Come posso ripristinare un file di backup crittografato con KMS su RDS per SQL Server da un ambiente on-premise?

4 minuti di lettura

Desidero ripristinare un file di backup crittografato con il Sistema AWS di gestione delle chiavi da un ambiente on-premise a un Amazon Relational Database Service (Amazon RDS) per l'istanza Microsoft SQL Server. Desidero utilizzare la funzionalità di backup e ripristino nativa.

Breve descrizione

La crittografia AWS KMS crittografa in modo sicuro un file di backup di Microsoft SQL Server in RDS per SQL Server con una chiave AWS KMS. Puoi ripristinare i backup crittografati nelle istanze del server SQL RDS solo all'interno dello stesso account AWS.

Prerequisiti:

un bucket Amazon Simple Storage Service (Amazon S3); e
una chiave AWS KMS gestita dal cliente.
Nota: Amazon RDS non supporta chiavi AWS KMS asimmetriche.
Un'istanza RDS preconfigurata per eseguire il ripristino del backup nativo. Per ulteriori informazioni, vedi Come si eseguono i backup nativi di un'istanza database Amazon RDS che esegue SQL Server?
Python 3.10 installato nel sistema locale per decrittografare i file di backup.

Risoluzione

Specifica il parametro chiave AWS KMS @kms_master_key_arn per avviare la crittografia lato client sul backup nativo:

exec msdb.dbo.rds_backup_database @source_db_name='database-name',
@s3_arn_to_backup_to='arn:aws:s3:::bucket-name/Filename.bak',
@kms_master_key_arn='arn:aws:kms:us-east-1:account-id:key/xxxxx-xxxxx-xxxxx-xxxxx-xxxxxxxxx1';

Ripristina il backup crittografato di AWS KMS in un'altra istanza RDS per SQL Server nello stesso account e Regione AWS. Nel comando seguente, specifica la stessa chiave AWS KMS utilizzata per crittografare il backup:

exec msdb.dbo.rds_restore_database @restore_db_name='database-name',
@s3_arn_to_restore_from='arn:aws:s3:::bucket-name/Filename.bak',
@kms_master_key_arn='arn:aws:kms:us-east-1:account-id:key/xxxxx-xxxxx-xxxxx-xxxxx-xxxxxxxxx1';

Ripristina un backup crittografato AWS KMS in un'altra regione con lo stesso account

Crea una chiave primaria per più regioni. Per il tipo di chiave, scegli Chiave simmetrica.
Crea chiavi di replica per la regione di destinazione.

Specifica il parametro chiave AWS KMS @kms_master_key_arn nella Regione A per avviare un backup nativo crittografato:

exec msdb.dbo.rds_backup_database @source_db_name='database-name',
@s3_arn_to_backup_to='arn:aws:s3:::bucket-name/Filename.bak',
@kms_master_key_arn='arn:aws:kms:us-east-1:account-id:key/xxxxx-xxxxx-xxxxx-xxxxx-xxxxxxxxx2';

Copia il file di backup nel bucket S3 nella stessa regione. Amazon RDS non supporta bucket interregionali.

Ripristina il backup crittografato di AWS KMS nella Regione B. Specifica lo stesso ID della chiave AWS KMS utilizzato per crittografare il backup:

exec msdb.dbo.rds_restore_database ;@restore_db_name='database-name',
@s3_arn_to_restore_from='arn:aws:s3:::bucket-name/Filename.bak',
@kms_master_key_arn='arn:aws:kms:us-east-2:account-id:key/xxxxx-xxxxx-xxxxx-xxxxx-xxxxxxxxx2';

Nota: sostituisci us-east-2 con la regione della chiave AWS KMS.

Ripristina un backup crittografato AWS KMS su più account, tra regioni o in un ambiente on-premise

I tre scenari seguenti richiedono una soluzione alternativa per ripristinare il backup:

Multi-account: è necessario ripristinare il backup del database crittografato AWS KMS nella stessa regione, ma con un account diverso. Non è possibile condividere le chiavi AWS KMS tra account in Amazon RDS. Ad esempio, non è possibile crittografare un backup nell'account A con la chiave AWS KMS K1 e quindi ripristinare il backup nell'account B con la stessa chiave.
Multi-account e multi-regione: è necessario ripristinare il backup del database crittografato AWS KMS in una regione e in un account diversi. Non è possibile condividere le chiavi AWS KMS tra account o utilizzare bucket tra regioni in Amazon RDS.
On-premise: è necessario ripristinare il backup crittografato del database AWS KMS in un ambiente on-premise. I dettagli della chiave AWS KMS sono un'entità esterna. Prima del ripristino, devi decrittare i file crittografati di AWS KMS.

Per una soluzione a queste limitazioni, consulta la sezione Esportazione da Amazon RDS per SQL Server in Crittografia e decrittografia lato client dei backup di Microsoft SQL Server da utilizzare con Amazon RDS.

Informazioni correlate

Esegui la migrazione di database SQL Server compatibili con TDE su Amazon RDS per SQL Server

Come posso ripristinare un file di backup crittografato o un backup crittografato di Microsoft Azure in RDS per SQL Server da un ambiente on-premise?

Argomenti

Database Migrazione e modernizzazione Analisi

Tag

Microsoft SQL Server Amazon Relational Database Service

Lingua

Italiano

AWS UFFICIALEAggiornata 6 mesi fa

Contenuto pertinente

Come posso utilizzare le chiavi asimmetriche di AWS KMS per crittografare un file utilizzando OpenSSL?
AWS UFFICIALEAggiornata 2 anni fa
Come posso ripristinare un file di backup crittografato o un backup crittografato di Microsoft Azure in RDS per SQL Server da un ambiente on-premise?
AWS UFFICIALEAggiornata 2 anni fa
Devo specificare la chiave AWS KMS quando scarico un oggetto crittografato con KMS da Amazon S3?
AWS UFFICIALEAggiornata un anno fa
Come posso spostare gli utenti di SQL Server da un'istanza di RDS per SQL Server a un'altra o a un ambiente on-premise da RDS?
AWS UFFICIALEAggiornata un anno fa