Delen via


Geo-replicatie en back-upherstel configureren voor transparante gegevensversleuteling met door de klant beheerde sleutels op databaseniveau

Van toepassing op: Azure SQL Database

Notitie

TDE CMK op databaseniveau is beschikbaar voor Azure SQL Database (alle SQL Database-edities). Het is niet beschikbaar voor Azure SQL Managed Instance, on-premises SQL Server, Azure-VM's en Azure Synapse Analytics (toegewezen SQL-pools (voorheen SQL DW)).

In deze handleiding doorlopen we de stappen voor het configureren van geo-replicatie en het herstellen van back-ups in een Azure SQL Database. De Azure SQL Database is geconfigureerd met TDE (Transparent Data Encryption) en door de klant beheerde sleutels (CMK) op databaseniveau, waarbij gebruik wordt gemaakt van een door de gebruiker toegewezen beheerde identiteit voor toegang tot Azure Key Vault. Zowel de Azure Key Vault als de logische server voor Azure SQL bevinden zich in dezelfde Microsoft Entra-tenant voor deze handleiding, maar ze kunnen zich in verschillende tenants bevinden.

Notitie

Microsoft Entra-id is de nieuwe naam voor Azure Active Directory (Azure AD). Op dit moment wordt de documentatie bijgewerkt.

Vereisten

Notitie

Dezelfde handleiding kan worden toegepast om door de klant beheerde sleutels op databaseniveau in een andere tenant te configureren door de parameter federatieve client-id op te geven. Zie Identiteits- en sleutelbeheer voor TDE met door de klant beheerde sleutels op databaseniveau voor meer informatie.

Belangrijk

Nadat de database is gemaakt of hersteld, wordt in het menu Transparent Data Encryption in Azure Portal de nieuwe database weergegeven met dezelfde instellingen als de brondatabase, maar er ontbreken mogelijk sleutels. In alle gevallen waarin een nieuwe database wordt gemaakt op basis van een brondatabase, kan het aantal sleutels dat wordt weergegeven voor een doeldatabase in azure Portal , de lijst Aanvullende databasesleutels kleiner zijn dan het aantal sleutels dat wordt weergegeven voor een brondatabase. Dit komt doordat het aantal weergegeven sleutels afhankelijk is van de vereisten voor afzonderlijke functies die worden gebruikt om een doeldatabase te maken. Als u alle sleutels wilt weergeven die beschikbaar zijn voor een nieuwe database, gebruikt u de beschikbare API's in De instellingen voor door de klant beheerde sleutels op databaseniveau weergeven in een Azure SQL Database.

Een Azure SQL Database maken met door de klant beheerde sleutels op databaseniveau als secundaire sleutel of kopie

Gebruik de volgende instructies of opdrachten om een secundaire replica te maken of het doel van een Azure SQL Database te kopiëren dat is geconfigureerd met door de klant beheerde sleutels op databaseniveau. Een door de gebruiker toegewezen beheerde identiteit is vereist voor het instellen van een door de klant beheerde sleutel voor transparante gegevensversleuteling tijdens de aanmaakfase van de database.

Een databasekopie maken met door de klant beheerde sleutels op databaseniveau

Als u een database in Azure SQL Database wilt maken als kopie met door de klant beheerde sleutels op databaseniveau, voert u de volgende stappen uit:

  1. Ga naar Azure Portal en navigeer naar de Azure SQL Database die is geconfigureerd met door de klant beheerde sleutels op databaseniveau. Open het tabblad Transparent Data Encryption van het menu Gegevensversleuteling en controleer de lijst met huidige sleutels die door de database worden gebruikt.

    Screenshot of the Azure portal transparent data encryption menu for a database.

  2. Maak een kopie van de database door Kopiëren te selecteren in het menu Overzicht van de database.

    Screenshot of the Azure portal copy database menu.

  3. Het menu SQL Database maken - Database kopiëren wordt weergegeven. Gebruik een andere server voor deze database, maar dezelfde instellingen als de database die u probeert te kopiëren. Selecteer In de sectie Transparent Data Encryption Key Management de optie Transparante gegevensversleuteling configureren.

    Screenshot of the Azure portal copy database menu with the transparent data encryption key management section expanded.

  4. Wanneer het menu Transparent Data Encryption wordt weergegeven, controleert u de CMK-instellingen voor deze kopieerdatabase. De instellingen en sleutels moeten worden gevuld met dezelfde identiteit en sleutels die in de brondatabase worden gebruikt.

  5. Selecteer Toepassen om door te gaan en selecteer Vervolgens Beoordelen en maken om de kopiedatabase te maken.

Een secundaire replica maken met door de klant beheerde sleutels op databaseniveau

  1. Ga naar Azure Portal en navigeer naar de Azure SQL Database die is geconfigureerd met door de klant beheerde sleutels op databaseniveau. Open het menu Transparent Data Encryption en controleer de lijst met huidige sleutels die door de database worden gebruikt.

    Screenshot of the Azure portal transparent data encryption menu for a database.

  2. Selecteer Replica's onder Instellingen voor gegevensbeheer voor de database. Selecteer Replica maken om een secundaire replica van de database te maken.

    Screenshot of the Azure portal database replica menu.

  3. Het menu SQL Database maken - Geo Replica wordt weergegeven. Gebruik een secundaire server voor deze database, maar dezelfde instellingen als de database die u wilt repliceren. Selecteer In de sectie Transparent Data Encryption Key Management de optie Transparante gegevensversleuteling configureren.

    Screenshot of the Azure portal database replica menu with the transparent data encryption key management section expanded.

  4. Wanneer het menu Transparent Data Encryption wordt weergegeven, controleert u de CMK-instellingen voor deze databasereplica. De instellingen en sleutels moeten worden gevuld met dezelfde identiteit en sleutels die in de primaire database worden gebruikt.

  5. Selecteer Toepassen om door te gaan en selecteer Vervolgens Beoordelen en maken om de kopiedatabase te maken.

Een Azure SQL Database herstellen met door de klant beheerde sleutels op databaseniveau

In deze sectie wordt u begeleid bij de stappen voor het herstellen van een Azure SQL Database die is geconfigureerd met door de klant beheerde sleutels op databaseniveau. Een door de gebruiker toegewezen beheerde identiteit is vereist voor het instellen van een door de klant beheerde sleutel voor transparante gegevensversleuteling tijdens de aanmaakfase van de database.

Herstel naar een bepaald tijdstip

In de volgende sectie wordt beschreven hoe u een database herstelt die is geconfigureerd met door de klant beheerde sleutels op databaseniveau naar een bepaald tijdstip. Zie Een database herstellen in SQL Database voor meer informatie over back-upherstel voor SQL Database.

  1. Ga naar Azure Portal en navigeer naar de Azure SQL Database die is geconfigureerd met door de klant beheerde sleutels op databaseniveau die u wilt herstellen.

  2. Als u de database naar een bepaald tijdstip wilt herstellen, selecteert u Herstellen in het menu Overzicht van de database.

    Screenshot of the Azure portal copy database menu.

  3. Het menu Database maken - Database herstellen wordt weergegeven. Vul de benodigde bron- en databasegegevens in. Selecteer In de sectie Transparent Data Encryption Key Management de optie Transparante gegevensversleuteling configureren.

    Screenshot of the Azure portal restore database menu with the transparent data encryption key management section expanded.

  4. Wanneer het menu Transparent Data Encryption wordt weergegeven, controleert u de CMK-instellingen voor de database. De instellingen en sleutels moeten worden gevuld met dezelfde identiteit en sleutels die worden gebruikt in de database die u probeert te herstellen.

