如何將 KMS 加密的備份檔案從內部部署環境還原至 RDS for SQL Server?

2 分的閱讀內容
0

我想將 AWS Key Management Service (AWS KMS) 加密的備份檔從內部部署環境還原至適用於 Microsoft SQL Server 執行個體的 Amazon Relational Database Service (Amazon RDS)。我想使用原生備份和還原功能。

簡短描述

AWS KMS 加密使用 AWS KMS key 安全地加密在 RDS for SQL Server 中的 Microsoft SQL Server 備份檔案。您只能將加密的備份還原到相同 AWS 帳戶內的 RDS SQL 伺服器執行個體。

先決條件:

解決方法

  1. 指定 @kms_master_key_arn AWS KMS key 參數,以在原生備份上開始用戶端加密:

    exec msdb.dbo.rds_backup_database @source_db_name='database-name',
    @s3_arn_to_backup_to='arn:aws:s3:::bucket-name/Filename.bak',
    @kms_master_key_arn='arn:aws:kms:us-east-1:account-id:key/xxxxx-xxxxx-xxxxx-xxxxx-xxxxxxxxx1';
  2. 在相同 AWS 區域和帳戶中的另一個 RDS for SQL Server 執行個體中還原 AWS KMS 加密的備份。在下列命令中,指定您用來加密備份的相同 AWS KMS key:

    exec msdb.dbo.rds_restore_database @restore_db_name='database-name',
    @s3_arn_to_restore_from='arn:aws:s3:::bucket-name/Filename.bak',
    @kms_master_key_arn='arn:aws:kms:us-east-1:account-id:key/xxxxx-xxxxx-xxxxx-xxxxx-xxxxxxxxx1';

在相同帳戶下還原其他區域中的 AWS KMS 加密備份

  1. 建立多區域主索引鍵。對於金鑰類型,請選擇對稱金鑰

  2. 針對目的地區域建立複本金鑰

  3. 在區域 A 中指定 @kms_master_key_arn AWS KMS key 參數,以開始加密的原生備份:

    exec msdb.dbo.rds_backup_database @source_db_name='database-name',
    @s3_arn_to_backup_to='arn:aws:s3:::bucket-name/Filename.bak',
    @kms_master_key_arn='arn:aws:kms:us-east-1:account-id:key/xxxxx-xxxxx-xxxxx-xxxxx-xxxxxxxxx2';
  4. 將備份檔複製到相同區域中的 S3 儲存貯體。Amazon RDS 不支援跨區域儲存貯體

  5. 在區域 B 中還原 AWS KMS 加密備份。指定您用來加密備份的相同 AWS KMS key ID:

    exec msdb.dbo.rds_restore_database ;@restore_db_name='database-name',
    @s3_arn_to_restore_from='arn:aws:s3:::bucket-name/Filename.bak',
    @kms_master_key_arn='arn:aws:kms:us-east-2:account-id:key/xxxxx-xxxxx-xxxxx-xxxxx-xxxxxxxxx2';

    **注意:**用 AWS KMS key 的區域取代 us-east-2

跨帳戶、跨區域或在內部部署環境中還原 AWS KMS 加密的備份

下列三種情況需要還原備份的解決方法:

  • **跨帳戶:**您必須在相同區域但不同的帳戶下還原 AWS KMS 加密資料庫備份。您無法在 Amazon RDS 中跨帳戶共用 AWS KMS key。例如,您無法使用 AWS KMS key K1 加密帳戶 A 中的備份,然後使用相同的金鑰還原帳戶 B 中的備份。
  • **跨帳戶和跨區域:**您必須在不同的區域和不同帳戶中還原 AWS KMS 加密資料庫備份。您無法在 Amazon RDS 中跨帳戶共用 AWS KMS key,也無法跨區域使用儲存貯體。
  • **內部部署:**您必須在內部部署環境中還原 AWS KMS 加密資料庫備份。AWS KMS key 詳細資訊是外部實體。還原之前,您必須解密 AWS KMS 加密的檔案。

如需這些限制的解決方案,請參閱與 Amazon RDS 搭配使用 Microsoft SQL Server 備份的用戶端加密和解密中的從 Amazon RDS for SQL Server 匯出一節。

相關資訊

將啟用 TDE 的 SQL Server 資料庫移轉至 Amazon RDS for SQL Server

如何將加密備份檔案或加密的 Microsoft Azure 備份從內部部署環境中還原至 RDS for SQL Server?

AWS 官方
AWS 官方已更新 1 年前