Configuración de la replicación geográfica y la restauración de copias de seguridad para el cifrado de datos transparente con claves administradas por el cliente en el nivel de base de datos

Crear una copia de base de datos que tenga claves administradas por el cliente de nivel de base de datos

Para crear una base de datos en Azure SQL Database como copia con claves administradas por el cliente de nivel de base de datos, siga estos pasos:

1. Vaya a Azure Portal y vaya a Azure SQL Database configurado con claves administradas por el cliente de nivel de base de datos. Acceda a la pestaña Cifrado de datos transparente del menú Cifrado de datos y compruebe la lista de claves actuales que usa la base de datos.

   

2. Cree una copia de la base de datos seleccionando Copiar en el menú Información general de la base de datos.

   

3. Aparece el menú Crear SQL Database: Copiar base de datos. Use un servidor diferente para esta base de datos, pero la misma configuración que la base de datos que está intentando copiar. En la sección Administración de claves de cifrado de datos transparente, seleccione Configuración del cifrado de datos transparente.

   

4. Cuando aparezca el menú Cifrado de datos transparente, revise la configuración de la clave administrada por el cliente para esta base de datos de copia. La configuración y las claves deben rellenarse con la misma identidad y claves que se usan en la base de datos de origen.

5. Seleccione Aplicar para continuar y, a continuación, seleccione Revisar y crear y Crear para crear la base de datos de copia.

Crear una réplica secundaria que tenga claves administradas por el cliente de nivel de base de datos

1. Vaya a Azure Portal y vaya a Azure SQL Database configurado con claves administradas por el cliente de nivel de base de datos. Acceda al menú Cifrado de datos transparente y compruebe la lista de claves actuales que usa la base de datos.

   

2. En Configuración de administración de datos de la base de datos, seleccione Réplicas. Seleccione Crear réplica para crear una réplica secundaria de la base de datos.

   

3. Aparece el menú Crear SQL Database: replicación geográfica. Use un servidor secundario para esta base de datos, pero la misma configuración que la base de datos que intenta replicar. En la sección Administración de claves de cifrado de datos transparente, seleccione Configuración del cifrado de datos transparente.

   

4. Cuando aparezca el menú Cifrado de datos transparente, revise la configuración de la clave administrada por el cliente para esta réplica de base de datos. La configuración y las claves deben rellenarse con la misma identidad y claves que se usan en la base de datos principal.

5. Seleccione Aplicar para continuar y, a continuación, seleccione Revisar y crear y Crear para crear la base de datos de copia.

Para obtener información sobre cómo instalar la versión actual de la CLI de Azure, vea Instalación de la CLI de Azure.

• Rellene previamente la lista de claves actuales que la base de datos principal usa mediante el parámetro expand-keys. Para ello, use current para keys-filter.

  az sql db show --name $databaseName --resource-group $resourceGroup --server $serverName --expand-keys --keys-filter current
  

• Seleccione la identidad administrada asignada por el usuario (y el id. de cliente federado si configura el acceso entre inquilinos).

• Cree una nueva base de datos como secundaria y proporcione la lista rellenada previamente de claves obtenidas de la base de datos de origen y la identidad anterior (y el id. de cliente federado si se configura el acceso entre inquilinos).

  # Create a secondary replica with Active Geo Replication with the same name as the primary database
  
  az sql db replica create -g $resourceGroup -s $serverName -n $databaseName --partner-server $secondaryServer --partner-database $secondaryDatabase --partner-resource-group $secondaryResourceGroup -i --encryption-protector $encryptionProtector --user-assigned-identity-id $umi --keys $keys
  

  Importante

  $keys es una lista de claves separadas por espacios recuperadas de la base de datos de origen.

• Para crear una copia de la base de datos, se puede usar az sql db copy con los mismos parámetros.

