Configurare la replica geografica e il ripristino del backup per Transparent Data Encryption con chiavi gestite dal cliente a livello di database

Creare una copia del database con chiavi gestite dal cliente a livello di database

Per creare un database in database SQL di Azure come copia con chiavi gestite dal cliente a livello di database, seguire questa procedura:

1. Passare al portale di Azure e passare alla database SQL di Azure configurata con chiavi gestite dal cliente a livello di database. Accedere alla scheda Transparent Data Encryption del menu Crittografia dei dati e selezionare l'elenco delle chiavi correnti in uso dal database.

   

2. Creare una copia del database selezionando Copia dal menu Panoramica del database.

   

3. Viene visualizzato il menu Crea database SQL - Copia database. Usare un server diverso per questo database, ma le stesse impostazioni del database che si sta tentando di copiare. Nella sezione Gestione chiavi Transparent Data Encryption selezionare Configura Transparent Data Encryption.

   

4. Quando viene visualizzato il menu Transparent Data Encryption, esaminare le impostazioni chiave gestita dal cliente per questo database di copia. Le impostazioni e le chiavi devono essere popolate con la stessa identità e le stesse chiavi usate nel database di origine.

5. Selezionare Applica per continuare, quindi selezionare Rivedi e crea e Crea per creare il database di copia.

Creare una replica secondaria con chiavi gestite dal cliente a livello di database

1. Passare al portale di Azure e passare alla database SQL di Azure configurata con chiavi gestite dal cliente a livello di database. Accedere al menu Transparent Data Encryption e controllare l'elenco delle chiavi correnti in uso dal database.

   

2. Nelle impostazioni Gestione dei dati per il database, selezionare Repliche. Selezionare Crea replica per creare una replica secondaria del database.

   

3. Viene visualizzato il menu Crea database SQL - Replica geografica. Usare un server secondario per questo database, ma con le stesse impostazioni del database che si sta tentando di replicare. Nella sezione Gestione chiavi Transparent Data Encryption selezionare Configura Transparent Data Encryption.

   

4. Quando viene visualizzato il menu Transparent Data Encryption, esaminare le impostazioni chiave gestita dal cliente per questa replica di database. Le impostazioni e le chiavi devono essere popolate con la stessa identità e le stesse chiavi usate nel database primario.

5. Selezionare Applica per continuare, quindi selezionare Rivedi e crea e Crea per creare il database di copia.

Per informazioni sull'installazione della versione attuale dell’interfaccia della riga di comando di Azure, consultare l’articolo Installare l’interfaccia della riga di comando di Azure.

• Prepopolare l'elenco delle chiavi correnti in uso dal database primario usando il parametro expand-keys con current come keys-filter.

  az sql db show --name $databaseName --resource-group $resourceGroup --server $serverName --expand-keys --keys-filter current
  

• Selezionare l'identità gestita assegnata dall'utente (e l'ID client federato se si configura l'accesso tra tenant).

• Creare un nuovo database come secondario e fornire l'elenco prepopolato di chiavi ottenute dal database di origine e l'identità precedente (e l'ID client federato se si configura l'accesso tra tenant).

  # Create a secondary replica with Active Geo Replication with the same name as the primary database
  
  az sql db replica create -g $resourceGroup -s $serverName -n $databaseName --partner-server $secondaryServer --partner-database $secondaryDatabase --partner-resource-group $secondaryResourceGroup -i --encryption-protector $encryptionProtector --user-assigned-identity-id $umi --keys $keys
  

  Importante

  $keys è un elenco separato da spazi che include le chiavi recuperate dal database di origine.

• Per creare una copia del database, è possibile usare az sql db copy con gli stessi parametri.

  # Create a copy of a database configured with database level customer-managed keys
  az sql db copy -g $resourceGroup -s $serverName -n $databaseName --dest-name $secondaryDatabase -i --encryption-protector $encryptionProtector --user-assigned-identity-id $umi --keys $keys
  

Per istruzioni sull'installazione del modulo Az PowerShell, vedere Installare Azure PowerShell. Per i cmdlet specifici, vedere AzureRM.Sql.

• Prepopolare l'elenco delle chiavi correnti in uso dal database primario usando il comando Get-AzSqlDatabase e i parametri -ExpandKeyList e -KeysFilter "current". Escludere -KeysFilter se si desidera recuperare tutte le chiavi.

  $database = Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter "current"
  

• Selezionare l'identità gestita assegnata dall'utente (e l'ID client federato se si configura l'accesso tra tenant).

• Creare un nuovo database come secondario usando il comando New-AzSqlDatabaseSecondary e fornire l'elenco prepopolato di chiavi ottenute dal database di origine e l'identità precedente (e l'ID client federato se si configura l'accesso tra tenant) nella chiamata API usando i parametri -KeyList, -AssignIdentity, -UserAssignedIdentityId e -EncryptionProtector(e, se necessario, -FederatedClientId).

  # Create a secondary replica with Active Geo Replication with the same name as the primary database
  $database = Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter "current"
  
  $database | New-AzSqlDatabaseSecondary -PartnerResourceGroupName <SecondaryResourceGroupName> -PartnerServerName <SecondaryServerName> -AllowConnections "All" -AssignIdentity -UserAssignedIdentityId <UserAssignedIdentityId> -EncryptionProtector <CustomerManagedKeyId> -FederatedClientId <FederatedClientId>
  -KeyList $database.Keys.Keys
  

• Per creare una copia del database, è possibile usare New-AzSqlDatabaseCopy con gli stessi parametri.

# Create a copy of a database configured with database level customer-managed keys
$database = Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter "current"

New-AzSqlDatabaseCopy -CopyDatabaseName <CopyDatabaseName> -CopyResourceGroupName <CopyResourceGroupName> -CopyServerName <CopyServerName> -DatabaseName <DatabaseName> -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -AssignIdentity -UserAssignedIdentityId <UserAssignedIdentityId> -EncryptionProtector <CustomerManagedKeyId> -FederatedClientId <FederatedClientId>
-KeyList $database.Keys.Keys

Ecco un esempio di modello di ARM che crea una replica secondaria e una copia di un database SQL di Azure configurato con un'identità gestita assegnata dall'utente e TDE gestito dal cliente a livello di database.

Per altre informazioni e modelli di ARM, vedere Modelli di Azure Resource Manager per database SQL di Azure e Istanza gestita di SQL.

Usa una distribuzione personalizzata nel portale di Azure e crea un modello personalizzato nell'editor. Salvare quindi la configurazione dopo aver incollato l'esempio.

• Prepopolare l'elenco delle chiavi correnti in uso dal database primario usando la richiesta dell'API REST seguente:

  GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}?api-version=2022-08-01-preview&$expand=keys($filter=pointInTime('current'))
  

• Selezionare l'identità gestita assegnata dall'utente (e l'ID client federato se si configura l'accesso tra tenant).

• Creare un nuovo database come secondario e fornire l'elenco prepopolato di chiavi ottenute dal database di origine e l'identità precedente (e l'ID client federato se si configura l'accesso tra tenant) nel modello di ARM come il parametro keys_to_add.

  {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
      "server_name": {
        "type": "String"
      },
      "database_name": {
        "type": "String"
      },
      "user_assigned_identity": {
        "type": "String"
      },
      "encryption_protector": {
        "type": "String"
      },
      "location": {
        "type": "String"
      },
      "source_database_id": {
        "type": "String"
      },
      "keys_to_add": {
        "type": "Object"
      }
    },
    "variables": {},
    "resources": [
      {
        "type": "Microsoft.Sql/servers/databases",
        "apiVersion": "2022-08-01-preview",
        "name": "[concat(parameters('server_name'), concat('/',parameters('database_name')))]",
        "location": "[parameters('location')]",
        "sku": {
          "name": "Basic",
          "tier": "Basic",
          "capacity": 5
        },
        "identity": {
          "type": "UserAssigned",
          "userAssignedIdentities": {
            "[parameters('user_assigned_identity')]": {}
          }
        },
        "properties": {
          "collation": "SQL_Latin1_General_CP1_CI_AS",
          "maxSizeBytes": 104857600,
          "catalogCollation": "SQL_Latin1_General_CP1_CI_AS",
          "zoneRedundant": false,
          "readScale": "Disabled",
          "requestedBackupStorageRedundancy": "Geo",
          "maintenanceConfigurationId": "/subscriptions/e1775f9f-xxxx-xxxx-xxxx-xxxxxxxxxxxx/providers/Microsoft.Maintenance/publicMaintenanceConfigurations/SQL_Default",
          "isLedgerOn": false,
          "encryptionProtector": "[parameters('encryption_protector')]",
          "keys": "[parameters('keys_to_add')]",
          "createMode": "Secondary",
          "sourceDatabaseId": "[parameters('source_database_id')]"
        }
      }
    ]
  }
  

  Un esempio dei parametri encryption_protector e keys_to_add è:

      "keys_to_add": {
        "value": {
          "https://yourvault.vault.azure.net/keys/yourkey1/fd021f84a0d94d43b8ef33154bca0000": {},
          "https://yourvault.vault.azure.net/keys/yourkey2/fd021f84a0d94d43b8ef33154bca0000": {}
        }
      },
      "encryption_protector": {
        "value": "https://yourvault.vault.azure.net/keys/yourkey2/fd021f84a0d94d43b8ef33154bca0000"
      }
  

• Per creare una copia del database, è possibile usare il modello seguente con gli stessi parametri.

