Tutoriel : Migrer des bases de données avec chiffrement transparent des données (TDE) activé (préversion) vers Azure SQL dans Azure Data Studio
Pour sécuriser une base de données SQL Server, vous pouvez prendre des précautions telles que la conception d’un système sécurisé, le chiffrement des ressources confidentielles et la création d’un pare-feu. Toutefois, le vol physique de supports média tels que les lecteurs ou les bandes peut toujours compromettre les données.
Le chiffrement transparent des données fournit une solution à ce problème, avec le chiffrement/déchiffrement d’E/S en temps réel des données au repos (fichiers de données et fichiers journaux) à l’aide d’une clé de chiffrement de base de données symétrique sécurisée par un certificat. Pour plus d’informations sur la migration manuelle des certificats TDE, consultez Déplacer une base de données protégée par le chiffrement transparent des données vers un autre SQL Server.
Lorsque vous migrez une base de données protégée par le chiffrement transparent de données (TDE), le certificat (clé asymétrique) utilisé pour ouvrir la clé de chiffrement de la base de données doit également être déplacé avec la base de données source. Par conséquent, vous devez recréer le certificat de serveur dans la base de données master
du SQL Server cible pour cette instance pour accéder aux fichiers de la base de données.
Vous pouvez utiliser l’extension de migration Azure SQL pour Azure Data Studio pour aider à migrer les bases de données avec chiffrement transparent des données (TDE) activé (préversion) d’une instance SQL Server locale vers Azure SQL.
Le processus de migration de bases de données avec chiffrement transparent des données (TDE) activé automatise des tâches manuelles telles que la sauvegarde des clés de certificat de base de données, la copie des fichiers de certificat à partir de l’instance SQL Server locale vers la cible Azure SQL, puis la reconfiguration du chiffrement transparent des données pour la base de données cible.
Important
Actuellement, seules les cibles Azure SQL Managed Instance sont prises en charge. Les sauvegardes chiffrées ne sont pas prises en charge.
Dans ce tutoriel, vous allez apprendre à migrer l’exemple AdventureWorksTDE
de base de données chiffrée d’une instance locale de SQL Server vers une instance gérée Azure SQL.
- Ouvrez l’Assistant Migration vers Azure SQL dans Azure Data Studio.
- Exécuter une évaluation de vos bases de données SQL Server sources
- Configurer la migration de vos certificats TDE
- Connecter à la cible Azure SQL
- Démarrer la migration de votre certificat TDE et suivre sa progression jusqu’à son achèvement
Prérequis
Avant de commencer le tutoriel :
Installez l’extension de migration Azure SQL à partir de la place de marché Azure Data Studio.
Exécutez Azure Data Studio en tant qu’administrateur.
Disposer d’un compte Azure affecté à l’un des rôles intégrés suivants :
- Contributeur pour l’instance gérée cible (et compte de stockage pour charger vos sauvegardes de fichiers de certificats TDE à partir d’un partage réseau SMB).
- Rôle de lecteur pour les groupes de ressources Azure contenant l’instance gérée cible ou le compte de stockage Azure.
- Rôle Propriétaire ou Contributeur pour l’abonnement Azure (obligatoire en cas de création d’un nouveau service DMS).
- En guise d’alternative à l’utilisation de l’un des rôles intégrés ci-dessus, vous pouvez attribuer un rôle personnalisé. Pour plus d’informations, consultez Rôles personnalisés : Migrations en ligne de SQL Server vers SQL Managed Instance avec ADS.
Créez une instance cible d’Azure SQL Managed Instance.
Vérifiez que la connexion que vous utilisez pour vous connecter à la source SQL Server est membre du rôle serveur sysadmin.
La machine sur laquelle Azure Data Studio exécute la migration de base de données avec chiffrement transparent des données (TDE) activé doit avoir une connectivité aux sources et aux serveurs SQL cibles.
Ouvrez l’Assistant Migration vers Azure SQL dans Azure Data Studio.
Pour ouvrir l’Assistant Migrer vers Azure SQL :
Dans Azure Data Studio, accédez à Connexions. Connectez-vous à votre instance locale SQL Server. Vous pouvez également vous connecter à SQL Server sur une machine virtuelle Azure.
Cliquez avec le bouton droit sur la connexion au serveur, puis sélectionnez Gérer.
Dans le menu du serveur sous Général, sélectionnez Migration Azure SQL.
Dans le tableau de bord de l’extension de migration Azure SQL, sélectionnez Migrer vers Azure SQL pour ouvrir l’Assistant Migration.
Sur la première page de l’Assistant, démarrez une nouvelle session ou reprenez une session précédemment enregistrée.
Exécuter une évaluation de la base de données
Dans Étape 1 : Bases de données à évaluer dans l’Assistant Migrer vers Azure SQL, sélectionnez les bases de données à évaluer. Ensuite, sélectionnez Suivant.
Dans l’Étape 2 : Résultats de l’évaluation, effectuez les étapes suivantes :
Dans Choisissez votre cible Azure SQL, sélectionnez Azure SQL Managed Instance.
Sélectionnez Afficher/Sélectionner pour afficher les résultats de l’évaluation.