  # Create a copy of a database configured with database level customer-managed keys
  az sql db copy -g $resourceGroup -s $serverName -n $databaseName --dest-name $secondaryDatabase -i --encryption-protector $encryptionProtector --user-assigned-identity-id $umi --keys $keys
  

Para obtener instrucciones sobre la instalación del módulo Azure PowerShell, consulte Instalación de Azure PowerShell. Para los cmdlets concretos, consulte AzureRM.Sql.

• Rellene previamente la lista de claves actuales que la base de datos principal usa mediante el comando Get-AzSqlDatabase y los parámetros -ExpandKeyList y -KeysFilter "current". Excluya -KeysFilter si desea recuperar todas las claves.

  $database = Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter "current"
  

• Seleccione la identidad administrada asignada por el usuario (y el id. de cliente federado si configura el acceso entre inquilinos).

• Cree una base de datos como secundaria mediante el comando New-AzSqlDatabaseSecondary y proporcione la lista de claves rellenada previamente obtenidas de la base de datos de origen y la identidad anterior (y el id. de cliente federado si configura el acceso entre inquilinos) en la llamada API mediante los parámetros -KeyList, -AssignIdentity, -UserAssignedIdentityId, -EncryptionProtector (y si es necesario -FederatedClientId).

  # Create a secondary replica with Active Geo Replication with the same name as the primary database
  $database = Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter "current"
  
  $database | New-AzSqlDatabaseSecondary -PartnerResourceGroupName <SecondaryResourceGroupName> -PartnerServerName <SecondaryServerName> -AllowConnections "All" -AssignIdentity -UserAssignedIdentityId <UserAssignedIdentityId> -EncryptionProtector <CustomerManagedKeyId> -FederatedClientId <FederatedClientId>
  -KeyList $database.Keys.Keys
  

• Para crear una copia de la base de datos, se puede usar New-AzSqlDatabaseCopy con los mismos parámetros.

# Create a copy of a database configured with database level customer-managed keys
$database = Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter "current"

New-AzSqlDatabaseCopy -CopyDatabaseName <CopyDatabaseName> -CopyResourceGroupName <CopyResourceGroupName> -CopyServerName <CopyServerName> -DatabaseName <DatabaseName> -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -AssignIdentity -UserAssignedIdentityId <UserAssignedIdentityId> -EncryptionProtector <CustomerManagedKeyId> -FederatedClientId <FederatedClientId>
-KeyList $database.Keys.Keys

Este es un ejemplo de una plantilla de ARM que crea una réplica secundaria y una copia de una instancia de Azure SQL Database configurada con una identidad administrada asignada por el usuario y un TDE administrado por el cliente en el nivel de base de datos.

Para más información y las plantillas de ARM, consulte Plantillas de Azure Resource Manager para Azure SQL Database y SQL Managed Instance.

Use una implementación personalizada en Azure Portal y cree su propia plantilla en el editor. A continuación, guarde la configuración una vez pegada en el ejemplo.

• Rellene previamente la lista de claves actuales que la base de datos principal usa mediante la siguiente solicitud de API REST:

  GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}?api-version=2022-08-01-preview&$expand=keys($filter=pointInTime('current'))
  

• Seleccione la identidad administrada asignada por el usuario (y el id. de cliente federado si configura el acceso entre inquilinos).

• Cree una nueva base de datos como secundaria y proporcione la lista rellenada previamente de claves obtenidas de la base de datos de origen y la identidad anterior (y el id. de cliente federado si se configura el acceso entre inquilinos) en la plantilla de ARM como el parámetro keys_to_add.

