Konfigurowanie replikacji geograficznej i przywracania kopii zapasowych na potrzeby przezroczystego szyfrowania danych przy użyciu kluczy zarządzanych przez klienta na poziomie bazy danych

Dotyczy: Azure SQL Database

Uwaga

Klucz cmK TDE na poziomie bazy danych jest dostępny dla usługi Azure SQL Database (wszystkie wersje usługi SQL Database). Nie jest ona dostępna dla usługi Azure SQL Managed Instance, lokalnych programu SQL Server, maszyn wirtualnych platformy Azure i usługi Azure Synapse Analytics (dedykowane pule SQL (dawniej SQL DW)).

W tym przewodniku przedstawiono kroki konfigurowania replikacji geograficznej i przywracania kopii zapasowej w usłudze Azure SQL Database. Usługa Azure SQL Database jest skonfigurowana przy użyciu funkcji Transparent Data Encryption (TDE) i kluczy zarządzanych przez klienta (CMK) na poziomie bazy danych przy użyciu tożsamości zarządzanej przypisanej przez użytkownika w celu uzyskania dostępu do usługi Azure Key Vault. Zarówno usługa Azure Key Vault, jak i serwer logiczny dla usługi Azure SQL znajdują się w tej samej dzierżawie usługi Microsoft Entra w tym przewodniku, ale mogą znajdować się w różnych dzierżawach.

Uwaga

Microsoft Entra ID był wcześniej znany jako Azure Active Directory (Azure AD).

Wymagania wstępne

• Usługa Azure SQL Database skonfigurowana z kluczami zarządzanymi przez klienta na poziomie bazy danych, która jest źródłową bazą danych dla tych operacji. Aby uzyskać więcej informacji, zobacz Transparent Data Encryption (TDE) z kluczami zarządzanymi przez klienta na poziomie bazy danych.

Uwaga

Ten sam przewodnik można zastosować do konfigurowania kluczy zarządzanych przez klienta na poziomie bazy danych w innej dzierżawie, uwzględniając parametr identyfikatora klienta federacyjnego. Aby uzyskać więcej informacji, zobacz Zarządzanie tożsamościami i kluczami dla funkcji TDE przy użyciu kluczy zarządzanych przez klienta na poziomie bazy danych.

Ważne

Po utworzeniu lub przywróceniu bazy danych w menu Transparent Data Encryption w witrynie Azure Portal zostanie wyświetlona nowa baza danych z tymi samymi ustawieniami co źródłowa baza danych, ale może brakować kluczy. We wszystkich przypadkach, w których nowa baza danych jest tworzona na podstawie źródłowej bazy danych, liczba kluczy wyświetlanych dla docelowej bazy danych w witrynie Azure Portal może być mniejsza niż liczba kluczy wyświetlanych dla źródłowej bazy danych. Wynika to z faktu, że liczba wyświetlanych kluczy zależy od indywidualnych wymagań funkcji używanych do tworzenia docelowej bazy danych. Aby wyświetlić listę wszystkich kluczy dostępnych dla nowo utworzonej bazy danych, użyj dostępnych interfejsów API w temacie Wyświetlanie ustawień klucza zarządzanego przez klienta na poziomie bazy danych w usłudze Azure SQL Database.

Tworzenie bazy danych Azure SQL Database z kluczami zarządzanymi przez klienta na poziomie bazy danych jako pomocniczą lub kopią

Skorzystaj z poniższych instrukcji lub poleceń, aby utworzyć replikę pomocniczą lub skopiować obiekt docelowy usługi Azure SQL Database skonfigurowany z kluczami zarządzanymi przez klienta na poziomie bazy danych. Tożsamość zarządzana przypisana przez użytkownika jest wymagana do konfigurowania klucza zarządzanego przez klienta na potrzeby przezroczystego szyfrowania danych w fazie tworzenia bazy danych.

Portal

Tworzenie kopii bazy danych z kluczami zarządzanymi przez klienta na poziomie bazy danych

Aby utworzyć bazę danych w usłudze Azure SQL Database jako kopię z kluczami zarządzanymi przez klienta na poziomie bazy danych, wykonaj następujące kroki:

1. Przejdź do witryny Azure Portal i przejdź do usługi Azure SQL Database skonfigurowanej przy użyciu kluczy zarządzanych przez klienta na poziomie bazy danych. Uzyskaj dostęp do karty Transparent Data Encryption w menu Szyfrowanie danych i sprawdź listę bieżących kluczy używanych przez bazę danych.