Dans les résultats de l’évaluation, sélectionnez la base de données, puis passez en revue les résultats de l’évaluation. Dans cet exemple, vous pouvez voir que la base de données
AdventureWorksTDE
est protégée par le chiffrement transparent des données (TDE). L’évaluation recommande de migrer le certificat TDE avant de migrer la base de données source vers la cible de l’instance gérée.Choisissez Sélectionner pour ouvrir le panneau de configuration de la migration TDE.
Configurer les paramètres de migration TDE
Dans la section Base de données chiffrée sélectionnée, sélectionnez Exporter mes certificats et ma clé privée vers la cible.
La section Zone d’informations décrit les autorisations requises pour exporter les certificats de clé de chiffrement.
Vous devez vous assurer que le compte de service SQL Server dispose d’un accès en écriture au chemin d’accès de partage réseau que vous utilisez pour sauvegarder les certificats de clé de chiffrement. En outre, l’utilisateur actuel doit disposer de privilèges d’administrateur sur l’ordinateur sur lequel ce chemin d’accès réseau existe.
Entrez le chemin d’accès réseau.
Ensuite cochez la case J’accorde mon consentement pour utiliser mes informations d’identification pour accéder aux certificats. Avec cette action, vous autorisez l’assistant de migration de la base de données à sauvegarder votre certificat de clé de chiffrement dans le partage réseau.
Si vous ne souhaitez pas que l’assistant de migration vous aide à migrer les bases de données avec chiffrement transparent des données (TDE) activé : sélectionnez Je ne souhaite pas que Azure Data Studio exporte les certificats. pour ignorer cette étape.
Important
Vous devez migrer les certificats avant de poursuivre la migration, sinon la migration échouera. Pour plus d’informations sur la migration manuelle des certificats TDE, consultez Déplacer une base de données protégée par le chiffrement transparent des données vers un autre SQL Server.
Si vous souhaitez poursuivre la migration de la certification TDE, sélectionnez Appliquer.
Le panneau de configuration de la migration TDE se ferme, mais vous pouvez sélectionner Modifier pour modifier la configuration de votre partage réseau à tout moment. Sélectionnez Suivant pour poursuivre le processus de migration.
Configurer les paramètres de migration
Dans l’Étape 3 : Cible Azure SQL dans l’assistant Migrer vers Azure SQL, procédez comme suit pour votre instance gérée cible :
Sélectionnez votre compte Azure, votre abonnement Azure, la région ou l’emplacement Azure et le groupe de ressources qui contient l’instance gérée.
Lorsque vous êtes prêt, sélectionnez Migrer les certificats pour démarrer la migration des certificats TDE.
Démarrer et surveiller la migration des certificats TDE
À l’Étape 3 : État de la migration, le panneau Migration des certificats s’ouvre. Les détails de la progression de la migration des certificats TDE s’affichent à l’écran.
Une fois la migration TDE terminée (ou en cas de défaillances), la page affiche les mises à jour appropriées.
Si vous devez répéter la migration, sélectionnez Nouvelle tentative de migration.
Lorsque vous êtes prêt, sélectionnez Terminé pour poursuivre l’assistant de migration.
Vous pouvez surveiller le processus pour chaque certificat TDE en sélectionnant Migrer les certificats.
Sélectionnez Suivant pour poursuivre l’assistant de migration jusqu’à ce que la migration de la base de données soit terminée.
Pour plus d’informations sur la migration de bases de données en ligne ou hors connexion vers des cibles Azure SQL Managed Instance, consultez les didacticiels pas à pas suivants :
Étapes post-migration
Votre instance gérée cible doit maintenant avoir les bases de données et leurs certificats respectifs migrés. Pour vérifier l’état actuel de la base de données récemment migrée, copiez et collez l’exemple suivant dans une nouvelle fenêtre de requête sur Azure Data Studio lors de la connexion à votre cible d’instance gérée. Ensuite, sélectionnez Exécuter.
USE master;
GO
SELECT db_name(database_id),
key_algorithm,
encryption_state_desc,
encryption_scan_state_desc,
percent_complete
FROM sys.dm_database_encryption_keys
WHERE database_id = DB_ID('Your database name');
GO
La requête retourne les informations sur la base de données, l’état du chiffrement et le pourcentage en attente d’achèvement. Dans ce cas, il est égal à zéro, car le certificat TDE est déjà terminé.
Pour plus d’informations sur le chiffrement avec SQL Server, consultez Chiffrement transparent des données (TDE).
Limites
Le tableau suivant décrit l’état actuel de la prise en charge des migrations des bases de données avec chiffrement transparent des donnés (TDE) activé vers la cible Azure SQL :
Cible | Support | Statut |
---|---|---|
Azure SQL Database | Non | |
Azure SQL Managed Instance | Oui | PRÉVERSION |
SQL Server sur une machine virtuelle Azure | Non |
Contenu connexe
- Migrer des bases de données en utilisant l’extension de migration Azure SQL pour Azure Data Studio
- Tutoriel : Migrer SQL Server vers Azure SQL Database - hors connexion
- Tutoriel : Migrer SQL Server vers Azure SQL Managed Instance - en ligne
- Tutoriel : Migrer SQL Server vers SQL Server sur des Machines virtuelles Microsoft Azure - en ligne