  {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
      "server_name": {
        "type": "String"
      },
      "database_name": {
        "type": "String"
      },
      "user_assigned_identity": {
        "type": "String"
      },
      "encryption_protector": {
        "type": "String"
      },
      "location": {
        "type": "String"
      },
      "source_database_id": {
        "type": "String"
      },
      "keys_to_add": {
        "type": "Object"
      }
    },
    "variables": {},
    "resources": [
      {
        "type": "Microsoft.Sql/servers/databases",
        "apiVersion": "2022-08-01-preview",
        "name": "[concat(parameters('server_name'), concat('/',parameters('database_name')))]",
        "location": "[parameters('location')]",
        "sku": {
          "name": "Basic",
          "tier": "Basic",
          "capacity": 5
        },
        "identity": {
          "type": "UserAssigned",
          "userAssignedIdentities": {
            "[parameters('user_assigned_identity')]": {}
          }
        },
        "properties": {
          "collation": "SQL_Latin1_General_CP1_CI_AS",
          "maxSizeBytes": 104857600,
          "catalogCollation": "SQL_Latin1_General_CP1_CI_AS",
          "zoneRedundant": false,
          "readScale": "Disabled",
          "requestedBackupStorageRedundancy": "Geo",
          "maintenanceConfigurationId": "/subscriptions/e1775f9f-xxxx-xxxx-xxxx-xxxxxxxxxxxx/providers/Microsoft.Maintenance/publicMaintenanceConfigurations/SQL_Default",
          "isLedgerOn": false,
          "encryptionProtector": "[parameters('encryption_protector')]",
          "keys": "[parameters('keys_to_add')]",
          "createMode": "Secondary",
          "sourceDatabaseId": "[parameters('source_database_id')]"
        }
      }
    ]
  }
  

  Ejemplo de los parámetros encryption_protector y keys_to_add:

      "keys_to_add": {
        "value": {
          "https://yourvault.vault.azure.net/keys/yourkey1/fd021f84a0d94d43b8ef33154bca0000": {},
          "https://yourvault.vault.azure.net/keys/yourkey2/fd021f84a0d94d43b8ef33154bca0000": {}
        }
      },
      "encryption_protector": {
        "value": "https://yourvault.vault.azure.net/keys/yourkey2/fd021f84a0d94d43b8ef33154bca0000"
      }
  

• Para crear una copia de la base de datos, se puede usar la plantilla siguiente con los mismos parámetros.

  {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
      "server_name": {
        "type": "String"
      },
      "database_name": {
        "type": "String"
      },
      "user_assigned_identity": {
        "type": "String"
      },
      "encryption_protector": {
        "type": "String"
      },
      "location": {
        "type": "String"
      },
      "source_database_id": {
        "type": "String"
      },
      "keys_to_add": {
        "type": "Object"
      }
    },
    "variables": {},
    "resources": [
      {
        "type": "Microsoft.Sql/servers/databases",
        "apiVersion": "2022-08-01-preview",
        "name": "[concat(parameters('server_name'), concat('/',parameters('database_name')))]",
        "location": "[parameters('location')]",
        "sku": {
          "name": "Basic",
          "tier": "Basic",
          "capacity": 5
        },
        "identity": {
          "type": "UserAssigned",
          "userAssignedIdentities": {
            "[parameters('user_assigned_identity')]": {}
          }
        },
        "properties": {
          "collation": "SQL_Latin1_General_CP1_CI_AS",
          "maxSizeBytes": 104857600,
          "catalogCollation": "SQL_Latin1_General_CP1_CI_AS",
          "zoneRedundant": false,
          "readScale": "Disabled",
          "requestedBackupStorageRedundancy": "Geo",
          "maintenanceConfigurationId": "/subscriptions/e1775f9f-xxxx-xxxx-xxxx-xxxxxxxxxxxx/providers/Microsoft.Maintenance/publicMaintenanceConfigurations/SQL_Default",
          "isLedgerOn": false,
          "encryptionProtector": "[parameters('encryption_protector')]",
          "keys": "[parameters('keys_to_add')]",
          "createMode": "Copy",
          "sourceDatabaseId": "[parameters('source_database_id')]"
        }
      }
    ]
  }
  

1. Vaya a Azure Portal y vaya a Azure SQL Database configurado con claves administradas por el cliente de nivel de base de datos que desea restaurar.

2. Para restaurar la base de datos a un momento dado, seleccione Restaurar en el menú Información general de la base de datos.

