Je souhaite restaurer un fichier de sauvegarde chiffré par AWS Key Management Service (AWS KMS) depuis un environnement sur site vers une instance Amazon Relational Database Service (Amazon RDS) pour une instance Microsoft SQL Server. Je souhaite utiliser la fonctionnalité native de sauvegarde et de restauration.
Brève description
Le chiffrement AWS KMS chiffre de manière sécurisée un fichier de sauvegarde Microsoft SQL Server dans RDS for SQL Server à l'aide d'une clé AWS KMS. Vous pouvez restaurer les sauvegardes chiffrées sur des instances de serveur SQL RDS uniquement au sein du même compte AWS.
Conditions préalables :
Résolution
-
Spécifiez le paramètre de clé AWS KMS @kms_master_key_arn pour démarrer le chiffrement côté client sur la sauvegarde native :
exec msdb.dbo.rds_backup_database @source_db_name='database-name',
@s3_arn_to_backup_to='arn:aws:s3:::bucket-name/Filename.bak',
@kms_master_key_arn='arn:aws:kms:us-east-1:account-id:key/xxxxx-xxxxx-xxxxx-xxxxx-xxxxxxxxx1';
-
Restaurez la sauvegarde chiffrée AWS KMS dans une autre instance RDS for SQL Server dans la même région AWS et sur le même compte. Dans la commande suivante, spécifiez la même clé AWS KMS que celle que vous avez utilisée pour chiffrer la sauvegarde :
exec msdb.dbo.rds_restore_database @restore_db_name='database-name',
@s3_arn_to_restore_from='arn:aws:s3:::bucket-name/Filename.bak',
@kms_master_key_arn='arn:aws:kms:us-east-1:account-id:key/xxxxx-xxxxx-xxxxx-xxxxx-xxxxxxxxx1';
Restaurer une sauvegarde chiffrée AWS KMS dans une autre région avec le même compte
-
Créez une clé primaire multi-régionale. Pour le type de clé, choisissez Clé symétrique.
-
Créez des réplica de clés pour la région de destination.
-
Spécifiez le paramètre de clé AWS KMS @kms_master_key_arn dans la région A pour démarrer une sauvegarde native chiffrée :
exec msdb.dbo.rds_backup_database @source_db_name='database-name',
@s3_arn_to_backup_to='arn:aws:s3:::bucket-name/Filename.bak',
@kms_master_key_arn='arn:aws:kms:us-east-1:account-id:key/xxxxx-xxxxx-xxxxx-xxxxx-xxxxxxxxx2';
-
Copiez le fichier de sauvegarde dans le compartiment S3 de la même région. Amazon RDS ne prend pas en charge les compartiments interrégionaux.
-
Restaurez la sauvegarde chiffrée AWS KMS dans la région B. Spécifiez le même identifiant de clé AWS KMS que celui que vous avez utilisé pour chiffrer la sauvegarde :
exec msdb.dbo.rds_restore_database ;@restore_db_name='database-name',
@s3_arn_to_restore_from='arn:aws:s3:::bucket-name/Filename.bak',
@kms_master_key_arn='arn:aws:kms:us-east-2:account-id:key/xxxxx-xxxxx-xxxxx-xxxxx-xxxxxxxxx2';
Remarque : remplacez us-east-2 par la région de votre clé AWS KMS.
Restaurer une sauvegarde chiffrée AWS KMS entre comptes, entre régions ou dans un environnement sur site
Les trois scénarios suivants nécessitent une solution de contournement pour restaurer la sauvegarde :
- **Entre comptes :**Vous devez restaurer la sauvegarde chiffrée de la base de données AWS KMS dans la même région mais sous un compte différent. Vous ne pouvez pas partager les clés AWS KMS entre les comptes Amazon RDS. Par exemple, vous ne pouvez pas chiffrer une sauvegarde dans le compte A avec la clé AWS KMS K1, puis restaurer la sauvegarde dans le compte B avec la même clé.
- Entre comptes et entre régions : Vous devez restaurer la sauvegarde chiffrée de la base de données AWS KMS dans une autre région et sur un autre compte. Vous ne pouvez pas partager de clés AWS KMS entre comptes ou utiliser des compartiments entre les régions dans Amazon RDS.
- Sur site : Vous devez restaurer la sauvegarde chiffrée de la base de données AWS KMS dans un environnement sur site. Les détails de la clé AWS KMS sont ceux d'une entité externe. Avant de procéder à la restauration, vous devez déchiffrer les fichiers chiffrés avec AWS KMS.
Pour trouver une solution à ces limitations, reportez-vous à Exporter depuis Amazon RDS for SQL Server dans Chiffrement et déchiffrement côté client des sauvegardes Microsoft SQL Server à utiliser avec Amazon RDS.
Informations connexes
Migrer les bases de données SQL Server compatibles TDE vers Amazon RDS for SQL Server
Comment puis-je restaurer un fichier de sauvegarde chiffré ou une sauvegarde Microsoft Azure chiffrée dans RDS for SQL Server à partir d'un environnement local ?