Geo-replicatie en back-upherstel configureren voor transparante gegevensversleuteling met door de klant beheerde sleutels op databaseniveau

Van toepassing op: Azure SQL Database

Notitie

TDE CMK op databaseniveau is beschikbaar voor Azure SQL Database (alle SQL Database-edities). Het is niet beschikbaar voor Azure SQL Managed Instance, on-premises SQL Server, Azure-VM's en Azure Synapse Analytics (toegewezen SQL-pools (voorheen SQL DW)).

In deze handleiding doorlopen we de stappen voor het configureren van geo-replicatie en het herstellen van back-ups in een Azure SQL Database. De Azure SQL Database is geconfigureerd met TDE (Transparent Data Encryption) en door de klant beheerde sleutels (CMK) op databaseniveau, waarbij gebruik wordt gemaakt van een door de gebruiker toegewezen beheerde identiteit voor toegang tot Azure Key Vault. Zowel de Azure Key Vault als de logische server voor Azure SQL bevinden zich in dezelfde Microsoft Entra-tenant voor deze handleiding, maar ze kunnen zich in verschillende tenants bevinden.

Notitie

Microsoft Entra-id is de nieuwe naam voor Azure Active Directory (Azure AD). Op dit moment wordt de documentatie bijgewerkt.

Vereisten

• Een Azure SQL Database configureren met door de klant beheerde sleutels op databaseniveau. Dit is de brondatabase voor deze bewerkingen. Zie TDE (Transparent Data Encryption) met door de klant beheerde sleutels op databaseniveau voor meer informatie.

Notitie

Dezelfde handleiding kan worden toegepast om door de klant beheerde sleutels op databaseniveau in een andere tenant te configureren door de parameter federatieve client-id op te geven. Zie Identiteits- en sleutelbeheer voor TDE met door de klant beheerde sleutels op databaseniveau voor meer informatie.

Belangrijk

Nadat de database is gemaakt of hersteld, wordt in het menu Transparent Data Encryption in Azure Portal de nieuwe database weergegeven met dezelfde instellingen als de brondatabase, maar er ontbreken mogelijk sleutels. In alle gevallen waarin een nieuwe database wordt gemaakt op basis van een brondatabase, kan het aantal sleutels dat wordt weergegeven voor een doeldatabase in azure Portal , de lijst Aanvullende databasesleutels kleiner zijn dan het aantal sleutels dat wordt weergegeven voor een brondatabase. Dit komt doordat het aantal weergegeven sleutels afhankelijk is van de vereisten voor afzonderlijke functies die worden gebruikt om een doeldatabase te maken. Als u alle sleutels wilt weergeven die beschikbaar zijn voor een nieuwe database, gebruikt u de beschikbare API's in De instellingen voor door de klant beheerde sleutels op databaseniveau weergeven in een Azure SQL Database.

Een Azure SQL Database maken met door de klant beheerde sleutels op databaseniveau als secundaire sleutel of kopie

Gebruik de volgende instructies of opdrachten om een secundaire replica te maken of het doel van een Azure SQL Database te kopiëren dat is geconfigureerd met door de klant beheerde sleutels op databaseniveau. Een door de gebruiker toegewezen beheerde identiteit is vereist voor het instellen van een door de klant beheerde sleutel voor transparante gegevensversleuteling tijdens de aanmaakfase van de database.

Portal

Een databasekopie maken met door de klant beheerde sleutels op databaseniveau

Als u een database in Azure SQL Database wilt maken als kopie met door de klant beheerde sleutels op databaseniveau, voert u de volgende stappen uit:

1. Ga naar Azure Portal en navigeer naar de Azure SQL Database die is geconfigureerd met door de klant beheerde sleutels op databaseniveau. Open het tabblad Transparent Data Encryption van het menu Gegevensversleuteling en controleer de lijst met huidige sleutels die door de database worden gebruikt.

   

2. Maak een kopie van de database door Kopiëren te selecteren in het menu Overzicht van de database.

   

3. Het menu SQL Database maken - Database kopiëren wordt weergegeven. Gebruik een andere server voor deze database, maar dezelfde instellingen als de database die u probeert te kopiëren. Selecteer In de sectie Transparent Data Encryption Key Management de optie Transparante gegevensversleuteling configureren.

   

4. Wanneer het menu Transparent Data Encryption wordt weergegeven, controleert u de CMK-instellingen voor deze kopieerdatabase. De instellingen en sleutels moeten worden gevuld met dezelfde identiteit en sleutels die in de brondatabase worden gebruikt.

