Configurer la géoréplication et la restauration des sauvegardes pour Transparent Data Encryption avec des clés gérées par le client au niveau de la base de données

S’applique à : Azure SQL Database

Remarque

La CMK TDE au niveau de la base de données est disponible pour Azure SQL Database (toutes les éditions de SQL Database). Elle n’est pas disponible pour Azure SQL Managed Instance, pour SQL Server local, pour les machines virtuelles Azure et pour Azure Synapse Analytics (pools SQL dédiés (anciennement SQL DW)).

Dans ce guide, nous suivons les étapes de configuration de la géoréplication et de la restauration des sauvegardes sur une base de données Azure SQL Database. La base de données Azure SQL est configurée avec Transparent Data Encryption (TDE) et des clés gérées par le client (CMK) au niveau de la base de données, en utilisant une identité managée affectée par l’utilisateur pour accéder à Azure Key Vault. Azure Key Vault et le serveur logique pour Azure SQL se trouvent dans le même locataire Microsoft Entra pour ce guide, mais ils peuvent se trouver dans des locataires différents.

Remarque

Microsoft Entra ID était anciennement appelé Azure Active Directory (Azure AD).

Prérequis

Notes

Le même guide peut être appliqué pour configurer des clés gérées par le client au niveau de la base de données dans un autre locataire en incluant le paramètre d’ID de client fédéré. Pour plus d’informations, consultez Gestion des identités et des clés pour TDE avec des clés gérées par le client au niveau de la base de données.

Important

Une fois la base de données créée ou restauré, le menu Transparent Data Encryption dans le portail Azure affiche la nouvelle base de données avec les mêmes paramètres que la base de données source, mais il peut y avoir des clés manquantes. Dans tous les cas où une base de données est créée à partir d’une base de données source, le nombre de clés affichées pour une base de données cible dans la liste Clés de base de données supplémentaires du portail Azure peut être inférieur au nombre de clés affichées pour une base de données source. Cela est dû au fait que le nombre de clés affichées dépend des exigences de fonctionnalités individuelles utilisées pour créer une base de données cible. Pour répertorier toutes les clés disponibles pour une base de données nouvellement créée, utilisez les API disponibles dans Afficher les paramètres de clé gérées par le client au niveau de la base de données sur une Azure SQL Database.

Créer une base de données Azure SQL avec des clés gérées par le client au niveau de la base de données en tant que réplica secondaire ou en tant que copie

Utilisez les instructions ou commandes suivantes pour créer une réplica secondaire ou une cible de copie d’une Azure SQL Database configurée avec des clés gérées par le client au niveau de la base de données. Une identité managée affectée par l’utilisateur est nécessaire pour configurer une clé gérée par le client pour Transparent Data Encryption lors de la phase de création de la base de données.

Créer une copie de base de données avec des clés gérées par le client au niveau de la base de données

Pour créer une base de données dans Azure SQL Database en tant que copie avec des clés gérées par le client au niveau de la base de données, procédez comme suit :

  1. Accédez au portail Azure et accédez au Azure SQL Database configuré avec des clés gérées par le client au niveau de la base de données. Accédez à l’onglet Transparent Data Encryption du menu Chiffrement de données et vérifiez la liste des clés en cours d’utilisation par la base de données.

    Capture d’écran de la page du portail Azure pour activer le chiffrement transparent des données d’une base de données.

  2. Créez une copie de la base de données en sélectionnant Copier dans le menu Vue d’ensemble de la base de données.

    Capture d’écran du menu Copier la base de données du portail Azure.

  3. Le menu Créer SQL Database : Copier la base de données s’affiche. Utilisez un serveur différent pour cette base de données, mais les mêmes paramètres que la base de données que vous essayez de copier. Dans la section Gestion de la clé du chiffrement transparent des données, sélectionnez Configurer le chiffrement transparent des données.

    Capture d’écran du menu Copier la base de données du portail Azure avec la section Gestion de la clé du chiffrement transparent des données qui est développée.

