Condividi tramite


Configurare la replica geografica e il ripristino del backup per Transparent Data Encryption con chiavi gestite dal cliente a livello di database

Si applica a: Database SQL di Azure

Nota

Le chiavi gestite dal cliente per il TDE a livello di database sono disponibili per database SQL di Azure (tutte le edizioni database SQL). Non è disponibile per Istanza gestita di SQL di Azure, SQL Server locale, macchine virtuali di Azure e Azure Synapse Analytics (pool SQL dedicati (in precedenza SQL Data Warehouse)).

In questa guida vengono illustrati i passaggi per configurare la replica geografica e il ripristino del backup in un database SQL di Azure. Il database SQL di Azure è configurato con Transparent Data Encryption (TDE) e chiavi gestite dal cliente a livello di database, usando un'identità gestita assegnata dall'utente per accedere ad Azure Key Vault. Sia Azure Key Vault che il server logico per Azure SQL si trovano nello stesso tenant di Microsoft Entra per questa guida, ma possono trovarsi in tenant diversi.

Nota

Microsoft Entra ID era noto in precedenza come Azure Active Directory (Azure AD).

Prerequisiti

Nota

La stessa guida può essere applicata per configurare le chiavi gestite dal cliente a livello di database in un tenant diverso includendo il parametro ID client federato. Per altre informazioni, vedere Gestione delle identità e delle chiavi per TDE con chiavi gestite dal cliente a livello di database.

Importante

Dopo aver creato o ripristinato il database, il menu Transparent Data Encryption nel portale di Azure mostrerà il nuovo database con le stesse impostazioni del database di origine, ma potrebbe non avere chiavi. In tutti i casi in cui viene creato un nuovo database da un database di origine, il numero di chiavi visualizzate per un database di destinazione nell'elenco portale di Azure Chiavi di database aggiuntive potrebbe essere inferiore al numero di chiavi visualizzate per un database di origine. Questo perché il numero di chiavi visualizzate dipende dai singoli requisiti di funzionalità usati per creare un database di destinazione. Per elencare tutte le chiavi disponibili per un database appena creato, usare le API disponibili in Visualizzare le impostazioni della chiave gestita dal cliente a livello di database in un database SQL di Azure.

Creare un database SQL di Azure con chiavi gestite dal cliente a livello di database come secondario o copia

Usare le istruzioni o i comandi seguenti per creare una replica secondaria o copiare una destinazione di una database SQL di Azure configurata con chiavi gestite dal cliente a livello di database. È necessaria un'identità gestita assegnata dall'utente per configurare una chiave gestita dal cliente per Transparent Data Encryption durante la fase di creazione del database.

Creare una copia del database con chiavi gestite dal cliente a livello di database

Per creare un database in database SQL di Azure come copia con chiavi gestite dal cliente a livello di database, seguire questa procedura:

  1. Passare al portale di Azure e passare alla database SQL di Azure configurata con chiavi gestite dal cliente a livello di database. Accedere alla scheda Transparent Data Encryption del menu Crittografia dei dati e selezionare l'elenco delle chiavi correnti in uso dal database.

    Screenshot del menu Transparent Data Encryption per un database nel portale di Azure.

  2. Creare una copia del database selezionando Copia dal menu Panoramica del database.

    Screenshot del menu copia del database del portale di Azure.

  3. Viene visualizzato il menu Crea database SQL - Copia database. Usare un server diverso per questo database, ma le stesse impostazioni del database che si sta tentando di copiare. Nella sezione Gestione chiavi Transparent Data Encryption selezionare Configura Transparent Data Encryption.

    Screenshot del menu copia del database del portale di Azure con la sezione Transparent Data Encryption Key Management espansa.

  4. Quando viene visualizzato il menu Transparent Data Encryption, esaminare le impostazioni chiave gestita dal cliente per questo database di copia. Le impostazioni e le chiavi devono essere popolate con la stessa identità e le stesse chiavi usate nel database di origine.

  5. Selezionare Applica per continuare, quindi selezionare Rivedi e crea e Crea per creare il database di copia.

Creare una replica secondaria con chiavi gestite dal cliente a livello di database

  1. Passare al portale di Azure e passare alla database SQL di Azure configurata con chiavi gestite dal cliente a livello di database. Accedere al menu Transparent Data Encryption e controllare l'elenco delle chiavi correnti in uso dal database.

    Screenshot del menu Transparent Data Encryption per un database nel portale di Azure.

  2. Nelle impostazioni Gestione dei dati per il database, selezionare Repliche. Selezionare Crea replica per creare una replica secondaria del database.

    Screenshot del menu replica di database del portale di Azure.

  3. Viene visualizzato il menu Crea database SQL - Replica geografica. Usare un server secondario per questo database, ma con le stesse impostazioni del database che si sta tentando di replicare. Nella sezione Gestione chiavi Transparent Data Encryption selezionare Configura Transparent Data Encryption.

    Screenshot del menu replica di database del portale di Azure con la sezione Transparent Data Encryption Key Management espansa.

  4. Quando viene visualizzato il menu Transparent Data Encryption, esaminare le impostazioni chiave gestita dal cliente per questa replica di database. Le impostazioni e le chiavi devono essere popolate con la stessa identità e le stesse chiavi usate nel database primario.

