Een versleutelde back-up maken

van toepassing op:SQL Server-

In dit artikel worden de stappen beschreven die nodig zijn om een versleutelde back-up te maken met Transact-SQL. Zie Een volledige databaseback-up makenvoor een voorbeeld van sql Server Management Studio.

Voorzichtigheid

Als u een versleutelde database wilt herstellen, hebt u toegang nodig tot het certificaat of de asymmetrische sleutel die wordt gebruikt om die database te versleutelen. Zonder het certificaat of de asymmetrische sleutel kunt u die database niet herstellen. Sla het certificaat op dat wordt gebruikt voor het versleutelen van de databaseversleutelingssleutel zolang u de back-up moet opslaan. Zie SQL Server-certificaten en Asymmetrische sleutelsvoor meer informatie.

Voorwaarden

• Opslag voor de versleutelde back-up. Afhankelijk van welke optie u kiest, een van de volgende opties:

  • Een lokale schijf of opslag met voldoende ruimte om een back-up van de database te maken.
  • Een Azure Storage-account en een container. Zie Een opslagaccount makenvoor meer informatie.

• Een databasehoofdsleutel (DMK) voor de master-database en een certificaat of asymmetrische sleutel op het exemplaar van SQL Server. Zie Back-upversleutelingvoor versleutelingsvereisten en -machtigingen.

Een databasehoofdsleutel (DMK) maken

Kies een wachtwoord voor het versleutelen van de kopie van de DMK die in de database wordt opgeslagen. Maak verbinding met de database-engine, start een nieuw queryvenster, kopieer en plak het volgende voorbeeld en selecteer uitvoeren.

Vervang <master key password> door een sterk wachtwoord en zorg ervoor dat u een kopie van zowel de DMK als het wachtwoord op een veilige locatie bewaart.

USE master;
GO

CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<master key password>';
GO

Een back-upcertificaat maken

Maak een back-upcertificaat in de master-database. Kopieer en plak het volgende voorbeeld in het queryvenster en selecteer uitvoeren.

Use master;
GO

CREATE CERTIFICATE MyTestDBBackupEncryptCert
    WITH SUBJECT = 'MyTestDB Backup Encryption Certificate';
GO

Een back-up maken van de database met versleuteling

Er zijn twee hoofdopties voor het maken van een versleutelde back-up:

• Back-up maken naar schijf
• Back-up opslaan in Azure Storage

Een back-up maken op schijf

Gebruik de volgende stappen om een versleutelde back-up van een database naar een lokale schijf te maken. In dit voorbeeld wordt een gebruikersdatabase met de naam MyTestDBgebruikt.

Geef het versleutelingsalgoritmen en certificaat op dat moet worden gebruikt. Kopieer en plak het volgende voorbeeld in het queryvenster en selecteer uitvoeren.

Vervang <path_to_local_backup> naar een lokaal pad waarnaar SQL Server gemachtigd is om naar te schrijven. Dit pad kan bijvoorbeeld D:\SQLBackupzijn.

BACKUP DATABASE [MyTestDB]
TO DISK = N'<path_to_local_backup>\MyTestDB.bak'
WITH
COMPRESSION,
ENCRYPTION (
    ALGORITHM = AES_256,
    SERVER CERTIFICATE = MyTestDBBackupEncryptCert
),
STATS = 10;
GO

Zie Extensible Key Management using Azure Key Vault (SQL Server)voor een voorbeeld van het versleutelen van een back-up die wordt beveiligd door Extensible Key Management (EKM).

Backup naar Azure Storage

Als u een back-up maakt naar Azure Storage met behulp van de optie SQL Server Backup naar URL, zijn de versleutelingsstappen hetzelfde, maar moet u de URL gebruiken als de bestemming en een SQL-referentie voor verificatie bij de Azure-opslag. Zie Beheerde back-up van SQL Server naar Azure inschakelenals u SQL Server beheerde back-up naar Microsoft Azure wilt configureren met versleutelingsopties.

SQL Server-referentie maken

Als u een SQL Server-referentie wilt maken, maakt u verbinding met de database-engine, opent u een nieuw queryvenster, kopieert en plakt u het volgende voorbeeld en selecteert u Uitvoeren.

Vervang <mystorageaccount> door de naam van het opslagaccount dat u hebt opgegeven bij het maken van een opslagaccount en <storage account access key> door de primaire of secundaire toegangssleutel voor het opslagaccount.

CREATE CREDENTIAL mycredential
WITH IDENTITY = '<mystorageaccount>',
SECRET = '<storage account access key>';

Een back-up maken van de database

Geef het versleutelingsalgoritmen en het te gebruiken certificaat op. Kopieer en plak het volgende voorbeeld in het queryvenster en selecteer uitvoeren.

In dit voorbeeld is mycredential de naam van de eerder gemaakte referentie, <mystorageaccountname> de naam van uw opslagaccount is en <mycontainername> de naam van uw opslagcontainer is.

BACKUP DATABASE AdventureWorks2022
TO URL = 'https://<mystorageaccountname>.blob.core.windows.net/<mycontainername>/AdventureWorks2022.bak'
WITH CREDENTIAL = 'mycredential',
COMPRESSION,
ENCRYPTION (
    ALGORITHM = AES_256,
    SERVER CERTIFICATE = MyTestDBBackupEncryptCert
),
STATS = 10;
GO

Verwante inhoud

• een databaseback-up herstellen met behulp van SSMS-
• -versleutelingshiërarchie
• Back-upoverzicht (SQL Server)