5. Selecteer Toepassen om door te gaan en selecteer Vervolgens Beoordelen en maken om de kopiedatabase te maken.

Een secundaire replica maken met door de klant beheerde sleutels op databaseniveau

1. Ga naar Azure Portal en navigeer naar de Azure SQL Database die is geconfigureerd met door de klant beheerde sleutels op databaseniveau. Open het menu Transparent Data Encryption en controleer de lijst met huidige sleutels die door de database worden gebruikt.

   

2. Selecteer Replica's onder Instellingen voor gegevensbeheer voor de database. Selecteer Replica maken om een secundaire replica van de database te maken.

   

3. Het menu SQL Database maken - Geo Replica wordt weergegeven. Gebruik een secundaire server voor deze database, maar dezelfde instellingen als de database die u wilt repliceren. Selecteer In de sectie Transparent Data Encryption Key Management de optie Transparante gegevensversleuteling configureren.

   

4. Wanneer het menu Transparent Data Encryption wordt weergegeven, controleert u de CMK-instellingen voor deze databasereplica. De instellingen en sleutels moeten worden gevuld met dezelfde identiteit en sleutels die in de primaire database worden gebruikt.

5. Selecteer Toepassen om door te gaan en selecteer Vervolgens Beoordelen en maken om de kopiedatabase te maken.

Azure-CLI

Zie het artikel Azure CLI installeren voor meer informatie over het installeren van de huidige versie van Azure CLI.

• De lijst met huidige sleutels die door de primaire database worden gebruikt vooraf ingevuld met behulp van de expand-keys parameter met current als de keys-filterparameter.

  az sql db show --name $databaseName --resource-group $resourceGroup --server $serverName --expand-keys --keys-filter current
  

• Selecteer de door de gebruiker toegewezen beheerde identiteit (en federatieve client-id als u cross-tenanttoegang configureert).

• Maak een nieuwe database als secundaire database en geef de vooraf ingevulde lijst met sleutels op die zijn verkregen uit de brondatabase en de bovenstaande identiteit (en federatieve client-id bij het configureren van toegang tussen tenants).

  # Create a secondary replica with Active Geo Replication with the same name as the primary database
  
  az sql db replica create -g $resourceGroup -s $serverName -n $databaseName --partner-server $secondaryServer --partner-database $secondaryDatabase --partner-resource-group $secondaryResourceGroup -i --encryption-protector $encryptionProtector --user-assigned-identity-id $umi --keys $keys
  

  Belangrijk

  $keys is een door spatie gescheiden lijst met sleutels die zijn opgehaald uit de brondatabase.

• Als u een kopie van de database wilt maken, kan az sql db copy worden gebruikt met dezelfde parameters.

  # Create a copy of a database configured with database level customer-managed keys
  az sql db copy -g $resourceGroup -s $serverName -n $databaseName --dest-name $secondaryDatabase -i --encryption-protector $encryptionProtector --user-assigned-identity-id $umi --keys $keys
  

PowerShell

Zie Azure PowerShell installeren voor instructies voor de installatie van de Az PowerShell-module. Zie AzureRM.Sql voor specifieke cmdlets.

• De lijst met huidige sleutels die door de primaire database worden gebruikt vooraf ingevuld met behulp van de opdracht Get-AzSqlDatabase en de -ExpandKeyList parameters.-KeysFilter "current" Sluit -KeysFilter uit als u alle sleutels wilt ophalen.

  $database = Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter "current"
  

• Selecteer de door de gebruiker toegewezen beheerde identiteit (en federatieve client-id als u cross-tenanttoegang configureert).

• Maak een nieuwe database als secundaire met behulp van de opdracht New-AzSqlDatabaseSecondary en geef de vooraf ingevulde lijst met sleutels op die zijn verkregen uit de brondatabase en de bovenstaande identiteit (en federatieve client-id als u cross-tenanttoegang configureert) in de API-aanroep met behulp van de -KeyListparameters , -AssignIdentity, -UserAssignedIdentityId( -EncryptionProtector en indien nodig -FederatedClientId) .