   

3. Aparece el menú Crear SQL Database: Restaurar base de datos. Rellene los detalles de origen y base de datos necesarios. En la sección Administración de claves de cifrado de datos transparente, seleccione Configuración del cifrado de datos transparente.

   

4. Cuando aparezca el menú Cifrado de datos transparente, revise la configuración de la clave administrada por el cliente para esta base de datos. La configuración y las claves deben rellenarse con la misma identidad y claves que se usan en la base de datos que está intentando restaurar.

5. Seleccione Aplicar para continuar y, a continuación, seleccione Revisar y crear y Crear para crear la base de datos de copia.

Para obtener información sobre cómo instalar la versión actual de la CLI de Azure, vea Instalación de la CLI de Azure.

• Rellene previamente la lista de claves que la base de datos principal usa mediante el parámetro expand-keys con el momento dado de restauración como keys-filter.

  az sql db show --name $databaseName --resource-group $resourceGroup --server $serverName --expand-keys --keys-filter $timestamp
  

• Seleccione la identidad administrada asignada por el usuario (y el id. de cliente federado si configura el acceso entre inquilinos).

• Cree una nueva base de datos como destino de restauración y proporcione la lista rellenada previamente de claves obtenidas de la base de datos de origen y la identidad anterior (y el id. de cliente federado si se configura el acceso entre inquilinos).

  # Create a restored database
  az sql db restore --dest-name $destName --name $databaseName --resource-group $resourceGroup --server $serverName --subscription $subscriptionId --time $timestamp -i --encryption-protector $encryptionProtector --user-assigned-identity-id $umi --keys $keys
  

  Importante

  $keys es una lista de claves separadas por espacios recuperadas de la base de datos de origen.

Para obtener instrucciones sobre la instalación del módulo Azure PowerShell, consulte Instalación de Azure PowerShell. Para los cmdlets concretos, consulte AzureRM.Sql.

• Rellene previamente la lista de claves que la base de datos principal usa mediante el comando Get-AzSqlDatabase y los parámetros -ExpandKeyList y -KeysFilter "2023-01-01" (2023-01-01 es un ejemplo del momento dado al que desea restaurar la base de datos). Excluya -KeysFilter si desea recuperar todas las claves.

  $database = Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter <Timestamp>
  

• Seleccione la identidad administrada asignada por el usuario (y el id. de cliente federado si configura el acceso entre inquilinos).

• Use el comando Restore-AzSqlDatabase con el parámetro -FromPointInTimeBackup y proporcione la lista de claves rellenada previamente obtenidas de los pasos anteriores y la identidad anterior (y el id. de cliente federado si configura el acceso entre inquilinos) en la llamada API mediante los parámetros -KeyList, -AssignIdentity, -UserAssignedIdentityId, -EncryptionProtector (y, si es necesario, -FederatedClientId).

  $database = Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter <Timestamp>
  
  # Create a restored database
  Restore-AzSqlDatabase -FromPointInTimeBackup -PointInTime <Timestamp> -ResourceId '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}' -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -TargetDatabaseName <TargetDatabaseName> -KeyList $database.Keys.Keys -EncryptionProtector <EncryptionProtector> -UserAssignedIdentityId <UserAssignedIdentityId> -AssignIdentity
  

1. Vaya a Azure Portal y vaya al servidor lógico de la base de datos eliminada que desea restaurar. En Administración de datos, seleccione Bases de datos eliminadas.

   

2. Seleccione la base de datos eliminada que desea restaurar.

3. Aparece el menú Crear SQL Database: Restaurar base de datos. Rellene los detalles de origen y base de datos necesarios. En la sección Administración de claves de cifrado de datos transparente, seleccione Configuración del cifrado de datos transparente.

   

4. Cuando aparezca el menú Cifrado de datos transparente, configure la sección Identidad administrada asignada por el usuario, Clave administrada por el cliente y Claves de base de datos adicionales para la base de datos.

