BACKUP MASTER KEY (Transact-SQL)

Gilt für: SQL Server

Exportiert den Datenbank-Hauptschlüssel.

Wichtig

In SQL Server 2022 (16.x) wurde Unterstützung für das Sichern und Wiederherstellen des Datenbankhauptschlüssels in bzw. aus Azure Blob Storage eingeführt. Die URL-Syntax ist erst ab SQL Server 2022 (16.x) verfügbar.

Transact-SQL-Syntaxkonventionen

Syntax

BACKUP MASTER KEY TO 
  {
    FILE = 'path_to_file'
  | URL = 'Azure Blob storage URL'
  }   
    ENCRYPTION BY PASSWORD = 'password'  

Argumente

FILE = 'path_to_file'
Gibt den vollständigen Pfad, einschließlich des Dateinamens, zu der Datei an, in die der Hauptschlüssel exportiert wird. Der Pfad kann ein lokaler Pfad oder ein UNC-Pfad zu einer Netzwerkadresse sein.

URL ='Azure Blob Storage-URL'
Gilt für: SQL Server 2022 (16.x) und höher
Die URL für Ihr Azure Blob Storage-Instanz, in einem Format wie https://<storage_account_name>.blob.core.windows.net/<storage_container_name>/<backup_file_name>.bak.

ENCRYPTION BY PASSWORD ='password'
Das zum Verschlüsseln des Hauptschlüssels in der Datei verwendete Kennwort. Dieses Kennwort unterliegt Komplexitätsüberprüfungen. Weitere Informationen finden Sie unter Password Policy.

Bemerkungen

Der Hauptschlüssel muss geöffnet und somit entschlüsselt sein, bevor er gesichert wird. Wenn er mit dem Diensthauptschlüssel verschlüsselt ist, muss der Hauptschlüssel nicht explizit geöffnet werden. Falls der Hauptschlüssel jedoch nur mit einem Kennwort verschlüsselt ist, muss er explizit geöffnet werden.

Legen Sie sofort nach der Erstellung eine Sicherung des Hauptschlüssels an, und bewahren Sie diese an einem sicheren Ort außerhalb Ihrer Geschäftsräume auf.

Authentifizierung bei Azure Blob Storage

Gilt für: SQL Server 2022 (16.x) und höher.

Zum Sichern des Datenbankmasterschlüssel in Azure Blob Storage müssen folgende Voraussetzungen erfüllt sein:

  1. Sie benötigen ein Azure-Speicherkonto.

  2. Erstellen Sie eine gespeicherte Zugriffsrichtlinie sowie Speicher mit freigegebenem Zugriff.

  3. Erstellen Sie SQL Server-Anmeldeinformationen mit einer Shared Access Signature (SAS).

    Weitere Informationen finden Sie unter Tutorial: Verwenden von Azure Blob Storage mit SQL Server 2016.

Berechtigungen

Erfordert die CONTROL-Berechtigung für die Datenbank.

Beispiele

Im folgenden Beispiel wird eine Sicherung des Hauptschlüssels für AdventureWorks2022 in einer Datei erstellt. Da dieser Hauptschlüssel nicht mit dem Diensthauptschlüssel verschlüsselt ist, muss beim Öffnen ein Kennwort angegeben werden.

USE AdventureWorks2022;  
OPEN MASTER KEY DECRYPTION BY PASSWORD = 'sfj5300osdVdgwdfkli7';  
BACKUP MASTER KEY TO FILE = 'c:\temp\AdventureWorks2022_master_key'   
    ENCRYPTION BY PASSWORD = 'sd092735kjn$&adsg';  
GO   

Im folgenden Beispiel wird eine Sicherung des Hauptschlüssels für AdventureWorks2022 in Azure Blob Storage erstellt. Da dieser Hauptschlüssel nicht mit dem Diensthauptschlüssel verschlüsselt ist, muss beim Öffnen ein Kennwort angegeben werden.

USE AdventureWorks2022;  
OPEN MASTER KEY DECRYPTION BY PASSWORD = 'sfj5300osdVdgwdfkli7';  
BACKUP MASTER KEY TO URL = 'https://mydocsteststorage.blob.core.windows.net/mytestcontainer/AdventureWorks2022_master_key.bak'  
    ENCRYPTION BY PASSWORD = 'sd092735kjn$&adsg';  
GO   

Weitere Informationen

CREATE MASTER KEY (Transact-SQL)
OPEN MASTER KEY (Transact-SQL)
CLOSE MASTER KEY (Transact-SQL)
RESTORE MASTER KEY (Transact-SQL)
ALTER MASTER KEY (Transact-SQL)
DROP MASTER KEY (Transact-SQL)
Verschlüsselungshierarchie
BACKUP SYMMETRIC KEY