  # Create a secondary replica with Active Geo Replication with the same name as the primary database
  $database = Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter "current"
  
  $database | New-AzSqlDatabaseSecondary -PartnerResourceGroupName <SecondaryResourceGroupName> -PartnerServerName <SecondaryServerName> -AllowConnections "All" -AssignIdentity -UserAssignedIdentityId <UserAssignedIdentityId> -EncryptionProtector <CustomerManagedKeyId> -FederatedClientId <FederatedClientId>
  -KeyList $database.Keys.Keys
  

• Als u een kopie van de database wilt maken, kan New-AzSqlDatabaseCopy worden gebruikt met dezelfde parameters.

# Create a copy of a database configured with database level customer-managed keys
$database = Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter "current"

New-AzSqlDatabaseCopy -CopyDatabaseName <CopyDatabaseName> -CopyResourceGroupName <CopyResourceGroupName> -CopyServerName <CopyServerName> -DatabaseName <DatabaseName> -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -AssignIdentity -UserAssignedIdentityId <UserAssignedIdentityId> -EncryptionProtector <CustomerManagedKeyId> -FederatedClientId <FederatedClientId>
-KeyList $database.Keys.Keys

Azure VPN-gateway

Hier volgt een voorbeeld van een ARM-sjabloon waarmee een secundaire replica en kopie van een Azure SQL Database wordt gemaakt die is geconfigureerd met een door de gebruiker toegewezen beheerde identiteit en door de klant beheerde TDE op databaseniveau.

Zie Azure Resource Manager-sjablonen voor Azure SQL Database & SQL Managed Instance voor meer informatie en ARM-sjablonen.

Gebruik een aangepaste implementatie in Azure Portal en bouw uw eigen sjabloon in de editor. Sla vervolgens de configuratie op nadat u in het voorbeeld hebt geplakt.

• De lijst met huidige sleutels die worden gebruikt door de primaire database vooraf invullen met behulp van de volgende REST API-aanvraag:

  GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}?api-version=2022-08-01-preview&$expand=keys($filter=pointInTime('current'))
  

• Selecteer de door de gebruiker toegewezen beheerde identiteit (en federatieve client-id als u cross-tenanttoegang configureert).

• Maak een nieuwe database als secundaire database en geef de vooraf ingevulde lijst met sleutels op die zijn verkregen uit de brondatabase en de bovenstaande identiteit (en federatieve client-id als u cross-tenanttoegang configureert) in de ARM-sjabloon als parameter keys_to_add .

  {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
      "server_name": {
        "type": "String"
      },
      "database_name": {
        "type": "String"
      },
      "user_assigned_identity": {
        "type": "String"
      },
      "encryption_protector": {
        "type": "String"
      },
      "location": {
        "type": "String"
      },
      "source_database_id": {
        "type": "String"
      },
      "keys_to_add": {
        "type": "Object"
      }
    },
    "variables": {},
    "resources": [
      {
        "type": "Microsoft.Sql/servers/databases",
        "apiVersion": "2022-08-01-preview",
        "name": "[concat(parameters('server_name'), concat('/',parameters('database_name')))]",
        "location": "[parameters('location')]",
        "sku": {
          "name": "Basic",
          "tier": "Basic",
          "capacity": 5
        },
        "identity": {
          "type": "UserAssigned",
          "userAssignedIdentities": {
            "[parameters('user_assigned_identity')]": {}
          }
        },
        "properties": {
          "collation": "SQL_Latin1_General_CP1_CI_AS",
          "maxSizeBytes": 104857600,
          "catalogCollation": "SQL_Latin1_General_CP1_CI_AS",
          "zoneRedundant": false,
          "readScale": "Disabled",
          "requestedBackupStorageRedundancy": "Geo",
          "maintenanceConfigurationId": "/subscriptions/e1775f9f-xxxx-xxxx-xxxx-xxxxxxxxxxxx/providers/Microsoft.Maintenance/publicMaintenanceConfigurations/SQL_Default",
          "isLedgerOn": false,
          "encryptionProtector": "[parameters('encryption_protector')]",
          "keys": "[parameters('keys_to_add')]",
          "createMode": "Secondary",
          "sourceDatabaseId": "[parameters('source_database_id')]"
        }
      }
    ]
  }
  

  Een voorbeeld van de encryption_protector en keys_to_add parameter is:

      "keys_to_add": {
        "value": {
          "https://yourvault.vault.azure.net/keys/yourkey1/fd021f84a0d94d43b8ef33154bca0000": {},
          "https://yourvault.vault.azure.net/keys/yourkey2/fd021f84a0d94d43b8ef33154bca0000": {}
        }
      },
      "encryption_protector": {
        "value": "https://yourvault.vault.azure.net/keys/yourkey2/fd021f84a0d94d43b8ef33154bca0000"
      }
  

• Als u een kopie van de database wilt maken, kan de volgende sjabloon worden gebruikt met dezelfde parameters.

