Skapa en krypterad säkerhetskopia

gäller för:SQL Server

I den här artikeln beskrivs de steg som krävs för att skapa en krypterad säkerhetskopia med Hjälp av Transact-SQL. Ett exempel med SQL Server Management Studio finns i Skapa en fullständig databassäkerhetskopiering.

Försiktighet

För att återställa en krypterad databas behöver du åtkomst till certifikatet eller den asymmetriska nyckel som används för att kryptera databasen. Utan certifikatet eller den asymmetriska nyckeln kan du inte återställa databasen. Spara certifikatet som används för att kryptera databaskrypteringsnyckeln så länge du behöver spara säkerhetskopian. Mer information finns i SQL Server-certifikat och asymmetriska nycklar.

Förutsättningar

• Lagring för den krypterade säkerhetskopian. Beroende på vilket alternativ du väljer, något av följande:

  • En lokal disk eller lagring med tillräckligt med utrymme för att skapa en säkerhetskopia av databasen.
  • Ett Azure Storage-konto och en container. Mer information finns i Skapa ett lagringskonto.

• En databashuvudnyckel (DMK) för master-databasen och ett certifikat eller en asymmetrisk nyckel på instansen av SQL Server. Krypteringskrav och behörigheter finns i Kryptering för säkerhetskopiering.

Skapa en databashuvudnyckel (DMK)

Välj ett lösenord för att kryptera kopian av DMK:t som ska lagras i databasen. Anslut till databasmotorn, starta ett nytt frågefönster, kopiera och klistra in följande exempel och välj Kör.

Ersätt <master key password> med ett starkt lösenord och se till att du behåller en kopia av både DMK och lösenordet på en säker plats.

USE master;
GO

CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<master key password>';
GO

Skapa ett säkerhetskopieringscertifikat

Skapa ett säkerhetskopieringscertifikat i master-databasen. Kopiera och klistra in följande exempel i frågefönstret och välj Kör.

Use master;
GO

CREATE CERTIFICATE MyTestDBBackupEncryptCert
    WITH SUBJECT = 'MyTestDB Backup Encryption Certificate';
GO

Säkerhetskopiera databasen med kryptering

Det finns två huvudsakliga alternativ för att skapa en krypterad säkerhetskopia:

• Säkerhetskopiera till disk
• Säkerhetskopiera till Azure Storage

Säkerhetskopiera till disk

Använd följande steg för att skapa en krypterad säkerhetskopia av en databas till en lokal disk. I det här exemplet används en användardatabas med namnet MyTestDB.

Ange krypteringsalgoritmen och certifikatet som ska användas. Kopiera och klistra in följande exempel i frågefönstret och välj Kör.

Ersätt <path_to_local_backup> till en lokal sökväg som SQL Server har behörighet att skriva till. Den här sökvägen kan till exempel vara D:\SQLBackup.

BACKUP DATABASE [MyTestDB]
TO DISK = N'<path_to_local_backup>\MyTestDB.bak'
WITH
COMPRESSION,
ENCRYPTION (
    ALGORITHM = AES_256,
    SERVER CERTIFICATE = MyTestDBBackupEncryptCert
),
STATS = 10;
GO

Ett exempel på kryptering av en säkerhetskopia som skyddas av Extensible Key Management (EKM) finns i Extensible Key Management using Azure Key Vault (SQL Server).

Säkerhetskopiera till Azure Storage

Om du skapar en säkerhetskopia till Azure Storage med hjälp av alternativet SQL Server Backup to URL är krypteringsstegen desamma, men du måste använda URL:en som mål och en SQL-autentiseringsuppgift för att autentisera till Azure Storage. Om du vill konfigurera sql server-hanterad säkerhetskopiering till Microsoft Azure med krypteringsalternativ kan du läsa Aktivera SQL Server-hanterad säkerhetskopiering till Azure.

Skapa SQL Server-autentiseringsuppgifter

Om du vill skapa en SQL Server-autentiseringsuppgift ansluter du till databasmotorn, öppnar ett nytt frågefönster och kopierar och klistrar in följande exempel och väljer Kör.

Ersätt <mystorageaccount> med namnet på lagringskontot som du angav när du skapade ett lagringskonto och <storage account access key> med antingen den primära eller sekundära åtkomstnyckeln för lagringskontot.

CREATE CREDENTIAL mycredential
WITH IDENTITY = '<mystorageaccount>',
SECRET = '<storage account access key>';

Säkerhetskopiera databasen

Ange krypteringsalgoritmen och certifikatet som ska användas. Kopiera och klistra in följande exempel i frågefönstret och välj Kör.

I det här exemplet är mycredential namnet på autentiseringsuppgifterna som skapades tidigare, <mystorageaccountname> är namnet på ditt lagringskonto och <mycontainername> är namnet på lagringscontainern.

BACKUP DATABASE AdventureWorks2022
TO URL = 'https://<mystorageaccountname>.blob.core.windows.net/<mycontainername>/AdventureWorks2022.bak'
WITH CREDENTIAL = 'mycredential',
COMPRESSION,
ENCRYPTION (
    ALGORITHM = AES_256,
    SERVER CERTIFICATE = MyTestDBBackupEncryptCert
),
STATS = 10;
GO

Relaterat innehåll

• Återställa en databassäkerhetskopia med SSMS-
• Krypteringshierarki
• översikt över Säkerhetskopiering (SQL Server)