   

2. Utwórz kopię bazy danych, wybierając pozycję Kopiuj z menu Przegląd bazy danych.

   

3. Zostanie wyświetlone menu Tworzenie bazy danych SQL Database — kopiowanie bazy danych . Użyj innego serwera dla tej bazy danych, ale tych samych ustawień co baza danych, którą próbujesz skopiować. W sekcji Transparent Data Encryption Key Management (Zarządzanie kluczami transparent Data Encryption) wybierz pozycję Configure transparent data encryption (Konfigurowanie przezroczystego szyfrowania danych).

   

4. Po wyświetleniu menu Transparent Data Encryption przejrzyj ustawienia klucza zarządzanego przez klienta dla tej kopii bazy danych. Ustawienia i klucze powinny być wypełnione tymi samymi tożsamościami i kluczami używanymi w źródłowej bazie danych.

5. Wybierz pozycję Zastosuj , aby kontynuować, a następnie wybierz pozycję Przejrzyj i utwórz, a następnie utwórz , aby utworzyć kopię bazy danych.

Tworzenie repliki pomocniczej z kluczami zarządzanymi przez klienta na poziomie bazy danych

1. Przejdź do witryny Azure Portal i przejdź do usługi Azure SQL Database skonfigurowanej przy użyciu kluczy zarządzanych przez klienta na poziomie bazy danych. Uzyskaj dostęp do menu Transparent Data Encryption i sprawdź listę bieżących kluczy używanych przez bazę danych.

   

2. W obszarze Ustawienia zarządzania danymi dla bazy danych wybierz pozycję Repliki. Wybierz pozycję Utwórz replikę , aby utworzyć replikę pomocniczą bazy danych.

   

3. Zostanie wyświetlone menu Tworzenie bazy danych SQL — replika geograficzna . Użyj serwera pomocniczego dla tej bazy danych, ale te same ustawienia co baza danych, którą próbujesz replikować. W sekcji Transparent Data Encryption Key Management (Zarządzanie kluczami transparent Data Encryption) wybierz pozycję Configure transparent data encryption (Konfigurowanie przezroczystego szyfrowania danych).

   

4. Po wyświetleniu menu Transparent Data Encryption przejrzyj ustawienia klucza zarządzanego przez klienta dla tej repliki bazy danych. Ustawienia i klucze powinny być wypełnione tymi samymi tożsamościami i kluczami używanymi w podstawowej bazie danych.

5. Wybierz pozycję Zastosuj , aby kontynuować, a następnie wybierz pozycję Przejrzyj i utwórz, a następnie utwórz , aby utworzyć kopię bazy danych.

Interfejs wiersza polecenia platformy Azure

Aby uzyskać informacje na temat instalowania bieżącej wersji interfejsu wiersza polecenia platformy Azure, zobacz Artykuł Instalowanie interfejsu wiersza polecenia platformy Azure.

• Wstępnie wypełnij listę bieżących kluczy używanych przez podstawową bazę danych przy użyciu parametru expand-keys z current parametrem keys-filterjako .

  az sql db show --name $databaseName --resource-group $resourceGroup --server $serverName --expand-keys --keys-filter current
  

• Wybierz tożsamość zarządzaną przypisaną przez użytkownika (i identyfikator klienta federacyjnego w przypadku konfigurowania dostępu między dzierżawami).

• Utwórz nową bazę danych jako pomocniczą i podaj wstępnie wypełnioną listę kluczy uzyskanych z źródłowej bazy danych i powyższej tożsamości (oraz identyfikator klienta federacyjnego w przypadku konfigurowania dostępu między dzierżawami).

  # Create a secondary replica with Active Geo Replication with the same name as the primary database
  
  az sql db replica create -g $resourceGroup -s $serverName -n $databaseName --partner-server $secondaryServer --partner-database $secondaryDatabase --partner-resource-group $secondaryResourceGroup -i --encryption-protector $encryptionProtector --user-assigned-identity-id $umi --keys $keys
  

  Ważne

  $keys to oddzielona spacją lista kluczy pobranych ze źródłowej bazy danych.

• Aby utworzyć kopię bazy danych, można użyć polecenia az sql db copy z tymi samymi parametrami.