  4. Lorsque le menu Chiffrement transparent des données s’affiche, passez en revue les paramètres CMK pour cette base de données de copie. Les paramètres et les clés doivent être renseignés avec les mêmes identités et clés que celles utilisées dans la base de données source.

  5. Sélectionnez Appliquer pour continuer, puis Vérifier + créer, puis Créer pour créer la base de données de copie.

Créer une réplica secondaire avec des clés gérées par le client au niveau de la base de données

  1. Accédez au portail Azure et accédez au Azure SQL Database configuré avec des clés gérées par le client au niveau de la base de données. Accédez au menu Transparent Data Encryption et vérifiez la liste des clés en cours d’utilisation par la base de données.

    Capture d’écran de la page du portail Azure pour activer le chiffrement transparent des données d’une base de données.

  2. Sous Paramètres de gestion des données pour la base de données, sélectionnez Réplicas. Sélectionnez Créer réplica pour créer une réplica secondaire de la base de données.

    Capture d’écran du menu replica de la base de données du portail Azure.

  3. Le menu Créer SQL Database : Géoréplica s’affiche. Utilisez un serveur secondaire pour cette base de données, mais les mêmes paramètres que la base de données que vous essayez de répliquer. Dans la section Gestion de la clé du chiffrement transparent des données, sélectionnez Configurer le chiffrement transparent des données.

    Capture d’écran du menu de copie de la base de données du portail Azure avec la section Gestion de la clé du chiffrement transparent des données qui est développée.

  4. Lorsque le menu Chiffrement transparent des données s’affiche, passez en revue les paramètres CMK pour cette base de données de copie. Les paramètres et les clés doivent être renseignés avec les mêmes identités et clés que celles utilisées dans la base de données primaire.

  5. Sélectionnez Appliquer pour continuer, puis Vérifier + créer, puis Créer pour créer la base de données de copie.

Restaurer une base de données Azure SQL avec des clés gérées par le client au niveau de la base de données

Cette section vous guide tout au long des étapes de restauration d’une base de données Azure SQL configurée avec des clés gérées par le client au niveau de la base de données. Une identité managée affectée par l’utilisateur est nécessaire pour configurer une clé gérée par le client pour Transparent Data Encryption lors de la phase de création de la base de données.

Restauration dans le temps

La section suivante explique comment restaurer une base de données configurée avec des clés gérées par le client au niveau de la base de données à un point donné dans le temps. Afin d’en savoir plus sur la récupération d’une sauvegarde pour SQL Database, consultez Récupérer une base de données dans SQL Database.

  1. Accédez au portail Azure et allez dans l’Azure SQL Database configuré avec des clés gérées par le client au niveau de la base de données que vous voulez restaurer.

  2. Pour restaurer la base de données à un point dans le temps, sélectionnez Restaurer dans le menu Vue d’ensemble de la base de données.

    Capture d’écran du menu Copier la base de données du portail Azure.

  3. Le menu Créer SQL Database : Restaurer la base de données s’affiche. Renseignez les détails nécessaires de la source et de la base de données. Dans la section Gestion de la clé du chiffrement transparent des données, sélectionnez Configurer le chiffrement transparent des données.

    Capture d’écran du menu Restaurer la base de données du portail Azure avec la section Gestion de la clé du chiffrement transparent des données qui est développée.

  4. Lorsque le menu Chiffrement transparent des données s’affiche, passez en revue les paramètres CMK pour la base de données. Les paramètres et les clés doivent être renseignés avec les mêmes identités et clés que celles utilisées dans la base de données que vous essayez de restaurer.

  5. Sélectionnez Appliquer pour continuer, puis Vérifier + créer, puis Créer pour créer la base de données de copie.

Restauration d’une base de données qui a été supprimée

La section suivante explique comment restaurer une base de données supprimée qui a été configurée avec des clés gérées par le client au niveau de la base de données. Afin d’en savoir plus sur la récupération d’une sauvegarde pour SQL Database, consultez Récupérer une base de données dans SQL Database.