  {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
      "server_name": {
        "type": "String"
      },
      "database_name": {
        "type": "String"
      },
      "user_assigned_identity": {
        "type": "String"
      },
      "encryption_protector": {
        "type": "String"
      },
      "location": {
        "type": "String"
      },
      "source_database_id": {
        "type": "String"
      },
      "keys_to_add": {
        "type": "Object"
      }
    },
    "variables": {},
    "resources": [
      {
        "type": "Microsoft.Sql/servers/databases",
        "apiVersion": "2022-08-01-preview",
        "name": "[concat(parameters('server_name'), concat('/',parameters('database_name')))]",
        "location": "[parameters('location')]",
        "sku": {
          "name": "Basic",
          "tier": "Basic",
          "capacity": 5
        },
        "identity": {
          "type": "UserAssigned",
          "userAssignedIdentities": {
            "[parameters('user_assigned_identity')]": {}
          }
        },
        "properties": {
          "collation": "SQL_Latin1_General_CP1_CI_AS",
          "maxSizeBytes": 104857600,
          "catalogCollation": "SQL_Latin1_General_CP1_CI_AS",
          "zoneRedundant": false,
          "readScale": "Disabled",
          "requestedBackupStorageRedundancy": "Geo",
          "maintenanceConfigurationId": "/subscriptions/e1775f9f-xxxx-xxxx-xxxx-xxxxxxxxxxxx/providers/Microsoft.Maintenance/publicMaintenanceConfigurations/SQL_Default",
          "isLedgerOn": false,
          "encryptionProtector": "[parameters('encryption_protector')]",
          "keys": "[parameters('keys_to_add')]",
          "createMode": "Copy",
          "sourceDatabaseId": "[parameters('source_database_id')]"
        }
      }
    ]
  }
  

Een Azure SQL Database herstellen met door de klant beheerde sleutels op databaseniveau

In deze sectie wordt u begeleid bij de stappen voor het herstellen van een Azure SQL Database die is geconfigureerd met door de klant beheerde sleutels op databaseniveau. Een door de gebruiker toegewezen beheerde identiteit is vereist voor het instellen van een door de klant beheerde sleutel voor transparante gegevensversleuteling tijdens de aanmaakfase van de database.

Herstel naar een bepaald tijdstip

In de volgende sectie wordt beschreven hoe u een database herstelt die is geconfigureerd met door de klant beheerde sleutels op databaseniveau naar een bepaald tijdstip. Zie Een database herstellen in SQL Database voor meer informatie over back-upherstel voor SQL Database.

Portal

1. Ga naar Azure Portal en navigeer naar de Azure SQL Database die is geconfigureerd met door de klant beheerde sleutels op databaseniveau die u wilt herstellen.

2. Als u de database naar een bepaald tijdstip wilt herstellen, selecteert u Herstellen in het menu Overzicht van de database.

   

3. Het menu Database maken - Database herstellen wordt weergegeven. Vul de benodigde bron- en databasegegevens in. Selecteer In de sectie Transparent Data Encryption Key Management de optie Transparante gegevensversleuteling configureren.

   

4. Wanneer het menu Transparent Data Encryption wordt weergegeven, controleert u de CMK-instellingen voor de database. De instellingen en sleutels moeten worden gevuld met dezelfde identiteit en sleutels die worden gebruikt in de database die u probeert te herstellen.

5. Selecteer Toepassen om door te gaan en selecteer Vervolgens Beoordelen en maken om de kopiedatabase te maken.

Azure-CLI

Zie het artikel Azure CLI installeren voor meer informatie over het installeren van de huidige versie van Azure CLI.

• De lijst met sleutels die door de primaire database worden gebruikt vooraf ingevuld met behulp van de expand-keys parameter met het herstelpunt in de tijd als de keys-filter.

  az sql db show --name $databaseName --resource-group $resourceGroup --server $serverName --expand-keys --keys-filter $timestamp
  

• Selecteer de door de gebruiker toegewezen beheerde identiteit (en federatieve client-id als u cross-tenanttoegang configureert).