5. Seleccione Aplicar para continuar y, a continuación, seleccione Revisar y crear y Crear para crear la base de datos de copia.

Para obtener información sobre cómo instalar la versión actual de la CLI de Azure, vea Instalación de la CLI de Azure.

• Rellene previamente la lista de claves usadas por la base de datos eliminada mediante el parámetro expand-keys. Se recomienda pasar todas las claves que la base de datos de origen estaba usando. También puede intentar una restauración con las claves proporcionadas en el momento de la eliminación mediante el parámetro keys-filter.

  az sql db show-deleted --name $databaseName --resource-group $resourceGroup --server $serverName --restorable-dropped-database-id "databaseName,133201549661600000" --expand-keys
  

  Importante

  restorable-dropped-database-id se puede recuperar enumerando todas las bases de datos eliminadas restaurables en el servidor y tiene el formato databaseName,deletedTimestamp.

• Seleccione la identidad administrada asignada por el usuario (y el id. de cliente federado si configura el acceso entre inquilinos).

• Cree una nueva base de datos como destino de restauración y proporcione la lista rellenada previamente de claves obtenidas de la base de datos de origen eliminada y la identidad anterior (y el id. de cliente federado si se configura el acceso entre inquilinos).

  # Create a restored database
  az sql db restore --dest-name $destName --name $databaseName --resource-group $resourceGroup --server $serverName --subscription $subscriptionId --time $timestamp -i --encryption-protector $encryptionProtector --user-assigned-identity-id $umi --keys $keys --deleted-time "2023-02-06T11:02:46.160000+00:00"
  

  Importante

  $keys es una lista de claves separadas por espacios recuperadas de la base de datos de origen.

Para obtener instrucciones sobre la instalación del módulo Azure PowerShell, consulte Instalación de Azure PowerShell. Para los cmdlets concretos, consulte AzureRM.Sql.

• Rellene previamente la lista de claves que la base de datos principal usa mediante el comando Get-AzSqlDeletedDatabaseBackup y el parámetro -ExpandKeyList. Se recomienda pasar todas las claves que la base de datos de origen estaba usando. También puede intentar una restauración con las claves proporcionadas en el momento de la eliminación mediante el parámetro -KeysFilter.

  $database = Get-AzSqlDeletedDatabaseBackup -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseId "dbName,133201549661600000" -ExpandKeyList -DeletionDate "2/6/2023" -DatabaseName <databaseName>
  

  Importante

  DatabaseId se puede recuperar enumerando todas las bases de datos eliminadas restaurables en el servidor y tiene el formato databaseName,deletedTimestamp.

• Seleccione la identidad administrada asignada por el usuario (y el id. de cliente federado si configura el acceso entre inquilinos).

• Use el comando Restore-AzSqlDatabase con el parámetro -FromDeletedDatabaseBackup y proporcione la lista de claves rellenada previamente obtenidas de los pasos anteriores y la identidad anterior (y el id. de cliente federado si configura el acceso entre inquilinos) en la llamada API mediante los parámetros -KeyList, -AssignIdentity, -UserAssignedIdentityId, -EncryptionProtector (y, si es necesario, -FederatedClientId).

  $database = Get-AzSqlDeletedDatabaseBackup -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseId "dbName,133201549661600000" -ExpandKeyList -DeletionDate <DeletionDate> -DatabaseName <databaseName>
  
  # Create a restored database
  Restore-AzSqlDatabase -FromDeletedDatabaseBackup -DeletionDate <Timestamp> -ResourceId '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/restorableDroppedDatabases/{databaseName}' -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -TargetDatabaseName <TargetDatabaseName> -KeyList $database.Keys.Keys -EncryptionProtector <EncryptionProtector> -UserAssignedIdentityId <UserAssignedIdentityId> -AssignIdentity
  

1. Vaya a Azure Portal y vaya al servidor lógico donde desea restaurar la base de datos.

2. En el menú Información general, seleccione Crear base de datos.

3. Aparecerá el menú Crear base de datos SQL. Rellene las pestañas Básico y Redes de la nueva base de datos. En Configuración adicional, seleccione Copia de seguridad para la sección Usar datos existentes y seleccione una copia de seguridad con replicación geográfica.