  {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
      "server_name": {
        "type": "String"
      },
      "database_name": {
        "type": "String"
      },
      "user_assigned_identity": {
        "type": "String"
      },
      "encryption_protector": {
        "type": "String"
      },
      "location": {
        "type": "String"
      },
      "source_database_id": {
        "type": "String"
      },
      "keys_to_add": {
        "type": "Object"
      }
    },
    "variables": {},
    "resources": [
      {
        "type": "Microsoft.Sql/servers/databases",
        "apiVersion": "2022-08-01-preview",
        "name": "[concat(parameters('server_name'), concat('/',parameters('database_name')))]",
        "location": "[parameters('location')]",
        "sku": {
          "name": "Basic",
          "tier": "Basic",
          "capacity": 5
        },
        "identity": {
          "type": "UserAssigned",
          "userAssignedIdentities": {
            "[parameters('user_assigned_identity')]": {}
          }
        },
        "properties": {
          "collation": "SQL_Latin1_General_CP1_CI_AS",
          "maxSizeBytes": 104857600,
          "catalogCollation": "SQL_Latin1_General_CP1_CI_AS",
          "zoneRedundant": false,
          "readScale": "Disabled",
          "requestedBackupStorageRedundancy": "Geo",
          "maintenanceConfigurationId": "/subscriptions/e1775f9f-xxxx-xxxx-xxxx-xxxxxxxxxxxx/providers/Microsoft.Maintenance/publicMaintenanceConfigurations/SQL_Default",
          "isLedgerOn": false,
          "encryptionProtector": "[parameters('encryption_protector')]",
          "keys": "[parameters('keys_to_add')]",
          "createMode": "Copy",
          "sourceDatabaseId": "[parameters('source_database_id')]"
        }
      }
    ]
  }
  

1. Passare al portale di Azure e aprire il database SQL di Azure configurato con le chiavi gestite dal cliente a livello di database che si desidera ripristinare.

2. Per ripristinare il database a un punto nel tempo, selezionare Ripristina dal menu Panoramica del database.

   

3. Viene visualizzato il menu Crea database SQL - Ripristina database. Immettere i dettagli dell'origine e del database necessari. Nella sezione Gestione chiavi Transparent Data Encryption selezionare Configura Transparent Data Encryption.

   

4. Quando viene visualizzato il menu Transparent Data Encryption, esaminare le impostazioni chiave gestita dal cliente per il database. Le impostazioni e le chiavi devono essere popolate con la stessa identità e le stesse chiavi usate nel database che si sta tentando di ripristinare.

5. Selezionare Applica per continuare, quindi selezionare Rivedi e crea e Crea per creare il database di copia.

Per informazioni sull'installazione della versione attuale dell’interfaccia della riga di comando di Azure, consultare l’articolo Installare l’interfaccia della riga di comando di Azure.

• Prepopolare l'elenco di chiavi usate dal database primario usando il parametro expand-keys con keys-filter come il punto di ripristino nel tempo.

  az sql db show --name $databaseName --resource-group $resourceGroup --server $serverName --expand-keys --keys-filter $timestamp
  

• Selezionare l'identità gestita assegnata dall'utente (e l'ID client federato se si configura l'accesso tra tenant).

• Creare un nuovo database come destinazione di ripristino e fornire l'elenco prepopolato di chiavi ottenute dal database di origine e l'identità precedente (e l'ID client federato se si configura l'accesso tra tenant).

  # Create a restored database
  az sql db restore --dest-name $destName --name $databaseName --resource-group $resourceGroup --server $serverName --subscription $subscriptionId --time $timestamp -i --encryption-protector $encryptionProtector --user-assigned-identity-id $umi --keys $keys
  

  Importante

  $keys è un elenco separato da spazi che include le chiavi recuperate dal database di origine.

Per istruzioni sull'installazione del modulo Az PowerShell, vedere Installare Azure PowerShell. Per i cmdlet specifici, vedere AzureRM.Sql.

• Prepopolare l'elenco di chiavi usate dal database primario usando il comando Get-AzSqlDatabase e i -ExpandKeyList e -KeysFilter "2023-01-01" parametri (2023-01-01 è un esempio del momento in cui si vuole ripristinare il database). Escludere -KeysFilter se si desidera recuperare tutte le chiavi.

