Konfigurera geo-replikering och återställning av säkerhetskopior för transparent datakryptering med kundhanterade nycklar på databasnivå
Gäller för:Azure SQL Database
Kommentar
TDE CMK på databasnivå är tillgängligt för Azure SQL Database (alla SQL Database-utgåvor). Den är inte tillgänglig för Azure SQL Managed Instance, SQL Server lokalt, virtuella Azure-datorer och Azure Synapse Analytics (dedikerade SQL-pooler (tidigare SQL DW)).
I den här guiden går vi igenom stegen för att konfigurera geo-replikering och återställning av säkerhetskopior i en Azure SQL Database. Azure SQL Database konfigureras med transparent datakryptering (TDE) och kundhanterade nycklar (CMK) på databasnivå, med hjälp av en användartilldelad hanterad identitet för åtkomst till Azure Key Vault. Både Azure Key Vault och den logiska servern för Azure SQL finns i samma Microsoft Entra-klientorganisation för den här guiden, men de kan finnas i olika klientorganisationer.
Kommentar
Microsoft Entra-ID är det nya namnet för Azure Active Directory (Azure AD). Vi uppdaterar dokumentationen just nu.
Förutsättningar
- Ha en Azure SQL Database konfigurerad med kundhanterade nycklar på databasnivå, vilket är källdatabasen för dessa åtgärder. Mer information finns i Transparent datakryptering (TDE) med kundhanterade nycklar på databasnivå.
Kommentar
Samma guide kan användas för att konfigurera kundhanterade nycklar på databasnivå i en annan klientorganisation genom att inkludera parametern federerat klient-ID. Mer information finns i Identitets- och nyckelhantering för TDE med kundhanterade nycklar på databasnivå.
Viktigt!
När databasen har skapats eller återställts visar menyn transparent datakryptering i Azure-portalen den nya databasen med samma inställningar som källdatabasen, men nycklar kan saknas. I alla fall där en ny databas skapas från en källdatabas kan antalet nycklar som visas för en måldatabas i listan Ytterligare databasnycklar i Azure-portalen vara mindre än antalet nycklar som visas för en källdatabas. Det beror på att antalet visade nycklar beror på enskilda funktionskrav som används för att skapa en måldatabas. Om du vill visa en lista över alla nycklar som är tillgängliga för en nyligen skapad databas använder du de tillgängliga API:erna i Visa kundhanterade nyckelinställningar på databasnivå i en Azure SQL Database.
Skapa en Azure SQL Database med kundhanterade nycklar på databasnivå som sekundär eller kopia
Använd följande instruktioner eller kommandon för att skapa en sekundär replik eller kopia av en Azure SQL Database som konfigurerats med kundhanterade nycklar på databasnivå. En användartilldelad hanterad identitet krävs för att konfigurera en kundhanterad nyckel för transparent datakryptering under fasen för att skapa databasen.
Skapa en databaskopia som har kundhanterade nycklar på databasnivå
Följ dessa steg för att skapa en databas i Azure SQL Database som en kopia med kundhanterade nycklar på databasnivå:
Gå till Azure-portalen och gå till Azure SQL Database som konfigurerats med kundhanterade nycklar på databasnivå. Öppna fliken transparent datakryptering i menyn Datakryptering och kontrollera listan över aktuella nycklar som används av databasen.
Skapa en kopia av databasen genom att välja Kopiera på översiktsmenyn i databasen.
Menyn Skapa SQL Database – Kopiera databas visas. Använd en annan server för den här databasen, men samma inställningar som den databas som du försöker kopiera. I avsnittet transparent datakryptering Nyckelhantering väljer du Konfigurera transparent datakryptering.
När menyn transparent datakryptering visas granskar du CMK-inställningarna för den här kopieringsdatabasen. Inställningarna och nycklarna ska fyllas i med samma identitet och nycklar som används i källdatabasen.
Välj Använd för att fortsätta och välj sedan Granska + skapa och Skapa för att skapa kopieringsdatabasen.
Skapa en sekundär replik som har kundhanterade nycklar på databasnivå
Gå till Azure-portalen och gå till Azure SQL Database som konfigurerats med kundhanterade nycklar på databasnivå. Öppna transparent datakryptering-menyn och kontrollera listan över aktuella nycklar som används av databasen.
Under Datahanteringsinställningar för databasen väljer du Repliker. Välj Skapa replik för att skapa en sekundär replik av databasen.
Menyn Skapa SQL Database – Geo Replica visas. Använd en sekundär server för den här databasen, men samma inställningar som den databas som du försöker replikera. I avsnittet transparent datakryptering Nyckelhantering väljer du Konfigurera transparent datakryptering.
När menyn transparent datakryptering visas granskar du CMK-inställningarna för den här databasrepliken. Inställningarna och nycklarna ska fyllas i med samma identitet och nycklar som används i den primära databasen.