  5. Selezionare Applica per continuare, quindi selezionare Rivedi e crea e Crea per creare il database di copia.

Ripristinare un database SQL di Azure con chiavi gestite dal cliente a livello di database

Questa sezione illustra i passaggi per ripristinare un database SQL di Azure configurato con chiavi gestite dal cliente a livello di database. È necessaria un'identità gestita assegnata dall'utente per configurare una chiave gestita dal cliente per Transparent Data Encryption durante la fase di creazione del database.

Ripristino temporizzato

La sezione seguente descrive come ripristinare un database configurato con chiavi gestite dal cliente a livello di database a un determinato punto nel tempo. Per altre informazioni sul ripristino dei backup per il database SQL, vedere Recuperare un database nel database SQL.

  1. Passare al portale di Azure e aprire il database SQL di Azure configurato con le chiavi gestite dal cliente a livello di database che si desidera ripristinare.

  2. Per ripristinare il database a un punto nel tempo, selezionare Ripristina dal menu Panoramica del database.

    Screenshot del menu copia del database del portale di Azure.

  3. Viene visualizzato il menu Crea database SQL - Ripristina database. Immettere i dettagli dell'origine e del database necessari. Nella sezione Gestione chiavi Transparent Data Encryption selezionare Configura Transparent Data Encryption.

    Screenshot del menu Ripristina database del portale di Azure con la sezione Transparent Data Encryption Key Management espansa.

  4. Quando viene visualizzato il menu Transparent Data Encryption, esaminare le impostazioni chiave gestita dal cliente per il database. Le impostazioni e le chiavi devono essere popolate con la stessa identità e le stesse chiavi usate nel database che si sta tentando di ripristinare.

  5. Selezionare Applica per continuare, quindi selezionare Rivedi e crea e Crea per creare il database di copia.

Ripristinare database eliminati

La sezione seguente descrive come ripristinare un database eliminato configurato con chiavi gestite dal cliente a livello di database. Per altre informazioni sul ripristino dei backup per il database SQL, vedere Recuperare un database nel database SQL.

  1. Passare al portale di Azure e quindi al server logico per il database eliminato da ripristinare. In Gestione dati, selezionare Database eliminati.

    Screenshot del menu Database eliminati del portale di Azure.

  2. Selezionare il database eliminato che si vuole ripristinare.

  3. Viene visualizzato il menu Crea database SQL - Ripristina database. Immettere i dettagli dell'origine e del database necessari. Nella sezione Gestione chiavi Transparent Data Encryption selezionare Configura Transparent Data Encryption.

    Screenshot del menu Ripristina database del portale di Azure con la sezione Transparent Data Encryption Key Management espansa.

  4. Quando viene visualizzato il menu Transparent Data Encryption, configurare la sezione Identità gestita assegnata dall'utente, Chiave gestita dal cliente e Chiavi database aggiuntive per il database.

  5. Selezionare Applica per continuare, quindi selezionare Rivedi e crea e Crea per creare il database di copia.

Ripristino geografico

La sezione seguente descrive come ripristinare un backup con replica geografica del database configurato con chiavi gestite dal cliente a livello di database. Per altre informazioni sul ripristino dei backup per il database SQL, vedere Recuperare un database nel database SQL.

  1. Passare al portale di Azure e passare al server logico in cui si vuole ripristinare il database.

  2. Nel menu Panoramica, selezionare Crea database.

  3. Viene visualizzato il menu Crea database SQL. Compilare le schede Basic e Networking per il nuovo database. In Impostazioni aggiuntive selezionare Backup per la sezione Usa dati esistenti e selezionare un backup con replica geografica.

    Screenshot del menu portale di Azure Crea database selezionando un backup da usare per il database.

  4. Passare alla scheda Sicurezza. Nella sezione Gestione chiavi Transparent Data Encryption selezionare Configura Transparent Data Encryption.

  5. Quando viene visualizzato il menu Transparent Data Encryption, selezionare Chiave gestita dal cliente a livello di database. L'identità gestita assegnata dall'utente, la chiave gestita dal cliente e le chiavi di database aggiuntive devono corrispondere al database di origine da ripristinare. Assicurarsi che l'identità gestita assegnata dall'utente abbia accesso all'insieme di credenziali delle chiavi contenente la chiave gestita dal cliente usata nel backup.

  6. Selezionare Applica per continuare e quindi selezionare Rivedi e crea e Crea per creare il database di backup.

Importante

I backup con conservazione a lungo termine (LTR) non forniscono l'elenco delle chiavi usate dal backup. Per ripristinare un backup con conservazione a lungo termine, tutte le chiavi usate dal database di origine devono essere passate alla destinazione di ripristino con conservazione a lungo termine.

Nota

È possibile fare riferimento al modello di ARM evidenziato nella sezione Creare un database SQL di Azure con chiavi gestite dal cliente a livello di database come replica secondaria o copia per ripristinare il database con un modello di Resource Manager modificando il parametro createMode.

Opzione di rotazione automatica delle chiavi per i database copiati o ripristinati

I database appena copiati o ripristinati possono essere configurati per ruotare automaticamente la chiave gestita dal cliente usata per Transparent Data Encryption. Per informazioni su come abilitare la rotazione automatica delle chiavi nel portale di Azure o sull'uso delle API, vedere Rotazione automatica delle chiavi a livello di database.

Passaggi successivi

Vedere la documentazione seguente su varie operazioni della chiave gestita dal cliente a livello di database: