Créer une sauvegarde chiffrée

S’applique à :SQL Server

Cette rubrique décrit les étapes nécessaires pour créer une sauvegarde chiffrée à l'aide de Transact-SQL. Pour un exemple utilisant SQL Server Management Studio, consultez Créer une sauvegarde complète de la base de données.

Attention

Pour restaurer une base de données chiffrée, vous devez avoir accès au certificat ou à la clé asymétrique utilisé(e) pour chiffrer la base de données. Sans le certificat ou la clé asymétrique, vous ne pouvez pas restaurer cette base de données. Enregistrez le certificat utilisé pour chiffrer la clé de chiffrement de base de données tant que vous en avez besoin pour enregistrer la sauvegarde. Pour plus d'informations, consultez SQL Server Certificates and Asymmetric Keys.

Prérequis

• Stockage pour la sauvegarde chiffrée. Selon l’option que vous choisissez, l’une des options suivantes :

  • Un disque local ou un stockage disposant de l'espace approprié pour créer une sauvegarde de la base de données.
  • Un compte de stockage Azure et un conteneur. Pour plus d’informations, consultez la rubrique Création d’un compte de stockage .

• Une clé principale de la base de données (DMK) pour la base de données master et un certificat ou une clé asymétrique sur l'instance de SQL Server. Pour les conditions et les autorisations de chiffrement, consultez Backup Encryption.

Créer une clé principale de base de données (DMK)

Choisissez un mot de passe pour chiffrer la copie de la clé principale qui sera stockée dans la base de données. Connectez-vous au moteur de base de données, ouvrez une nouvelle fenêtre de requête, copiez et collez l'exemple, puis cliquez sur Exécuter.

Remplacez par <master key password> un mot de passe fort et veillez à conserver une copie du DMK et du mot de passe dans un emplacement sécurisé.

USE master;
GO

CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<master key password>';
GO

Créer un certificat de sauvegarde :

Créez un certificat de sauvegarde dans la base de données master. Copiez et collez l’exemple suivant dans la fenêtre de requête, puis sélectionnez Exécuter.

Use master;
GO

CREATE CERTIFICATE MyTestDBBackupEncryptCert
    WITH SUBJECT = 'MyTestDB Backup Encryption Certificate';
GO

Effectuer une sauvegarde chiffrée de la base de données

Il existe deux options principales pour créer une sauvegarde chiffrée :

• Sauvegarde sur disque
• Sauvegarder sur Stockage Azure

Sauvegarde sur disque

Utilisez la procédure suivante pour créer une sauvegarde chiffrée d'une base de données sur un disque local. Cet exemple utilise une base de données utilisateur appelée MyTestDB.

Spécifiez l'algorithme de chiffrement et le certificat à utiliser. Copiez et collez l’exemple suivant dans la fenêtre de requête, puis sélectionnez Exécuter.

Remplacez <path_to_local_backup> par un chemin d’accès local dans lequel SQL Server est autorisé à écrire. Par exemple, ce chemin d’accès peut être D:\SQLBackup.

BACKUP DATABASE [MyTestDB]
TO DISK = N'<path_to_local_backup>\MyTestDB.bak'
WITH
COMPRESSION,
ENCRYPTION (
    ALGORITHM = AES_256,
    SERVER CERTIFICATE = MyTestDBBackupEncryptCert
),
STATS = 10;
GO

Pour obtenir un exemple de chiffrement d’une sauvegarde protégée par une gestion de clés extensible, consultez Gestion extensible des clés à l'aide d'Azure Key Vault (SQL Server).

Sauvegarder sur Stockage Azure

Si vous créez une sauvegarde dans le stockage Azure à l’aide de l’option Sauvegarde SQL Server vers une URL, les étapes de chiffrement sont identiques, mais vous devez utiliser l’URL de destination et les informations d’identification SQL pour l’authentification dans le stockage Azure. Si vous souhaitez configurer la sauvegarde gérée de SQL Server vers Microsoft Azure avec des options de chiffrement, consultez Activer la sauvegarde gérée de SQL Server vers Azure.

Créer des informations d’identification SQL Server

Pour créer des informations d'identification SQL Server, connectez-vous au moteur de base de données, ouvrez une nouvelle fenêtre de requête, copiez et collez l'exemple suivant, puis cliquez sur Exécuter.

Remplacez <mystorageaccount> par le nom du compte de stockage que vous avez spécifié lors de la création d’un compte de stockage et <storage account access key> par la clé d’accès primaire ou secondaire pour le compte de stockage.

CREATE CREDENTIAL mycredential
WITH IDENTITY = '<mystorageaccount>',
SECRET = '<storage account access key>';

Sauvegarder la base de données

Spécifiez l'algorithme de chiffrement et le certificat à utiliser. Copiez et collez l’exemple suivant dans la fenêtre de requête, puis sélectionnez Exécuter.

Dans cet exemple, mycredential est le nom des informations d’identification créées précédemment, <mystorageaccountname> est le nom de votre compte de stockage et <mycontainername> votre nom de conteneur de stockage.

BACKUP DATABASE AdventureWorks2022
TO URL = 'https://<mystorageaccountname>.blob.core.windows.net/<mycontainername>/AdventureWorks2022.bak'
WITH CREDENTIAL = 'mycredential',
COMPRESSION,
ENCRYPTION (
    ALGORITHM = AES_256,
    SERVER CERTIFICATE = MyTestDBBackupEncryptCert
),
STATS = 10;
GO

Contenu connexe

• Restaurer une sauvegarde de base de données à l’aide de SSMS
• Hiérarchie de chiffrement
• Aperçu de la sauvegarde (SQL Server)