Vytvoření šifrované zálohy

platí pro:SQL Server

Tento článek popisuje kroky potřebné k vytvoření šifrované zálohy pomocí jazyka Transact-SQL. Příklad použití aplikace SQL Server Management Studio najdete v tématu Vytvoření úplného zálohování databáze.

Opatrnost

K obnovení šifrované databáze potřebujete přístup k certifikátu nebo asymetrického klíče použitému k šifrování této databáze. Bez certifikátu nebo asymetrického klíče nemůžete tuto databázi obnovit. Uložte certifikát použitý k šifrování šifrovacího klíče databáze, pokud potřebujete uložit zálohu. Další informace najdete v tématu certifikáty SQL Serveru a asymetrické klíče.

Požadavky

• Úložiště pro šifrované zálohování. V závislosti na tom, kterou možnost zvolíte, jednu z těchto možností:

  • Místní disk nebo úložiště s odpovídajícím místem k vytvoření zálohy databáze.
  • Účet služby Azure Storage a kontejner. Další informace najdete v tématu Vytvoření účtu úložiště.

• Hlavní klíč databáze (DMK) pro databázi master a certifikát nebo asymetrický klíč v instanci SQL Serveru. Požadavky na šifrování a oprávnění najdete v tématu šifrování služby Backup.

Vytvoření hlavního klíče databáze (DMK)

Zvolte heslo pro šifrování kopie sady DMK, která bude uložena v databázi. Připojte se k databázovému stroji, spusťte nové okno dotazu, zkopírujte a vložte následující příklad a vyberte Spustit.

Nahraďte <master key password> silným heslem a ujistěte se, že máte kopii dmK i hesla v zabezpečeném umístění.

USE master;
GO

CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<master key password>';
GO

Vytvoření záložního certifikátu

V databázi master vytvořte záložní certifikát. Zkopírujte a vložte následující příklad do okna dotazu a vyberte Spustit.

Use master;
GO

CREATE CERTIFICATE MyTestDBBackupEncryptCert
    WITH SUBJECT = 'MyTestDB Backup Encryption Certificate';
GO

Zálohování databáze pomocí šifrování

Existují dvě hlavní možnosti pro vytvoření šifrované zálohy:

• Zálohování na disk
• Zálohování do Služby Azure Storage

Zálohuj na disk

Pomocí následujících kroků vytvořte šifrovanou zálohu databáze na místní disk. Tento příklad používá uživatelskou databázi s názvem MyTestDB.

Zadejte šifrovací algoritmus a certifikát, který se má použít. Zkopírujte a vložte následující příklad do okna dotazu a vyberte Spustit.

Nahraďte <path_to_local_backup> vaší lokální cestou s oprávněním pro zápis, ke které má SQL Server přístup. Tato cesta může být například D:\SQLBackup.

BACKUP DATABASE [MyTestDB]
TO DISK = N'<path_to_local_backup>\MyTestDB.bak'
WITH
COMPRESSION,
ENCRYPTION (
    ALGORITHM = AES_256,
    SERVER CERTIFICATE = MyTestDBBackupEncryptCert
),
STATS = 10;
GO

Příklad šifrování zálohy chráněné rozšiřitelnou správou klíčů (EKM) najdete v tématu Extensible Key Management pomocí služby Azure Key Vault (SQL Server).

zálohování do služby Azure Storage

Pokud vytváříte zálohu do úložiště Azure pomocí možnosti zálohování SQL Serveru na adresu URL, postup šifrování je stejný, ale k ověření v úložišti Azure musíte použít adresu URL jako cíl a přihlašovací údaje SQL. Pokud chcete nakonfigurovat spravované zálohování SQL Serveru do Microsoft Azure s možnostmi šifrování, přečtěte si téma Povolení spravovaného zálohování SQL Serveru do Azure.

Vytvoření přihlašovacích údajů SQL Serveru

Pokud chcete vytvořit přihlašovací údaje SQL Serveru, připojte se k databázovému stroji, otevřete nové okno dotazu a zkopírujte a vložte následující příklad a vyberte Execute.

Nahraďte <mystorageaccount> názvem účtu úložiště, který jste zadali při vytváření účtu úložiště, a <storage account access key> primárním nebo sekundárním přístupovým klíčem pro účet úložiště.

CREATE CREDENTIAL mycredential
WITH IDENTITY = '<mystorageaccount>',
SECRET = '<storage account access key>';

Zálohování databáze

Zadejte šifrovací algoritmus a certifikát, který se má použít. Zkopírujte a vložte následující příklad do okna dotazu a vyberte Spustit.

V tomto příkladu mycredential je název dříve vytvořených přihlašovacích údajů, <mystorageaccountname> je název vašeho účtu úložiště a <mycontainername> je název kontejneru úložiště.

BACKUP DATABASE AdventureWorks2022
TO URL = 'https://<mystorageaccountname>.blob.core.windows.net/<mycontainername>/AdventureWorks2022.bak'
WITH CREDENTIAL = 'mycredential',
COMPRESSION,
ENCRYPTION (
    ALGORITHM = AES_256,
    SERVER CERTIFICATE = MyTestDBBackupEncryptCert
),
STATS = 10;
GO

Související obsah

• obnovení zálohy databáze pomocí SSMS
• Hierarchie Šifrování
• přehled zálohování (SQL Server)