e Crea per creare il database di copia.

Interfaccia della riga di comando di Azure

Per informazioni sull'installazione della versione corrente dell'interfaccia della riga di comando di Azure, vedere Installare l'interfaccia della riga di comando di Azure .

• Prepopolare l'elenco di chiavi usate dal database eliminato usando il expand-keys parametro . È consigliabile passare tutte le chiavi in uso nel database di origine. È anche possibile tentare un ripristino con le chiavi fornite in fase di eliminazione usando il keys-filter parametro .

  az sql db show-deleted --name $databaseName --resource-group $resourceGroup --server $serverName --restorable-dropped-database-id "databaseName,133201549661600000" --expand-keys
  

  Importante

  restorable-dropped-database-id può essere recuperato elencando tutti i database eliminati ripristinabili nel server ed è del formato databaseName,deletedTimestamp.

• Selezionare l'identità gestita assegnata dall'utente e l'ID client federato se si configura l'accesso tra tenant.

• Creare un nuovo database come destinazione di ripristino e fornire l'elenco prepopolato di chiavi ottenute dal database di origine eliminato e l'identità precedente (e l'ID client federato se si configura l'accesso tra tenant).

  # Create a restored database
  az sql db restore --dest-name $destName --name $databaseName --resource-group $resourceGroup --server $serverName --subscription $subscriptionId --time $timestamp -i --encryption-protector $encryptionProtector --user-assigned-identity-id $umi --keys $keys --deleted-time "2023-02-06T11:02:46.160000+00:00"
  

  Importante

  $keys è un elenco separato di spazi di chiavi recuperate dal database di origine.

PowerShell

Per istruzioni sull'installazione del modulo Az PowerShell, vedere Installare Azure PowerShell. Per cmdlet specifici, vedere AzureRM.Sql.

• Prepopolare l'elenco di chiavi usate dal database primario usando il comando Get-AzSqlDeletedDatabaseBackup e il -ExpandKeyList parametro . È consigliabile passare tutte le chiavi in uso nel database di origine. È anche possibile tentare un ripristino con le chiavi fornite in fase di eliminazione usando il -KeysFilter parametro .

  $database = Get-AzSqlDeletedDatabaseBackup -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseId "dbName,133201549661600000" -ExpandKeyList -DeletionDate "2/6/2023" -DatabaseName <databaseName>
  

  Importante

  DatabaseId può essere recuperato elencando tutti i database eliminati ripristinabili nel server ed è del formato databaseName,deletedTimestamp.

• Selezionare l'identità gestita assegnata dall'utente e l'ID client federato se si configura l'accesso tra tenant.

• Usare il comando Restore-AzSqlDatabase con il -FromDeletedDatabaseBackup parametro e specificare l'elenco prepopolato di chiavi ottenute dai passaggi precedenti e l'identità precedente (e l'ID client federato se si configura l'accesso tra tenant) nella chiamata API usando i -KeyListparametri , -AssignIdentity, -UserAssignedIdentityId( -EncryptionProtector e, se necessario, -FederatedClientId) .

  $database = Get-AzSqlDeletedDatabaseBackup -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseId "dbName,133201549661600000" -ExpandKeyList -DeletionDate <DeletionDate> -DatabaseName <databaseName>
  
  # Create a restored database
  Restore-AzSqlDatabase -FromDeletedDatabaseBackup -DeletionDate <Timestamp> -ResourceId '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/restorableDroppedDatabases/{databaseName}' -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -TargetDatabaseName <TargetDatabaseName> -KeyList $database.Keys.Keys -EncryptionProtector <EncryptionProtector> -UserAssignedIdentityId <UserAssignedIdentityId> -AssignIdentity
  

Ripristino geografico

La sezione seguente descrive come ripristinare un backup con replica geografica del database configurato con chiavi gestite dal cliente a livello di database. Per altre informazioni sul ripristino di backup per database SQL, vedere Ripristinare un database in database SQL.

Portale

1. Passare al portale di Azure e passare al server logico in cui si vuole ripristinare il database.

2. Nel menu Panoramica selezionare Crea database.

3. Viene visualizzato il menu Crea database SQL. Compilare le schede Basic e Networking per il nuovo database. In Impostazioni aggiuntive selezionare Backup per la sezione Usa dati esistenti e selezionare un backup con replica geografica.

   

4. Passare alla scheda Sicurezza . Nella sezione Transparent Data Encryption Key Management (Gestione chiavi Transparent Data Encryption) selezionare Configure Transparent Data Encryption (Configura Transparent Data Encryption).