  # Create a copy of a database configured with database level customer-managed keys
  az sql db copy -g $resourceGroup -s $serverName -n $databaseName --dest-name $secondaryDatabase -i --encryption-protector $encryptionProtector --user-assigned-identity-id $umi --keys $keys
  

Program PowerShell

Aby uzyskać instrukcje instalacji modułu Az programu PowerShell, zobacz Instalowanie programu Azure PowerShell. Aby uzyskać informacje o określonych poleceniach cmdlet, zobacz AzureRM.Sql.

• Wstępnie wypełnij listę bieżących kluczy używanych przez podstawową bazę danych przy użyciu polecenia Get-AzSqlDatabase i -ExpandKeyList parametrów i -KeysFilter "current" . Wyklucz -KeysFilter , jeśli chcesz pobrać wszystkie klucze.

  $database = Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter "current"
  

• Wybierz tożsamość zarządzaną przypisaną przez użytkownika (i identyfikator klienta federacyjnego w przypadku konfigurowania dostępu między dzierżawami).

• Utwórz nową bazę danych jako pomocniczą przy użyciu polecenia New-AzSqlDatabaseSecondary i podaj wstępnie wypełnioną listę kluczy uzyskanych z źródłowej bazy danych i powyższej tożsamości (oraz identyfikator klienta federacyjnego, jeśli konfiguruje dostęp między dzierżawami) w wywołaniu interfejsu API przy użyciu -KeyListparametrów , , -AssignIdentity, -UserAssignedIdentityId-EncryptionProtector (i w razie potrzeby-FederatedClientId).

  # Create a secondary replica with Active Geo Replication with the same name as the primary database
  $database = Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter "current"
  
  $database | New-AzSqlDatabaseSecondary -PartnerResourceGroupName <SecondaryResourceGroupName> -PartnerServerName <SecondaryServerName> -AllowConnections "All" -AssignIdentity -UserAssignedIdentityId <UserAssignedIdentityId> -EncryptionProtector <CustomerManagedKeyId> -FederatedClientId <FederatedClientId>
  -KeyList $database.Keys.Keys
  

• Aby utworzyć kopię bazy danych, można użyć polecenia New-AzSqlDatabaseCopy z tymi samymi parametrami.

# Create a copy of a database configured with database level customer-managed keys
$database = Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter "current"

New-AzSqlDatabaseCopy -CopyDatabaseName <CopyDatabaseName> -CopyResourceGroupName <CopyResourceGroupName> -CopyServerName <CopyServerName> -DatabaseName <DatabaseName> -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -AssignIdentity -UserAssignedIdentityId <UserAssignedIdentityId> -EncryptionProtector <CustomerManagedKeyId> -FederatedClientId <FederatedClientId>
-KeyList $database.Keys.Keys

Szablon ARM

Oto przykład szablonu usługi ARM, który tworzy replikę pomocniczą i kopię bazy danych Azure SQL Database skonfigurowanej przy użyciu tożsamości zarządzanej przypisanej przez użytkownika i funkcji TDE zarządzanej przez klienta na poziomie bazy danych.

Aby uzyskać więcej informacji i szablonów usługi ARM, zobacz Szablony usługi Azure Resource Manager dla usługi Azure SQL Database i sql Managed Instance.

Użyj wdrożenia niestandardowego w witrynie Azure Portal i utwórz własny szablon w edytorze. Następnie zapisz konfigurację po wklejeniu w przykładzie.

• Wstępnie wypełnij listę bieżących kluczy używanych przez podstawową bazę danych przy użyciu następującego żądania interfejsu API REST:

  GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}?api-version=2022-08-01-preview&$expand=keys($filter=pointInTime('current'))
  

• Wybierz tożsamość zarządzaną przypisaną przez użytkownika (i identyfikator klienta federacyjnego w przypadku konfigurowania dostępu między dzierżawami).

• Utwórz nową bazę danych jako pomocniczą i podaj wstępnie wypełnioną listę kluczy uzyskanych z źródłowej bazy danych i powyższej tożsamości (oraz identyfikator klienta federacyjnego, jeśli konfiguruje dostęp między dzierżawami) w szablonie usługi ARM jako keys_to_add parametr.

  {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
      "server_name": {
        "type": "String"
      },
      "database_name": {
        "type": "String"
      },
      "user_assigned_identity": {
        "type": "String"
      },
      "encryption_protector": {
        "type": "String"
      },
      "location": {
        "type": "String"
      },
      "source_database_id": {
        "type": "String"
      },
      "keys_to_add": {
        "type": "Object"
      }
    },
    "variables": {},
    "resources": [
      {
        "type": "Microsoft.Sql/servers/databases",
        "apiVersion": "2022-08-01-preview",
        "name": "[concat(parameters('server_name'), concat('/',parameters('database_name')))]",
        "location": "[parameters('location')]",
        "sku": {
          "name": "Basic",
          "tier": "Basic",
          "capacity": 5
        },
        "identity": {
          "type": "UserAssigned",
          "userAssignedIdentities": {
            "[parameters('user_assigned_identity')]": {}
          }
        },
        "properties": {
          "collation": "SQL_Latin1_General_CP1_CI_AS",
          "maxSizeBytes": 104857600,
          "catalogCollation": "SQL_Latin1_General_CP1_CI_AS",
          "zoneRedundant": false,
          "readScale": "Disabled",
          "requestedBackupStorageRedundancy": "Geo",
          "maintenanceConfigurationId": "/subscriptions/e1775f9f-xxxx-xxxx-xxxx-xxxxxxxxxxxx/providers/Microsoft.Maintenance/publicMaintenanceConfigurations/SQL_Default",
          "isLedgerOn": false,
          "encryptionProtector": "[parameters('encryption_protector')]",
          "keys": "[parameters('keys_to_add')]",
          "createMode": "Secondary",
          "sourceDatabaseId": "[parameters('source_database_id')]"
        }
      }
    ]
  }
  

  Przykład parametru encryption_protector i keys_to_add to:

      "keys_to_add": {
        "value": {
          "https://yourvault.vault.azure.net/keys/yourkey1/fd021f84a0d94d43b8ef33154bca0000": {},
          "https://yourvault.vault.azure.net/keys/yourkey2/fd021f84a0d94d43b8ef33154bca0000": {}
        }
      },
      "encryption_protector": {
        "value": "https://yourvault.vault.azure.net/keys/yourkey2/fd021f84a0d94d43b8ef33154bca0000"
      }
  

• Aby utworzyć kopię bazy danych, można użyć następującego szablonu z tymi samymi parametrami.

  {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
      "server_name": {
        "type": "String"
      },
      "database_name": {
        "type": "String"
      },
      "user_assigned_identity": {
        "type": "String"
      },
      "encryption_protector": {
        "type": "String"
      },
      "location": {
        "type": "String"
      },
      "source_database_id": {
        "type": "String"
      },
      "keys_to_add": {
        "type": "Object"
      }
    },
    "variables": {},
    "resources": [
      {
        "type": "Microsoft.Sql/servers/databases",
        "apiVersion": "2022-08-01-preview",
        "name": "[concat(parameters('server_name'), concat('/',parameters('database_name')))]",
        "location": "[parameters('location')]",
        "sku": {
          "name": "Basic",
          "tier": "Basic",
          "capacity": 5
        },
        "identity": {
          "type": "UserAssigned",
          "userAssignedIdentities": {
            "[parameters('user_assigned_identity')]": {}
          }
        },
        "properties": {
          "collation": "SQL_Latin1_General_CP1_CI_AS",
          "maxSizeBytes": 104857600,
          "catalogCollation": "SQL_Latin1_General_CP1_CI_AS",
          "zoneRedundant": false,
          "readScale": "Disabled",
          "requestedBackupStorageRedundancy": "Geo",
          "maintenanceConfigurationId": "/subscriptions/e1775f9f-xxxx-xxxx-xxxx-xxxxxxxxxxxx/providers/Microsoft.Maintenance/publicMaintenanceConfigurations/SQL_Default",
          "isLedgerOn": false,
          "encryptionProtector": "[parameters('encryption_protector')]",
          "keys": "[parameters('keys_to_add')]",
          "createMode": "Copy",
          "sourceDatabaseId": "[parameters('source_database_id')]"
        }
      }
    ]
  }
  

Przywracanie bazy danych Azure SQL Database przy użyciu kluczy zarządzanych przez klienta na poziomie bazy danych

W tej sekcji przedstawiono procedurę przywracania bazy danych Azure SQL Database skonfigurowanej przy użyciu kluczy zarządzanych przez klienta na poziomie bazy danych. Tożsamość zarządzana przypisana przez użytkownika jest wymagana do konfigurowania klucza zarządzanego przez klienta na potrzeby przezroczystego szyfrowania danych w fazie tworzenia bazy danych.

Przywracanie do punktu w czasie

W poniższej sekcji opisano sposób przywracania bazy danych skonfigurowanej przy użyciu kluczy zarządzanych przez klienta na poziomie bazy danych do danego punktu w czasie. Aby dowiedzieć się więcej o odzyskiwaniu kopii zapasowych dla usługi SQL Database, zobacz Odzyskiwanie bazy danych w usłudze SQL Database.

Portal

1. Przejdź do witryny Azure Portal i przejdź do usługi Azure SQL Database skonfigurowanej przy użyciu kluczy zarządzanych przez klienta na poziomie bazy danych, które chcesz przywrócić.

2. Aby przywrócić bazę danych do punktu w czasie, wybierz pozycję Przywróć z menu Przegląd bazy danych.

   

3. Zostanie wyświetlone menu Tworzenie bazy danych SQL Database — Przywracanie bazy danych . Podaj wymagane informacje o źródle i bazie danych. W sekcji Transparent Data Encryption Key Management (Zarządzanie kluczami transparent Data Encryption) wybierz pozycję Configure transparent data encryption (Konfigurowanie przezroczystego szyfrowania danych).

   

4. Po wyświetleniu menu Transparent Data Encryption przejrzyj ustawienia klucza zarządzanego przez klienta dla bazy danych. Ustawienia i klucze powinny zostać wypełnione tymi samymi tożsamościami i kluczami używanymi w bazie danych, którą próbujesz przywrócić.

5. Wybierz pozycję Zastosuj , aby kontynuować, a następnie wybierz pozycję Przejrzyj i utwórz, a następnie utwórz , aby utworzyć kopię bazy danych.

Interfejs wiersza polecenia platformy Azure

Aby uzyskać informacje na temat instalowania bieżącej wersji interfejsu wiersza polecenia platformy Azure, zobacz Artykuł Instalowanie interfejsu wiersza polecenia platformy Azure.

• Wstępnie wypełnij listę kluczy używanych przez podstawową bazę danych przy użyciu parametru expand-keys z punktem przywracania w czasie jako keys-filter.

  az sql db show --name $databaseName --resource-group $resourceGroup --server $serverName --expand-keys --keys-filter $timestamp
  

• Wybierz tożsamość zarządzaną przypisaną przez użytkownika (i identyfikator klienta federacyjnego w przypadku konfigurowania dostępu między dzierżawami).

• Utwórz nową bazę danych jako obiekt docelowy przywracania i podaj wstępnie wypełnioną listę kluczy uzyskanych ze źródłowej bazy danych i powyższej tożsamości (oraz identyfikator klienta federacyjnego w przypadku konfigurowania dostępu między dzierżawami).

  # Create a restored database
  az sql db restore --dest-name $destName --name $databaseName --resource-group $resourceGroup --server $serverName --subscription $subscriptionId --time $timestamp -i --encryption-protector $encryptionProtector --user-assigned-identity-id $umi --keys $keys
  

  Ważne

  $keys to oddzielona spacją lista kluczy pobranych ze źródłowej bazy danych.

Program PowerShell

Aby uzyskać instrukcje instalacji modułu Az programu PowerShell, zobacz Instalowanie programu Azure PowerShell. Aby uzyskać informacje o określonych poleceniach cmdlet, zobacz AzureRM.Sql.

• Wstępnie wypełnij listę kluczy używanych przez podstawową bazę danych przy użyciu polecenia Get-AzSqlDatabase i -ExpandKeyList parametrów i -KeysFilter "2023-01-01" (2023-01-01 jest przykładem punktu w czasie, do którego chcesz przywrócić bazę danych). Wyklucz -KeysFilter , jeśli chcesz pobrać wszystkie klucze.

  $database = Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter <Timestamp>
  

• Wybierz tożsamość zarządzaną przypisaną przez użytkownika (i identyfikator klienta federacyjnego w przypadku konfigurowania dostępu między dzierżawami).

• Użyj polecenia Restore-AzSqlDatabase z parametrem -FromPointInTimeBackup i podaj wstępnie wypełnioną listę kluczy uzyskanych z powyższych kroków i powyższej tożsamości (oraz identyfikator klienta federacyjnego w przypadku konfigurowania dostępu między dzierżawami) w wywołaniu interfejsu API przy użyciu -KeyListparametrów , , -EncryptionProtector -AssignIdentity-UserAssignedIdentityId, (i w razie potrzeby-FederatedClientId).