• Maak een nieuwe database als hersteldoel en geef de vooraf ingevulde lijst met sleutels op die zijn verkregen uit de brondatabase en de bovenstaande identiteit (en federatieve client-id bij het configureren van toegang tussen tenants).

  # Create a restored database
  az sql db restore --dest-name $destName --name $databaseName --resource-group $resourceGroup --server $serverName --subscription $subscriptionId --time $timestamp -i --encryption-protector $encryptionProtector --user-assigned-identity-id $umi --keys $keys
  

  Belangrijk

  $keys is een door spatie gescheiden lijst met sleutels die zijn opgehaald uit de brondatabase.

PowerShell

Zie Azure PowerShell installeren voor instructies voor de installatie van de Az PowerShell-module. Zie AzureRM.Sql voor specifieke cmdlets.

• De lijst met sleutels die door de primaire database worden gebruikt vooraf ingevuld met behulp van de opdracht Get-AzSqlDatabase en de -ExpandKeyList parameters -KeysFilter "2023-01-01" (2023-01-01 is een voorbeeld van het tijdstip waarop u de database wilt herstellen). Sluit -KeysFilter uit als u alle sleutels wilt ophalen.

  $database = Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter <Timestamp>
  

• Selecteer de door de gebruiker toegewezen beheerde identiteit (en federatieve client-id als u cross-tenanttoegang configureert).

• Gebruik de opdracht Restore-AzSqlDatabase met de -FromPointInTimeBackup parameter en geef de vooraf ingevulde lijst met sleutels op die zijn verkregen uit de bovenstaande stappen en de bovenstaande identiteit (en de federatieve client-id als u cross-tenanttoegang configureert) in de API-aanroep met behulp van de -KeyListparameters , -AssignIdentity-UserAssignedIdentityId, -EncryptionProtector (en indien nodig-FederatedClientId) .

  $database = Get-AzSqlDatabase -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <DatabaseName> -ExpandKeyList -KeysFilter <Timestamp>
  
  # Create a restored database
  Restore-AzSqlDatabase -FromPointInTimeBackup -PointInTime <Timestamp> -ResourceId '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}' -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -TargetDatabaseName <TargetDatabaseName> -KeyList $database.Keys.Keys -EncryptionProtector <EncryptionProtector> -UserAssignedIdentityId <UserAssignedIdentityId> -AssignIdentity
  

Verwijderde databaseherstel

In de volgende sectie wordt beschreven hoe u een verwijderde database herstelt die is geconfigureerd met door de klant beheerde sleutels op databaseniveau. Zie Een database herstellen in SQL Database voor meer informatie over back-upherstel voor SQL Database.

Portal

1. Ga naar Azure Portal en navigeer naar de logische server voor de verwijderde database die u wilt herstellen. Selecteer Verwijderde databases onder Gegevensbeheer.

   

2. Selecteer de verwijderde database die u wilt herstellen.

3. Het menu Database maken - Database herstellen wordt weergegeven. Vul de benodigde bron- en databasegegevens in. Selecteer In de sectie Transparent Data Encryption Key Management de optie Transparante gegevensversleuteling configureren.

   

4. Wanneer het menu Transparent Data Encryption wordt weergegeven, configureert u de sectie Door de gebruiker toegewezen beheerde identiteit, door de klant beheerde sleutel en aanvullende databasesleutels voor uw database.

5. Selecteer Toepassen om door te gaan en selecteer Vervolgens Beoordelen en maken om de kopiedatabase te maken.

Azure-CLI

Zie het artikel Azure CLI installeren voor meer informatie over het installeren van de huidige versie van Azure CLI.

• De lijst met sleutels die door de verwijderde database worden gebruikt vooraf ingevuld met behulp van de expand-keys parameter. Het is raadzaam om alle sleutels door te geven die door de brondatabase zijn gebruikt. U kunt ook een herstelpoging uitvoeren met de sleutels die tijdens het verwijderen zijn opgegeven met behulp van de keys-filter parameter.

  az sql db show-deleted --name $databaseName --resource-group $resourceGroup --server $serverName --restorable-dropped-database-id "databaseName,133201549661600000" --expand-keys
  

  Belangrijk

  restorable-dropped-database-id kan worden opgehaald door alle terug te plaatsen verwijderde databases op de server en is van de indeling databaseName,deletedTimestamp.

• Selecteer de door de gebruiker toegewezen beheerde identiteit (en federatieve client-id als u cross-tenanttoegang configureert).