5. Quando viene visualizzato il menu Transparent Data Encryption, selezionare Chiave gestita dal cliente a livello di database. L'identità gestita assegnata dall'utente, la chiave gestita dal cliente e le chiavi di database aggiuntive devono corrispondere al database di origine da ripristinare. Assicurarsi che l'identità gestita assegnata dall'utente abbia accesso all'insieme di credenziali delle chiavi contenente la chiave gestita dal cliente usata nel backup.

6. Selezionare Applica per continuare e quindi selezionare Rivedi e crea e Crea per creare il database di backup.

Interfaccia della riga di comando di Azure

Per informazioni sull'installazione della versione corrente dell'interfaccia della riga di comando di Azure, vedere Installare l'interfaccia della riga di comando di Azure .

• Prepopolare l'elenco di chiavi usate dal backup geografico del database configurato con chiavi gestite dal cliente a livello di database usando il expand-keys parametro .

  az sql db geo-backup --database-name $databaseName --g $resourceGroup --server $serverName  --expand-keys
  

• Selezionare l'identità gestita assegnata dall'utente e l'ID client federato se si configura l'accesso tra tenant.

• Creare un nuovo database come destinazione di ripristino geografico e fornire l'elenco prepopolato di chiavi ottenute dal database di origine eliminato e l'identità precedente (e l'ID client federato se si configura l'accesso tra tenant).

  # Create a geo restored database
  az sql db geo-backup restore --geo-backup-id "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/recoverableDatabases/{databaseName}" --dest-database $destName --resource-group $resourceGroup --dest-server $destServerName -i --encryption-protector $encryptionProtector --user-assigned-identity-id $umi --keys $keys
  

  Importante

  $keys è un elenco separato di spazi di chiavi recuperate dal database di origine.

PowerShell

Per istruzioni sull'installazione del modulo Az PowerShell, vedere Installare Azure PowerShell. Per cmdlet specifici, vedere AzureRM.Sql.

• Prepopolare l'elenco di chiavi usate dal database primario usando il comando Get-AzSqlDatabaseGeoBackup e per -ExpandKeyList recuperare tutte le chiavi.

  $database = Get-AzSqlDatabaseGeoBackup -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <databaseName> -ExpandKeyList
  

  Importante

  DatabaseId può essere recuperato elencando tutti i database eliminati ripristinabili nel server ed è del formato databaseName,deletedTimestamp.

• Selezionare l'identità gestita assegnata dall'utente e l'ID client federato se si configura l'accesso tra tenant.

• Usare il comando Restore-AzSqlDatabase con il -FromGeoBackup parametro e specificare l'elenco prepopolato di chiavi ottenute dai passaggi precedenti e l'identità precedente (e l'ID client federato se si configura l'accesso tra tenant) nella chiamata API usando i -KeyListparametri , -AssignIdentity, -UserAssignedIdentityId( -EncryptionProtector e, se necessario, -FederatedClientId) .

  $database = Get-AzSqlDatabaseGeoBackup -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <databaseName> -ExpandKeyList
  
  # Create a restored database
  Restore-AzSqlDatabase -FromGeoBackup -ResourceId "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/recoverableDatabases/{databaseName}" -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -TargetDatabaseName <TargetDatabaseName> -KeyList $database.Keys.Keys -EncryptionProtector <EncryptionProtector> -UserAssignedIdentityId <UserAssignedIdentityId> -AssignIdentity
  

Importante

I backup con conservazione a lungo termine (LTR) non forniscono l'elenco delle chiavi usate dal backup. Per ripristinare un backup con conservazione a lungo termine, tutte le chiavi usate dal database di origine devono essere passate alla destinazione di ripristino con conservazione a lungo termine.

Nota

È possibile fare riferimento al modello di Resource Manager evidenziato nella sezione Creare un database SQL di Azure con chiavi gestite dal cliente a livello di database come replica secondaria o copia per ripristinare il database con un modello di Resource Manager modificando il createMode parametro .

Opzione di rotazione automatica delle chiavi per i database copiati o ripristinati

I database appena copiati o ripristinati possono essere configurati per ruotare automaticamente la chiave gestita dal cliente usata per Transparent Data Encryption. Per informazioni su come abilitare la rotazione automatica delle chiavi nella portale di Azure o sull'uso delle API, vedere Rotazione automatica delle chiavi a livello di database.

Passaggi successivi

Vedere la documentazione seguente su varie operazioni cmk a livello di database:

• Transparent Data Encryption (TDE) con chiavi gestite dal cliente a livello di database

• Gestione delle identità e delle chiavi per TDE con chiavi gestite dal cliente a livello di database