  $database = Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter <Timestamp>
  
  # Create a restored database
  Restore-AzSqlDatabase -FromPointInTimeBackup -PointInTime <Timestamp> -ResourceId '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}' -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -TargetDatabaseName <TargetDatabaseName> -KeyList $database.Keys.Keys -EncryptionProtector <EncryptionProtector> -UserAssignedIdentityId <UserAssignedIdentityId> -AssignIdentity
  

Przywracanie usuniętej bazy danych

W poniższej sekcji opisano sposób przywracania usuniętej bazy danych skonfigurowanej przy użyciu kluczy zarządzanych przez klienta na poziomie bazy danych. Aby dowiedzieć się więcej o odzyskiwaniu kopii zapasowych dla usługi SQL Database, zobacz Odzyskiwanie bazy danych w usłudze SQL Database.

Portal

1. Przejdź do witryny Azure Portal i przejdź do serwera logicznego usuniętej bazy danych, którą chcesz przywrócić. W obszarze Zarządzanie danymi wybierz pozycję Usunięte bazy danych.

   

2. Wybierz usuniętą bazę danych, którą chcesz przywrócić.

3. Zostanie wyświetlone menu Tworzenie bazy danych SQL Database — Przywracanie bazy danych . Podaj wymagane informacje o źródle i bazie danych. W sekcji Transparent Data Encryption Key Management (Zarządzanie kluczami transparent Data Encryption) wybierz pozycję Configure transparent data encryption (Konfigurowanie przezroczystego szyfrowania danych).

   

4. Po wyświetleniu menu Transparent Data Encryption skonfiguruj sekcję Tożsamość zarządzana przypisana przez użytkownika, Klucz zarządzany przez klienta i Dodatkowe klucze bazy danych dla bazy danych.

5. Wybierz pozycję Zastosuj , aby kontynuować, a następnie wybierz pozycję Przejrzyj i utwórz, a następnie utwórz , aby utworzyć kopię bazy danych.

Interfejs wiersza polecenia platformy Azure

Aby uzyskać informacje na temat instalowania bieżącej wersji interfejsu wiersza polecenia platformy Azure, zobacz Artykuł Instalowanie interfejsu wiersza polecenia platformy Azure.

• Wstępnie wypełnia listę kluczy używanych przez porzuconą bazę danych przy użyciu parametru expand-keys . Zaleca się przekazanie wszystkich kluczy używanych przez źródłową bazę danych. Możesz również podjąć próbę przywrócenia przy użyciu kluczy podanych w czasie usuwania przy użyciu parametru keys-filter .

  az sql db show-deleted --name $databaseName --resource-group $resourceGroup --server $serverName --restorable-dropped-database-id "databaseName,133201549661600000" --expand-keys
  

  Ważne

  restorable-dropped-database-id można pobrać, wyświetlając listę wszystkich przywracalnych porzuconych baz danych na serwerze i ma format databaseName,deletedTimestamp.

• Wybierz tożsamość zarządzaną przypisaną przez użytkownika (i identyfikator klienta federacyjnego w przypadku konfigurowania dostępu między dzierżawami).

• Utwórz nową bazę danych jako element docelowy przywracania i podaj wstępnie wypełnioną listę kluczy uzyskanych z usuniętej źródłowej bazy danych i powyższej tożsamości (oraz identyfikator klienta federacyjnego w przypadku konfigurowania dostępu między dzierżawami).

  # Create a restored database
  az sql db restore --dest-name $destName --name $databaseName --resource-group $resourceGroup --server $serverName --subscription $subscriptionId --time $timestamp -i --encryption-protector $encryptionProtector --user-assigned-identity-id $umi --keys $keys --deleted-time "2023-02-06T11:02:46.160000+00:00"
  

  Ważne

  $keys to oddzielona spacją lista kluczy pobranych ze źródłowej bazy danych.

Program PowerShell

Aby uzyskać instrukcje instalacji modułu Az programu PowerShell, zobacz Instalowanie programu Azure PowerShell. Aby uzyskać informacje o określonych poleceniach cmdlet, zobacz AzureRM.Sql.

• Wstępnie wypełnia listę kluczy używanych przez podstawową bazę danych przy użyciu polecenia Get-AzSqlDeletedDatabaseBackup i parametru -ExpandKeyList . Zaleca się przekazanie wszystkich kluczy używanych przez źródłową bazę danych. Możesz również podjąć próbę przywrócenia przy użyciu kluczy podanych w czasie usuwania przy użyciu parametru -KeysFilter .