  5. Selecteer Toepassen om door te gaan en selecteer Vervolgens Beoordelen en maken om de kopiedatabase te maken.

Verwijderde databaseherstel

In de volgende sectie wordt beschreven hoe u een verwijderde database herstelt die is geconfigureerd met door de klant beheerde sleutels op databaseniveau. Zie Een database herstellen in SQL Database voor meer informatie over back-upherstel voor SQL Database.

  1. Ga naar Azure Portal en navigeer naar de logische server voor de verwijderde database die u wilt herstellen. Selecteer Verwijderde databases onder Gegevensbeheer.

    Screenshot of the Azure portal deleted databases menu.

  2. Selecteer de verwijderde database die u wilt herstellen.

  3. Het menu Database maken - Database herstellen wordt weergegeven. Vul de benodigde bron- en databasegegevens in. Selecteer In de sectie Transparent Data Encryption Key Management de optie Transparante gegevensversleuteling configureren.

    Screenshot of the Azure portal restore database menu with the transparent data encryption key management section expanded.

  4. Wanneer het menu Transparent Data Encryption wordt weergegeven, configureert u de sectie Door de gebruiker toegewezen beheerde identiteit, door de klant beheerde sleutel en aanvullende databasesleutels voor uw database.

  5. Selecteer Toepassen om door te gaan en selecteer Vervolgens Beoordelen en maken om de kopiedatabase te maken.

Geo-herstel

In de volgende sectie wordt beschreven hoe u een geo-gerepliceerde back-up van de database herstelt die is geconfigureerd met door de klant beheerde sleutels op databaseniveau. Zie Een database herstellen in SQL Database voor meer informatie over back-upherstel voor SQL Database.

  1. Ga naar Azure Portal en navigeer naar de logische server waar u de database wilt herstellen.

  2. Selecteer Database maken in het menu Overzicht.

  3. Het menu SQL Database maken wordt weergegeven. Vul de tabbladen Basic en Netwerken voor uw nieuwe database in. Selecteer in Aanvullende instellingen back-up voor het gedeelte Bestaande gegevens gebruiken en selecteer een geo-gerepliceerde back-up.

    Screenshot of the Azure portal create database menu selecting a backup to use for the database.

  4. Ga naar het tabblad Beveiliging . Selecteer In de sectie Transparent Data Encryption Key Management de optie Transparante gegevensversleuteling configureren.

  5. Wanneer het menu Transparent Data Encryption wordt weergegeven, selecteert u CMK (Customer-Managed Key) op databaseniveau. De door de gebruiker toegewezen beheerde identiteit, door de klant beheerde sleutel en aanvullende databasesleutels moeten overeenkomen met de brondatabase die u wilt herstellen. Zorg ervoor dat de door de gebruiker toegewezen beheerde identiteit toegang heeft tot de sleutelkluis die de door de klant beheerde sleutel bevat die in de back-up is gebruikt.

  6. Selecteer Toepassen om door te gaan en selecteer Vervolgens Beoordelen en maken om de back-updatabase te maken.

Belangrijk

Back-ups voor langetermijnretentie (LTR) bieden geen lijst met sleutels die door de back-up worden gebruikt. Als u een LTR-back-up wilt herstellen, moeten alle sleutels die door de brondatabase worden gebruikt, worden doorgegeven aan het LTR-hersteldoel.

Notitie

De ARM-sjabloon die is gemarkeerd in de sectie Een Azure SQL Database maken met door de klant beheerde sleutels op databaseniveau, kan worden verwezen naar het herstellen van de database met een ARM-sjabloon door de createMode parameter te wijzigen.

Optie voor automatische sleutelrotatie voor gekopieerde of herstelde databases

Nieuw gekopieerde of herstelde databases kunnen worden geconfigureerd om automatisch de door de klant beheerde sleutel te roteren die wordt gebruikt voor transparante gegevensversleuteling. Zie Automatische sleutelrotatie op databaseniveau voor informatie over het inschakelen van automatische sleutelrotatie in Azure Portal of het gebruik van API's.

Volgende stappen

Raadpleeg de volgende documentatie over verschillende CMK-bewerkingen op databaseniveau: