SQL Server Reporting Services (SSRS) の暗号化キーのバックアップと復元

適用対象: SQL Server 2016 (13.x) 以降のバージョン Reporting Services ネイティブ モード Reporting Services SharePoint モード

レポート サーバー構成マネージャーと rskeymgmt ユーティリティを使用して、SSRS 暗号化キーをバックアップおよび復元する方法について説明します。 暗号化されたデータのセキュリティと回復性を維持するために、これらのキーをバックアップします。 このプロセスは、サービス アカウントの資格情報の変更、インストールの移行、ハードウェア障害からの復旧を行う場合に不可欠です。 このプロセスを使用して、レポート サーバー環境の整合性と可用性を確保します。

Note

SharePoint と Reporting Services の統合は、SQL Server 2016 以降では使用できません。

次の場合は、暗号化キーのバックアップ コピーを復元します。

  • レポート サーバー Windows サービスのアカウント名を変更するか、パスワードを再設定します。 レポート サーバー構成マネージャーを使用して、キーをバックアップすることは、サービス アカウント名の変更操作の一環です。

    Note

    パスワードの再設定はパスワードの変更とは異なります。 パスワードを再設定するには、ドメイン コントローラーでアカウント情報を上書きする権限が必要です。 システム管理者は、特定のパスワードを忘れた場合、または知らない場合にパスワードをリセットします。 パスワードの再設定にのみ、対称キーの復元が必要となります。 アカウント パスワードの定期的な変更には、対称キーの再設定は必要ありません。

  • レポート サーバーをホストするコンピュータまたはインスタンスの名前を変更します。 レポート サーバー インスタンスは、SQL Server インスタンスの名前に基づいています。
  • レポート サーバー インストールを移行するか、別のレポート サーバー データベースを使用するようにレポート サーバーを構成します。
  • ハードウェア障害により、レポート サーバー インストールを復旧します。

SharePoint モードのレポート サーバーのバックアップ

SharePoint モードのレポート サーバーの場合は、PowerShell コマンドを使用するか、または Reporting Services サービス アプリケーションの管理ページを使用します。 詳細については、「Reporting Services SharePoint サービス アプリケーションの管理」の「キー管理」のセクションを参照してください。

前提条件

  • SQL Server 2016 (13.x) 以降です。
  • レポート サーバー データベースへの接続。
  • レポート サーバー構成マネージャー、または rskeymgmt ユーティリティにアクセスします。
  • バックアップ ファイルの保存場所をセキュリティ保護します。

暗号化キーをバックアップする

対称キーに必要なバックアップのコピーは 1 つだけです。 レポート サーバー データベースと対称キーには、一対一リレーションシップがあります。 必要なバックアップのコピーは 1 つだけです。スケールアウト配置モデルで複数のレポート サーバーを起動している場合には、複数回キーを復元する必要が生じる場合があります。 各レポート サーバー インスタンスは、レポート サーバー データベースでデータをロックおよびロック解除するために対称キーのコピーが必要です。

対称キーのバックアップは、指定するファイルにキーを書き込み、指定したパスワードを使用してそのキーにスクランブルをかける処理です。 対称キーは暗号化されていない状態で格納されないので、ディスクに格納する際は、キーを暗号化するためのパスワードを指定する必要があります。 ファイルの作成後、セキュリティで保護された場所にファイルを保存します。ファイルのロックを解除するために使用するパスワードを覚えておく必要があります。

レポート サーバー構成マネージャーを使用して、暗号化キーをバックアップする (ネイティブ モード)

  1. レポート サーバーの構成マネージャーを起動して、構成するレポート サーバー インスタンスに接続します。
  2. [暗号化キー] を選択し、次に [バックアップ]を選択します。
  3. 格納されたキーを含むファイルを指定します。 Reporting Services では、ファイルに .snk ファイル拡張子が付けられます。 このファイルを、レポート サーバーとは別のディスクに保存することを検討してください。
  4. 強力なパスワードを入力します。
  5. [OK] を選択します。

rskeymgmt ユーティリティを使用して暗号化キーをバックアップする (ネイティブ モード)

  • レポート サーバーをホストするコンピューターのローカルで rskeymgmt.exe を実行します。 抽出用の -e 引数を使用してキーをコピーし、ファイル名を入力して、パスワードを指定します。 必須の引数の例を次に示します。

    rskeymgmt -e -f d:\rsdbkey.snk -p<password>  
    

暗号化キーの復元

対称キーを復元するときは、レポート サーバー データベース内の既存のキーを次のように置き換えます。

  • パスワードで保護されたバックアップ ファイルで対称キーが取得されます。
  • レポート サーバー Windows サービスの公開キーを使用して、対称キーが暗号化されます。
  • 新しく暗号化された対称キーがレポート サーバー データベースに格納されます。
  • 前の対称キー データが削除されます。

暗号化キーを復元するには、暗号化キーのバックアップと、暗号化キーの保護に使用したパスワードが必要です。 キーおよびパスワードがある場合、Reporting Services Configuration Manager または rskeymgmt ユーティリティを実行して、キーを復元できます。 次の点に留意してください。

  • 対称キーは、レポート サーバー データベースにある暗号化されたデータをロックおよびロック解除するキーと一致する必要があります。
  • 復元されたキーが有効な場合、レポート サーバーは暗号化されたデータにアクセスできません。
  • キーを復元できない場合、すべての暗号化された値を削除する必要が生じることがあります。
  • バックアップ コピーがない場合は、既存のキーと暗号化されたコンテンツを削除する必要があります。 詳細については、「暗号化キーの削除と再作成 (レポート サーバー構成マネージャー)」を参照してください。

対称キーの作成に関する詳細については、レポート サーバーの初期化 (レポート サーバー構成マネージャー) に関する記事を参照してください。

レポート サーバー構成マネージャーを使用して、暗号化キーを復元する (ネイティブ モード)

  1. レポート サーバーの構成マネージャーを起動して、構成するレポート サーバー インスタンスに接続します。
  2. [暗号化キー] を選択し、[復元] を選択します。
  3. 暗号化キーのバックアップ コピーを含む .snk ファイルを選択します。
  4. ファイルのロックを解除するパスワードを入力します。
  5. [OK] を選択します。

rskeymgmt ユーティリティを使用して、暗号化キーを復元する (ネイティブ モード)

  • レポート サーバーをホストするコンピューターのローカルで rskeymgmt.exe を実行します。 キーを復元するには、 -a 引数を使用します。 完全修飾ファイル名を入力し、パスワードを指定します。 指定する必要がある引数の例を次に示します。

    rskeymgmt -a -f d:\rsdbkey.snk -p<password>