  $database = Get-AzSqlDeletedDatabaseBackup -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseId "dbName,133201549661600000" -ExpandKeyList -DeletionDate "2/6/2023" -DatabaseName <databaseName>
  

  Ważne

  DatabaseId można pobrać, wyświetlając listę wszystkich przywracalnych porzuconych baz danych na serwerze i ma format databaseName,deletedTimestamp.

• Wybierz tożsamość zarządzaną przypisaną przez użytkownika (i identyfikator klienta federacyjnego w przypadku konfigurowania dostępu między dzierżawami).

• Użyj polecenia Restore-AzSqlDatabase z parametrem -FromDeletedDatabaseBackup i podaj wstępnie wypełnioną listę kluczy uzyskanych z powyższych kroków i powyższej tożsamości (oraz identyfikator klienta federacyjnego w przypadku konfigurowania dostępu między dzierżawami) w wywołaniu interfejsu API przy użyciu -KeyListparametrów , , -EncryptionProtector -AssignIdentity-UserAssignedIdentityId, (i w razie potrzeby-FederatedClientId).

  $database = Get-AzSqlDeletedDatabaseBackup -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseId "dbName,133201549661600000" -ExpandKeyList -DeletionDate <DeletionDate> -DatabaseName <databaseName>
  
  # Create a restored database
  Restore-AzSqlDatabase -FromDeletedDatabaseBackup -DeletionDate <Timestamp> -ResourceId '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/restorableDroppedDatabases/{databaseName}' -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -TargetDatabaseName <TargetDatabaseName> -KeyList $database.Keys.Keys -EncryptionProtector <EncryptionProtector> -UserAssignedIdentityId <UserAssignedIdentityId> -AssignIdentity
  

Przywracanie geograficzne

W poniższej sekcji opisano sposób przywracania geograficznie replikowanej kopii zapasowej bazy danych skonfigurowanej przy użyciu kluczy zarządzanych przez klienta na poziomie bazy danych. Aby dowiedzieć się więcej o odzyskiwaniu kopii zapasowych dla usługi SQL Database, zobacz Odzyskiwanie bazy danych w usłudze SQL Database.

Portal

1. Przejdź do witryny Azure Portal i przejdź do serwera logicznego, na którym chcesz przywrócić bazę danych.

2. W menu Przegląd wybierz pozycję Utwórz bazę danych.

3. Zostanie wyświetlone menu Tworzenie bazy danych SQL. Wypełnij karty Podstawowe i Sieciowe dla nowej bazy danych. W obszarze Dodatkowe ustawienia wybierz pozycję Kopia zapasowa dla sekcji Użyj istniejących danych i wybierz kopię zapasową z replikacją geograficzną.

   

4. Przejdź do karty Zabezpieczenia . W sekcji Transparent Data Encryption Key Management (Zarządzanie kluczami transparent Data Encryption) wybierz pozycję Configure transparent data encryption (Konfigurowanie przezroczystego szyfrowania danych).

5. Po wyświetleniu menu Transparent Data Encryption wybierz pozycję Klucz zarządzany przez klienta (CMK) na poziomie bazy danych. Tożsamość zarządzana przypisana przez użytkownika, klucz zarządzany przez klienta i dodatkowe klucze bazy danych muszą być zgodne ze źródłową bazą danych, którą chcesz przywrócić. Upewnij się, że tożsamość zarządzana przypisana przez użytkownika ma dostęp do magazynu kluczy zawierającego klucz zarządzany przez klienta, który został użyty w kopii zapasowej.

6. Wybierz pozycję Zastosuj , aby kontynuować, a następnie wybierz pozycję Przejrzyj i utwórz, a następnie utwórz , aby utworzyć bazę danych kopii zapasowej.

Interfejs wiersza polecenia platformy Azure

Aby uzyskać informacje na temat instalowania bieżącej wersji interfejsu wiersza polecenia platformy Azure, zobacz Artykuł Instalowanie interfejsu wiersza polecenia platformy Azure.

• Wstępnie wypełnia listę kluczy używanych przez geograficzną kopię zapasową bazy danych skonfigurowanej przy użyciu kluczy zarządzanych przez klienta na poziomie bazy danych przy użyciu parametru expand-keys .

  az sql db geo-backup --database-name $databaseName --g $resourceGroup --server $serverName  --expand-keys
  

• Wybierz tożsamość zarządzaną przypisaną przez użytkownika (i identyfikator klienta federacyjnego w przypadku konfigurowania dostępu między dzierżawami).