   

4. Vaya a la pestaña Seguridad. En la sección Administración de claves de cifrado de datos transparente, seleccione Configuración del cifrado de datos transparente.

5. Cuando aparezca el menú Cifrado de datos transparente, seleccione Clave administrada por el cliente (CMK) de nivel de base de datos. La identidad administrada asignada por el usuario, la clave administrada por el cliente y las claves de base de datos adicionales deben coincidir con la base de datos de origen que desea restaurar. Asegúrese de que la identidad administrada asignada por el usuario tiene acceso al almacén de claves que contiene la clave administrada por el cliente que se usó en la copia de seguridad.

6. Seleccione Aplicar para continuar y, a continuación, seleccione Revisar y crear y Crear para crear la base de datos de copia de seguridad.

Para obtener información sobre cómo instalar la versión actual de la CLI de Azure, vea Instalación de la CLI de Azure.

• Rellene previamente la lista de claves que la copia de seguridad geográfica de la base de datos usa configurada con claves administradas por el cliente en el nivel de base de datos mediante el parámetro expand-keys.

  az sql db geo-backup --database-name $databaseName --g $resourceGroup --server $serverName  --expand-keys
  

• Seleccione la identidad administrada asignada por el usuario (y el id. de cliente federado si configura el acceso entre inquilinos).

• Cree una nueva base de datos como destino de restauración geográfico y proporcione la lista rellenada previamente de claves obtenidas de la base de datos de origen eliminada y la identidad anterior (y el id. de cliente federado si se configura el acceso entre inquilinos).

  # Create a geo restored database
  az sql db geo-backup restore --geo-backup-id "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/recoverableDatabases/{databaseName}" --dest-database $destName --resource-group $resourceGroup --dest-server $destServerName -i --encryption-protector $encryptionProtector --user-assigned-identity-id $umi --keys $keys
  

  Importante

  $keys es una lista de claves separadas por espacios recuperadas de la base de datos de origen.

Para obtener instrucciones sobre la instalación del módulo Azure PowerShell, consulte Instalación de Azure PowerShell. Para los cmdlets concretos, consulte AzureRM.Sql.

• Rellene previamente la lista de claves que la base de datos principal usa mediante el comando Get-AzSqlDatabaseGeoBackup y -ExpandKeyList para recuperar todas las claves.

  $database = Get-AzSqlDatabaseGeoBackup -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <databaseName> -ExpandKeyList
  

  Importante

  DatabaseId se puede recuperar enumerando todas las bases de datos eliminadas restaurables en el servidor y tiene el formato databaseName,deletedTimestamp.

• Seleccione la identidad administrada asignada por el usuario (y el id. de cliente federado si configura el acceso entre inquilinos).

• Use el comando Restore-AzSqlDatabase con el parámetro -FromGeoBackup y proporcione la lista de claves rellenada previamente obtenidas de los pasos anteriores y la identidad anterior (y el id. de cliente federado si configura el acceso entre inquilinos) en la llamada API mediante los parámetros -KeyList, -AssignIdentity, -UserAssignedIdentityId, -EncryptionProtector (y, si es necesario, -FederatedClientId).

  $database = Get-AzSqlDatabaseGeoBackup -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <databaseName> -ExpandKeyList
  
  # Create a restored database
  Restore-AzSqlDatabase -FromGeoBackup -ResourceId "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/recoverableDatabases/{databaseName}" -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -TargetDatabaseName <TargetDatabaseName> -KeyList $database.Keys.Keys -EncryptionProtector <EncryptionProtector> -UserAssignedIdentityId <UserAssignedIdentityId> -AssignIdentity