  $database = Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter <Timestamp>
  

• Selezionare l'identità gestita assegnata dall'utente (e l'ID client federato se si configura l'accesso tra tenant).

• Usare il comando Restore-AzSqlDatabase con il parametro -FromPointInTimeBackup e specificare l'elenco prepopolato di chiavi ottenute dai passaggi precedenti e l'identità precedente (e l'ID client federato se si configura l'accesso tra tenant) nella chiamata API usando i parametri -KeyList, -AssignIdentity, -UserAssignedIdentityId, -EncryptionProtector (e, se necessario, -FederatedClientId).

  $database = Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter <Timestamp>
  
  # Create a restored database
  Restore-AzSqlDatabase -FromPointInTimeBackup -PointInTime <Timestamp> -ResourceId '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}' -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -TargetDatabaseName <TargetDatabaseName> -KeyList $database.Keys.Keys -EncryptionProtector <EncryptionProtector> -UserAssignedIdentityId <UserAssignedIdentityId> -AssignIdentity
  

1. Passare al portale di Azure e quindi al server logico per il database eliminato da ripristinare. In Gestione dati, selezionare Database eliminati.

   

2. Selezionare il database eliminato che si vuole ripristinare.

3. Viene visualizzato il menu Crea database SQL - Ripristina database. Immettere i dettagli dell'origine e del database necessari. Nella sezione Gestione chiavi Transparent Data Encryption selezionare Configura Transparent Data Encryption.

   

4. Quando viene visualizzato il menu Transparent Data Encryption, configurare la sezione Identità gestita assegnata dall'utente, Chiave gestita dal cliente e Chiavi database aggiuntive per il database.

5. Selezionare Applica per continuare, quindi selezionare Rivedi e crea e Crea per creare il database di copia.

Per informazioni sull'installazione della versione attuale dell’interfaccia della riga di comando di Azure, consultare l’articolo Installare l’interfaccia della riga di comando di Azure.

• Prepopolare l'elenco di chiavi usate dal database eliminato usando il parametro expand-keys. È consigliabile passare tutte le chiavi in uso nel database di origine. È anche possibile tentare un ripristino con le chiavi fornite in fase di eliminazione usando il parametro keys-filter.

  az sql db show-deleted --name $databaseName --resource-group $resourceGroup --server $serverName --restorable-dropped-database-id "databaseName,133201549661600000" --expand-keys
  

  Importante

  È possibile recuperare restorable-dropped-database-id elencando tutti i database eliminati ripristinabili nel server e nel formato databaseName,deletedTimestamp.

• Selezionare l'identità gestita assegnata dall'utente (e l'ID client federato se si configura l'accesso tra tenant).

• Creare un nuovo database come destinazione di ripristino e fornire l'elenco prepopolato di chiavi ottenute dal database di origine cancellato e dall'identità precedente (e l'ID client federato se si configura l'accesso tra tenant).

  # Create a restored database
  az sql db restore --dest-name $destName --name $databaseName --resource-group $resourceGroup --server $serverName --subscription $subscriptionId --time $timestamp -i --encryption-protector $encryptionProtector --user-assigned-identity-id $umi --keys $keys --deleted-time "2023-02-06T11:02:46.160000+00:00"
  

  Importante

  $keys è un elenco separato di spazi di chiavi recuperate dal database di origine.

Per istruzioni sull'installazione del modulo Az PowerShell, vedere Installare Azure PowerShell. Per i cmdlet specifici, vedere AzureRM.Sql.

• Prepopolare l'elenco di chiavi usate dal database primario usando il comando Get-AzSqlDeletedDatabaseBackup e il -ExpandKeyList parametro. È consigliabile passare tutte le chiavi in uso nel database di origine. È anche possibile tentare un ripristino con le chiavi fornite in fase di eliminazione usando il parametro -KeysFilter.

  $database = Get-AzSqlDeletedDatabaseBackup -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseId "dbName,133201549661600000" -ExpandKeyList -DeletionDate "2/6/2023" -DatabaseName <databaseName>
  

  Importante

  È possibile recuperare DatabaseId elencando tutti i database eliminati ripristinabili nel server e nel formato databaseName,deletedTimestamp.

• Selezionare l'identità gestita assegnata dall'utente (e l'ID client federato se si configura l'accesso tra tenant).

• Usare il comando Restore-AzSqlDatabase con il parametro -FromDeletedDatabaseBackup e specificare l'elenco prepopolato di chiavi ottenute dai passaggi precedenti e l'identità precedente (e l'ID client federato se si configura l'accesso tra tenant) nella chiamata API usando i parametri -KeyList, -AssignIdentity, -UserAssignedIdentityId, -EncryptionProtector (e, se necessario, -FederatedClientId).