• Utwórz nową bazę danych jako obiekt docelowy przywracania geograficznego i podaj wstępnie wypełnioną listę kluczy uzyskanych z usuniętej źródłowej bazy danych i powyższej tożsamości (oraz identyfikator klienta federacyjnego w przypadku konfigurowania dostępu między dzierżawami).

  # Create a geo restored database
  az sql db geo-backup restore --geo-backup-id "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/recoverableDatabases/{databaseName}" --dest-database $destName --resource-group $resourceGroup --dest-server $destServerName -i --encryption-protector $encryptionProtector --user-assigned-identity-id $umi --keys $keys
  

  Ważne

  $keys to oddzielona spacją lista kluczy pobranych ze źródłowej bazy danych.

Program PowerShell

Aby uzyskać instrukcje instalacji modułu Az programu PowerShell, zobacz Instalowanie programu Azure PowerShell. Aby uzyskać informacje o określonych poleceniach cmdlet, zobacz AzureRM.Sql.

• Wstępnie wypełniaj listę kluczy używanych przez podstawową bazę danych przy użyciu polecenia Get-AzSqlDatabaseGeoBackup i parametru -ExpandKeyList , aby pobrać wszystkie klucze.

  $database = Get-AzSqlDatabaseGeoBackup -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <databaseName> -ExpandKeyList
  

  Ważne

  DatabaseId można pobrać, wyświetlając listę wszystkich przywracalnych porzuconych baz danych na serwerze i ma format databaseName,deletedTimestamp.

• Wybierz tożsamość zarządzaną przypisaną przez użytkownika (i identyfikator klienta federacyjnego w przypadku konfigurowania dostępu między dzierżawami).

• Użyj polecenia Restore-AzSqlDatabase z parametrem -FromGeoBackup i podaj wstępnie wypełnioną listę kluczy uzyskanych z powyższych kroków i powyższej tożsamości (oraz identyfikator klienta federacyjnego w przypadku konfigurowania dostępu między dzierżawami) w wywołaniu interfejsu API przy użyciu -KeyListparametrów , , -EncryptionProtector -AssignIdentity-UserAssignedIdentityId, (i w razie potrzeby-FederatedClientId).

  $database = Get-AzSqlDatabaseGeoBackup -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <databaseName> -ExpandKeyList
  
  # Create a restored database
  Restore-AzSqlDatabase -FromGeoBackup -ResourceId "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/recoverableDatabases/{databaseName}" -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -TargetDatabaseName <TargetDatabaseName> -KeyList $database.Keys.Keys -EncryptionProtector <EncryptionProtector> -UserAssignedIdentityId <UserAssignedIdentityId> -AssignIdentity
  

Ważne

Kopie zapasowe długoterminowego przechowywania (LTR) nie udostępniają listy kluczy używanych przez kopię zapasową. Aby przywrócić kopię zapasową LTR, wszystkie klucze używane przez źródłową bazę danych muszą zostać przekazane do obiektu docelowego przywracania LTR.

Uwaga

Szablon usługi ARM wyróżniony w sekcji Tworzenie usługi Azure SQL Database z kluczami zarządzanymi przez klienta na poziomie bazy danych jako pomocniczym lub kopią można odwoływać się do przywracania bazy danych przy użyciu szablonu usługi ARM przez zmianę parametru createMode .

Opcja automatycznego obracania kluczy dla kopiowanych lub przywróconych baz danych

Nowo skopiowane lub przywrócone bazy danych można skonfigurować do automatycznego obracania klucza zarządzanego przez klienta używanego do przezroczystego szyfrowania danych. Aby uzyskać informacje na temat włączania automatycznego obracania kluczy w witrynie Azure Portal lub przy użyciu interfejsów API, zobacz Automatyczne obracanie kluczy na poziomie bazy danych.

Następne kroki

Zapoznaj się z następującą dokumentacją dotyczącą różnych operacji cmK na poziomie bazy danych:

• Transparent Data Encryption (TDE) z kluczami zarządzanymi przez klienta na poziomie bazy danych

• Zarządzanie tożsamościami i kluczami na potrzeby szyfrowania TDE przy użyciu kluczy zarządzanych przez klienta na poziomie bazy danych