¿Cómo restauro un archivo de copia de seguridad cifrada de KMS en RDS para SQL Server desde un entorno local?
Quiero restaurar un archivo de copia de seguridad cifrada de AWS Key Management Service (AWS KMS) desde un entorno local a una instancia de Amazon Relational Database Service (Amazon RDS) para Microsoft SQL Server. Quiero usar la función de copia de seguridad nativa y restauración.
Breve descripción
El cifrado de AWS KMS cifra de forma segura un archivo de copia de seguridad de Microsoft SQL Server en RDS para SQL Server mediante una clave de AWS KMS. Puede restaurar las copias de seguridad cifradas en instancias de RDS para SQL Server solo dentro de la misma cuenta de AWS.
Requisitos previos:
- Un bucket de Amazon Simple Storage Service (Amazon S3).
- Una clave de AWS KMS administrada por el cliente.
Nota: Amazon RDS no admite claves de AWS KMS asimétricas. - Una instancia de RDS preconfigurada para realizar la restauración de la copia de seguridad nativa. Para obtener más información, consulte How do I perform native backups of an Amazon RDS DB instance that's running SQL Server?
- Python 3.10 instalado en el sistema local para descifrar los archivos de copia de seguridad.
Resolución
-
Especifique el parámetro de clave de AWS KMS @kms_master_key_arn para iniciar el cifrado del cliente en la copia de seguridad nativa:
exec msdb.dbo.rds_backup_database @source_db_name='database-name', @s3_arn_to_backup_to='arn:aws:s3:::bucket-name/Filename.bak', @kms_master_key_arn='arn:aws:kms:us-east-1:account-id:key/xxxxx-xxxxx-xxxxx-xxxxx-xxxxxxxxx1';
-
Restaure la copia de seguridad cifrada de AWS KMS en otra instancia de RDS para SQL Server en la misma región y cuenta de AWS. En el siguiente comando, especifique la misma clave de AWS KMS que utilizó para cifrar la copia de seguridad:
exec msdb.dbo.rds_restore_database @restore_db_name='database-name', @s3_arn_to_restore_from='arn:aws:s3:::bucket-name/Filename.bak', @kms_master_key_arn='arn:aws:kms:us-east-1:account-id:key/xxxxx-xxxxx-xxxxx-xxxxx-xxxxxxxxx1';
Restaurar una copia de seguridad cifrada de AWS KMS en otra región con la misma cuenta
-
Cree una clave principal multirregional. En Tipo de clave, elija Clave simétrica.
-
Cree claves de réplica para la región de destino.
-
Especifique el parámetro de clave de AWS KMS @kms_master_key_arn en la región A para iniciar una copia de seguridad cifrada:
exec msdb.dbo.rds_backup_database @source_db_name='database-name', @s3_arn_to_backup_to='arn:aws:s3:::bucket-name/Filename.bak', @kms_master_key_arn='arn:aws:kms:us-east-1:account-id:key/xxxxx-xxxxx-xxxxx-xxxxx-xxxxxxxxx2';
-
Copie el archivo de copia de seguridad al bucket de S3 en la misma región. Amazon RDS no admite buckets entre regiones.
-
Restaure la copia de seguridad cifrada de AWS KMS en la región B. Especifique el mismo ID de clave de AWS KMS que se utilizó para cifrar la copia de seguridad:
exec msdb.dbo.rds_restore_database ;@restore_db_name='database-name', @s3_arn_to_restore_from='arn:aws:s3:::bucket-name/Filename.bak', @kms_master_key_arn='arn:aws:kms:us-east-2:account-id:key/xxxxx-xxxxx-xxxxx-xxxxx-xxxxxxxxx2';
Nota: Sustituya us-east-2 por la región de su clave de AWS KMS.
Restaurar una copia de seguridad cifrada de AWS KMS entre cuentas, entre regiones o en un entorno local
Los tres escenarios siguientes requieren una solución alternativa para restaurar la copia de seguridad:
- Entre cuentas: La copia de seguridad de la base de datos cifrada de AWS KMS debe restaurarse en la misma región, pero con una cuenta diferente. No puede compartir claves de AWS KMS entre cuentas de Amazon RDS. Por ejemplo, no puede cifrar una copia de seguridad en la cuenta A con la clave K1 de AWS KMS y, a continuación, restaurar la copia de seguridad en la cuenta B con la misma clave.
- Entre cuentas y entre regiones: La copia de seguridad de la base de datos cifrada de AWS KMS debe restaurarse en una región diferente y en una cuenta diferente. No puede compartir claves de AWS KMS entre cuentas o utilizar buckets entre regiones en Amazon RDS.
- Entorno local: La copia de seguridad de la base de datos cifrada de AWS KMS debe restaurarse en un entorno local. Los detalles la clave de AWS KMS son una entidad externa. Debe descifrar los archivos cifrados de AWS KMS antes de realizar la restauración.
Para obtener una solución a estas limitaciones, consulte la sección Export from Amazon RDS for SQL Server en Client-side encryption and decryption of Microsoft SQL Server backups for use with Amazon RDS.
Información relacionada
Migrate TDE-enabled SQL Server databases to Amazon RDS for SQL Server
Contenido relevante
- OFICIAL DE AWSActualizada hace 6 meses
- OFICIAL DE AWSActualizada hace 2 años