Criar um backup criptografado

Aplica-se a:SQL Server

Este artigo descreve as etapas necessárias para criar um backup criptografado usando o Transact-SQL. Para obter um exemplo usando o SQL Server Management Studio, consulte Criar um backup de banco de dados completo.

Atenção

Para restaurar um banco de dados criptografado, você precisa acessar o certificado ou a chave assimétrica usada para criptografar esse banco de dados. Sem o certificado ou a chave assimétrica, não é possível restaurar esse banco de dados. Salve o certificado usado para criptografar a chave de criptografia do banco de dados pelo tempo necessário para salvar o backup. Para obter mais informações, consulte certificados do SQL Server e chaves assimétricas.

Pré-requisitos

• Armazenamento para o backup criptografado. Dependendo da opção escolhida, uma das seguintes opções:

  • Um disco local ou para armazenamento com espaço adequado para criar um backup do banco de dados.
  • Uma conta de Armazenamento do Azure e um contêiner. Para obter mais informações, consulte Criar uma conta de armazenamento.

• Uma chave mestra de banco de dados (DMK) para o banco de dados master e um certificado ou chave assimétrica na instância do SQL Server. Para obter os requisitos e permissões de criptografia, consulte Criptografia de Backup.

Criar uma chave mestra de banco de dados (DMK)

Escolha uma senha para criptografar a cópia do DMK que será armazenada no banco de dados. Conecte-se ao Mecanismo de Banco de Dados, inicie uma nova janela de consulta, copie e cole o exemplo a seguir e selecione Executar.

Substitua <master key password> por uma senha forte e certifique-se de manter uma cópia do DMK e da senha em um local seguro.

USE master;
GO

CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<master key password>';
GO

Criar um certificado de backup

Crie um certificado de backup no banco de dados master. Copie e cole o exemplo a seguir na janela de consulta e selecione Executar.

Use master;
GO

CREATE CERTIFICATE MyTestDBBackupEncryptCert
    WITH SUBJECT = 'MyTestDB Backup Encryption Certificate';
GO

Faça backup do banco de dados com criptografia

Há duas opções principais para criar um backup criptografado:

• Backup em disco
• Fazer backup no Armazenamento do Azure

Fazer backup em disco

Use as etapas a seguir para criar um backup criptografado de um banco de dados para um disco local. Este exemplo usa um banco de dados de usuário chamado MyTestDB.

Especifique o algoritmo de criptografia e o certificado a serem usados. Copie e cole o exemplo a seguir na janela de consulta e selecione Executar.

Substitua <path_to_local_backup> por um caminho local no qual o SQL Server tenha permissão para gravar. Por exemplo, esse caminho pode ser D:\SQLBackup.

BACKUP DATABASE [MyTestDB]
TO DISK = N'<path_to_local_backup>\MyTestDB.bak'
WITH
COMPRESSION,
ENCRYPTION (
    ALGORITHM = AES_256,
    SERVER CERTIFICATE = MyTestDBBackupEncryptCert
),
STATS = 10;
GO

Para obter um exemplo de criptografia de um backup protegido pelo Gerenciamento Extensível de Chaves (EKM), consulte Gerenciamento Extensível de Chaves Usando o Cofre de Chaves do Azure (SQL Server).

Efetuar backup para o

Se você estiver criando um backup para o armazenamento do Azure usando a opção Backup do SQL Server para URL, as etapas de criptografia serão as mesmas, mas você deverá usar a URL como destino e uma Credencial SQL para autenticar no armazenamento do Azure. Se você quiser configurar o backup gerenciado do SQL Server para o Microsoft Azure com opções de criptografia, consulte Habilitar o backup gerenciado do SQL Server para o Azure.

Criar credencial do SQL Server

Para criar uma credencial do SQL Server, conecte-se ao Mecanismo de Banco de Dados, abra uma nova janela de consulta, copie e cole o exemplo a seguir e selecione Executar.

Substitua <mystorageaccount> pelo nome da conta de armazenamento especificada ao criar uma conta de armazenamento e <storage account access key> pela Chave de Acesso Primária ou Secundária da conta de armazenamento.

CREATE CREDENTIAL mycredential
WITH IDENTITY = '<mystorageaccount>',
SECRET = '<storage account access key>';

Fazer backup do banco de dados

Especifique o algoritmo de encriptação e o certificado a utilizar. Copie e cole o exemplo a seguir na janela de consulta e selecione Executar.

Neste exemplo, mycredential é o nome da credencial criada anteriormente, <mystorageaccountname> é o nome da sua conta de armazenamento e <mycontainername> é o nome do contêiner de armazenamento.

BACKUP DATABASE AdventureWorks2022
TO URL = 'https://<mystorageaccountname>.blob.core.windows.net/<mycontainername>/AdventureWorks2022.bak'
WITH CREDENTIAL = 'mycredential',
COMPRESSION,
ENCRYPTION (
    ALGORITHM = AES_256,
    SERVER CERTIFICATE = MyTestDBBackupEncryptCert
),
STATS = 10;
GO

Conteúdo relacionado

• restaurar um backup de banco de dados usando o SSMS
• Hierarquia de criptografia
• Visão geral do backup do (SQL Server)