Come posso ripristinare un file di backup crittografato con KMS su RDS per SQL Server da un ambiente on-premise?

4 minuti di lettura
0

Desidero ripristinare un file di backup crittografato con il Sistema AWS di gestione delle chiavi da un ambiente on-premise a un Amazon Relational Database Service (Amazon RDS) per l'istanza Microsoft SQL Server. Desidero utilizzare la funzionalità di backup e ripristino nativa.

Breve descrizione

La crittografia AWS KMS crittografa in modo sicuro un file di backup di Microsoft SQL Server in RDS per SQL Server con una chiave AWS KMS. Puoi ripristinare i backup crittografati nelle istanze del server SQL RDS solo all'interno dello stesso account AWS.

Prerequisiti:

Risoluzione

  1. Specifica il parametro chiave AWS KMS @kms_master_key_arn per avviare la crittografia lato client sul backup nativo:

    exec msdb.dbo.rds_backup_database @source_db_name='database-name',
    @s3_arn_to_backup_to='arn:aws:s3:::bucket-name/Filename.bak',
    @kms_master_key_arn='arn:aws:kms:us-east-1:account-id:key/xxxxx-xxxxx-xxxxx-xxxxx-xxxxxxxxx1';
  2. Ripristina il backup crittografato di AWS KMS in un'altra istanza RDS per SQL Server nello stesso account e Regione AWS. Nel comando seguente, specifica la stessa chiave AWS KMS utilizzata per crittografare il backup:

    exec msdb.dbo.rds_restore_database @restore_db_name='database-name',
    @s3_arn_to_restore_from='arn:aws:s3:::bucket-name/Filename.bak',
    @kms_master_key_arn='arn:aws:kms:us-east-1:account-id:key/xxxxx-xxxxx-xxxxx-xxxxx-xxxxxxxxx1';

Ripristina un backup crittografato AWS KMS in un'altra regione con lo stesso account

  1. Crea una chiave primaria per più regioni. Per il tipo di chiave, scegli Chiave simmetrica.

  2. Crea chiavi di replica per la regione di destinazione.

  3. Specifica il parametro chiave AWS KMS @kms_master_key_arn nella Regione A per avviare un backup nativo crittografato:

    exec msdb.dbo.rds_backup_database @source_db_name='database-name',
    @s3_arn_to_backup_to='arn:aws:s3:::bucket-name/Filename.bak',
    @kms_master_key_arn='arn:aws:kms:us-east-1:account-id:key/xxxxx-xxxxx-xxxxx-xxxxx-xxxxxxxxx2';
  4. Copia il file di backup nel bucket S3 nella stessa regione. Amazon RDS non supporta bucket interregionali.

  5. Ripristina il backup crittografato di AWS KMS nella Regione B. Specifica lo stesso ID della chiave AWS KMS utilizzato per crittografare il backup:

    exec msdb.dbo.rds_restore_database ;@restore_db_name='database-name',
    @s3_arn_to_restore_from='arn:aws:s3:::bucket-name/Filename.bak',
    @kms_master_key_arn='arn:aws:kms:us-east-2:account-id:key/xxxxx-xxxxx-xxxxx-xxxxx-xxxxxxxxx2';

    Nota: sostituisci us-east-2 con la regione della chiave AWS KMS.

Ripristina un backup crittografato AWS KMS su più account, tra regioni o in un ambiente on-premise

I tre scenari seguenti richiedono una soluzione alternativa per ripristinare il backup:

  • Multi-account: è necessario ripristinare il backup del database crittografato AWS KMS nella stessa regione, ma con un account diverso. Non è possibile condividere le chiavi AWS KMS tra account in Amazon RDS. Ad esempio, non è possibile crittografare un backup nell'account A con la chiave AWS KMS K1 e quindi ripristinare il backup nell'account B con la stessa chiave.
  • Multi-account e multi-regione: è necessario ripristinare il backup del database crittografato AWS KMS in una regione e in un account diversi. Non è possibile condividere le chiavi AWS KMS tra account o utilizzare bucket tra regioni in Amazon RDS.
  • On-premise: è necessario ripristinare il backup crittografato del database AWS KMS in un ambiente on-premise. I dettagli della chiave AWS KMS sono un'entità esterna. Prima del ripristino, devi decrittare i file crittografati di AWS KMS.

Per una soluzione a queste limitazioni, consulta la sezione Esportazione da Amazon RDS per SQL Server in Crittografia e decrittografia lato client dei backup di Microsoft SQL Server da utilizzare con Amazon RDS.

Informazioni correlate

Esegui la migrazione di database SQL Server compatibili con TDE su Amazon RDS per SQL Server

Come posso ripristinare un file di backup crittografato o un backup crittografato di Microsoft Azure in RDS per SQL Server da un ambiente on-premise?