Välj Använd för att fortsätta och välj sedan Granska + skapa och Skapa för att skapa kopieringsdatabasen.
Återställa en Azure SQL Database med kundhanterade nycklar på databasnivå
I det här avsnittet går vi igenom stegen för att återställa en Azure SQL Database som konfigurerats med kundhanterade nycklar på databasnivå. En användartilldelad hanterad identitet krävs för att konfigurera en kundhanterad nyckel för transparent datakryptering under fasen för att skapa databasen.
Återställning till tidpunkt
I följande avsnitt beskrivs hur du återställer en databas som konfigurerats med kundhanterade nycklar på databasnivå till en viss tidpunkt. Mer information om säkerhetskopieringsåterställning för SQL Database finns i Återställa en databas i SQL Database.
Gå till Azure-portalen och gå till Azure SQL Database som konfigurerats med kundhanterade nycklar på databasnivå som du vill återställa.
Om du vill återställa databasen till en tidpunkt väljer du Återställ på översiktsmenyn i databasen.
Menyn Skapa SQL Database – Återställ databas visas. Fyll i den käll- och databasinformation som behövs. I avsnittet transparent datakryptering Nyckelhantering väljer du Konfigurera transparent datakryptering.
När menyn transparent datakryptering visas granskar du CMK-inställningarna för databasen. Inställningarna och nycklarna ska fyllas i med samma identitet och nycklar som används i databasen som du försöker återställa.
Välj Använd för att fortsätta och välj sedan Granska + skapa och Skapa för att skapa kopieringsdatabasen.
Databasåterställning har tagits bort
I följande avsnitt beskrivs hur du återställer en borttagen databas som har konfigurerats med kundhanterade nycklar på databasnivå. Mer information om säkerhetskopieringsåterställning för SQL Database finns i Återställa en databas i SQL Database.
Gå till Azure-portalen och gå till den logiska servern för den borttagna databas som du vill återställa. Under Datahantering väljer du Borttagna databaser.
Välj den borttagna databas som du vill återställa.
Menyn Skapa SQL Database – Återställ databas visas. Fyll i den käll- och databasinformation som behövs. I avsnittet transparent datakryptering Nyckelhantering väljer du Konfigurera transparent datakryptering.
När menyn transparent datakryptering visas konfigurerar du avsnittet Användartilldelad hanterad identitet, kundhanterad nyckel och ytterligare databasnycklar för databasen.
Välj Använd för att fortsätta och välj sedan Granska + skapa och Skapa för att skapa kopieringsdatabasen.
Geo-återställning
I följande avsnitt beskrivs hur du återställer en geo-replikerad säkerhetskopia av databasen som har konfigurerats med kundhanterade nycklar på databasnivå. Mer information om säkerhetskopieringsåterställning för SQL Database finns i Återställa en databas i SQL Database.
Gå till Azure-portalen och gå till den logiska server där du vill återställa databasen.
I menyn Översikt väljer du Skapa databas.
Menyn Skapa SQL Database visas. Fyll i flikarna Grundläggande och Nätverk för den nya databasen. I Ytterligare inställningar väljer du Säkerhetskopiering för avsnittet Använd befintliga data och väljer en geo-replikerad säkerhetskopia.
Gå till fliken Säkerhet. I avsnittet transparent datakryptering Nyckelhantering väljer du Konfigurera transparent datakryptering.
När menyn transparent datakryptering visas väljer du Kundhanterad nyckel (CMK) på databasnivå. Den användartilldelade hanterade identiteten, kundhanterad nyckel och ytterligare databasnycklar måste matcha den källdatabas som du vill återställa. Kontrollera att den användartilldelade hanterade identiteten har åtkomst till nyckelvalvet som innehåller den kundhanterade nyckel som användes i säkerhetskopian.
Välj Använd för att fortsätta och välj sedan Granska + skapa och Skapa för att skapa säkerhetskopieringsdatabasen.
Viktigt!
Säkerhetskopior av långsiktig kvarhållning (LTR) innehåller inte listan över nycklar som används av säkerhetskopian. För att återställa en LTR-säkerhetskopia måste alla nycklar som används av källdatabasen skickas till LTR-återställningsmålet.
Kommentar
ARM-mallen som är markerad i avsnittet Skapa en Azure SQL Database med kundhanterade nycklar på databasnivå som sekundär eller kopia kan refereras till för att återställa databasen med en ARM-mall genom att ändra parametern createMode
.
Alternativ för automatisk nyckelrotation för kopierade eller återställde databaser
Nyligen kopierade eller återställde databaser kan konfigureras för att automatiskt rotera den kundhanterade nyckel som används för transparent datakryptering. Information om hur du aktiverar automatisk nyckelrotation i Azure-portalen eller använder API:er finns i Automatisk nyckelrotation på databasnivå.
Nästa steg
Kontrollera följande dokumentation om olika CMK-åtgärder på databasnivå:
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för