• Maak een nieuwe database als hersteldoel en geef de vooraf ingevulde lijst met sleutels op die zijn verkregen uit de verwijderde brondatabase en de bovenstaande identiteit (en federatieve client-id bij het configureren van toegang tussen tenants).

  # Create a restored database
  az sql db restore --dest-name $destName --name $databaseName --resource-group $resourceGroup --server $serverName --subscription $subscriptionId --time $timestamp -i --encryption-protector $encryptionProtector --user-assigned-identity-id $umi --keys $keys --deleted-time "2023-02-06T11:02:46.160000+00:00"
  

  Belangrijk

  $keys is een door spaties gescheiden lijst met sleutels die zijn opgehaald uit de brondatabase.

PowerShell

Zie Azure PowerShell installeren voor instructies voor de installatie van de Az PowerShell-module. Zie AzureRM.Sql voor specifieke cmdlets.

• De lijst met sleutels die door de primaire database worden gebruikt vooraf ingevuld met behulp van de opdracht Get-AzSqlDeletedDatabaseBackup en de -ExpandKeyList parameter. Het is raadzaam om alle sleutels door te geven die door de brondatabase zijn gebruikt. U kunt ook een herstelpoging uitvoeren met de sleutels die tijdens het verwijderen zijn opgegeven met behulp van de -KeysFilter parameter.

  $database = Get-AzSqlDeletedDatabaseBackup -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseId "dbName,133201549661600000" -ExpandKeyList -DeletionDate "2/6/2023" -DatabaseName <databaseName>
  

  Belangrijk

  DatabaseId kan worden opgehaald door alle terug te plaatsen verwijderde databases op de server en is van de indeling databaseName,deletedTimestamp.

• Selecteer de door de gebruiker toegewezen beheerde identiteit (en federatieve client-id als u cross-tenanttoegang configureert).

• Gebruik de opdracht Restore-AzSqlDatabase met de -FromDeletedDatabaseBackup parameter en geef de vooraf ingevulde lijst met sleutels op die zijn verkregen uit de bovenstaande stappen en de bovenstaande identiteit (en de federatieve client-id als u cross-tenanttoegang configureert) in de API-aanroep met behulp van de -KeyListparameters , -AssignIdentity-UserAssignedIdentityId, -EncryptionProtector (en indien nodig-FederatedClientId) .

  $database = Get-AzSqlDeletedDatabaseBackup -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseId "dbName,133201549661600000" -ExpandKeyList -DeletionDate <DeletionDate> -DatabaseName <databaseName>
  
  # Create a restored database
  Restore-AzSqlDatabase -FromDeletedDatabaseBackup -DeletionDate <Timestamp> -ResourceId '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/restorableDroppedDatabases/{databaseName}' -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -TargetDatabaseName <TargetDatabaseName> -KeyList $database.Keys.Keys -EncryptionProtector <EncryptionProtector> -UserAssignedIdentityId <UserAssignedIdentityId> -AssignIdentity
  

Geo-herstel

In de volgende sectie wordt beschreven hoe u een geo-gerepliceerde back-up van de database herstelt die is geconfigureerd met door de klant beheerde sleutels op databaseniveau. Zie Een database herstellen in SQL Database voor meer informatie over back-upherstel voor SQL Database.

Portal

1. Ga naar Azure Portal en navigeer naar de logische server waar u de database wilt herstellen.

2. Selecteer Database maken in het menu Overzicht.

3. Het menu SQL Database maken wordt weergegeven. Vul de tabbladen Basic en Netwerken voor uw nieuwe database in. Selecteer in Aanvullende instellingen back-up voor het gedeelte Bestaande gegevens gebruiken en selecteer een geo-gerepliceerde back-up.

   

4. Ga naar het tabblad Beveiliging . Selecteer In de sectie Transparent Data Encryption Key Management de optie Transparante gegevensversleuteling configureren.

5. Wanneer het menu Transparent Data Encryption wordt weergegeven, selecteert u CMK (Customer-Managed Key) op databaseniveau. De door de gebruiker toegewezen beheerde identiteit, door de klant beheerde sleutel en aanvullende databasesleutels moeten overeenkomen met de brondatabase die u wilt herstellen. Zorg ervoor dat de door de gebruiker toegewezen beheerde identiteit toegang heeft tot de sleutelkluis die de door de klant beheerde sleutel bevat die in de back-up is gebruikt.