  1. Accédez au portail Azure et accédez au serveur logique de la base de données supprimée que vous souhaitez restaurer. Sous Gestion des données, sélectionnez Bases de données supprimées.

    Capture d’écran du menu des bases de données supprimées du portail Azure.

  2. Sélectionnez la base de données supprimée que vous souhaitez restaurer.

  3. Le menu Créer SQL Database : Restaurer la base de données s’affiche. Renseignez les détails nécessaires de la source et de la base de données. Dans la section Gestion de la clé du chiffrement transparent des données, sélectionnez Configurer le chiffrement transparent des données.

    Capture d’écran du menu Restaurer la base de données du portail Azure avec la section Gestion de la clé du chiffrement transparent des données qui est développée.

  4. Lorsque le menu Chiffrement transparent des données s’affiche, configurez la section Identité managée affectée par l’utilisateur, Clé gérée par le client et Clés de base de données supplémentaires pour votre base de données.

  5. Sélectionnez Appliquer pour continuer, puis Vérifier + créer, puis Créer pour créer la base de données de copie.

Restauration géographique

La section suivante explique comment restaurer une sauvegarde géorépliquée d’une base de données qui a été configurée avec des clés gérées par le client au niveau de la base de données. Afin d’en savoir plus sur la récupération d’une sauvegarde pour SQL Database, consultez Récupérer une base de données dans SQL Database.

  1. Accédez au portail Azure et accédez au serveur logique dans lequel vous souhaitez restaurer la base de données.

  2. Dans le menu Vue d’ensemble , sélectionnez Créer une base de données.

  3. Le volet Créer SQL Database s’affiche. Renseignez les onglets de base et de Mise en réseau pour votre nouvelle base de données. Dans Paramètres supplémentaires, sélectionnez Copie de sauvegarde pour la section Utiliser les données existantes , puis sélectionnez une sauvegarde géo-répliquée.

    Capture d’écran du menu Créer une base de données du portail Azure avec la sélection d’une copie de sauvegarde à utiliser pour la base de données.

  4. Accédez à l’onglet Sécurité. Dans la section Gestion de la clé du chiffrement transparent des données, sélectionnez Configurer le chiffrement transparent des données.

  5. Lorsque le menu Chiffrement transparent des données apparaît, sélectionnez Clé gérée par le client (CMK) au niveau de la base de données. L’identité managée affectée par l’utilisateur, la clé gérée par le client et les clés de base de données supplémentaires doivent correspondre à la base de données source que vous souhaitez restaurer. Vérifiez que l’identité managée affectée par l’utilisateur a accès au coffre de clés qui contient la clé gérée par le client qui a été utilisée dans la copie de sauvegarde.

  6. Sélectionnez Appliquer pour continuer, puis Vérifier + créer, puis Créer pour créer la base de données de sauvegarde.

Important

Les sauvegardes avec conservation à long terme (LTR, Long Term Retention) ne fournissent pas la liste des clés utilisées par la sauvegarde. Pour restaurer une sauvegarde LTR, toutes les clés utilisées par la base de données source doivent être passées à la cible de restauration LTR.

Notes

Le modèle ARM mis en avant dans la section Créer une base de données Azure SQL avec des clés gérées par le client au niveau de la base de données en tant que réplica secondaire ou en tant que copie peut être référencé pour restaurer la base de données avec un modèle ARM en modifiant le paramètre createMode.

Option de rotation automatique des clés pour les bases de données copiées ou restaurées

Les bases de données nouvellement copiées ou restaurées peuvent être configurées pour la rotation automatique de la clé gérée par le client utilisée pour Transparent Data Encryption. Pour plus d’informations sur l’activation de la rotation automatique des clés dans le Portail Azure ou l’utilisation des API, consultez Rotation automatique des clés au niveau de la base de données.

Étapes suivantes

Consultez la documentation suivante sur les différentes opérations de CMK au niveau de la base de données :