Como restaurar um arquivo de backup criptografado pelo KMS no RDS para SQL Server a partir de um ambiente on-premises?

4 minuto de leitura

Quero restaurar um arquivo de backup criptografado pelo AWS Key Management Service (AWS KMS) de um ambiente on-premises em uma instância do Amazon Relational Database Service (Amazon RDS) para Microsoft SQL Server. Quero usar o recurso de backup e restauração nativo.

Breve descrição

A criptografia do AWS KMS criptografa com segurança um arquivo de backup do Microsoft SQL Server no RDS para SQL Server com uma chave do AWS KMS. Você pode restaurar os backups criptografados em instâncias do servidor RDS SQL somente na mesma conta da AWS.

Pré-requisitos:

Um bucket do Amazon Simple Storage Service (Amazon S3).
Uma chave do AWS KMS gerenciada pelo cliente.
Observação: o Amazon RDS não é compatível com chaves assimétricas do AWS KMS.
Uma instância pré-configurada do RDS para realizar a restauração do backup nativo. Para obter mais informações, consulte How do I perform native backups of an Amazon RDS DB instance that's running SQL Server?
Python 3.10 instalado no sistema local para descriptografar os arquivos de backup.

Resolução

Especifique o parâmetro de chave do AWS KMS @kms_master_key_arn para iniciar a criptografia do lado do cliente no backup nativo:

exec msdb.dbo.rds_backup_database @source_db_name='database-name',
@s3_arn_to_backup_to='arn:aws:s3:::bucket-name/Filename.bak',
@kms_master_key_arn='arn:aws:kms:us-east-1:account-id:key/xxxxx-xxxxx-xxxxx-xxxxx-xxxxxxxxx1';

Restaure o backup criptografado do AWS KMS em outra instância do RDS para SQL Server na mesma região e conta da AWS. No comando a seguir, especifique a mesma chave do AWS KMS usada para criptografar o backup:

exec msdb.dbo.rds_restore_database @restore_db_name='database-name',
@s3_arn_to_restore_from='arn:aws:s3:::bucket-name/Filename.bak',
@kms_master_key_arn='arn:aws:kms:us-east-1:account-id:key/xxxxx-xxxxx-xxxxx-xxxxx-xxxxxxxxx1';

Restaure um backup criptografado do AWS KMS em outra região com a mesma conta

Crie uma chave primária multirregional. Para o tipo de chave, escolha Chave simétrica.
Crie chaves de réplica para a região de destino.

Especifique o parâmetro de chave do AWS KMS @kms_master_key_arn na Região A para iniciar um backup nativo criptografado:

exec msdb.dbo.rds_backup_database @source_db_name='database-name',
@s3_arn_to_backup_to='arn:aws:s3:::bucket-name/Filename.bak',
@kms_master_key_arn='arn:aws:kms:us-east-1:account-id:key/xxxxx-xxxxx-xxxxx-xxxxx-xxxxxxxxx2';

Copie o arquivo de backup para o bucket do S3 da mesma região. O Amazon RDS não é compatível com buckets entre regiões.

Restaure o backup criptografado do AWS KMS na região B. Especifique o mesmo ID de chave do AWS KMS usado para criptografar o backup:

exec msdb.dbo.rds_restore_database ;@restore_db_name='database-name',
@s3_arn_to_restore_from='arn:aws:s3:::bucket-name/Filename.bak',
@kms_master_key_arn='arn:aws:kms:us-east-2:account-id:key/xxxxx-xxxxx-xxxxx-xxxxx-xxxxxxxxx2';

Observação: substitua us-east-2 pela região da sua chave do AWS KMS.

Restaure um backup criptografado do AWS KMS entre contas, entre regiões ou em um ambiente on-premises

Os três cenários a seguir exigem uma solução alternativa para restaurar o backup:

Entre contas: você precisa restaurar o backup de banco de dados criptografado do AWS KMS na mesma região, mas em uma conta diferente. Você não pode compartilhar chaves do AWS KMS entre contas no Amazon RDS. Por exemplo, você não pode criptografar um backup na conta A com a chave K1 do AWS KMS e depois restaurar o backup na conta B com a mesma chave.
Entre contas e entre regiões: você precisa restaurar o backup de banco de dados criptografado do AWS KMS em uma região diferente e em uma conta diferente. Você não pode compartilhar chaves do AWS KMS entre contas ou usar buckets entre regiões no Amazon RDS.
On-premises: você precisa restaurar o backup de banco de dados criptografado do AWS KMS em um ambiente on-premises. Os principais detalhes do AWS KMS são uma entidade externa. Antes de restaurar, você deve descriptografar os arquivos criptografados do AWS KMS.

Para obter uma solução para essas limitações, consulte a seção Export from Amazon RDS for SQL Server de Client-side encryption and decryption of Microsoft SQL Server backups for use with Amazon RDS.

Informações relacionadas

Migrate TDE-enabled SQL Server databases to Amazon RDS for SQL Server

Como faço para restaurar um arquivo de backup criptografado ou um backup criptografado do Microsoft Azure no RDS para SQL Server a partir de um ambiente on-premises?

Tópicos

Banco de dados Migração e modernização Análise

Conteúdo relevante

Quanto tempo leva criar um backup da minha instância do RDS para SQL Server?
AWS OFICIALAtualizada há 2 anos
Como faço para restaurar um arquivo de backup criptografado ou um backup criptografado do Microsoft Azure no RDS para SQL Server a partir de um ambiente on-premises?
AWS OFICIALAtualizada há 2 anos
Como faço para mover usuários do SQL Server de uma instância do RDS para SQL Server para outra ou para um ambiente on-premises do RDS?
AWS OFICIALAtualizada há um ano
Quais são os problemas comuns que podem ocorrer ao usar backup e restauração nativos no RDS para SQL Server?
AWS OFICIALAtualizada há 2 anos