6. Selecteer Toepassen om door te gaan en selecteer Vervolgens Beoordelen en maken om de back-updatabase te maken.

Azure-CLI

Zie het artikel Azure CLI installeren voor meer informatie over het installeren van de huidige versie van Azure CLI.

• De lijst met sleutels die worden gebruikt door de geo-back-up van de database die is geconfigureerd met door de klant beheerde sleutels op databaseniveau vooraf vullen met behulp van de expand-keys parameter.

  az sql db geo-backup --database-name $databaseName --g $resourceGroup --server $serverName  --expand-keys
  

• Selecteer de door de gebruiker toegewezen beheerde identiteit (en federatieve client-id als u cross-tenanttoegang configureert).

• Maak een nieuwe database als geo-hersteldoel en geef de vooraf ingevulde lijst met sleutels op die zijn verkregen uit de verwijderde brondatabase en de bovenstaande identiteit (en federatieve client-id bij het configureren van toegang tussen tenants).

  # Create a geo restored database
  az sql db geo-backup restore --geo-backup-id "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/recoverableDatabases/{databaseName}" --dest-database $destName --resource-group $resourceGroup --dest-server $destServerName -i --encryption-protector $encryptionProtector --user-assigned-identity-id $umi --keys $keys
  

  Belangrijk

  $keys is een door spaties gescheiden lijst met sleutels die zijn opgehaald uit de brondatabase.

PowerShell

Zie Azure PowerShell installeren voor instructies voor de installatie van de Az PowerShell-module. Zie AzureRM.Sql voor specifieke cmdlets.

• De lijst met sleutels die door de primaire database worden gebruikt vooraf ingevuld met behulp van de opdracht Get-AzSqlDatabaseGeoBackup en de -ExpandKeyList opdracht om alle sleutels op te halen.

  $database = Get-AzSqlDatabaseGeoBackup -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <databaseName> -ExpandKeyList
  

  Belangrijk

  DatabaseId kan worden opgehaald door alle terug te plaatsen verwijderde databases op de server en is van de indeling databaseName,deletedTimestamp.

• Selecteer de door de gebruiker toegewezen beheerde identiteit (en federatieve client-id als u cross-tenanttoegang configureert).

• Gebruik de opdracht Restore-AzSqlDatabase met de -FromGeoBackup parameter en geef de vooraf ingevulde lijst met sleutels op die zijn verkregen uit de bovenstaande stappen en de bovenstaande identiteit (en de federatieve client-id als u cross-tenanttoegang configureert) in de API-aanroep met behulp van de -KeyListparameters , -AssignIdentity-UserAssignedIdentityId, -EncryptionProtector (en indien nodig-FederatedClientId) .

  $database = Get-AzSqlDatabaseGeoBackup -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DatabaseName <databaseName> -ExpandKeyList
  
  # Create a restored database
  Restore-AzSqlDatabase -FromGeoBackup -ResourceId "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/recoverableDatabases/{databaseName}" -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -TargetDatabaseName <TargetDatabaseName> -KeyList $database.Keys.Keys -EncryptionProtector <EncryptionProtector> -UserAssignedIdentityId <UserAssignedIdentityId> -AssignIdentity
  

Belangrijk

Back-ups voor langetermijnretentie (LTR) bieden geen lijst met sleutels die door de back-up worden gebruikt. Als u een LTR-back-up wilt herstellen, moeten alle sleutels die door de brondatabase worden gebruikt, worden doorgegeven aan het LTR-hersteldoel.

Notitie

De ARM-sjabloon die is gemarkeerd in de sectie Een Azure SQL Database maken met door de klant beheerde sleutels op databaseniveau, kan worden verwezen naar het herstellen van de database met een ARM-sjabloon door de createMode parameter te wijzigen.

Optie voor automatische sleutelrotatie voor gekopieerde of herstelde databases

Nieuw gekopieerde of herstelde databases kunnen worden geconfigureerd om automatisch de door de klant beheerde sleutel te roteren die wordt gebruikt voor transparante gegevensversleuteling. Zie Automatische sleutelrotatie op databaseniveau voor informatie over het inschakelen van automatische sleutelrotatie in Azure Portal of het gebruik van API's.

Volgende stappen

Raadpleeg de volgende documentatie over verschillende CMK-bewerkingen op databaseniveau:

• Transparent Data Encryption (TDE) met door de klant beheerde sleutels op databaseniveau

• Identiteits- en sleutelbeheer voor TDE met door de klant beheerde sleutels op databaseniveau