  $database = Get-AzSqlDeletedDatabaseBackup -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseId "dbName,133201549661600000" -ExpandKeyList -DeletionDate <DeletionDate> -DatabaseName <databaseName>
  
  # Create a restored database
  Restore-AzSqlDatabase -FromDeletedDatabaseBackup -DeletionDate <Timestamp> -ResourceId '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/restorableDroppedDatabases/{databaseName}' -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -TargetDatabaseName <TargetDatabaseName> -KeyList $database.Keys.Keys -EncryptionProtector <EncryptionProtector> -UserAssignedIdentityId <UserAssignedIdentityId> -AssignIdentity
  

1. Passare al portale di Azure e passare al server logico in cui si vuole ripristinare il database.

2. Nel menu Panoramica, selezionare Crea database.

3. Viene visualizzato il menu Crea database SQL. Compilare le schede Basic e Networking per il nuovo database. In Impostazioni aggiuntive selezionare Backup per la sezione Usa dati esistenti e selezionare un backup con replica geografica.

   

4. Passare alla scheda Sicurezza. Nella sezione Gestione chiavi Transparent Data Encryption selezionare Configura Transparent Data Encryption.

5. Quando viene visualizzato il menu Transparent Data Encryption, selezionare Chiave gestita dal cliente a livello di database. L'identità gestita assegnata dall'utente, la chiave gestita dal cliente e le chiavi di database aggiuntive devono corrispondere al database di origine da ripristinare. Assicurarsi che l'identità gestita assegnata dall'utente abbia accesso all'insieme di credenziali delle chiavi contenente la chiave gestita dal cliente usata nel backup.

6. Selezionare Applica per continuare e quindi selezionare Rivedi e crea e Crea per creare il database di backup.

Per informazioni sull'installazione della versione attuale dell’interfaccia della riga di comando di Azure, consultare l’articolo Installare l’interfaccia della riga di comando di Azure.

• Prepopolare l'elenco di chiavi usate dal backup geografico del database configurato con chiavi gestite dal cliente a livello di database usando il parametro expand-keys.

  az sql db geo-backup --database-name $databaseName --g $resourceGroup --server $serverName  --expand-keys
  

• Selezionare l'identità gestita assegnata dall'utente (e l'ID client federato se si configura l'accesso tra tenant).

• Creare un nuovo database come destinazione di ripristino geografico e fornire l'elenco prepopolato di chiavi ottenute dal database di origine eliminato e l'identità precedente (e l'ID client federato se si configura l'accesso tra tenant).

  # Create a geo restored database
  az sql db geo-backup restore --geo-backup-id "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/recoverableDatabases/{databaseName}" --dest-database $destName --resource-group $resourceGroup --dest-server $destServerName -i --encryption-protector $encryptionProtector --user-assigned-identity-id $umi --keys $keys
  

  Importante

  $keys è un elenco separato di spazi di chiavi recuperate dal database di origine.

Per istruzioni sull'installazione del modulo Az PowerShell, vedere Installare Azure PowerShell. Per i cmdlet specifici, vedere AzureRM.Sql.

• Prepopolare l'elenco di chiavi usate dal database primario usando il comando Get-AzSqlDatabaseGeoBackup e -ExpandKeyList per recuperare tutte le chiavi.

  $database = Get-AzSqlDatabaseGeoBackup -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <databaseName> -ExpandKeyList
  

  Importante

  È possibile recuperare DatabaseId elencando tutti i database eliminati ripristinabili nel server e nel formato databaseName,deletedTimestamp.

• Selezionare l'identità gestita assegnata dall'utente (e l'ID client federato se si configura l'accesso tra tenant).

• Usare il comando Restore-AzSqlDatabase con il parametro -FromGeoBackup e specificare l'elenco prepopolato di chiavi ottenute dai passaggi precedenti e l'identità precedente (e l'ID client federato se si configura l'accesso tra tenant) nella chiamata API usando i parametri -KeyList, -AssignIdentity, -UserAssignedIdentityId, -EncryptionProtector (e, se necessario, -FederatedClientId).

  $database = Get-AzSqlDatabaseGeoBackup -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <databaseName> -ExpandKeyList
  
  # Create a restored database
  Restore-AzSqlDatabase -FromGeoBackup -ResourceId "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/recoverableDatabases/{databaseName}" -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -TargetDatabaseName <TargetDatabaseName> -KeyList $database.Keys.Keys -EncryptionProtector <EncryptionProtector> -UserAssignedIdentityId <UserAssignedIdentityId> -AssignIdentity